Công thức xây dựng mật khẩu bền vững nghìn năm

Không còn gì rắc rối hơn là bị tin tặc hack được mật khẩu của mình, vậy làm sao để có thể xây dựng mật khẩu bền vững cả đời? Câu hỏi đó không phải là không có lời đáp.

 

Làm thế nào tin tặc hack được mật khẩu của bạn?

Thông thường, quá trình hack mật khẩu diễn ra rất đơn giản. Dưới đây là 5 cách thông thường nhất:

– Hỏi: Thật đáng ngạc nhiên rằng cách dễ nhất để có thể tìm được mật khẩu của người khác đơn giản chỉ là hỏi (thường là có quan hệ tới một người nào khác). Người ta thường nói mật khẩu của mình cho đồng nghiệp, bạn bè và gia đình. Vì thế sở hữu một mật khẩu phức tạp dài dòng không thể thay đổi được gì cả.

– Đoán: Đây là phương pháp thông dụng thứ nhì để có thể truy cập vào tài khoản của người khác. Thực tế rằng đa phần mọi người luôn chọn mật khẩu dễ nhớ và những cụm từ dễ nhớ nhất là những thứ có liên quan tới bạn. Mật khẩu dạng như: họ của bạn, tên vợ bạn, tên con mèo của bạn, ngày sinh, loài hoa yêu thích là rất thông dụng. Vấn đề này chỉ có thể được giải quyết bằng cách lựa chọn mật khẩu chẳng liên quan gì đến bản thân bạn hết.

– Truy nhập và can thiệp một cách thô bạo: Rất đơn giản, hacker sẽ cố gắng truy nhập vào thông qua nhiều mật khẩu khác nhau. Ví dụ mật khẩu của bạn là “sun” chẳng hạn, hắn sẽ cố đăng nhập bằng “aaa, aab, aac, aad… sud, sum, sun (trúng). Để có thể ngăn chặn điều này bạn chỉ còn cách nâng cao tính phức tạp và độ dài của mật khẩu (lý do các nhân viên IT muốn bạn thực hiện điều này).

– Sử dụng các từ ngữ thông dụng: Một hình thức đơn giản của lối truy nhập thô bạo, khi hacker cố gắng đăng nhập vào bằng một danh sách các từ ngữ thông dụng. Thay vì thử kết hợp các ký tự với nhau thì hacker lại cố sử dụng các từ ngữ khác nhau, ví dụ như: “sum, summer, summit, sump, sun (trúng).

– Sử dụng từ điển: Cũng giống như sử dụng các từ ngữ thông dụng, chỉ khác là hacker huy động tới cả một cuộn từ điển từ ngữ (có khoảng 500 nghìn từ trong tiếng Anh).

Khi nào mật khẩu được coi là ?

Bạn không thể phòng chống được phương pháp “Hỏi” và “Đoán” nhưng bạn hoàn toàn có thể bảo vệ bản thân trước các hình thức khác. Một hacker thường sử dụng các đoạn mã tự động hóa hoặc một chương trình để hỗ trợ. Hắn ta sẽ không thủ công đến mức ngồi thử tới 500 nghìn từ để xem đâu là mật khẩu của bạn.

Vì thế phương pháp bảo mật sẽ chuyển về “một chương trình tự động có thể thử được bao nhiêu đoạn mật khẩu trong một giây?”. Con số thực sự là rất đa dạng tuy nhiên đa phần các chương trình trên web sẽ không cho phép quá 100 lần thử trong 1 giây. Điều đó có nghĩa là với mật khẩu “sun”, phương pháp sử dụng truy nhập can thiệp thô bạo sẽ mất 3 phút đồng hồ, sử dụng từ ngữ thông dụng mất 3 phút và sử dụng từ điển mất 1 giờ 20 phút. (từ “sun” có 17576 cách kết hợp ký tự có thể – 3 ký tự trong bảng chữ cái cho ra 26^3 cách kết hợp). Dĩ nhiên đây là một mật khẩu không an toàn vậy thước đo an toàn cho mật khẩu tính như thế nào?

* Mật khẩu chỉ mất có 1 phút để tìm ra dĩ nhiên là cực kỳ thiếu an toàn.
* 10 phút, vẫn rất rủi ro.
* 1 giờ, vẫn chưa đủ tốt
* 1 ngày, giờ thì cũng bắt đầu tốn thời gian rồi. Khả năng một người sở hữu chương trình chỉ để hack tài khoản của bạn nguyên ngày là rất nhỏ. Thế nhưng thế vẫn là không an toàn.
* 1 tháng, gã hacker này hẳn phải cực kỳ lì lợm.
* 1 năm, nếu bạn là NASA hay CIA thì thế này là không chấp nhận được. Còn với những người bình thường như chúng ta thì làm gì có kẻ thù dạng đó, dữ liệu công ty bạn chắc hẳn cũng chẳng quý tới vậy.
* 10 năm, con số chỉ xuất hiện trên lý thuyết.
* 100 năm, giới hạn của đời người. Chết rồi thì còn ai quan tâm đến mật khẩu nữa, nếu bạn đang dùng mật khẩu có khả năng bảo mật trọn đời như thế này thì rất tuyệt.

Chúng ta hãy quan tâm đến mức độ bảo mật cao nhất: 100 năm. Thực ra thì vẫn có khả năng rằng gã hacker may mắn, hack được mật khẩu của bạn chỉ trong có 15 năm thay vì 100 năm. Mà kể cả thế thì vẫn ổn phải không?

6 ký tự bất kỳ: nguy hiểm.
6 ký tự bất kỳ với chữ số đi kèm: ít rủi ro.
6 ký tự bất kỳ với các biểu tượng, con số, chữ cái: an toàn trọn đời.
6 chữ cái thông dụng: vô dụng
6 chữ cái không thông dụng: vô dụng

Để giúp mật khẩu có thể sử dụng được đầu tiên bạn phải chắc rằng chính bạn nhớ được nó, một thứ gì đó đơn giản và có thể gõ rất nhanh. Ví dụ như thế này:

Sử dụng nhiều hơn một từ ngữ đơn giản làm mật khẩu có thể tăng tính bảo mật cho mật khẩu rất đáng kể (từ 3 phút đến 2 tháng). Nhưng sử dụng 3 từ cùng lúc, tính bảo mật sẽ tăng tới mức khó tin. Cụ thể, cần tới 1,163,859 năm để đoán ra mật khẩu 3 từ nhờ vào biện pháp “can thiệp thô bạo”, 2537 năm sử dụng từ ngữ thông thường, 39,637,240 sử dụng từ điển.

Còn nếu bạn muốn mật khẩu của bạn là siêu an toàn thì có thể sử dụng hình thức dưới đây:

Thứ mà bạn quan tâm không chỉ bao gồm việc chọn mật khẩu sử dụng được và an toàn mà còn phải làm sao để ngăn ngừa hacker có thể hack được mật khẩu của bạn. Bạn cần phải:

Thêm vào thời gian giữa những lần đăng nhập. Thay vì cho người ta đăng nhập liên tục thì bạn có thể bắt đợi 5 giây giữa mỗi lần đăng nhập. Điều này buộc hacker chỉ có thể đăng nhập 1 lần mỗi 5 giây (thay vì 100 lần/giây).

Thêm vào khoảng thời gian “phạt” nếu đánh sai mật khẩu, quá 10 lần chẳng hạn. Điều này sẽ ngăn chặn tối đa các chương trình tự động hack một cách rất hiệu quả. Mật khẩu của bạn là “alpine fun” chẳng hạn, sẽ mất 2 tháng của hacker để tấn công vào máy chủ 100 lần/giây nhưng chỉ thêm 5 giây giữa mỗi lần đăng nhập, hắn ta sẽ phải bỏ ra tới 1889 năm.

Theo Genk

Bài viết liên quan