Tại sao thay đổi mật khẩu thường xuyên không phải là một ý kiến hay?

Một trong những kiến ​​thức bảo mật mật khẩu bền vững nhất là việc thay đổi mật khẩu thường xuyên sẽ tăng cường bảo mật. Ít nhất, đó là những gì các nhóm CNTT trên toàn thế giới đã thúc đẩy mọi người trong nhiều thập kỷ.

Tuy nhiên, lời khuyên đó luôn gặp phải sự phản đối. Nhiều người trong ngành bảo mật cho rằng điều này dẫn đến việc đặt mật khẩu vẫn dễ nhớ. Bây giờ, nghiên cứu đã chứng minh cho lý thuyết này, minh họa rằng việc thay đổi mật khẩu thường xuyên sẽ dẫn đến các vấn đề bảo mật.

Thay đổi mật khẩu thường xuyên dẫn đến bảo mật kém

Nhiều người trong số chúng ta thấy việc thay đổi mật khẩu bắt buộc đáng sợ cứ sau 4, 6 hoặc 8 tuần. Một nhóm CNTT thúc đẩy ý tưởng là việc thay đổi mật khẩu của bạn sẽ khiến mọi vi phạm bảo mật trở nên vô nghĩa, vì mọi người đều sử dụng mật khẩu mới.

Trên thực tế, điều này dẫn đến các điểm yếu khi tạo mật khẩu. Thay vì tạo mật khẩu mạnh, độc đáo và khó đoán, hầu hết mọi người đều chọn mật khẩu dễ nhớ với những phần nhỏ được lặp lại.

Ví dụ, mật khẩu mạnh với 16 ký tự có thể là "hS'9{yX?Fzu#=_:R", bao gồm hỗn hợp chữ hoa và chữ thường, số và ký hiệu. Thật khó để nhớ, nhưng theo thời gian, bạn sẽ ghi nhớ được. Trong khi nếu phải thay đổi mật khẩu hàng tháng, bạn sẽ không có thời gian để ghi nhớ điều này. Do đó, mọi người bắt đầu sử dụng các cụm từ dễ nhớ hơn với những phần nhỏ được lặp lại.

• Tháng 1: difficultpassword1
• Tháng 2: d1fficultpassword2
• Tháng 3: d1ff1cultp4ssword3
• V,v...

Chọn mật khẩu mạnh, duy nhất (hoặc sử dụng trình quản lý mật khẩu)

Trung tâm an ninh mạng quốc gia Vương quốc Anh đã khuyến cáo không nên sử dụng mật khẩu thông thường kể từ năm 2015 và hiện tại, vào năm 2024, Viện tiêu chuẩn quốc gia đang làm theo.

Lời khuyên mới của họ khuyến nghị mật khẩu hết hạn sau mỗi 365 ngày, thay đổi đáng kể khung thời gian - và tăng cường bảo mật.

Đồng thời, NIST cũng đang cập nhật thông điệp của mình về độ dài và độ mạnh của mật khẩu. Trong một số trường hợp, các quy tắc tạo mật khẩu giới hạn người dùng ở mức 12 ký tự hoặc không thể sử dụng một số ký hiệu nhất định. Hiện tại, NIST khuyên rằng tất cả mật khẩu phải:

• Tối thiểu 15 ký tự
• Tối đa 64 ký tự
• Bao gồm tất cả các ký tự ASCII, ký tự khoảng trắng và ký tự Unicode

Những thay đổi này có nghĩa là nhiều trường nhập mật khẩu hơn sẽ cho phép các cụm mật khẩu mạnh và dễ nhớ hơn, trong khi độ mạnh tổng thể của mật khẩu cũng được tăng cường.

Tất nhiên, bất kỳ tổ chức nào quan tâm đến bảo mật mật khẩu đều nên cho phép sử dụng trình quản lý mật khẩu. Có những cân nhắc bảo mật bổ sung liên quan đến việc sử dụng trình quản lý mật khẩu, chẳng hạn như lưu trữ dữ liệu cục bộ, mã hóa zero-knowledge, v.v..., nhưng đây là cách tốt nhất để bảo vệ tất cả tài khoản của bạn bằng mật khẩu mạnh.