Trong suốt hàng chục năm qua, lời khuyên về bảo mật tài khoản gần như không thay đổi với form được khuyên tạo là cần thật “phức tạp” với: Chữ hoa, chữ thường, số và ký tự đặc biệt... Nhiều người đã quen với những chuỗi như "P@ssw0rd!", nghĩ rằng chúng đủ an toàn để chống lại hacker. Tuy nhiên, những khuyến nghị mới nhất từ giới chuyên gia bảo mật cho thấy, điều quan trọng nhất ở đây không phải là độ phức tạp mà là… độ dài. Và đó là lý do khái niệm “passphrase” (cụm từ dài gồm nhiều từ ngẫu nhiên) ngày càng trở thành xu hướng bảo mật mới trên toàn cầu.
Khi tấn công mạng xảy ra, kẻ xấu thường không dò mật khẩu từng chữ theo kiểu nhập tay. Thay vào đó, chúng lấy được các mã hash (dạng mã hóa của mật khẩu) rồi dùng các hệ thống GPU mạnh mẽ để thử hàng triệu khả năng mỗi giây cho đến khi tìm được kết quả khớp.
Một mật khẩu “phức tạp” 8 ký tự như "P@ssw0rd!" có khoảng 218 nghìn tỷ khả năng kết hợp, nghe thì có vẻ nhiều nhưng các hệ thống phần cứng hiện nay vẫn có thể phá vỡ trong vòng vài tháng. Trong khi đó, chỉ cần tăng độ dài lên 16 ký tự, dù chỉ dùng chữ thường, mức độ khó bị phá sẽ tăng lên hàng tỷ lần.
Điều này liên quan đến khái niệm “entropy hiệu quả”, tức là mức độ ngẫu nhiên mà hacker phải thử. Một chuỗi chứa nhiều ký tự đặc biệt nhưng đoán theo quy tắc phổ biến sẽ dễ bị thử trước. Ngược lại, cụm từ gồm nhiều từ ngẫu nhiên như “carpet-static-pretzel-invoke” lại khó dự đoán, dài hơn nhưng vẫn dễ nhớ.
Khác với việc ép buộc người dùng nhớ các chuỗi khó như "&P@s$7!", passphrase là cách tạo mật khẩu bằng 3 – 4 từ không liên quan đến nhau, được nối bằng dấu gạch ngang, dấu chấm hoặc ký tự phân tách đơn giản.
Ví dụ:
Giả sử công ty áp dụng chính sách yêu cầu mật khẩu tối thiểu 15 ký tự, không bắt buộc ký tự đặc biệt. Một nhân viên đặt passphrase sẽ có thể đặt như sau:
umbrella-coaster-fountain-sketch.
Các chính sách hiện đại trong dặt mật khẩu nên được cập nhật theo hướng:
Công cụ kiểm tra mật khẩu xác nhận chuỗi này chưa từng bị lộ, người dùng nhớ được mà không cần trình quản lý mật khẩu. Sáu tháng sau, người đó vẫn dùng bình thường, không phải gọi IT chỉ vì quên vị trí của dấu @ hay viết nhầm chữ hoa.
Passphrase không phải giải pháp thần kỳ thay thế mọi biện pháp bảo mật. Xác thực đa yếu tố (MFA) và giám sát rò rỉ thông tin đăng nhập vẫn cực kỳ quan trọng. Tuy nhiên, nếu phải đầu tư vào việc thay đổi chính sách mật khẩu, hãy đầu tư đúng chỗ như làm tăng độ dài, giảm độ phức tạp hình thức, tăng mức độ ngẫu nhiên thực tế.
Thay vì buộc con người nhớ những chuỗi vô nghĩa, hãy cho họ cách tạo mật khẩu dài nhưng dễ thuộc để bảo mật không còn là gánh nặng, mà là thói quen an toàn có thể duy trì lâu dài.
Khi tấn công mạng xảy ra, kẻ xấu thường không dò mật khẩu từng chữ theo kiểu nhập tay. Thay vào đó, chúng lấy được các mã hash (dạng mã hóa của mật khẩu) rồi dùng các hệ thống GPU mạnh mẽ để thử hàng triệu khả năng mỗi giây cho đến khi tìm được kết quả khớp.
Một mật khẩu “phức tạp” 8 ký tự như "P@ssw0rd!" có khoảng 218 nghìn tỷ khả năng kết hợp, nghe thì có vẻ nhiều nhưng các hệ thống phần cứng hiện nay vẫn có thể phá vỡ trong vòng vài tháng. Trong khi đó, chỉ cần tăng độ dài lên 16 ký tự, dù chỉ dùng chữ thường, mức độ khó bị phá sẽ tăng lên hàng tỷ lần.
Điều này liên quan đến khái niệm “entropy hiệu quả”, tức là mức độ ngẫu nhiên mà hacker phải thử. Một chuỗi chứa nhiều ký tự đặc biệt nhưng đoán theo quy tắc phổ biến sẽ dễ bị thử trước. Ngược lại, cụm từ gồm nhiều từ ngẫu nhiên như “carpet-static-pretzel-invoke” lại khó dự đoán, dài hơn nhưng vẫn dễ nhớ.
Ví dụ:
- mango-glacier-laptop-furnace
- cricket.highway.mustard.piano
- Dài hơn nhưng dễ nhớ hơn.
- Không bị rơi vào các mẫu đoán phổ biến như “@ thay cho a, 0 thay cho o”.
- Giảm đáng kể tình trạng người dùng viết mật khẩu ra giấy hoặc tái sử dụng mật khẩu cũ.
- Tuân thủ khuyến nghị mới từ Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) – ưu tiên độ dài hơn quy tắc ký tự phức tạp.
Giả sử công ty áp dụng chính sách yêu cầu mật khẩu tối thiểu 15 ký tự, không bắt buộc ký tự đặc biệt. Một nhân viên đặt passphrase sẽ có thể đặt như sau:
umbrella-coaster-fountain-sketch.Các chính sách hiện đại trong dặt mật khẩu nên được cập nhật theo hướng:
- Tăng độ dài tối thiểu từ 8 lên ít nhất 14 hoặc 15 ký tự.
- Bỏ quy định bắt buộc phải có chữ hoa, chữ thường, số, ký tự đặc biệt.
- Bắt buộc kiểm tra mật khẩu có bị lộ trong các vụ rò rỉ dữ liệu trước đó hay không.
- Hỗ trợ người dùng tự đặt lại mật khẩu an toàn (Self-Service Password Reset - SSPR).
Công cụ kiểm tra mật khẩu xác nhận chuỗi này chưa từng bị lộ, người dùng nhớ được mà không cần trình quản lý mật khẩu. Sáu tháng sau, người đó vẫn dùng bình thường, không phải gọi IT chỉ vì quên vị trí của dấu @ hay viết nhầm chữ hoa.
Passphrase không phải giải pháp thần kỳ thay thế mọi biện pháp bảo mật. Xác thực đa yếu tố (MFA) và giám sát rò rỉ thông tin đăng nhập vẫn cực kỳ quan trọng. Tuy nhiên, nếu phải đầu tư vào việc thay đổi chính sách mật khẩu, hãy đầu tư đúng chỗ như làm tăng độ dài, giảm độ phức tạp hình thức, tăng mức độ ngẫu nhiên thực tế.
Thay vì buộc con người nhớ những chuỗi vô nghĩa, hãy cho họ cách tạo mật khẩu dài nhưng dễ thuộc để bảo mật không còn là gánh nặng, mà là thói quen an toàn có thể duy trì lâu dài.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
