0944 956 636
0944 956 636

Hướng dẫn bảo vệ mật khẩu quản trị website sau khi được bàn giao

Sau khi được bàn giao website và cung cấp 2 tài khoản Khách HàngQuản Trị Viên, 2 tài khoản này được phân quyền khác nhau để các bạn sử dụng theo nhu cầu.

Ngoài việc không tự ý sử dụng tài khoản Quản Trị Viên để thay đổi, chỉnh sửa code website – cài đặt các Plugin khác gây xung đột lỗi website, vi phạm Chính sách Bảo hành của IT24, bạn cần phải biết cách tự bảo vệ mật khẩu của các tài khoản này.

Việc bảo vệ mật khẩu (password) đăng nhập website được IT24 thiết kế cũng như việc bạn cần bảo vệ mật khẩu các trang mạng xã hội như Facebook, Twitter.., các ứng dụng web như Gmail, Zalo…

Để giúp các bạn một số cách bảo vệ mật khẩu hiệu quả khi sử dụng trình duyệt web đăng nhập website đã được IT24 bàn giao, mình xin giới thiệu các bạn 2 cách mà hiện tại đang áp dụng:

  1. Phần mềm KeePass
  2. Phần mềm KeyScrambler

I. Sử dụng phần mềm quản lý Mật khẩu KeePass

Đây là phần mềm quản lý password rất chuyên nghiệp, không chỉ password của website mà còn các password trên các ứng dụng chạy nền Windows…

Bạn có thể truy cập Địa chỉ trang chủ của KeePass để tìm hiểu thêm, truy cập trang tải phần mềm để tải về. Phiên bản được hướng dẫn trong bài này là phiên bản KeePass 2.44

I.1. Tạo Database mới và mật khẩu quản trị Master Password

Khi chạy lần đầu bạn cần tạo cơ sở dữ liệu (database) mới để lưu trữ toàn bộ password, các thông tin mình cần ghi chú vào

Khởi tạo Database mới
Hình 1 – Khởi tạo Database mới

Các nội dung trong hình:

  1. New: Tạo Database mới để lưu trữ password.
  2. Open: Mở các Database cũ (nếu bạn đã tạo trước, mặc định KeePass sẽ tự động mở lại Database trong phiên làm việc trước sau này.

Khi này bạn cần đặt trên cho Database mới và chọn nơi lưu trữ trên máy tính, mình tạm đặt là IT24’s Passwords và chọn nơi lưu trữ trên Desktop (thực tế bạn cần chọn 1 vị trí lưu trữ tại ổ D, E…không sử dụng màn hình Desktop làm nơi lưu trữ file Database mới này)

Chọn tên Database và nơi lưu trữ
Hình 2 – Chọn tên Database và nơi lưu trữ

Sau khi tạo tên Database và nơi lưu trữ, các bạn nhấn Save để chuyển sang màn hình thiết lập Mật khẩu Quản trị Master Password.

Thiết lập Mật khẩu Quản trị - Master Password
Hình 3 – Thiết lập Mật khẩu Quản trị – Master Password

Các mục bạn cần lưu ý trong hình trên:

  1. Master password: Mật khẩu quản trị là mật khẩu bạn sử dụng khi dùng KeePass để truy cập vào các password bên trong của mình. Không có mật khẩu này, không ai có thể vào xem các password đã được bạn lưu trữ kể cả họ ngồi máy tính của bạn.
  2. Hiện password khi gõ: Khi bạn gõ mật khẩu cần gõ 2 lần ở Master passwordRepeat password và đảm bảo 2 lần gõ cùng 1 nội dung. Nút Hiện password này giúp bạn giảm đi 1 ô gõ và hiện lên password khi đang gõ (Lưu ý chỉ sử dụng nếu không có ai bên cạnh bạn để giảm thiểu việc để lộ mật khẩu).
  3. Thiết lập nâng cao: Nếu sử dụng thành thạo hơn, bạn có thể sử dụng lựa chọn này. Lựa chọn này cho phép bạn khi mở KeePass cần sự kết hợp của Master password/ Mật khẩu quản trị và 1 File trên máy tính do bạn lựa chọn hoặc tạo ra từ KeePass. Với người dùng phổ thông, lựa chọn này không cần thiết các bạn nhé!

Sau khi chọn xong Mật khẩu Quản trị, ở bước tiếp theo bạn cần điền 1 số thông tin cho Database này gồm tên mô tả và một số nội dung mô tả cho Database như hình dưới

Mô tả cho Database
Hình 4 – Mô tả cho Database

Hãy chọn Skip (Bỏ qua) trong màn hình tiếp theo (KeePass hỏi bạn có in các thông tin cần nhớ để truy cập lần sau không, bỏ qua mục này, bạn chỉ cần nhớ Mật khẩu Quản trị là đủ)

Chọn bỏ qua việc in Emergency Sheet
Hình 5 – Chọn bỏ qua việc in Emergency Sheet

 

I.2. Tạo và quản lý mật khẩu một tài khoản

Sau các bước ở mục I.1. bạn sẽ được chuyển vào màn hình chính của KeePass bên dưới, đây là màn hình mặc định sau khi cài đặt thành công KeePass.

Màn hình quản lý mật khẩu chính
Hình 6 – Màn hình quản lý mật khẩu chính

Một số mục bạn cần lưu ý:

  1. Tên cơ sở dữ liệu (database): Tên của Database đã thiết lập ban đầu (Sau này có thể bạn tạo 1 database khác cho mục đích khác thì khi mở tên sẽ thay đổi.
  2. Phân loại password: Mặc định KeePass đã để 1 số thư mục giúp bạn phân loại mật khẩu của mình là eMail (quản lý Email), Home banking (quản lý tài khoản Ngân hàng…), nếu không thích bạn hãy xóa đi và tạo theo ý mình, ví dụ MK Email – MK Ngân hàng…
  3. Các tài khoản mẫu: 1 số tài khoản mẫu, bạn hãy xóa đi để tạo mới

Ở đây, mình tạo mới nhóm mật khẩu có tên là Tên Miền IT24 (dùng để quản trị các tài khoản tên miền khi được IT24.VN bàn giao cho khách hàng). Bạn hãy nhấn chuột phải lên tên Database (Giang’s Database) và chọn Add Group (thêm nhóm)

Tạo mới Nhóm Mật Khẩu
Hình 7 – Tạo mới Nhóm Mật Khẩu

Các mục trên hình trên:

  1. Tên nhóm: ở đây mình đặt tên là Tên Miền IT24
  2. Chọn biểu tượng: Bạn hãy chọn 1 biểu tượng cho dễ phân biệt (dùng icon sẵn trong máy hoặc 1 ảnh tùy chọn)

Sau đó hãy di chuyển vào nhóm đã tạo, nhấn chuột phải và chọn Add Entry để bắt đầu tạo và quản lý 1 tài khoản/ mật khẩu mới.

Khai báo chi tiết về tài khoản/mật khẩu
Hình 8 – Khai báo chi tiết về tài khoản/mật khẩu

Các bạn cần khai báo chi tiết các thông tin về tài khoản/ mật khẩu của mình như hình trên trong Tab Entry, các mục trong đó:

  1. Tiêu đề: Chọn tiêu đề cho tài khoản này, ví dụ Tên miền IT24.VN
  2. Tên tài khoản (account/username): Tên đăng nhập vào website, GMail…ví dụ quantrivien
  3. Mật khẩu: Mặc định KeePass sẽ tự động tạo cho bạn 1 tài khoản dạng zJ2GhPW2z7TzaJURyOxr. Bạn có thể gõ vào đây 1 mật khẩu khác nếu muốn ví dụ @42itThanHhoa. Tuy nhiên, việc gõ mật khẩu này mình không khuyến khích, lý do tại sao các bạn hãy đọc tiếp bài này mục II. Keylogger – Phần mềm lấy cắp mật khẩu trên máy tính để hiểu rõ thêm.

Sau khi đã hoàn thành các nội dung trong Tab Entry, các bạn chuyển qua Tab Auto-Type và điền các nội dung như hình bên dưới

Hoàn thành các nội dung trong Tab Auto-Type
Hình 9 – Hoàn thành các nội dung trong Tab Auto-Type

Các mục bạn cần hoàn thành trong Tab này như sau:

  1. Bật chế độ Auto-Type: Bật chế độ tự gõ sau này để không cần gõ lại Password
  2. Nội dung tự gõ: Các bạn xóa mặc định đi và chỉ để lại {PASSWORD} để chế độ gõ tự động chỉ gõ Mật khẩu (lưu ý khi sử dụng bạn cần tắt Unikey đi để tránh việc gõ tự động phát sinh các dấu tiếng Việt làm mật khẩu gõ ra bị sai).
  3. Bật chế độ mã hóa khi gõ mật khẩu: Chế độ này giúp bạn tránh được Keylogger (các bạn xem thêm về Keylogger mục số II. bên dưới, tìm hiểu về Chế độ mã hóa của KeePass ở đây)

Sau khi hoàn thiện thông tin thẻ Auto-Type này các bạn nhấn OK để hoàn thiện việc lưu thông tin cho tài khoản này.

I.3. Cách sử dụng mật khẩu khi cần đăng nhập bằng KeePass

Với ứng dụng KeePass việc bạn cần nhớ mật khẩu khi đăng nhập trên máy tính là không cần thiết và không thể vì tất cả mật khẩu đều được tạo ngẫu nhiên và rất khó nhớ (Tất nhiên nếu bạn cố tình dùng mật khẩu đơn giản vẫn có thể nhớ được nhưng đó không phải là cách mình hướng dẫn trong bài viết này, bảo mật tốt nhất là bạn không nhớ mật khẩu mình là gì).

Từ bây giờ, sau khi đã lưu hoàn thiện thông tin cho một tài khoản, khi bạn vào trang đăng nhập của tài khoản đó, bạn có 2 cách để điền mật khẩu như sau:

I.3.1. Copy – Paste mật khẩu
Copy mật khẩu để điền vào nơi cần điền
Hình 10 – Copy mật khẩu để điền vào nơi cần điền

Đây là cách đơn giản nhất khi bạn cần điền mật khẩu, sau khi đăng nhập KeePass bằng mật khẩu quản trị, các bạn chọn tài khoản cần lấy password và nhấn chuột phải chọn Copy Password để copy mật khẩu, sau đấy bạn chuyển qua vị trí cần nhập password để paste mật khẩu ra.

Tuy nhiên, cách làm này mình không khuyến khích vì hầu hết các phần mềm Keylogger đều có khả năng biết được những gì bạn copy trên máy tính.

I.3.2. Dùng chế độ Gõ mật khẩu tự động (Auto-Type)

KeePass có chức năng đặc biệt giúp bạn tránh được các phần mềm Keylogger chuyên dùng để ăn trộm password, đó là chế độ Auto-Type (gõ tự động).

Để sử dụng chức năng này, hãy tắt bộ gõ tiếng Việt trên máy tính của bạn (Unikey…) để tránh việc khi tự gõ phát sinh các ký tự tiếng Việt không mong muốn, gây sai mật khẩu.

Để tiến hành Auto-Type, đầu tiên bạn mở cửa sổ trình duyệt cần nhập passoword và để con trỏ chuột vào vị trí cần điền mật khẩu như hình bên dưới.

Để con trỏ chuột vị trí cần nhập mật khẩu
Hình 11 – Để con trỏ chuột vị trí cần nhập mật khẩu

Sau đó trên thanh TaskBar bên dưới (thanh công cụ bên dưới màn hình của Windows) bạn chuyển luôn qua cửa sổ ứng dụng KeePass (các bạn lưu ý giữa 2 thao tác này không chuyển qua 1 cửa sổ nào khác).

Trên màn hình như Hình 10 ở trên, các bạn nhấn chuột phải vào tài khoản cần lấy mật khẩu, thay vì chọn Copy Password chọn Perform Auto-Type (mục đánh số 3, hoặc nhấn tổ hợp phím Ctrl + V), khi này mật khẩu sẽ được gõ tự động tại vị trí cần nhập mật khẩu.

Mô tả khá nhiều, tuy nhiên thực tế các bước này làm rất đơn giản, chỉ cần thực hiện 1-2 lần bạn sẽ làm chủ được tính năng cực kỳ hữu ích mà chưa có trình quản lý Password nào có này.

I.4. Tạo mật khẩu nâng cao trong KeePass

Như ở mục I.2. khi tạo tài khoản mới, KeePass sẽ tự tạo cho bạn một mật khẩu với độ mã hóa cao. Để tạo cho mình 1 mật khẩu riêng theo một quy số quy tắc nhất định các bạn hãy làm như sau

Tạo định dạng mật khẩu trong KeePass
Hình 12 – Tạo định dạng mật khẩu trong KeePass

Mình chú thích các điểm đánh dấu trong hình trên:

  1. Password Generator: Mở trình tạo mật khẩu.
  2. Một số cách tạo Password: Các cách tạo mật khẩu hiện có, ở đây có Giang’s Strong Password là cách tạo mình xây dựng từ Password Generator, mật khẩu khi chọn mục này tạo ra sẽ là tổ hợp của chữ viết Thường, viết Hoa và có 10 ký tự dạng io1mNsfOP1

Mình sẽ hướng dẫn các bạn tạo mật khẩu tự động dạng này, khi hiểu rõ các bạn có thể tự tạo cho mình sau. Đầu tiên bạn hãy mở Password Generator ra và chọn các mục như hình sau

Tạo định dạng cho mật khẩu
Hình 13 – Tạo định dạng cho mật khẩu

Các mục trong hình trên:

  1. Upper-case: Mật khẩu tạo ra phải chứa chữ viết Hoa ví dụ: A, B, C…
  2. Lower-case: Mật khẩu tạo ra phải chứa chữ viết thường, ví dụ: a, b, c…
  3. Digits: Mật khẩu tạo ra phải chứa số, ví dụ: 0, 1, 2..
  4. Độ dài mật khẩu: Các bạn chọn 10
  5. Chọn lưu định dạng mật khẩu: Nhấn vào đây để lưu và điền tên của định dạng mật khẩu này vào mục 6, ở ví dụ này mình để tên là IT24’s Password sau đó bạn nhấn OK để hoàn tất.

Lý do mình chọn như trên đó là hiện nay hầu hết các mật khẩu đều được yêu cầu phải có đủ chữ viết Hoa, viết thường và số.

Để sử dụng cách tạo mật khẩu này, tại vị trí cần điền mật khẩu khi tạo tài khoản mới, các bạn chọn IT24’s Password để tạo 1 mật khẩu thay vì mật khẩu mặc định của KeePass

Tạo mật khẩu theo định dạng đã quy định
Hình 14 – Tạo mật khẩu theo định dạng đã quy định

Khi bạn chọn như vậy mật khẩu sinh ra sẽ có dạng WegB4A3P0V, tuân thủ đúng các quy tắc đã được đặt ra đó là dài 10 ký tự, có chữ viết Hoa và có chữ viết thường. Để áp ứng được nhu cầu của tất cả các quy định về đặt mật khẩu hiện nay, việc của bạn bây giờ chỉ cần thêm 1 ký tự @ vào trước mật khẩu này để nó trở thành @WegB4A3P0V (mật khẩu hiện nay còn yêu cầu có 1 ký tự đặc biệt như @, !, $…)

II. Keylogger – Phần mềm lấy cắp mật khẩu trên máy tính

Như đã đề cập tại mục I.2. ở trên, việc gõ mật khẩu khi khởi tạo 1 tài khoản mới hay việc bạn Copy – Paste mật khẩu trong KeePass không được mình khuyến khích. Thực tế bản thân mình không gõ, copy – paste bất kỳ 1 mật khẩu nào trên máy tính sử dụng, vì một lý do đó là phần mềm Keylogger – Phần mềm theo dõi ăn trộm thông tin trên máy tính.

Mình xin trích dẫn 1 đoạn trên Wikipedia mô tả về phần mềm dạng này:

“Keylogger hay “trình theo dõi thao tác bàn phím” theo cách dịch ra tiếng Việt là một chương trình máy tính ban đầu được viết nhằm mục đích theo dõi và ghi lại mọi thao tác thực hiện trên bàn phím vào một tập tin nhật ký (log) để cho người cài đặt nó sử dụng. Vì chức năng mang tính vi phạm vào riêng tư của người khác này nên các trình keylogger được xếp vào nhóm các phần mềm gián điệp…”

Bạn có thể xem thêm tại: Keylogger – Wikipedia Tiếng Việt

Máy tính của bạn có thể bị cài phần mềm Keylogger này mà bạn không hề biết, do các trình virus không nhận dạng nó là virus, hoặc cơ chế ăn trộm thông tin của nó quá thông minh để bị phát hiện ra. Các khả năng mà phần mềm Keylogger có thể đó là:

  • Chụp ảnh màn hình của bạn định kỳ (theo giây, phút…)
  • Ghi lại những gì bạn gõ, copy – paste
  • Những thông tin này thường sẽ được hacker gửi về email của họ, để chiếm đoạt sử dụng cho các mục đích khác nhau…

Do tính chất nguy hiểm, khó phát hiện của loại phần mềm dạng này, bạn hãy sử dụng cơ chế mình đề cập tại I.3.2. Dùng chế độ Gõ mật khẩu tự động (Auto-Type) khi sử dụng với KeePass để loại bỏ khả năng bị Keylogger ăn trộm thông tin mật khẩu.

Ngoài ra, một cách sử dụng khác kết hợp để chống Keylogger, đó là bạn hãy dùng thêm phần mềm KeyScrambler miễn phí.

Địa chỉ tải KeyScrambler – Chương trình mã hóa văn bản khi gõ

Phần mềm KeyScrambler sẽ giúp bạn mã hóa ký tự gõ ra theo thời gian thực, ví dụ bạn gõ a sẽ mã hóa thành $, 1 chuỗi mật khẩu bạn gõ là iT42@ sẽ thành ~xks! …hoàn toàn bó tay với mọi thể loại Keylogger! Bạn có thể sử dụng phần mềm này để mã hóa toàn bộ thông tin “nhạy cảm” của mình khi sử dụng trên trình duyệt web như Google Chrome, Mozilla Firefox với bản Free.

IT24.VN

Leave a Reply

Đóng Menu