Buzz
Việc kết hợp nhiều loại ký tự và thay đổi mật khẩu thường xuyên giờ đây không còn là cách quản lý mật khẩu tối ưu nữa.
Thông tin này dựa trên hướng dẫn mới từ Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST), nơi phát triển và ban hành hướng dẫn giúp các tổ chức bảo vệ hệ thống thông tin.
Trong nhiều năm qua, các chuyên gia và nền tảng dịch vụ đã khuyến khích việc sử dụng mật khẩu phức tạp với sự kết hợp của chữ hoa, chữ thường, số và ký hiệu. Mức độ phức tạp này được cho là làm cho mật khẩu khó đoán hơn và bảo vệ tốt hơn trước các cuộc tấn công brute force.
Tuy nhiên, việc yêu cầu mật khẩu phức tạp thường dẫn đến những thói quen xấu từ người dùng, chẳng hạn như tái sử dụng mật khẩu cũ hoặc chọn những mật khẩu đơn giản, không đáp ứng đủ tiêu chuẩn, ví dụ như “P@ssw0rd123”.
Sử dụng mật khẩu dài với nhiều từ có nghĩa sẽ hiệu quả hơn so với mật khẩu chỉ chứa các ký tự đặc biệt. (Ảnh: Sosafe)
Theo thời gian, NIST nhận thấy rằng việc tập trung vào tính phức tạp thực sự có tác dụng ngược lại và làm giảm tính bảo mật. Trong hướng dẫn mới nhất, NIST đã chuyển từ khuyến nghị về mật khẩu phức tạp sang khuyến khích sử dụng mật khẩu dài hơn. Có một số lý do cho sự thay đổi này:
Thứ nhất, hành vi của người dùng đóng vai trò quan trọng. Nghiên cứu cho thấy người dùng thường gặp khó khăn trong việc nhớ những mật khẩu phức tạp, dẫn đến việc họ sử dụng lại mật khẩu trên nhiều trang web hoặc dựa vào các quy tắc dễ đoán như thay thế chữ cái bằng số hoặc ký hiệu tương tự.
Hành vi này càng trở nên nghiêm trọng hơn khi nhiều tổ chức yêu cầu thay đổi mật khẩu sau mỗi 60 đến 90 ngày, nhưng hiện NIST không còn khuyến nghị điều này.
Độ mạnh của mật khẩu thường được đánh giá qua entropy, tức là thước đo mức độ khó đoán. Nói cách khác, nó phản ánh số lượng tổ hợp có thể tạo ra từ các ký tự trong mật khẩu. Entropy càng cao thì kẻ tấn công càng khó bẻ khóa mật khẩu bằng các phương pháp brute force hoặc đoán.
Mặc dù độ phức tạp có thể góp phần vào entropy, nhưng độ dài lại có vai trò lớn hơn nhiều. Một mật khẩu dài với nhiều ký tự tạo ra nhiều tổ hợp có thể hơn theo cấp số nhân, khiến kẻ tấn công khó đoán hơn, ngay cả khi các ký tự đơn giản hơn.
Thứ hai, mật khẩu dài dễ nhớ hơn, như cụm mật khẩu gồm nhiều từ đơn giản. Ví dụ, “big dog small rat fast cat purple hat jello bat” khi loại bỏ khoảng trắng thành “bigdogsmallratfastcatpurplehatjellobat” vừa an toàn vừa dễ nhớ. Mật khẩu kiểu này tạo ra sự cân bằng giữa entropy cao và khả năng sử dụng, giúp người dùng tránh những thói quen không an toàn như viết mật khẩu ra hoặc sử dụng lại chúng.
Hơn nữa, với sự tiến bộ trong sức mạnh tính toán, việc bẻ khóa các mật khẩu ngắn, phức tạp trở nên dễ dàng hơn. Tuy nhiên, ngay cả các thuật toán phức tạp cũng gặp khó khăn với mật khẩu dài do số lượng tổ hợp khả thi quá lớn.
Chẳng hạn, việc đổi mật khẩu điện thoại từ 4 số lên 6 số đã tăng số tổ hợp từ 10.000 lên 1.000.000. Trong khuyến nghị mới, NIST nhấn mạnh việc cho phép người dùng tạo mật khẩu dài lên đến 64 ký tự.
Một mật khẩu dài 64 ký tự chỉ bao gồm chữ thường và từ có nghĩa sẽ rất khó để bị bẻ khóa. Nếu thêm vào chữ hoa và các ký hiệu, khả năng bẻ khóa mật khẩu sẽ gần như không thể về mặt toán học.
