Tài khoản
Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã công bố những hướng dẫn mới về quản lý mật khẩu, nhấn mạnh tầm quan trọng của việc sử dụng mật khẩu dài thay vì mật khẩu phức tạp. Sự thay đổi này không chỉ đơn thuần là một khuyến nghị mà còn phản ánh sự thay đổi trong cách tiếp cận bảo mật thông tin trong thời đại số.
Hướng dẫn mới được phát hành vào tháng 9/2024, nằm trong dự thảo công khai thứ hai SP 800-63-4 của NIST, là phiên bản cập nhật của Hướng dẫn Nhận dạng Kỹ thuật số. Trước đây, người dùng thường được khuyên nên tạo ra những mật khẩu phức tạp, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Quan niệm này xuất phát từ niềm tin rằng sự phức tạp sẽ làm cho mật khẩu khó bị đoán hoặc bẻ khóa thông qua các cuộc tấn công brute-force.
Tuy nhiên, thực tế cho thấy yêu cầu về độ phức tạp thường dẫn đến những thói quen không tốt trong việc quản lý mật khẩu. Người dùng có thể dễ dàng sử dụng lại mật khẩu hoặc chọn những mật khẩu quá đơn giản, chỉ đáp ứng tối thiểu các tiêu chí, như “P@ssw0rd123”. Qua thời gian, NIST đã nhận ra rằng việc tập trung vào độ phức tạp thực sự có thể làm giảm hiệu quả bảo mật.
NIST đã chuyển hướng từ việc yêu cầu mật khẩu phức tạp sang khuyến khích người dùng tạo mật khẩu dài hơn. Độ mạnh của mật khẩu thường được đo bằng entropy, một chỉ số thể hiện tính khó đoán. Nói một cách đơn giản, entropy là số lượng các tổ hợp có thể được tạo ra từ các ký tự trong mật khẩu. Khi số lượng tổ hợp, hay entropy, càng cao, việc bẻ khóa mật khẩu bằng phương pháp brute-force càng trở nên khó khăn hơn.
Các nghiên cứu đã chỉ ra rằng người dùng thường gặp khó khăn trong việc ghi nhớ những mật khẩu phức tạp. Điều này dẫn đến việc họ sử dụng lại mật khẩu trên nhiều trang web hoặc dựa vào các mẫu dễ đoán, như thay thế các chữ cái bằng số hoặc ký tự đặc biệt. Hơn nữa, yêu cầu thay đổi mật khẩu thường xuyên từ 60 đến 90 ngày của nhiều tổ chức – điều mà NIST không còn khuyến nghị – càng làm trầm trọng thêm tình trạng này.
Mặc dù độ phức tạp có thể góp phần vào entropy, nhưng độ dài của mật khẩu lại quan trọng hơn nhiều. Một mật khẩu dài hơn với nhiều ký tự hơn sẽ có số lượng tổ hợp có thể tăng theo cấp số nhân, khiến cho việc đoán mật khẩu trở nên khó khăn hơn, ngay cả khi các ký tự đó đơn giản hơn. Một cụm từ mật khẩu dài và dễ nhớ, được tạo thành từ nhiều từ đơn giản, là một ví dụ điển hình. Ví dụ: “bigdogsmallratfastcatpurplehatjellobat” không chỉ an toàn mà còn dễ nhớ, tạo ra sự cân bằng giữa độ an toàn và tính thân thiện với người dùng.
Với sự phát triển của công nghệ tính toán, việc bẻ khóa mật khẩu ngắn và phức tạp đã trở nên dễ dàng hơn. Tuy nhiên, ngay cả những thuật toán phức tạp cũng gặp khó khăn khi đối mặt với mật khẩu dài, do số lượng tổ hợp có thể rất lớn. Gần đây, Thị trưởng New York, Eric Adams, đã thông báo về việc thay đổi mật mã từ bốn chữ số thành sáu chữ số trên điện thoại thông minh của mình trước khi giao cho cơ quan thực thi pháp luật. Việc bổ sung hai chữ số này đã làm tăng số lượng tổ hợp có thể từ 10.000 lên 1.000.000.
Trong khuyến nghị mới, NIST nhấn mạnh việc cho phép người dùng tạo mật khẩu dài tối đa 64 ký tự. Một mật khẩu 64 ký tự chỉ sử dụng chữ thường và các từ thực sẽ cực kỳ khó bẻ khóa. Nếu bao gồm cả chữ hoa và ký tự đặc biệt, việc bẻ khóa mật khẩu sẽ gần như không thể về mặt toán học.
