Mật khẩu phức tạp quá cũng là... "một cái sai"

MrQuậy

Well-Known Member
24/09/2013
178
2.221 bài viết
Mật khẩu phức tạp quá cũng là... "một cái sai"
Chúng ta ai cũng từng một lần bực bội vì những luật lệ phức tạp trong việc đặt mật khẩu: phải có ít nhất một số lượng kí tự nhất định, phải có chữ in hoa, phải có số...

Bạn hẳn sẽ nghĩ rằng việc này sẽ giúp tăng cường bảo mật cho tài khoản của mình, nhưng không! Anh chàng gần 15 năm trước phát minh ra các tiêu chuẩn nêu trên nay đã thừa nhận rằng, về cơ bản chúng...vô dụng, và còn tỏ ra khá lo lắng về điều này.

1691823.jpg

Theo Gizmodo, anh chàng này có tên là Bill Burr, từng là quản lý tại Viện quốc gia về các tiêu chuẩn và công nghệ (NIST). Vào năm 2003, Burr đã thảo ra một bản hướng dẫn dài 8 trang về việc làm thế nào để tạo ra các mật khẩu bảo mật cao với tên gọi "Bản thảo đặc biệt của NIST 800-63. Appendix A". Bản thảo này chính là tiền đề cho những yêu cầu đặt mật khẩu cực kỳ rắc rối và phức tạp mà các dịch vụ web sau này, từ tài khoản email cho tới ngân hàng điện tử đều sử dụng, xoay quanh việc sử dụng các kí tự viết hoa, kết hợp với kí tự đặc biệt và các con số.

Nghe thì có vẻ tốt, nhưng vấn đề ở đây là vào thời điểm đó, Bill Burr đã không thực sự hiểu rõ về cơ chế làm việc của mật khẩu khi anh viết bản thảo này. Bill rõ ràng không phải là một chuyên gia bảo mật, do đó, nay tuy đã 72 tuổi và đã về hưu, Bill vẫn muốn gởi lời xin lỗi tới toàn bộ những "thần dân Internet" mà năm xưa anh đã lỡ làm phiền.

"Tôi thực sự hối tiếc vì phần lớn những điều tôi đã làm" - Bill Burr nói với tờ Wall Street Journal - khẳng định rằng nghiên cứu của anh về mật khẩu hầu như xuất phát từ các tài liệu được viết từ thập niên 1980, trước cả khi web được phát minh ra. "Xét cho cùng thì hầu hết các hướng dẫn trong bản thảo đều quá rắc rối khiến nhiều người không hiểu rõ được, và sự thật là nó hầu như nhầm lẫn hết cả".

Bill quả thực không sai. Những tính toán đơn giản cho thấy các mật khẩu ngắn với nhiều ký tự phức tạp thường dễ bị phá giải hơn một chuỗi dài các từ dễ nhớ. Cụ thể, một mật khẩu gồm 4 từ (word) đơn giản có thể khiến máy tính mất tới 550 năm để đoán ra, trong khi một chuỗi các ký tự ngắn ngẫu nhiên vô nghĩa chỉ cần tối đa 3 ngày là "hết thời".

Đó là lí do tại sao các hướng dẫn mới đây nhất của NIST khuyên mọi người tạo các chuỗi mật khẩu dài thay vì các chuỗi ngắn mà Bill nghĩ là bảo mật cao hơn.

Nói đi thì cũng phải nói lại, đây không hoàn toàn là lỗi của Bill. 15 năm trước, có rất ít nghiên cứu về mật khẩu và bảo mật thông tin, còn ngày nay thì mọi sự đã khác. Và Bill cũng chẳng phải là người duy nhất phải hối tiếc vì những ý tưởng "đáng quên" trong những ngày đầu của thời đại Internet. Các quảng cáo pop-up là một ví dụ, khiến người phát minh ra nó còn đáng phải xin lỗi hơn Bill Burr gấp nhiều lần. Thậm chí Tim Berners-Lee - người phát minh ra Internet - khi nhìn lại ý tưởng dấu "xiệc" (//) trên địa chỉ web của mình cũng phải thở dài ngao ngán.

Người ta nói, công nghệ là một quá trình "thử-và-lỗi". Nếu như bạn làm ra một thứ hoạt động hoàn hảo thì phần thưởng sẽ rất ngọt ngào. Còn nếu bạn làm mọi thứ rối tung lên và khiến người ta phung phí biết bao nhiêu năm thì bạn rõ ràng phải hối tiếc rất nhiều.

Nhưng đừng lo Bill à, ít nhất thì mọi người cũng không trách cứ gì anh đâu!

Theo Vnreview​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bill quả thực không sai. Những tính toán đơn giản cho thấy các mật khẩu ngắn với nhiều ký tự phức tạp thường dễ bị phá giải hơn một chuỗi dài các từ dễ nhớ.

Câu này đúng là bằng hòa :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mật khẩu đủ mạnh nhưng phải dễ nhớ. Mình đã gặp rất nhiều trường hợp sau khi đặt mật khẩu đúng chuẩn thì do lâu không dùng nên ... quên :p (fb chẳng hạn)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mật khẩu nên kết hợp cả chữ hoa + thường + số
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
mình thì viết mật khẩu theo nguyên tắc mà ngay cả mình cũng không thể nhớ mình gõ cái gì nữa nhưng mà cứ làm theo nguyên tắc thì gõ không sai tẹo nào
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình dùng app quản lý mật khẩu (opensource) - tự sinh mật khẩu - mỗi tài khoản 1 mật khẩu - 18 ký tự - mã hóa đầy đủ...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bill quả thực không sai. Những tính toán đơn giản cho thấy các mật khẩu ngắn với nhiều ký tự phức tạp thường dễ bị phá giải hơn một chuỗi dài các từ dễ nhớ.
Đúng là tác giả vụ mật khẩu này không am hiểu về an ninh mạng khi đi so sánh 2 cụm mật khẩu có số ký tự khác nhau, muốn đặt phức tạp và nhiều ký tự chúng ta chỉ cần tùy biến một chút ví dụ như bình thường đặt mật khẩu là diendananninhmang ta có thể ngầm qui ước chữ a -> @, chữ cái đầu viết hoa, g->9 đặt lại thành Diend@n@nninhman9 vẫn rất phức tạp nhưng dễ nhớ.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: PhamTheThao
Comment
Bên trên