Bất ngờ: Cách đặt mật khẩu "cực mạnh" mà bạn nghĩ bấy lâu nay hoàn toàn vô dụng

Đóng góp bởi Trấn Minh

01/01/23

Ngày nay, khi sử dụng các dịch vụ trên internet, chúng ta luôn phải có một tài khoản và mật khẩu riêng. Đặc biệt là khi đặt password, người dùng luôn được khuyến cáo phải kết hợp giữa chữ, số và ký tự khác.

Tuy nhiên đây là một phương pháp chẳng mang lại lợi ích gì bởi vì chính người trong cuộc, Bill Burr đã lên tiếng thừa nhận và gửi lời xin lỗi.

Quay lại thời điểm năm 2003, lúc Bill Burr còn làm quản lý tại Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST), ông đã biên soạn một tài liệu có tên "Ấn bản đặc biệt NIST 800-62. Phụ lục A".

Trong tập tài liệu này, Burr đã hướng dẫn cách đặt mật khẩu theo những quy tắc mà chúng ta đã và đang dùng (mình vừa nêu ở đầu bài).

Ngay sau đó mọi thứ từ các trang web, trang thông tin cá nhân hay nơi chứa các tài khoản ngân hàng đều được người ta áp dụng triệt để quy tắc mới rồi được truyền giữ cho đến tận hôm nay.

Nhưng rồi, sau hơn 14 năm day dứt tìm hiểu lại, ngài cựu quản lý 72 tuổi đã mạnh dạn thừa nhận sai lầm của mình.

"Trong tôi bây giờ nhiều nhất là sự hối tiếc (về phương pháp đã chỉ dẫn mọi người).

Sau tất cả, tôi thấy cách mình đã đưa ra thực sự quá phức tạp với số đông cũng như chưa có giá trị bảo mật như đã nói", Burr bày tỏ.

Thật ra, chỉ dẫn của ngài Bill Burr hoàn toàn không sai nhưng có chỉ gián tiếp làm cho người dùng đặt ra một mật khẩu dễ đoán (với hacker và các hệ thống máy học hiện đại).

Cụ thể, The Verge cho biết, khi tạo ra thói quen đặt một mật khẩu có chữ, số và ký tự đặc biệt, người ta rất dễ làm ra một cái pass dễ đoán ví dụ như "P@ssW0rd123!".

Ngoài ra, Burr cũng từng khuyên người ta nên đổi mật khẩu sau chu kỳ 90 ngày. Lời khuyên này sau đó đã được Viện nghiên cứu, Cơ quan Chính phủ Mỹ cũng như các công ty công nghệ lớn thông qua và áp dụng.

Đây cũng chính là nguyên nhân khiến nhiều người hay tái sử dụng chuỗi mã phức tạp. Tức là người dùng sẽ chỉ đổi nhóm chữ dễ nhớ và giữ lại nhóm ký tự phức tạp vì sợ quên hay một lý do nào đó (ví dụ như đổi từ Thegioididong@123!? thành Dienmayxanh@123!?).

Như đã nói, ngày nay nhờ các máy học (hệ thống máy tính ghi nhận lại dữ liệu từ người dùng) nên khi muốn xâm nhập một tài khoản, kẻ xấu chỉ mất tầm 3 ngày nếu người dùng đặt password là một chuỗi ký tự ngẫu nhiên trên bàn phím mà ai cũng nghĩ là khó đoán (theo các chỉ dẫn của Burr).

Còn khi người ta đặt mật khẩu là một chuỗi ký tự dài nhưng dễ nhớ (đối với chủ nhân) thì máy móc cần đến 550 năm để có thể lần ra mật mã (Chuyên gia bảo mật Munroe khẳng định).

Vậy thì tóm lại, sau những thông tin đã đưa ra, NIST đã tái khuyến cáo rằng:

Mật khẩu bạn nên sử dụng là những chuỗi ký tự tối nghĩa được nối với nhau, dịch ra không có ý nghĩa gì nhưng chỉ bạn mới có thể ghi nhớ. Chẳng hạn như:

"Con Sam Quả Táo Sếp Tùng" (Samsung, Apple & OPPO) hay "Di Động Điện Máy Bách Hoá Vui" (Thế giới di động, Điện máy xanh, Bách hoá xanh & Vui Vui),...

Và cần tránh đặt mật khẩu những kiểu như "WdCMK0@123", "Tr0ub4dor&3" vì máy móc có cách rà soát sự ngẫu nhiên này rất nhanh chóng.

---

Vừa rồi là những thông tin liên quan đến việc đặt mật khẩu sao cho đúng cách. Không biết từ đó đến nay bạn có áp dụng theo quy tắc của Bill Burr và nghĩ sao về ngài ấy?

Riêng mình, mình thì có sử dụng quy tắc này và luôn nghĩ là khá an toàn cũng như là rất trân quý người đàn ông đã ngoài 70 tuổi này. Bởi vì ông ấy đã dám thừa nhận lỗi lầm dù điều đó có thể gây ảnh hưởng cho danh tiếng cả đời. Còn bạn thì sao?

* Trong bài có sử dụng hình ảnh từ Digital Trends, iPhoneRoot.com, SiOL & The Verge.

Xem thêm: Quên đi mọi vấn đề về an toàn mật khẩu chỉ với thiết bị 1.5 triệu* này!