Mật khẩu phức tạp quá cũng là... “một cái sai“

Chúng ta ai cũng từng một lần bực bội vì những luật lệ phức tạp trong việc đặt mật khẩu: phải có ít nhất một số lượng kí tự nhất định, phải có chữ in hoa, phải có số...
Ảnh minh họa
Ảnh minh họa

Bạn hẳn sẽ nghĩ rằng việc này sẽ giúp tăng cường bảo mật cho tài khoản của mình, nhưng không! Anh chàng gần 15 năm trước phát minh ra các tiêu chuẩn nêu trên nay đã thừa nhận rằng, về cơ bản chúng...vô dụng, và còn tỏ ra khá lo lắng về điều này.

Theo Gizmodo, anh chàng này có tên là Bill Burr, từng là quản lý tại Viện quốc gia về các tiêu chuẩn và công nghệ (NIST). Vào năm 2003, Burr đã thảo ra một bản hướng dẫn dài 8 trang về việc làm thế nào để tạo ra các mật khẩu bảo mật cao với tên gọi "Bản thảo đặc biệt của NIST 800-63. Appendix A". Bản thảo này chính là tiền đề cho những yêu cầu đặt mật khẩu cực kỳ rắc rối và phức tạp mà các dịch vụ web sau này, từ tài khoản email cho tới ngân hàng điện tử đều sử dụng, xoay quanh việc sử dụng các kí tự viết hoa, kết hợp với kí tự đặc biệt và các con số.

Nghe thì có vẻ tốt, nhưng vấn đề ở đây là vào thời điểm đó, Bill Burr đã không thực sự hiểu rõ về cơ chế làm việc của mật khẩu khi anh viết bản thảo này. Bill rõ ràng không phải là một chuyên gia bảo mật, do đó, nay tuy đã 72 tuổi và đã về hưu, Bill vẫn muốn gởi lời xin lỗi tới toàn bộ những "thần dân Internet" mà năm xưa anh đã lỡ làm phiền.

"Tôi thực sự hối tiếc vì phần lớn những điều tôi đã làm" - Bill Burr nói với tờ Wall Street Journal - khẳng định rằng nghiên cứu của anh về mật khẩu hầu như xuất phát từ các tài liệu được viết từ thập niên 1980, trước cả khi web được phát minh ra. "Xét cho cùng thì hầu hết các hướng dẫn trong bản thảo đều quá rắc rối khiến nhiều người không hiểu rõ được, và sự thật là nó hầu như nhầm lẫn hết cả".

Bill quả thực không sai. Những tính toán đơn giản cho thấy các mật khẩu ngắn với nhiều ký tự phức tạp thường dễ bị phá giải hơn một chuỗi dài các từ dễ nhớ. Cụ thể, một mật khẩu gồm 4 từ (word) đơn giản có thể khiến máy tính mất tới 550 năm để đoán ra, trong khi một chuỗi các ký tự ngắn ngẫu nhiên vô nghĩa chỉ cần tối đa 3 ngày là "hết thời".

Đó là lí do tại sao các hướng dẫn mới đây nhất của NIST khuyên mọi người tạo các chuỗi mật khẩu dài thay vì các chuỗi ngắn mà Bill nghĩ là bảo mật cao hơn.

Nói đi thì cũng phải nói lại, đây không hoàn toàn là lỗi của Bill. 15 năm trước, có rất ít nghiên cứu về mật khẩu và bảo mật thông tin, còn ngày nay thì mọi sự đã khác. Và Bill cũng chẳng phải là người duy nhất phải hối tiếc vì những ý tưởng "đáng quên" trong những ngày đầu của thời đại Internet. Các quảng cáo pop-up là một ví dụ, khiến người phát minh ra nó còn đáng phải xin lỗi hơn Bill Burr gấp nhiều lần. Thậm chí Tim Berners-Lee - người phát minh ra Internet - khi nhìn lại ý tưởng dấu "xiệc" (//) trên địa chỉ web của mình cũng phải thở dài ngao ngán.

Người ta nói, công nghệ là một quá trình "thử-và-lỗi". Nếu như bạn làm ra một thứ hoạt động hoàn hảo thì phần thưởng sẽ rất ngọt ngào. Còn nếu bạn làm mọi thứ rối tung lên và khiến người ta phung phí biết bao nhiêu năm thì bạn rõ ràng phải hối tiếc rất nhiều.

Nhưng đừng lo Bill à, ít nhất thì mọi người cũng không trách cứ gì anh đâu!

Theo Tạp chí Diễn đàn đầu tư
http://vnreview.vn/tu-van-bao-mat/-/view_content/content/2240286/mat-khau-phuc-tap-qua-cung-la-mot-cai-sai