Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã công bố những hướng dẫn mới về quản lý mật khẩu, nhấn mạnh tầm quan trọng của việc sử dụng mật khẩu dài thay vì mật khẩu phức tạp. Sự thay đổi này không chỉ là một bước tiến trong lĩnh vực bảo mật thông tin mà còn phản ánh sự thay đổi trong cách mà chúng ta nhìn nhận về an toàn trực tuyến.
Hướng dẫn mới được phát hành vào tháng 9/2024, nằm trong dự thảo công khai thứ hai SP 800-63-4 của NIST, là phiên bản cập nhật của Hướng dẫn Nhận dạng Kỹ thuật số. Trước đây, nhiều người vẫn tin rằng việc tạo ra mật khẩu phức tạp, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt, sẽ giúp bảo vệ tài khoản của họ tốt hơn. Tuy nhiên, thực tế cho thấy rằng sự phức tạp này không phải lúc nào cũng mang lại hiệu quả như mong đợi.
Thực tế, yêu cầu về mật khẩu phức tạp thường dẫn đến những thói quen xấu trong việc quản lý mật khẩu. Người dùng có thể dễ dàng quay lại sử dụng những mật khẩu đã từng dùng hoặc chọn những mật khẩu đơn giản, chỉ đáp ứng tối thiểu các tiêu chí như “P@ssw0rd123”. NIST đã nhận ra rằng việc tập trung vào độ phức tạp thực sự có thể làm giảm mức độ bảo mật của người dùng.
NIST đã chuyển hướng từ việc yêu cầu mật khẩu phức tạp sang khuyến khích người dùng tạo mật khẩu dài hơn. Độ mạnh của mật khẩu không chỉ được đo bằng độ phức tạp mà còn bởi entropy, một chỉ số thể hiện tính khó đoán. Entropy càng cao, khả năng bị bẻ khóa bằng các phương pháp tấn công brute-force càng thấp.
Các nghiên cứu đã chỉ ra rằng người dùng thường gặp khó khăn trong việc ghi nhớ những mật khẩu phức tạp. Điều này dẫn đến việc họ sử dụng lại mật khẩu trên nhiều nền tảng khác nhau hoặc tạo ra những mẫu mật khẩu dễ đoán. Việc yêu cầu thay đổi mật khẩu thường xuyên, từ 60 đến 90 ngày, mà nhiều tổ chức áp dụng, cũng không còn được NIST khuyến khích nữa, vì nó chỉ làm tăng thêm sự bất tiện cho người dùng.
Mặc dù độ phức tạp có thể góp phần vào entropy, nhưng độ dài của mật khẩu lại quan trọng hơn nhiều. Một mật khẩu dài với nhiều ký tự sẽ tạo ra số lượng tổ hợp có thể tăng theo cấp số nhân, khiến cho việc đoán mật khẩu trở nên khó khăn hơn, ngay cả khi các ký tự đó đơn giản. Một ví dụ điển hình là cụm từ mật khẩu dài và dễ nhớ, như “bigdogsmallratfastcatpurplehatjellobat”, vừa an toàn vừa dễ sử dụng. Mật khẩu như vậy không chỉ đảm bảo tính bảo mật mà còn giúp người dùng tránh khỏi những hành vi không an toàn như ghi chú mật khẩu ra giấy hay sử dụng lại mật khẩu.
Với sự phát triển của công nghệ tính toán, việc bẻ khóa mật khẩu ngắn và phức tạp đã trở nên dễ dàng hơn. Tuy nhiên, ngay cả những thuật toán phức tạp cũng gặp khó khăn khi đối mặt với mật khẩu dài, do số lượng tổ hợp có thể rất lớn. Một ví dụ gần đây là Thị trưởng New York, Eric Adams, đã quyết định thay đổi mật mã điện thoại từ bốn chữ số thành sáu chữ số, làm tăng số lượng tổ hợp từ 10.000 lên 1.000.000.
Trong khuyến nghị mới, NIST cho phép người dùng tạo mật khẩu dài lên đến 64 ký tự. Một mật khẩu dài 64 ký tự chỉ sử dụng chữ thường và các từ thực sẽ cực kỳ khó bẻ khóa. Nếu bao gồm cả chữ hoa và ký tự đặc biệt, việc bẻ khóa mật khẩu sẽ gần như không thể thực hiện được.