Mật khẩu càng phức tạp càng tốt? Chưa chắc, vì quy tắc ấy thực chất không hề an toàn, đã có nghiên cứu chứng minh điều đó hẳn hoi.
Mật khẩu email của bạn là gì? Không cần trả lời đâu, nhưng thường thì đó sẽ là những mật khẩu dài, khó nhớ, bao gồm cả số, cả chữ, cả chữ in hoa và những ký tự không thuộc bảng chữ cái (@#%$... chẳng hạn).
Đây là một trong những quy tắc đặt mật khẩu do Bill Burr - quản lý tại Viện tiêu chuẩn công nghệ quốc gia (Mỹ) đưa ra. Cụ thể hơn, quy chuẩn của Bill Burr thuộc phụ lục A của tài liệu "NIST Special Publication 800-63", trong đó nêu rằng mỗi mật khẩu nên tuân theo các quy tắc trên, đồng thời cần đổi mới sau mỗi 90 ngày.
Mỗi mật khẩu cần đổi mới sau 90 ngày.
Và giờ nó đang được xem như quy chuẩn hướng dẫn đặt password cho hầu như toàn bộ website trên thế giới. Tuy nhiên, mới đây thì chính Burr đã phải chia sẻ trên tạp chí Wall Street: "Đây là quyết định khiến tôi hối hận nhất".
Theo Burr, thời điểm đó ông không có đủ dữ liệu nghiên cứu về mức độ bảo mật của các loại mật khẩu như vậy. Thế nên, ông đã mặc định việc đặt mật khẩu càng phức tạp sẽ càng mạnh và an toàn.
Có điều: "Sau tất cả, đặt mật khẩu phức tạp quá lại khiến người dùng cảm thấy khó nhớ, và trên hết là chúng ta đã tiếp cận sai cách rồi" - Burr cho biết.
Theo nghiên cứu của Burr, mật khẩu quá phức tạp, cộng thêm việc mỗi 3 tháng phải đổi một lần làm người dùng cảm thấy khó khăn trong việc ghi nhớ và buộc phải viết nó ra đâu đó, để rồi khiến cho tính bảo mật giảm đi.
Sau tất cả, đặt mật khẩu phức tạp quá lại khiến người dùng cảm thấy khó nhớ.
Ví dụ như mật khẩu "Tr0ub4dor&3", nhìn thì phức tạp nhưng lại rất khó nhớ. Hơn nữa, khi thử phá mật khẩu bằng máy tính thì chỉ mất khoảng 3 ngày là đủ.
Ngoài ra theo nghiên cứu, trong vòng nhiều năm gần đây mức độ an toàn của mật khẩu đã giảm xuống rất thấp. Một phần là do người dùng bất cẩn, nhưng phần nhiều là vì công nghệ của hacker đã tăng tiến lên vượt bậc.
Vậy mật khẩu thế nào thì an toàn?
Burr cho biết, một mật khẩu an toàn không nằm ở độ phức tạp, mà nằm ở độ dài. Một mật khẩu kết hợp bằng 4 từ thông dụng nhưng không liên quan đến nhau, chẳng hạn "correct horse battery stable" - máy tính cần đến 5 thế kỷ để phá được nó.
Mật khẩu an toàn không nằm ở độ phức tạp, mà nằm ở độ dài.
Ngoài ra, một điểm quan trọng khi đặt mật khẩu là không nên dùng những mật khẩu giống nhau cho nhiều tài khoản. Điều này vô tình cũng làm giảm tính bảo mật của bạn xuống, vì chỉ cần một tài khoản bị lộ, nó sẽ tạo ra hiệu ứng domino. Hãy nghĩ đến cảnh phải đổi lại mật khẩu của tất cả các tài khoản - có thể lên đến hàng chục cái, bạn sẽ thấy đó là một tối kiến.
Tóm lại quy tắc ở đây đơn giản chỉ là một mật khẩu đủ dài - trên 12 ký tự, khó đoán, không cần quá phức tạp, và không đặt mật khẩu giống nhau cho các tài khoản khác nhau.