Để ngăn mật khẩu của bạn bị tấn công bởi kỹ thuật xã hội, bạo lực hoặc phương pháp tấn công từ điển và giữ an toàn cho tài khoản trực tuyến của bạn, bạn nên lưu ý rằng:

1. Không sử dụng cùng một mật khẩu, câu hỏi và câu trả lời bảo mật cho nhiều tài khoản quan trọng.

2. Sử dụng mật khẩu có ít nhất 16 ký tự, sử dụng ít nhất một số, một chữ hoa, một chữ thường và một ký hiệu đặc biệt.

3. Không sử dụng tên của gia đình, bạn bè hoặc thú cưng trong mật khẩu của bạn. Trong một số trường hợp, ví dụ, bạn có hơn 100 bitcoin, thì bạn không nên để bất kỳ ai ngoại trừ mẹ bạn biết mật khẩu của bạn, ngay cả cha bạn cũng không đủ tin cậy.

4. Không sử dụng mã bưu điện, số nhà, số điện thoại, ngày sinh, số thẻ căn cước, số an sinh xã hội, v.v. trong mật khẩu của bạn.

5. Không sử dụng bất kỳ từ điển nào trong mật khẩu của bạn. Ví dụ về mật khẩu mạnh: ePYHc~dS*)8$+V-' , qzRtC{6rXN3N\RgL , zbfUMZPE6`FC%)sZ. Ví dụ về mật khẩu yếu: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

6. Không sử dụng hai hoặc nhiều mật khẩu tương tự mà hầu hết các ký tự của chúng đều giống nhau, ví dụ: ilovefreshflowersMac, ilovefreshflowersDropBox, vì nếu một trong những mật khẩu này bị đánh cắp, thì điều đó có nghĩa là rằng tất cả các mật khẩu này đều bị đánh cắp.

7. Không sử dụng thứ gì đó có thể nhân bản (nhưng bạn không thể thay đổi) làm mật khẩu, chẳng hạn như dấu vân tay của bạn.

8. Đừng để các trình duyệt Web của bạn (FireFox, Chrome, Safari, Opera, IE, Microsoft Edge) lưu trữ mật khẩu của bạn, vì tất cả mật khẩu được lưu trong trình duyệt Web có thể được tiết lộ dễ dàng.

9. Không đăng nhập vào các tài khoản quan trọng trên máy tính của người khác hoặc khi được kết nối với điểm truy cập Wi-Fi công cộng, Tor, VPN miễn phí hoặc proxy web.

10. Không gửi thông tin nhạy cảm trực tuyến qua các kết nối không được mã hóa (ví dụ: HTTP hoặc FTP), vì các tin nhắn trong các kết nối này có thể bị đánh hơi với rất ít nỗ lực. Bạn nên sử dụng các kết nối được mã hóa như HTTPS, SFTP, FTPS, SMTPS, IPSec bất cứ khi nào có thể.

11. Khi đi du lịch, bạn có thể mã hóa kết nối Internet của mình trước khi chúng rời khỏi máy tính xách tay, máy tính bảng, điện thoại di động hoặc bộ định tuyến của bạn. Ví dụ: bạn có thể thiết lập VPN riêng với các giao thức như WireGuard (hoặc IKEv2, OpenVPN, SSTP, L2TP qua IPSec) trên máy chủ của riêng bạn (máy tính gia đình, máy chủ chuyên dụng hoặc VPS) và kết nối với nó. Ngoài ra, bạn có thể thiết lập một đường hầm SSH được mã hóa giữa máy tính và máy chủ của riêng bạn và định cấu hình Chrome hoặc FireFox để sử dụng proxy vớ. Sau đó, ngay cả khi ai đó nắm bắt dữ liệu của bạn khi nó được truyền giữa thiết bị của bạn (ví dụ: máy tính xách tay, iPhone, iPad ) và máy chủ của bạn bằng trình đánh hơi gói, họ sẽ không thể để ăn cắp dữ liệu và mật khẩu của bạn từ dữ liệu phát trực tuyến được mã hóa.

12. Mật khẩu của tôi an toàn đến mức nào? Có lẽ bạn tin rằng mật khẩu của bạn rất mạnh, khó bị hack. Nhưng nếu một hacker đã đánh cắp tên người dùng của bạn và giá trị băm MD5 của mật khẩu của bạn từ máy chủ của công ty và bảng cầu vồng của hacker chứa hàm băm MD5 này, sau đó mật khẩu của bạn sẽ bị bẻ khóa nhanh chóng.

     Để kiểm tra độ mạnh của mật khẩu và biết liệu chúng có nằm trong bảng cầu vồng phổ biến hay không, bạn có thể chuyển đổi mật khẩu của mình thành băm MD5 trên trình tạo băm MD5, sau đó giải mã mật khẩu của bạn bằng cách gửi các hàm băm này đến dịch vụ giải mã MD5 trực tuyến. Ví dụ: mật khẩu của bạn là "0123456789A", sử dụng phương pháp brute-force, máy tính có thể mất gần một năm để bẻ khóa mật khẩu của bạn, nhưng nếu bạn giải mã nó bằng cách Gửi MD5 hash ( C8E7279CD035B23BB9C0F1F954DFF5B3 ) của nó đến một trang web giải mã MD5, sẽ mất bao lâu để crack nó? Bạn có thể tự mình thực hiện kiểm tra.

13. Bạn nên thay đổi mật khẩu của mình sau mỗi 10 tuần.

14. Bạn nên nhớ một vài mật khẩu chính, lưu trữ các mật khẩu khác trong tệp văn bản thuần túy và mã hóa tệp này bằng 7-Zip, GPG hoặc phần mềm mã hóa đĩa như như BitLocker hoặc quản lý mật khẩu của bạn bằng phần mềm quản lý mật khẩu.

15. Mã hóa và sao lưu mật khẩu của bạn đến các vị trí khác nhau, sau đó nếu bạn mất quyền truy cập vào máy tính hoặc tài khoản của mình, bạn có thể lấy lại mật khẩu của mình một cách nhanh chóng.

16. Bật xác thực 2 bước bất cứ khi nào có thể.

17. Không lưu trữ mật khẩu quan trọng của bạn trên đám mây.

18. Truy cập các trang web quan trọng (ví dụ:Paypal SNS.show ) từ bookmark trực tiếp, nếu không xin vui lòng kiểm tra tên miền của nó một cách cẩn thận, đó là một ý tưởng tốt để kiểm tra sự phổ biến của một trang web với Alexa toolbar để đảm bảo rằng nó không phải là một trang web lừa đảo trước khi nhập mật khẩu của bạn.

19. Bảo vệ máy tính của bạn bằng tường lửa và phần mềm chống vi-rút, chặn tất cả các kết nối đến và tất cả các kết nối đi không cần thiết với tường lửa. Chỉ tải xuống phần mềm từ các trang web có uy tín và xác minh tổng kiểm tra MD5 / SHA1 / SHA256 hoặc chữ ký GPG của gói cài đặt bất cứ khi nào có thể.

20. Giữ các hệ điều hành (ví dụ Windows 7, Windows 10, Mac OS X, iOS, Linux) và các trình duyệt Web (ví dụ: FireFox, Chrome, IE, Microsoft Edge) của thiết bị của bạn (ví dụ: Windows PC, Mac PC, iPhone, iPad, Android tablet) cập nhật bằng cách cài đặt bản cập nhật bảo mật mới nhất.

21. Nếu có các tệp quan trọng trên máy tính của bạn và người khác có thể truy cập tệp đó, hãy kiểm tra xem có keylogger phần cứng (ví dụ: trình đánh hơi bàn phím không dây), keylogger phần mềm và ẩn không máy ảnh khi bạn cảm thấy cần thiết.

22. Nếu có WIFI bộ định tuyến trong nhà của bạn, thì bạn có thể biết mật khẩu bạn đã nhập (trong nhà hàng xóm của bạn) bằng cách phát hiện cử chỉ của ngón tay và bàn tay của bạn. Vì tín WIFI hiệu họ nhận được sẽ thay đổi khi bạn di chuyển ngón tay và bàn tay. Bạn có thể sử dụng bàn phím trên màn hình để nhập mật khẩu của mình trong những trường hợp như vậy, sẽ an toàn hơn nếu bàn phím ảo (hoặc bàn phím mềm) này thay đổi bố cục mỗi lần.

23. Khóa máy tính và điện thoại di động của bạn khi bạn rời khỏi chúng.

24. Mã hóa toàn bộ ổ cứng bằng VeraCrypt, FileVault, LUKS hoặc các công cụ tương tự trước khi đưa các tệp quan trọng lên đó và phá hủy ổ cứng của các thiết bị cũ của bạn nếu cần.

25. Truy cập các trang web quan trọng ở chế độ riêng tư hoặc ẩn danh hoặc sử dụng một trình duyệt Web để truy cập các trang web quan trọng, sử dụng một trình duyệt khác để truy cập các trang web khác. Hoặc truy cập các trang web không quan trọng và cài đặt phần mềm mới bên trong một máy ảo được tạo bằng VMware, VirtualBox hoặc Parallels.

26. Sử dụng ít nhất 3 địa chỉ email khác nhau, sử dụng địa chỉ đầu tiên để nhận email từ các trang web và ứng dụng quan trọng, chẳng hạn như Paypal, Amazon, SNS.show sử dụng địa chỉ thứ hai để nhận email từ các trang web và Ứng dụng không quan trọng, hãy sử dụng email thứ ba (từ một nhà cung cấp email khác, chẳng hạn như Outlook và GMail) để nhận email đặt lại mật khẩu của bạn khi email đầu tiên (ví dụ: Yahoo Mail) bị tấn công.

27. Sử dụng ít nhất 2 số điện thoại khác nhau, không cho người khác biết số điện thoại mà bạn sử dụng để nhận tin nhắn văn bản của mã xác minh.

28. Không nhấp vào liên kết trong email hoặc tin nhắn SMS, không đặt lại mật khẩu của bạn bằng cách nhấp vào chúng, ngoại trừ việc bạn biết những tin nhắn này không phải là giả mạo.

29. Đừng nói mật khẩu của bạn với bất kỳ ai trong email.

30. Có thể một trong những phần mềm hoặc Ứng dụng bạn đã tải xuống hoặc cập nhật đã bị tin tặc sửa đổi, bạn có thể tránh sự cố này bằng cách không cài đặt phần mềm hoặc Ứng dụng này tại lần đầu tiên, ngoại trừ việc nó được xuất bản để sửa các lỗ hổng bảo mật. Thay vào đó, bạn có thể sử dụng các ứng dụng dựa trên Web, ứng dụng này an toàn và di động hơn.

31. Hãy cẩn thận khi sử dụng các công cụ dán trực tuyến và công cụ chụp màn hình, đừng để chúng tải mật khẩu của bạn lên đám mây.

32. Nếu bạn là quản trị viên web, không lưu trữ mật khẩu, câu hỏi bảo mật và câu trả lời của người dùng dưới dạng văn bản thuần túy trong cơ sở dữ liệu, bạn nên lưu trữ muối (SHA1, SHA256 hoặc SHA512 ) giá trị băm của các chuỗi này thay vào đó. Bạn nên tạo một chuỗi muối ngẫu nhiên duy nhất cho mỗi người dùng. Ngoài ra, bạn nên ghi lại thông tin thiết bị của người dùng (ví dụ: Phiên bản hệ điều hành, độ phân giải màn hình, v.v.) và lưu các giá trị băm muối của chúng, sau đó khi anh ấy / cô ấy cố gắng đăng nhập bằng mật khẩu chính xác nhưng thông tin thiết bị của anh ấy / cô ấy không khớp với mã đã lưu trước đó, hãy để người dùng này xác minh danh tính của mình bằng cách nhập mã xác minh khác được gửi qua SMS hoặc email.

33. Nếu bạn là nhà phát triển phần mềm, bạn nên xuất bản gói cập nhật được ký bằng khóa riêng bằng GnuPG và xác minh chữ ký của nó bằng khóa công khai đã xuất bản trước đó.

34. Để giữ cho doanh nghiệp trực tuyến của bạn an toàn, bạn nên đăng ký một tên miền của riêng bạn và thiết lập một tài khoản email với tên miền này, sau đó bạn sẽ không bị mất email của mình. tài khoản và tất cả các liên hệ của bạn, vì bạn có thể lưu trữ máy chủ thư của mình ở bất cứ đâu, tài khoản email của bạn không thể bị nhà cung cấp email vô hiệu hóa.

35. Nếu một trang web mua sắm trực tuyến chỉ cho phép thanh toán bằng thẻ tín dụng, thì bạn nên sử dụng thẻ tín dụng ảo để thay thế.

36. Đóng trình duyệt web của bạn khi bạn rời khỏi máy tính, nếu không, cookie có thể bị chặn dễ dàng bằng một thiết bị USB nhỏ, giúp bạn có thể bỏ qua quá trình xác minh và ghi nhật ký hai bước vào tài khoản của bạn với cookie bị đánh cắp trên các máy tính khác.

37. Không tin tưởng và xóa chứng chỉ SSL xấu khỏi trình duyệt Web của bạn, nếu không bạn sẽ không thể đảm bảo tính bảo mật và tính toàn vẹn của các kết nối HTTPS sử dụng các chứng chỉ này.

38. Mã hóa toàn bộ phân vùng hệ thống, nếu không xin vui lòng vô hiệu hóa các chức năng pagefile và ngủ đông, vì nó có thể tìm thấy tài liệu quan trọng của bạn trong các tập tin pagefile.sys và hiberfil.sys.

39. Để ngăn chặn các cuộc tấn công đăng nhập brute force vào các máy chủ chuyên dụng, máy chủ VPS hoặc máy chủ đám mây của bạn, bạn có thể cài đặt phần mềm phát hiện và ngăn chặn xâm nhập như LFD (Đăng nhập lỗi Daemon) hoặc Thất bại2Ban.

40. Nếu có thể, hãy sử dụng phần mềm dựa trên đám mây thay vì cài đặt phần mềm trên thiết bị cục bộ của bạn, vì ngày càng có nhiều cuộc tấn công chuỗi cung ứng sẽ cài đặt ứng dụng độc hại hoặc cập nhật trên thiết bị của bạn để đánh cắp mật khẩu của bạn và giành quyền truy cập vào dữ liệu tuyệt mật.

41. Bạn nên tạo tổng kiểm tra MD5 hoặc SHA1 của tất cả các tệp trên máy tính của mình (với phần mềm như MD5Summer) và lưu kết quả, sau đó kiểm tra tính toàn vẹn của các tệp của bạn (và tìm các tệp hoặc chương trình trojan có chèn backdoor) mỗi ngày bằng cách so sánh tổng kiểm tra của chúng với kết quả đã lưu trước đó.

42. Mỗi công ty lớn nên triển khai và áp dụng hệ thống phát hiện xâm nhập dựa trên Trí tuệ nhân tạo (bao gồm các công cụ phát hiện bất thường về hành vi mạng).

43. Chỉ cho phép các địa chỉ IP được đưa vào danh sách trắng để kết nối hoặc đăng nhập vào các máy chủ và máy tính quan trọng.

44. Bạn có biết rằng bạn có thể ẩn một hoặc nhiều tệp trong một tệp khác không? Ví dụ: trong Linux, bạn có thể sử dụng lệnh "cat file1.mp4 file2hide.gpg > file2.mp4" này để thêm tệp file2hide.gpg vào cuối tệp file1.mp4 và tạo một tệp mới có tên file2.mp4. Tệp mới (file2.mp4) vẫn có thể phát được trong tất cả các trình phát đa phương tiện như VLC, nếu bạn chọn ẩn trong tệp PDF hoặc tệp FLAC, đầu ra Tệp có thể được mở bằng bất kỳ trình xem pdf hoặc trình phát nhạc nào mà không gặp vấn đề gì. Để tách tệp đầu ra, bạn có thể sử dụng lệnh "đuôi" cùng với lệnh "tách", bạn cũng có thể viết một mã nhỏ để thực hiện công việc này.