Mọi người thường đặt mật khẩu dễ nhớ, nhưng điều này giúp cho những kẻ tấn công có thể đoán và truy cập vào các tài khoản trực tuyến.
Đó là lý do tại sao Trung tâm An ninh mạng Quốc gia của Vương quốc Anh (NCSC) khuyến nghị người dùng chọn 3 từ ngẫu nhiên để tạo mật khẩu thay vì đáp ứng các yêu cầu phức tạp (mật khẩu chứa chữ, số và ký tự như “pa55word”) sẽ tạo ra mật khẩu xấu.
Các cảnh báo trước của NCSC về yêu cầu mật khẩu phức tạp hướng đến quản trị viên chịu trách nhiệm bảo vệ hệ thống công nghệ thông tin. Trước đây, NCSC kêu gọi các tổ chức từ bỏ chính sách hết hạn mật khẩu vì người dùng chỉ thực hiện thay đổi nhỏ so với mật khẩu hiện có. Vào năm 2019, Microsoft bỏ chính sách hết hạn mật khẩu trên Windows 10 vì nó lỗi thời và không hữu ích.
Theo NCSC, mật khẩu phải được ghi nhớ, không nên được lưu trữ. Trong trường hợp cần lưu trữ, NCSC khuyến khích mọi người lưu trữ chúng trong trình quản lý mật khẩu, trình duyệt hoặc trên một mảnh giấy.
Lý do chính mà NCSC cho rằng ba từ ngẫu nhiên tạo nên mật khẩu bảo mật hơn là do xuất phát từ thực tế. Mọi người thường không giỏi trong việc nhớ mật khẩu dài, phức tạp và việc sử dụng trình quản lý mật khẩu vẫn ở mức “rất thấp”. Đề xuất ba từ ngẫu nhiên cũng nhắm đến những người không biết hoặc không muốn sử dụng trình quản lý mật khẩu.
Bên cạnh đó, NCSC đưa ra những lý do khác, bao gồm tăng tính đa dạng của mật khẩu, khiến những kẻ tấn công khó sử dụng các thuật toán tìm kiếm để phát hiện mật khẩu hơn, dẫn đến khó xâm nhập vào tài khoản.
"Hiện tại, các yêu cầu về độ phức tạp đang ngăn cản sự đa dạng của mật khẩu. Để tăng tính đa dạng, chúng tôi khuyến khích mọi người sử dụng các cách khác để tạo mật khẩu (chẳng hạn như "ba từ ngẫu nhiên"), sử dụng độ dài thay vì bộ ký tự để đạt được độ mạnh mong muốn” - Kate R, người đứng đầu Nhóm An ninh Công nghệ Xã hội của NCSC giải thích.
NCSC khuyến khích sử dụng ba từ ngẫu nhiên để tạo mật khẩu cho đến khi việc dùng trình quản lý mật khẩu trở nên phổ biến hơn.
Lời khuyên này gần như phù hợp với các khuyến nghị của Google để bảo vệ tài khoản Google. Để tạo mật khẩu dài và dễ nhớ, Google khuyên bạn nên đặt theo lời bài hát hoặc bài thơ, trích dẫn có ý nghĩa từ một bộ phim hoặc bài phát biểu, một đoạn văn trong sách, một loạt các từ có ý nghĩa với bạn hoặc tạo một từ viết tắt.
NSCS thừa nhận, có những thuật toán tìm kiếm được tối ưu hóa cho ba từ ngẫu nhiên, nhưng Kate R cho rằng mật khẩu đa dạng hơn sẽ khiến những kẻ tấn công bỏ ra nhiều tiền hơn vì chúng phải thử nhiều thuật toán hơn.
NCSC hy vọng sẽ có nhiều người sử dụng trình quản lý mật khẩu hơn để tăng tính đa dạng của mật khẩu. Chính vì vậy, đề xuất 3 từ ngẫu nhiên vẫn có ý nghĩa cho đến khi việc áp dụng trình quản lý mật khẩu trở nên phổ biến.