Đừng đặt password phức tạp nữa, hết thời rồi

Trong nhiều năm, các chuyên gia và nền tảng dịch vụ khuyến khích sử dụng mật khẩu phức tạp với sự kết hợp của chữ hoa, chữ thường, số và ký hiệu. Tuy nhiên, theo hướng dẫn mới nhất từ Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST), phương pháp này đã lỗi thời. Thay vào đó, NIST khuyến khích việc sử dụng mật khẩu dài hơn, dễ nhớ và an toàn hơn. Vậy vì sao mật khẩu phức tạp lại không còn hiệu quả và việc tập trung vào độ dài đang trở thành xu hướng?

1. Mật khẩu phức tạp gây ra thói quen xấu

Mật khẩu phức tạp thường dẫn đến những thói quen không tốt cho bảo mật. Nhiều người dùng gặp khó khăn trong việc nhớ mật khẩu phức tạp, dẫn đến việc tái sử dụng mật khẩu trên nhiều nền tảng khác nhau hoặc sử dụng những quy tắc dễ đoán như thay thế các chữ cái bằng ký tự hoặc số tương tự (ví dụ: “P@ssw0rd123”).

Mặc dù mật khẩu phức tạp được cho là khó đoán hơn trong các cuộc tấn công brute force, nhưng thực tế, những quy tắc này dễ bị kẻ tấn công đoán được. Bên cạnh đó, yêu cầu thay đổi mật khẩu liên tục mỗi 60 đến 90 ngày cũng khiến người dùng chọn các mật khẩu đơn giản hơn. NIST nhận thấy rằng cách tiếp cận này không hiệu quả và thậm chí còn làm giảm mức độ bảo mật, khiến người dùng dễ dàng bị xâm phạm dữ liệu.

2. Độ dài mật khẩu tạo nên sự khác biệt

Theo NIST, yếu tố quyết định tính bảo mật của mật khẩu không phải là độ phức tạp mà là độ dài của mật khẩu. Độ mạnh của mật khẩu được đo bằng entropy – mức độ khó đoán dựa trên số lượng tổ hợp có thể tạo ra từ các ký tự. Mặc dù mật khẩu phức tạp góp phần tăng entropy, nhưng một mật khẩu dài với nhiều ký tự sẽ tăng số tổ hợp lên theo cấp số nhân, từ đó làm cho mật khẩu khó bị bẻ khóa hơn, ngay cả khi các ký tự đó đơn giản.

Ví dụ, một mật khẩu như “bigdogsmallratfastcatpurplehatjellobat” có độ dài lớn và dễ nhớ hơn so với các mật khẩu phức tạp ngắn như “P@ssw0rd123”. Mật khẩu dài giúp tạo ra sự cân bằng giữa bảo mật cao và dễ sử dụng, giảm nguy cơ người dùng ghi lại mật khẩu hoặc tái sử dụng chúng.

Ngoài ra, mật khẩu dài còn hiệu quả hơn trước sự phát triển của các công cụ tấn công mật khẩu. Khi sức mạnh tính toán ngày càng mạnh, các thuật toán có thể bẻ khóa mật khẩu ngắn và phức tạp trong thời gian ngắn. Tuy nhiên, với mật khẩu dài, số lượng tổ hợp trở nên quá lớn để các công cụ bẻ khóa có thể xử lý trong thời gian hợp lý. Đây là lý do NIST hiện khuyến khích sử dụng mật khẩu dài lên đến 64 ký tự, giúp tăng cường đáng kể độ bảo mật.

3. Mật khẩu dài dễ nhớ hơn và an toàn hơn

Một ưu điểm khác của mật khẩu dài là tính dễ nhớ. Nhiều người gặp khó khăn trong việc nhớ những mật khẩu phức tạp, đặc biệt khi phải thay đổi thường xuyên. Tuy nhiên, với các cụm mật khẩu dài gồm nhiều từ đơn giản, việc ghi nhớ trở nên dễ dàng hơn. Ví dụ, mật khẩu “bigdogsmallratfastcatpurplehatjellobat” không chỉ dễ nhớ mà còn cực kỳ an toàn nhờ vào độ dài và số lượng tổ hợp có thể. Sự tiện lợi này giúp người dùng không còn phải dựa vào việc ghi lại mật khẩu, điều thường dẫn đến các hành vi không an toàn như lưu mật khẩu trên các tài liệu dễ tiếp cận.

Ngoài ra, khi mật khẩu dài hơn, việc bẻ khóa mật khẩu bằng brute force hay các công cụ phức tạp cũng trở nên khó khăn hơn. Ví dụ, việc tăng độ dài của mật khẩu từ 4 số lên 6 số đã làm tăng số tổ hợp có thể lên từ 10.000 thành 1.000.000. Với mật khẩu dài, ngay cả khi chỉ sử dụng chữ thường, độ an toàn vẫn cao, và nếu bổ sung thêm chữ hoa hoặc ký tự đặc biệt, mật khẩu sẽ gần như không thể bị bẻ khóa.

Việc sử dụng mật khẩu phức tạp đã không còn là phương pháp bảo mật tối ưu. Hướng dẫn mới từ NIST cho thấy mật khẩu dài, dễ nhớ và ít phức tạp hơn mới là xu hướng bảo mật hiện tại. Những mật khẩu như “bigdogsmallratfastcatpurplehatjellobat” không chỉ đơn giản, dễ sử dụng mà còn tạo ra lớp bảo vệ mạnh mẽ trước các cuộc tấn công mạng.

Trong thời đại mà sức mạnh tính toán ngày càng phát triển, việc sử dụng mật khẩu dài giúp người dùng tăng cường bảo mật mà không cần phải thay đổi mật khẩu thường xuyên hay sử dụng những quy tắc phức tạp không thực sự hiệu quả.