Tất cả chúng ta khi thiết lập mật khẩu đều bị buộc phải làm những việc như tạo một mật khẩu với nhiều ký tự, nhiều số với ký tự đặc biệt và thậm chí cần có cả một ký tự viết hoa. Nhưng sau 15 năm, chúng ta mới biết rằng quy tắc đặt mật khẩu cực mạnh đã trở thành vô nghĩa khi người phát mình ra chúng cũng phải thừ nhận rằng mình đã sai lầm.
Quy tắc đặt mật khẩu cực mạnh đã trở thành vô nghĩa
14 năm về trước, Bill Burr, một nhân viên quản lý của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã soạn thảo ra một bản hướng dẫn dài 8 trang về cách đặt những mật khẩu an toàn, sáng tạo có tên “NIST Special Publication 800-63 Appendix A”. Và ngay lập tức, các quy tắc trong hướng dẫn này được tất cả mọi trang web từ email, các trang thông tin, tài khoản ngân hàng áp dụng. Tác phẩm đã nhanh chóng trở thành một best-seller được rất nhiều người tìm đọc và là một cuốn sách kinh điển về quy tắc đặt mật khẩu.
Vấn đề duy nhất là vào năm 2003 khi viết cuốn cẩm nang Bill Burr đã không thực sự hiểu cách hoạt động của mật khẩu. Ông chắc chắn không phải là một chuyên gia bảo mật và bây giờ, viên chức 72 tuổi này đã bắt đầu cảm thấy rằng những lý luận kiến giải của mình không còn hợp với thời thế nữa.
Bill Burr nói: “Bây giờ tôi cảm thấy rất hối tiếc về hầu hết những gì mình đã làm”. Ông cũng thừa nhận rằng nghiên cứu của ông về mật khẩu chủ yếu xuất phát từ một báo cáo được viết vào những năm 1980 trước khi web được phát minh. Bill Burr tiếp tục trình bày: “Cuối cùng, những quy tắc của tôi quá phức tạp với rất nhiều người và sự thật là chúng không có nhiều tác dụng trong vấn đề bảo mật”.
>> Cách đặt password đơn giản, dễ nhớ mà lại cực kỳ khó hack
Quy tắc đặt mật khẩu cực mạnh đã trở thành vô nghĩa – Mật khẩu dễ mất đến 550 năm để hack trong khi mật khẩu mạnh chỉ là 3 ngày
Bill không hề sai. Một phép toán đơn giản cho thấy rằng một mật khẩu ngắn với các ký tự ngẫu nhiên dễ đoán hơn nhiều so với một mật khẩu dài nhưng dễ nhớ. Bức ảnh truyện tranh XKCD dưới đây cho thấy một mật khẩu tạo ra từ bốn từ đơn giản sẽ khiến hacker mất 550 năm để đoán trong khi một chuỗi ký tự ngẫu nhiên chỉ tiêu tốn của hacker 3 ngày.
Với những kết quả đã được công bố như vậy, Bill Burr có lẽ không chỉ cảm thấy hối hận mà còn thấy hơi xấu hổ bởi những công bố trước đó của mình. Tuy nhiên, đây cũng không hoàn toàn là lỗi của Bill Burr. 14 năm trước, có rất ít nghiên cứu về mật khẩu và bảo mật thông tin trong khi ngày nay các nhà nghiên cứu có thể thu thập được hàng triệu ví dụ. Vì thế, việc đưa ra một bản nghiên cứu chưa chính xác là chuyện hoàn toàn có thể chấp nhận được.
>> iPhone X, chiếc điện thoại có cách đặt mật khẩu không thể phá giải đã xuất hiện