Hầu hết mọi người đều hiểu “độ mạnh” của mật khẩu được xác định bởi sự đa dạng của các loại ký tự trong mật khẩu. Nhưng trong khi các biểu mẫu đăng ký có thể cho rằng phức tạp là bảo mật, thì những kẻ tấn công lại không đồng ý. Sự phức tạp không còn bảo vệ được trước một mô hình mối đe dọa hiện đại. Điều gì tạo nên mật khẩu mạnh? Trước tiên, chúng ta cần kiểm tra mô hình mối đe dọa thực tế mà hầu hết mọi người phải đối mặt.
Độ phức tạp của mật khẩu bỏ sót điểm
“Độ mạnh” của mật khẩu thường chỉ là một hàm của độ phức tạp, hoặc mức độ ngẫu nhiên trong mật khẩu, được đo bằng cách sử dụng các ký hiệu, số, chữ hoa và chữ thường. Nhưng việc thêm một vài ký tự khác nhau vào mật khẩu của bạn không làm tăng "độ mạnh" của nó một cách có ý nghĩa, bất chấp những gì mà thanh "độ mạnh" màu xanh lá cây lừa dối bên cạnh mật khẩu của bạn gợi ý. Sự phức tạp làm tăng độ khó của một cuộc tấn công bạo lực, nhưng kiểu tấn công đó không phổ biến.
Thay vào đó, hành vi trộm cắp thông tin xác thực xảy ra trong các vụ xâm nhập hoặc rò rỉ dữ liệu lớn từ các tổ chức lớn. Độ mạnh của mật khẩu sẽ không giúp ích được gì cho bạn nếu những kẻ tấn công có mật khẩu của bạn ở dạng văn bản thuần túy.
Sử dụng mật khẩu duy nhất
Hầu hết mọi người rất dễ bị tấn công bởi thứ gọi là "nhồi nhét thông tin xác thực":thông tin xác thực bị xâm phạm được thử trên các nền tảng phổ biến để khai thác xu hướng sử dụng lại mật khẩu của con người. Đó là một mối nguy hiểm lớn hơn nhiều so với một mật khẩu "yếu". Rốt cuộc, một mật khẩu “siêu mạnh”, hoàn toàn ngẫu nhiên được sử dụng lại trên mọi nền tảng sẽ trở thành thảm họa sau một lần rò rỉ.
Thay vì nghĩ về độ mạnh của mật khẩu như một thuộc tính đơn lẻ, chúng tôi cần nghĩ đến sức mạnh của hệ thống xác thực của bạn. Mật khẩu hiện đại tạo ra hệ thống đó và phải được coi là như vậy. Sử dụng mật khẩu duy nhất dễ dàng hơn nhiều với trình quản lý mật khẩu, vì vậy hãy bắt đầu với một mật khẩu ngay hôm nay nếu bạn chưa sử dụng.
Độ dài Quan trọng hơn Độ phức tạp
Trong nhiều năm, chúng tôi đã được đào tạo để coi độ phức tạp là yếu tố quan trọng nhất của mật khẩu. Và mặc dù chúng ta biết rằng các cuộc tấn công bằng vũ lực là rất hiếm, nhưng sự phức tạp thậm chí không phải là cách bảo vệ tốt nhất để chống lại việc bẻ khóa bằng vũ lực: độ dài thực sự quan trọng hơn nhiều .
Độ dài mật khẩu có mối quan hệ hàm số mũ với thời gian bẻ khóa, do đó, việc tăng độ dài vừa phải có thể mang lại sự gia tăng đáng kể trong thời gian bẻ khóa. Mặt khác, độ phức tạp có mối quan hệ tuyến tính hơn với thời gian nứt.
Lấy ví dụ sau:Một máy bẻ khóa hiệu suất cao có thể phá vỡ một mật khẩu trông phức tạp như *nRyU86) trong ít nhất là tám mươi phút. Việc tăng độ dài thêm một ký tự hoa sẽ kéo dài thời gian đó lên gần sáu giờ, trong khi việc thay đổi một ký tự thành một ký hiệu không có ý nghĩa thay đổi về thời gian bẻ khóa.
Hãy tận dụng tối đa sức mạnh cấp số nhân của độ dài. Còn về cụm mật khẩu bốn từ, sử dụng các từ đã biết trong từ điển và có tổng độ dài mười sáu ký tự? Ngay cả khi tính đến các cuộc tấn công từ điển (các cuộc tấn công sử dụng cơ sở dữ liệu các từ đã biết để đoán mật khẩu thay vì tạo ra các phép đoán ngẫu nhiên), nó vẫn sẽ mất chín mươi tỷ nhiều năm để bẻ khóa mật khẩu.
Hãy quên đi sự phức tạp. Mật khẩu tốt nhất thực sự là mật khẩu- cụm từ . Bạn không bao giờ có thể nhớ một mật khẩu phức tạp mạnh tương tự. Nhưng bộ não thích những câu chuyện hài hước và những hình ảnh đáng ngạc nhiên. Nếu bạn tạo một câu chuyện đáng nhớ một cách ngớ ngẩn cho một cụm từ được tạo ngẫu nhiên, bạn sẽ rất khó quên nó.
Việc tạo cụm từ thực sự ngẫu nhiên là rất quan trọng. Chọn các từ liên quan đến bản thân, chẳng hạn như tháng sinh của bạn, sẽ giúp cụm mật khẩu dễ đoán hơn. Sử dụng Xúc xắc mật khẩu của EFF để tạo các cụm từ mật khẩu ngẫu nhiên một cách an toàn và bảo mật.
Bật Tất cả Hệ thống Xác thực Hai yếu tố
Tất cả các hệ thống đều bị rò rỉ. Độ mạnh của mật khẩu sẽ không cứu được bạn. Vậy bạn có thể tự vệ bằng cách nào? Hệ thống xác thực hai yếu tố (2FA) cung cấp thêm một lớp bảo mật. 2FA yêu cầu hai loại thông tin xác thực:một cái gì đó bạn biết (tức là mật khẩu của bạn) và thứ gì đó bạn có (tức là điện thoại của bạn). Trong hầu hết các hệ thống 2FA, các mã này được tạo bởi một máy chủ từ xa. Máy chủ gửi mã hoạt động cho người dùng tại thời điểm đăng nhập.
Thật không may, những kẻ tấn công có thể đánh chặn mã SMS một cách tương đối dễ dàng thông qua nhân bản thẻ SIM. Để ngăn chặn việc nghe trộm này, hãy tạo mã trên thiết bị di động của bạn bằng ứng dụng 2FA như Authy, Google Authenticator hoặc trình quản lý mật khẩu có hỗ trợ 2FA như 1Password.
Kết luận
“Sức mạnh” của một mật khẩu duy nhất là một con cá trích đỏ. Một hệ thống xác thực mạnh quan trọng hơn. Rò rỉ và đánh cắp dữ liệu chắc chắn sẽ xảy ra. Mật khẩu duy nhất giữ cho thiệt hại được kiểm soát. Xác thực hai yếu tố có thể giảm thiệt hại của thông tin đăng nhập bị đánh cắp xuống còn 0.