Nếu bạn đã từng chửi thề trong quá trình đặt lại mật khẩu—cố nhớ xem mật khẩu cuối cùng có dấu chấm than hay bạn đã đổi chữ "o" thành số không—bạn không phải là người duy nhất. Trong nhiều năm, người dùng ở khắp mọi nơi đã vật lộn với các quy tắc mật khẩu có vẻ giống như những câu đố được thiết kế để giữ chúng ta không thể truy cập vào tài khoản của chính mình. May mắn thay, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã vào cuộc với một số sự tỉnh táo rất cần thiết.
Trong một động thái có thể thay đổi cách chúng ta quản lý mật khẩu, NIST đã đề xuất các hướng dẫn mới sẽ xóa bỏ một số quy tắc mật khẩu gây khó chịu và phản tác dụng nhất—cuối cùng. Trong số những thay đổi lớn nhất? Không còn yêu cầu đặt lại mật khẩu bắt buộc, không còn các yêu cầu phức tạp như buộc chúng ta phải bao gồm các ký tự đặc biệt và có thể tạm biệt các câu hỏi bảo mật, thành thật mà nói, ít liên quan đến bảo mật và nhiều hơn là trò chơi đoán.
Quy tắc mật khẩu: Một công thức gây nhầm lẫn
Bản thảo NIST mới nhất, SP 800-63-4 (tên hấp dẫn, đúng không?), nhằm mục đích cải thiện an ninh mạng trong khi giúp cuộc sống số của chúng ta dễ dàng hơn một chút. Trong nhiều năm, nhiều tổ chức đã tuân thủ các quy tắc yêu cầu chúng ta đặt lại mật khẩu sau mỗi vài tháng và rắc các con số, chữ in hoa và ký tự đặc biệt như thể chúng ta đang nêm nếm một món hầm. Lý do rất đơn giản: phức tạp hơn đồng nghĩa với bảo mật hơn.
Ngoại trừ… nó không như vậy.
Nghiên cứu đã chỉ ra rằng những quy tắc này thực sự dẫn đếnyếu hơn mật khẩu. Mọi người, chán ngán với việc cố gắng nhớ "S3cur!tyP@ssw0rd", cuối cùng sử dụng các mẫu đơn giản hơn và dễ đoán hơn. Và khi bạn phải thay đổi mật khẩu của mình sau mỗi vài tháng? Rất có thể, bạn sẽ chỉ cần thêm số "1" vào cuối mật khẩu cũ.
NIST đến giải cứu: Không còn phải thiết lập lại bắt buộc nữa
NIST đang nói rằng, "Đủ rồi". Các hướng dẫn mới chính thức tuyên bố rằng việc buộc người dùng thay đổi mật khẩu định kỳ không chỉ không cần thiết mà còn có thể làm suy yếu tính bảo mật. Quy tắc này đã được đưa ra khi mật khẩu chủ yếu là những thứ như "password123" hoặc tên thú cưng. Nhưng trong một thế giới mà nhiều mật khẩu hiện được tạo ngẫu nhiên hoặc bao gồm các cụm từ dài, thì nhu cầu thay đổi chúng thường xuyên đơn giản là không còn nữa.
Vậy, NIST khuyến nghị gì thay thế? Hãy giữ nguyên mật khẩu hiện tại của bạn trừ khi có bằng chứng cho thấy mật khẩu đã bị xâm phạm. Nếu tin tặc đang gõ cửa, thì vâng, bạn sẽ cần phải thay đổi mật khẩu. Nếu không, bạn sẽ an toàn.
Nói lời tạm biệt với sự điên rồ của nhân vật đặc biệt
Bạn còn nhớ việc cố gắng tìm một mật khẩu đáp ứng được quy tắc đáng sợ "phải chứa chữ hoa, số, ký tự đặc biệt và máu của kỳ lân" không? Vâng, những ngày đó có thể được đánh số. NIST cũng đang đề xuất loại bỏ quy tắc buộc chúng ta phải bao gồm hỗn hợp các loại ký tự khác nhau. Nếu mật khẩu của bạn đủ dài và đủ ngẫu nhiên, những ký tự bổ sung đó không tăng thêm nhiều về mặt bảo mật.
Trên thực tế, bằng cách yêu cầu các loại ký tự cụ thể, chúng ta có xu hướng tạo ra mật khẩu dễ đoán hơn. Không ai ấn tượng với việc bạn sử dụng "$" thay vì "S" một cách thông minh nữa, kể cả tin tặc.
Một cách tiếp cận thông thường đối với mật khẩu
Ngoài việc loại bỏ các thiết lập lại bắt buộc và các quy tắc ký tự tùy ý, NIST còn đề xuất một loạt các biện pháp thân thiện với người dùng khác. Ví dụ, họ đã chính thức tuyên bố rằng việc sử dụng các câu hỏi bảo mật như "Tên thời con gái của mẹ bạn là gì?" đã khá lỗi thời. Hầu hết thông tin này có thể được tìm thấy trực tuyến và thành thật mà nói, ai còn nhớ những gì họ đã trả lời 10 năm trước?
Ý tưởng ở đây là giữ cho mật khẩu mạnh, nhưng không biến cuộc sống của người dùng thành cơn ác mộng. Khi chúng ta không bị buộc phải nhảy qua các vòng để tạo mật khẩu, chúng ta ít có khả năng dùng đến các tùy chọn dễ đoán như "Password1" hoặc "12345".
Vậy, điều gì sẽ xảy ra tiếp theo?
Các hướng dẫn mới vẫn chưa được thiết lập chính thức, nhưng chúng có thể sớm trở thành tiêu chuẩn chung cho các cơ quan và tổ chức chính phủ làm việc với chính phủ liên bang. Mặc dù các quy tắc này sẽ không mang tính ràng buộc chung, nhưng chúng là một động lực mạnh mẽ theo đúng hướng. Và với sự chấp thuận của NIST, các công ty cuối cùng có thể có lý do chính đáng để từ bỏ một số hoạt động sử dụng mật khẩu khiến chúng ta phải đau đầu.
Nếu những hướng dẫn mới này được thực hiện, chúng ta có thể nhìn thấy tương lai mà việc quản lý mật khẩu không còn quá khó chịu nữa. Bạn thậm chí có thể nhớ được mật khẩu của mình mà không cần phải viết nó ra giấy nhớ. (Chúng tôi thấy bạn.)
Trong khi đó, hy vọng rằng những ngày tháng của mật khẩu phức tạp không cần thiết sẽ kết thúc. Cảm ơn NIST đã mang lại một chút hiểu biết thông thường cho sự hỗn loạn của an ninh mạng.
Weiliang
Miyuki
JinseFinance
Clement
cryptopotato
Coindesk
Ftftx
Cointelegraph