Quy tắc đặt mật khẩu cực mạnh đã trở thành vô nghĩa?

Tất cả chúng ta khi thiết lập mật khẩu đều bị buộc phải làm những việc như tạo một mật khẩu với nhiều ký tự, nhiều số với ký tự đặc biệt và thậm chí cần có cả một ký tự viết hoa. Nhưng sau 15 năm, chúng ta mới biết rằng quy tắc đặt mật khẩu cực mạnh đã trở thành vô nghĩa khi người phát mình ra chúng cũng phải thừ nhận rằng mình đã sai lầm.

Quy tắc đặt mật khẩu cực mạnh đã trở thành vô nghĩa

Quy Tac Dat Mat Khau Cuc Manh Da Tro Thanh Vo Nghia 01 — Password kiểu này đã trở nên quá tầm thường với các hacker

14 năm về trước, Bill Burr, một nhân viên quản lý của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã soạn thảo ra một bản hướng dẫn dài 8 trang về cách đặt những mật khẩu an toàn, sáng tạo có tên “NIST Special Publication 800-63 Appendix A”. Và ngay lập tức, các quy tắc trong hướng dẫn này được tất cả mọi trang web từ email, các trang thông tin, tài khoản ngân hàng áp dụng. Tác phẩm đã nhanh chóng trở thành một best-seller được rất nhiều người tìm đọc và là một cuốn sách kinh điển về quy tắc đặt mật khẩu.

Vấn đề duy nhất là vào năm 2003 khi viết cuốn cẩm nang Bill Burr đã không thực sự hiểu cách hoạt động của mật khẩu. Ông chắc chắn không phải là một chuyên gia bảo mật và bây giờ, viên chức 72 tuổi này đã bắt đầu cảm thấy rằng những lý luận kiến giải của mình không còn hợp với thời thế nữa.

Quy Tac Dat Mat Khau Cuc Manh Da Tro Thanh Vo Nghia 02 — Đặt password thế này lại khiến hacker đau đầu mới ghê chứ

Bill Burr nói: “Bây giờ tôi cảm thấy rất hối tiếc về hầu hết những gì mình đã làm”. Ông cũng thừa nhận rằng nghiên cứu của ông về mật khẩu chủ yếu xuất phát từ một báo cáo được viết vào những năm 1980 trước khi web được phát minh. Bill Burr tiếp tục trình bày: “Cuối cùng, những quy tắc của tôi quá phức tạp với rất nhiều người và sự thật là chúng không có nhiều tác dụng trong vấn đề bảo mật”.

>> Cách đặt password đơn giản, dễ nhớ mà lại cực kỳ khó hack

Quy tắc đặt mật khẩu cực mạnh đã trở thành vô nghĩa – Mật khẩu dễ mất đến 550 năm để hack trong khi mật khẩu mạnh chỉ là 3 ngày

Bill không hề sai. Một phép toán đơn giản cho thấy rằng một mật khẩu ngắn với các ký tự ngẫu nhiên dễ đoán hơn nhiều so với một mật khẩu dài nhưng dễ nhớ. Bức ảnh truyện tranh XKCD dưới đây cho thấy một mật khẩu tạo ra từ bốn từ đơn giản sẽ khiến hacker mất 550 năm để đoán trong khi một chuỗi ký tự ngẫu nhiên chỉ tiêu tốn của hacker 3 ngày.

Với những kết quả đã được công bố như vậy, Bill Burr có lẽ không chỉ cảm thấy hối hận mà còn thấy hơi xấu hổ bởi những công bố trước đó của mình. Tuy nhiên, đây cũng không hoàn toàn là lỗi của Bill Burr. 14 năm trước, có rất ít nghiên cứu về mật khẩu và bảo mật thông tin trong khi ngày nay các nhà nghiên cứu có thể thu thập được hàng triệu ví dụ. Vì thế, việc đưa ra một bản nghiên cứu chưa chính xác là chuyện hoàn toàn có thể chấp nhận được.

>> iPhone X, chiếc điện thoại có cách đặt mật khẩu không thể phá giải đã xuất hiện