Không khó để anh em gặp được trường hợp yêu cầu đổi mật khẩu tài khoản hay dịch vụ nào đó sau 1 khoảng thời gian nhất định. Đó có thể là tài khoản ngân hàng điện tử, tài khoản mạng xã hội, hay thậm chí là tài khoản hệ điều hành Windows. Việc đổi mật khẩu định kỳ theo nhiều hướng dẫn là nhằm tăng cường bảo mật, tuy nhiên thực sự có đúng như vậy?
Đầu tiên, mình xác nhận luôn lời khuyên của các chuyên gia bảo mật về việc thay đổi mật khẩu định kỳ là đúng. Trong quá trình sử dụng hàng ngày, chúng ta có thể vô tình để lộ mật khẩu ở đâu đó, do truy cập các trang web xấu, hoặc bất cẩn trong lúc nhập mật khẩu để cho người khác thấy được. Giả sử anh em không bật (hay dịch vụ đó không có) tính năng bảo mật 2 lớp, kẻ xấu có thể đăng nhập tài khoản mà anh em không biết, theo dõi và lấy đi những thông tin quan trọng trong thời gian dài, cho tới khi mật khẩu được đổi. Đây cũng là lý do chính cho lời khuyên đổi password định kỳ.
Năm 2010, nghiên cứu được thực hiện bởi Đại học Bắc Carolina (University of North Carolina) với hơn 10,000 tài khoản cũ và 51,141 mật khẩu. Họ thực hiện các cuộc tấn công ngoại tuyến với kỹ thuật pass the hash, bẻ khóa được 60% thông tin đăng nhập. Trong số 60% đó, có 7752 mật khẩu chưa phải là mật khẩu cuối cùng (chính xác) để đăng nhập tài khoản mà chỉ là mật khẩu cũ. Tuy nhiên khi sử dụng tiếp các dữ liệu đó để đoán mật khẩu đúng, có 17% trường hợp được đoán chính xác trong 5 giây trở lại. Lý do là người ta thường có xu hướng thay đổi rất ít cho mật khẩu của họ nhằm đáp ứng yêu cầu định kỳ, giữ lại cấu trúc cũ để dễ nhớ. Chẳng hạn ví dụ như mật khẩu hiện tại là Tinhte.vn thì đổi thành T1nhte.vn vậy.
Những quy chuẩn sẽ áp dụng cho số đông, nhưng từng trường hợp đặc thù thì có thể không còn chính xác, hay ít nhất là nó không hiệu quả. Nếu anh em đã có cho mình 1 mật khẩu đủ mạnh, bật bảo mật 2 lớp, việc bị ép thay định kỳ sẽ khiến chúng ta khó chịu, khó nhớ, nhất là khi ngày càng có nhiều thứ phải nhớ, đặc biệt nếu anh em không xài ứng dụng, dịch vụ quản lý mật khẩu. Mật khẩu được xem là đủ mạnh nếu như nó là tổ hợp những chữ cái, chữ số, ký tự đặc biệt, chữ hoa - thường và có độ dài tầm 12 ký tự trở lên.
Bản thân mình cũng có 1 vài tổ hợp mật khẩu đặc biệt mạnh để áp dụng cho những tài khoản quan trọng, bên cạnh việc kích hoạt 2 lớp. Mình vẫn nhớ các mật khẩu này, dĩ nhiên đôi khi vẫn nhầm lẫn giữa cũ và mới. Giải pháp của mình là 1 nơi có thể lưu trữ và quản lý mật khẩu, đồng thời kiêm luôn chức năng autofill để không phải gõ lại khi cần. Đảm bảo an toàn cho đống mật khẩu đó sẽ là 1 tài khoản chính, bật tất cả các lớp bảo mật có thể, kèm theo mật khẩu mạnh. Mình ít khi thay đổi mật khẩu định kỳ, trừ khi bị ép buộc, và mình cũng rơi vào trường hợp như trên, đổi 1 vài ký tự nhưng giữ cấu trúc cũ.
Anh em sẽ cần phải thay đổi mật khẩu, hoặc định kỳ hoặc khi có điều kiện cần thiết. Những lúc anh em cần đổi là sau khi nhập mật khẩu (ngân hàng chẳng hạn) và anh em nghi là có người xung quanh nhìn thấy; hoặc sau khi cho mượn tài khoản (game...); hay sau khi máy tính nhiễm mã độc... thì cũng cần đổi. Lưu ý rằng những mật khẩu của những trường hợp này cần phải khác biệt hoàn toàn so với cái cũ, ngoài ra nếu mật khẩu của các tài khoản khác nhau mà có điểm chung thì cũng nên đổi luôn cho chắc.
Nhìn chung nếu việc thay đổi mật khẩu định kỳ xuất phát từ ý định cá nhân, tức là anh em chủ đích đổi mật khẩu mới, thì rất nên làm. Lúc này mật khẩu mới sẽ an toàn hơn mật khẩu cũ, đồng thời khi tự muốn đổi, cấu trúc và độ mạnh của mật khẩu thường tăng lên. Còn ngược lại, việc thay đổi mật khẩu do bị ép đa phần không có hiệu quả lắm, vì nó tạo cảm giác phiền phức cho người dùng và họ đổi chỉ để đối phó mà thôi.
Đầu tiên, mình xác nhận luôn lời khuyên của các chuyên gia bảo mật về việc thay đổi mật khẩu định kỳ là đúng. Trong quá trình sử dụng hàng ngày, chúng ta có thể vô tình để lộ mật khẩu ở đâu đó, do truy cập các trang web xấu, hoặc bất cẩn trong lúc nhập mật khẩu để cho người khác thấy được. Giả sử anh em không bật (hay dịch vụ đó không có) tính năng bảo mật 2 lớp, kẻ xấu có thể đăng nhập tài khoản mà anh em không biết, theo dõi và lấy đi những thông tin quan trọng trong thời gian dài, cho tới khi mật khẩu được đổi. Đây cũng là lý do chính cho lời khuyên đổi password định kỳ.
Năm 2010, nghiên cứu được thực hiện bởi Đại học Bắc Carolina (University of North Carolina) với hơn 10,000 tài khoản cũ và 51,141 mật khẩu. Họ thực hiện các cuộc tấn công ngoại tuyến với kỹ thuật pass the hash, bẻ khóa được 60% thông tin đăng nhập. Trong số 60% đó, có 7752 mật khẩu chưa phải là mật khẩu cuối cùng (chính xác) để đăng nhập tài khoản mà chỉ là mật khẩu cũ. Tuy nhiên khi sử dụng tiếp các dữ liệu đó để đoán mật khẩu đúng, có 17% trường hợp được đoán chính xác trong 5 giây trở lại. Lý do là người ta thường có xu hướng thay đổi rất ít cho mật khẩu của họ nhằm đáp ứng yêu cầu định kỳ, giữ lại cấu trúc cũ để dễ nhớ. Chẳng hạn ví dụ như mật khẩu hiện tại là Tinhte.vn thì đổi thành T1nhte.vn vậy.
Những quy chuẩn sẽ áp dụng cho số đông, nhưng từng trường hợp đặc thù thì có thể không còn chính xác, hay ít nhất là nó không hiệu quả. Nếu anh em đã có cho mình 1 mật khẩu đủ mạnh, bật bảo mật 2 lớp, việc bị ép thay định kỳ sẽ khiến chúng ta khó chịu, khó nhớ, nhất là khi ngày càng có nhiều thứ phải nhớ, đặc biệt nếu anh em không xài ứng dụng, dịch vụ quản lý mật khẩu. Mật khẩu được xem là đủ mạnh nếu như nó là tổ hợp những chữ cái, chữ số, ký tự đặc biệt, chữ hoa - thường và có độ dài tầm 12 ký tự trở lên.
Bản thân mình cũng có 1 vài tổ hợp mật khẩu đặc biệt mạnh để áp dụng cho những tài khoản quan trọng, bên cạnh việc kích hoạt 2 lớp. Mình vẫn nhớ các mật khẩu này, dĩ nhiên đôi khi vẫn nhầm lẫn giữa cũ và mới. Giải pháp của mình là 1 nơi có thể lưu trữ và quản lý mật khẩu, đồng thời kiêm luôn chức năng autofill để không phải gõ lại khi cần. Đảm bảo an toàn cho đống mật khẩu đó sẽ là 1 tài khoản chính, bật tất cả các lớp bảo mật có thể, kèm theo mật khẩu mạnh. Mình ít khi thay đổi mật khẩu định kỳ, trừ khi bị ép buộc, và mình cũng rơi vào trường hợp như trên, đổi 1 vài ký tự nhưng giữ cấu trúc cũ.
Anh em sẽ cần phải thay đổi mật khẩu, hoặc định kỳ hoặc khi có điều kiện cần thiết. Những lúc anh em cần đổi là sau khi nhập mật khẩu (ngân hàng chẳng hạn) và anh em nghi là có người xung quanh nhìn thấy; hoặc sau khi cho mượn tài khoản (game...); hay sau khi máy tính nhiễm mã độc... thì cũng cần đổi. Lưu ý rằng những mật khẩu của những trường hợp này cần phải khác biệt hoàn toàn so với cái cũ, ngoài ra nếu mật khẩu của các tài khoản khác nhau mà có điểm chung thì cũng nên đổi luôn cho chắc.
Nhìn chung nếu việc thay đổi mật khẩu định kỳ xuất phát từ ý định cá nhân, tức là anh em chủ đích đổi mật khẩu mới, thì rất nên làm. Lúc này mật khẩu mới sẽ an toàn hơn mật khẩu cũ, đồng thời khi tự muốn đổi, cấu trúc và độ mạnh của mật khẩu thường tăng lên. Còn ngược lại, việc thay đổi mật khẩu do bị ép đa phần không có hiệu quả lắm, vì nó tạo cảm giác phiền phức cho người dùng và họ đổi chỉ để đối phó mà thôi.
