Ảnh minh họa
Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã đưa ra hướng dẫn mới về quản lý mật khẩu, trong đó khuyến khích sử dụng mật khẩu dài thay vì mật khẩu quá phức tạp. Sự điều chỉnh này đánh dấu một bước ngoặt quan trọng trong tư duy về bảo mật thông tin.
Trong nhiều năm, quan niệm phổ biến vẫn là tạo mật khẩu thật phức tạp, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt, với niềm tin rằng mức độ phức tạp này sẽ khiến mật khẩu khó bị đoán hoặc bị bẻ khóa bằng các cuộc tấn công brute-force.
Tuy nhiên, trên thực tế, chính những yêu cầu phức tạp đó lại khiến người dùng hình thành các thói quen không an toàn. Họ có xu hướng tái sử dụng mật khẩu hoặc chọn những mật khẩu chỉ vừa đủ đáp ứng tiêu chí tối thiểu, chẳng hạn như “P@ssw0rd123”. Qua thời gian, NIST nhận thấy việc quá chú trọng vào độ phức tạp không những không cải thiện mà còn vô tình làm suy yếu mức độ bảo mật tổng thể.
Vì vậy, trong hướng dẫn mới nhất, NIST đã chuyển trọng tâm từ việc áp đặt các quy tắc phức tạp sang khuyến khích người dùng tạo mật khẩu dài hơn. Độ mạnh của mật khẩu thường được đo bằng entropy – thước đo mức độ khó đoán. Nói cách khác, entropy phản ánh số lượng tổ hợp có thể được tạo ra từ các ký tự trong mật khẩu. Entropy càng cao, kẻ tấn công càng khó bẻ khóa bằng phương pháp brute-force hoặc đoán mò.
Nhiều nghiên cứu cho thấy người dùng gặp khó khăn trong việc ghi nhớ các mật khẩu quá phức tạp. Điều này dẫn đến tình trạng sử dụng cùng một mật khẩu cho nhiều dịch vụ hoặc dựa vào những mẫu dễ đoán, như thay thế chữ cái bằng các con số hay ký tự đặc biệt tương tự. Việc buộc phải thay đổi mật khẩu định kỳ 60–90 ngày – một quy định mà NIST hiện không còn khuyến nghị – càng khiến các hành vi không an toàn này trở nên phổ biến hơn.
Mặc dù độ phức tạp có thể góp phần làm tăng entropy, nhưng độ dài của mật khẩu lại đóng vai trò quan trọng hơn nhiều. Một mật khẩu dài hơn sẽ làm số lượng tổ hợp tăng theo cấp số nhân, khiến việc bẻ khóa trở nên khó khăn hơn đáng kể, ngay cả khi các ký tự sử dụng tương đối đơn giản.
Cụm từ mật khẩu dài, dễ nhớ, được tạo thành từ nhiều từ thông dụng là một ví dụ điển hình. Chẳng hạn, mật khẩu “bigdogsmallratfastcatpurplehatjellobat” vừa có mức độ an toàn cao vừa thân thiện với người dùng. Cách tiếp cận này giúp cân bằng giữa entropy và khả năng ghi nhớ, hạn chế việc người dùng phải ghi chép mật khẩu hoặc tái sử dụng chúng.
Sự gia tăng nhanh chóng của sức mạnh tính toán cũng khiến các mật khẩu ngắn, dù phức tạp, ngày càng dễ bị bẻ khóa. Ngược lại, ngay cả những thuật toán mạnh cũng gặp nhiều trở ngại khi đối mặt với mật khẩu dài do số lượng tổ hợp quá lớn.
Gần đây, Thị trưởng New York (Mỹ) Eric Adams cho biết ông đã chuyển từ mã khóa bốn chữ số sang sáu chữ số trên điện thoại thông minh cá nhân trước khi giao thiết bị cho cơ quan thực thi pháp luật. Chỉ riêng việc tăng thêm hai chữ số đã làm số lượng tổ hợp có thể tăng từ 10.000 lên tới 1.000.000.
Trong các khuyến nghị mới, NIST nhấn mạnh việc cho phép người dùng tạo mật khẩu dài tối đa 64 ký tự. Một mật khẩu dài 64 ký tự, ngay cả khi chỉ sử dụng chữ thường và các từ thông dụng, đã đủ để trở nên cực kỳ khó bẻ khóa. Nếu kết hợp thêm chữ hoa và ký tự đặc biệt, việc phá mật khẩu gần như là bất khả thi về mặt toán học.
