Thông tin này dựa trên hướng dẫn mới do Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST( công bố. Đây là nơi phát triển và ban hành hướng dẫn để giúp các tổ chức bảo vệ hệ thống thông tin.
Trong nhiều năm, các chuyên gia và nền tảng cung cấp dịch vụ ủng hộ password phức tạp, kết hợp chữ hoa và chữ thường, số và ký hiệu. Sự phức tạp này được cho là khiến mật khẩu khó đoán hoặc khó bẻ khóa hơn thông qua các cuộc tấn công bằng brute force.
Tuy nhiên, việc phức tạp hóa password thường khiến người dùng có những thói quen xấu, chẳng hạn như sử dụng lại mật khẩu cũ hoặc chọn những mật khẩu quá đơn giản, hầu như không đáp ứng được các tiêu chí, như “P@ssw0rd123”.
Sử dụng mật khẩu dài gồm nhiều từ có nghĩa sẽ thiết thực hơn mật khẩu gồm toàn ký tự đặc biệt. (Ảnh: Sosafe)
Theo thời gian, NIST nhận thấy rằng việc tập trung vào tính phức tạp này phản tác dụng và thực tế làm suy yếu tính bảo mật. Trong hướng dẫn mới nhất, NIST đã chuyển từ việc đề xuất password phức tạp sang khuyến khích sử dụng password dài hơn. Có một số lý do cho sự thay đổi này:
Đầu tiên, là hành vi người dùng. Các nghiên cứu cho thấy người dùng thường gặp khó khăn khi nhớ những mật khẩu phức tạp, khiến họ phải sử dụng lại mật khẩu trên nhiều trang web hoặc dựa vào các quy tắc dễ đoán, như thay thế các chữ cái bằng các con số hoặc ký hiệu có vẻ ngoài tương tự.
Hành vi này càng trở nên nghiêm trọng hơn khi nhiều tổ chức yêu cầu bạn phải thay đổi mật khẩu sau mỗi 60 đến 90 ngày, nhưng NIST hiện không còn khuyến nghị điều này nữa.
Độ mạnh của mật khẩu thường được đo bằng entropy, đây là thước đo mức độ khó đoán. Nói cách khác, là số lượng các tổ hợp có thể tạo ra bằng cách sử dụng các ký tự trong mật khẩu. Số lượng tổ hợp, hay entropy, càng cao thì kẻ tấn công càng khó bẻ khóa mật khẩu bằng phương pháp tấn công bằng brute force hoặc đoán.
Mặc dù độ phức tạp có thể góp phần vào entropy, nhưng độ dài đóng vai trò lớn hơn nhiều. Một mật khẩu dài hơn với nhiều ký tự hơn có nhiều tổ hợp có thể hơn theo cấp số nhân, khiến kẻ tấn công khó đoán hơn, ngay cả khi bản thân các ký tự đơn giản hơn.
Thứ hai là do mật khẩu dài dễ nhớ, chẳng hạn như cụm mật khẩu gồm nhiều từ đơn giản. Ví dụ, “big dog small rat fast cat purple hat jello bat” ở dạng mật khẩu, tức là bỏ khoảng trống thành “bigdogsmallratfastcatpurplehatjellobat” vừa an toàn vừa dễ nhớ với người dùng. Một mật khẩu như thế này tạo ra sự cân bằng giữa entropy cao và dễ sử dụng, đảm bảo người dùng không dùng đến các hành vi không an toàn như viết mật khẩu ra hoặc sử dụng lại chúng.
Hơn nữa, những tiến bộ trong sức mạnh tính toán đã giúp bẻ khóa các mật khẩu ngắn, phức tạp dễ dàng hơn. Tuy nhiên, ngay cả các thuật toán phức tạp cũng gặp khó khăn với các mật khẩu dài do số lượng tổ hợp khả thi quá lớn.
Lấy ví dụ, việc đổi password điện thoại từ 4 số lên 6 số đã tăng số tổ hợp có thể từ 10.000 thành 1.000.000. Trong khuyến nghị mới của mình, NIST nhấn mạnh việc cho phép người dùng tạo mật khẩu có độ dài lên đến 64 ký tự.
Một mật khẩu 64 ký tự chỉ sử dụng chữ thường và từ có nghĩa sẽ cực kỳ khó bẻ khóa. Nếu bao gồm chữ cái viết hoa và ký hiệu, việc bẻ khóa mật khẩu sẽ tiệm cận không thể về mặt toán học.