Password phức tạp với việc sử dụng kết hợp nhiều loại ký tự và thường xuyên thay đổi chúng không còn là biện pháp quản lý mật khẩu tốt nhất nữa. Đây là thông tin được đưa ra dựa trên hướng dẫn mới công bố của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST), nơi phát triển và ban hành hướng dẫn để giúp các tổ chức bảo vệ hệ thống thông tin.
Trong nhiều năm, password phức tạp, kết hợp chữ hoa và chữ thường, số và ký hiệu nhận được sự ủng hộ của các chuyên gia và nền tảng cung cấp dịch vụ vì được cho là khiến mật khẩu khó đoán hoặc khó bẻ khóa hơn thông qua các cuộc tấn công bằng brute force.
Tuy nhiên, password phức tạp lại phản tác dụng và thực tế làm suy yếu tính bảo mật. Mật khẩu phức tạp khiến người dùng có những thói quen xấu như chọn mật khẩu đơn giản hoặc sử dụng lại mật khẩu cũ.
Trong hướng dẫn mới nhất, NIST đã khuyến khích sử dụng password dài hơn thay vì password phức tạp.
Lý do đầu tiên là vì người dùng thường gặp khó khăn khi nhớ những mật khẩu phức tạp khiến họ sử dụng mật khẩu dựa vào các quy tắc dễ đoán hoặc dùng 1 mật khẩu cho nhiều trang web. Điều này diễn ra nghiêm trọng hơn khi nhiều tổ chức yêu cầu bạn phải thay đổi mật khẩu sau mỗi 60 đến 90 ngày. NIST hiện không còn khuyến nghị điều này nữa.
Độ mạnh của mật khẩu thường được đo bằng entropy, số lượng các tổ hợp có thể tạo ra bằng cách sử dụng các ký tự trong mật khẩu. Số lượng các tổ hợp càng cao thì mật khẩu các khó bẻ bằng phương pháp tấn công bằng brute force hoặc đoán.
So với độ phức tạp thì độ dài đóng vai trò lớn hơn nhiều vào số lượng các tổ hợp có thể tạo ra. Một mật khẩu dài hơn với nhiều ký tự hơn có nhiều tổ hợp có thể hơn theo cấp số nhân.
Lý do thứ hai là mật khẩu dài với nhiều từ đơn giản dễ nhớ hơn, đảm bảo người dùng không dùng đến các hành vi không an toàn như viết mật khẩu ra hoặc sử dụng lại chúng.
Ngoài ra, các mật khẩu dài do số lượng tổ hợp khả thi quá lớn khiến các thuật toán phức tạp gặp khó khăn hơn khi bẻ khóa so với các mật khẩu ngắn, phức tạp.
Lấy ví dụ, đổi password từ 4 số lên 6 số đã tăng số tổ hợp có thể từ 10.000 thành 1.000.000.
NIST khuyến nghị rằng, người dùng nên tạo mật khẩu có độ dài lên đến 64 ký tự. Khi đó, mật khẩu chỉ sử dụng chữ thường và từ cũng sẽ cực kỳ khó bẻ khóa, còn nếu bao gồm chữ cái viết hoa và ký hiệu, việc bẻ khóa mật khẩu sẽ tiệm cận không thể về mặt toán học.