Bây giờ, việc tạo mật khẩu mạnh rất phổ biến đến nỗi tất cả chúng ta đều làm điều đó mà không cần suy nghĩ: tạo một mật khẩu mà ít nhất x ký tự, có ít nhất một số và một ký hiệu và không phải là tên hoặc họ của bạn. Cho dù bạn đang ở nơi làm việc hay tạo một ID Apple, thì mật khẩu phải “strong” ở khắp mọi nơi.
Sau khi tạo một mật khẩu mới trên một trang web, tôi bắt đầu suy nghĩ về sự khác biệt giữa tất cả các yêu cầu như thế nào. Một số trang web yêu cầu mật khẩu không ngắn hơn 3 ký tự và một số thực thi tối thiểu là 8.
Một số lại yêu cầu biểu tượng, một số thì không. Một số quan tâm về tên của bạn và mật khẩu trước đó, số khác thì không. Vậy mật khẩu thế nào được gọi là mạnh?
Tôi đã thực hiện một số nghiên cứu và phát hiện ra hai điều khi bạn nói về việc ai đó “bẻ khóa” mật khẩu của bạn: thứ nhất, đó là do độ mạnh của mật khẩu và thứ hai, đó là sức mạnh của mã hóa khiến mật khẩu bị sai lệch khi lưu trữ.
Tôi nhận ra rằng toàn bộ khái niệm về một mật khẩu mạnh là rất toán học và đã có nhiều nghiên cứu được thực hiện về chủ đề này. Một trong những điều thu hút sự chú ý của tôi và tôi sẽ đề cập đến trong bài viết này là từ một nghiên cứu năm 2011 của Carnegie-Mellon.
Kiểm tra mật khẩu của bạn trước
Trước khi chúng ta bàn về mật khẩu mạnh là gì, hãy xem mất bao lâu để bẻ khóa mật khẩu được cho là mạnh của bạn. Để kiểm tra điều đó, chúng ta sẽ sử dụng một công cụ trên trang PassFault:
https://passfault.appspot.com/password_strength.html
Bạn nhập mật khẩu của bạn và bấm Analyze. Nó có hai tùy chọn được ẩn theo mặc định, nhưng bạn có thể nhấp vào Show Options. Hãy để giải thích ý nghĩa của chúng.
Bẻ khóa phần cứng mặc định cho kẻ tấn công mật khẩu $ 900, điều này có thể xảy ra đối với một hacker hợp pháp. Họ cũng có tùy chọn để chọn một kẻ tấn công mật khẩu trị giá 180.000 đô la, mà người Trung Quốc có thể đang sử dụng nếu nó đắt như vậy.
Trình đơn Bảo vệ Mật khẩu cho bạn một vài tùy chọn cho loại mã hóa được sử dụng để lưu trữ mật khẩu. Microsoft Windows System là yếu nhất, không có gì phải ngạc nhiên. Sau đó, bạn có điểm truy cập WPA không dây, UNIX SHA1, UNIX blowfish và 100 vòng SHA1.
Tôi đã thử mật khẩu mạnh mà tôi sử dụng trên một vài trang web và bị sốc khi thấy rằng nó có thể bị bẻ khóa chỉ trong 1 ngày!
Vì vậy, sau đó tôi đã chọn các tùy chọn mã hóa mạnh hơn (Unix Blowfish và 100 vòng SHA1) và vui hơn khi thấy kết quả sẽ mất nhiều hơn một ngày: 1 năm 7 tháng cho Unix Blowfish và 2 tháng 2 ngày với 100 vòng SHA1 .
Tuy nhiên, với kẻ tấn công mật khẩu 180.000 đô la, nó đã giảm xuống còn lần lượt là 11 ngày và 3 ngày. Tôi không thể chấp nhận được! Tôi muốn mật khẩu của mình mất nhiều năm để bẻ khóa ngay cả khi dùng một công cụ bẻ khóa mật khẩu siêu đắt. Nhưng cách tốt nhất là gì vì tôi đang sử dụng mật khẩu 9 ký tự với các số và ký hiệu?
Điều gì làm cho mật khẩu trở nên mạnh hơn?
Nghiên cứu Carnegie-Mellon đã làm sáng tỏ toàn bộ sự việc. Về cơ bản những gì họ tìm thấy là mật khẩu bạn sử dụng càng lâu thì nó càng mạnh. Điều này không nhất thiết có nghĩa là mật khẩu dài hơn phải có rất nhiều ký hiệu hoặc số, nó chỉ dài. Với 16 ký tự, tất cả những gì bạn phải tránh là sử dụng các từ trong từ điển siêu dễ.
Không tin rằng có thể có thật? Trong trang PassFault, sử dụng mật khẩu sau chỉ có 15 ký tự và siêu dễ nhớ:
ilovemywifealot
Sau đó, đối với các tùy chọn, chọn kẻ tấn công mật khẩu $ 180.000 và chọn mã hóa yếu nhất (Microsoft Windows) và bạn sẽ nhận được thông báo như sau:
1 tháng 7 ngày! Đó là cách tốt hơn so với mật khẩu của tôi bị bẻ khóa chỉ trong 1 ngày. Vì vậy, mật khẩu của tôi có gì sai sót? Rõ ràng, nếu mật khẩu của bạn ngắn hơn, thì bạn cần sử dụng nhiều ký hiệu, chữ cái ngẫu nhiên và số để củng cố nó.
Nếu nó dài hơn, như hơn 15 đến 16 ký tự, thì bạn không phải lo lắng về việc thêm tất cả các loại số và ký hiệu. Với mật khẩu dài hơn, bạn có thể sử dụng nhiều từ trong từ điển hơn và nó vẫn rất an toàn. Rõ ràng là một mật khẩu như hellohellohello vẫn sẽ bị bẻ ngay mặc dù nó có 15 ký tự:
Nó hút bởi vì nó sẽ có trong từ điển và nó cùng một từ ba lần. Trong mật khẩu đầu tiên của tôi, bằng mật khẩu “tình yêu của mình với vợ”, câu nói nhanh chóng bắt đầu giống như vô nghĩa với máy tính và không có từ điển bẻ khóa nào có cụm từ 15 ký tự đó như một từ.
Từ điển có các từ trong từ điển miễn là bạn tránh được các từ trong từ điển, bạn sẽ rất tốt để đi. Mật khẩu của tôi có thể còn tuyệt vời hơn nữa nếu tôi sử dụng tên vợ của mình hoặc tên hiệu cho cô ấy thay vì từ chữ “vợ”. Bạn hiểu chưa nè?
Rõ ràng, nếu bạn cũng có thể ném một số ký hiệu vào một mật khẩu dài, thì mật khẩu thậm chí còn trở nên mạnh mẽ hơn. Chẳng hạn, hãy nói rằng tôi đặt một dấu chấm than trước mật khẩu của vợ tôi và thêm một số vào cuối. Sau đó, sẽ mất bao lâu để bẻ khóa với các tùy chọn tương tự:
Bò thiệt! Vì vậy, nó đã thay đổi từ 1 tháng 7 ngày đến một con số khổng lồ 4 thế kỷ và 1 thập kỷ!!! Vâng thế kỷ!! Bây giờ, đó là một mật khẩu an toàn và nó rất khó nhớ.
Vì vậy, hãy kiểm tra mật khẩu của bạn bằng công cụ trực tuyến miễn phí này và nếu mật khẩu của bạn bị bẻ khóa trong một vài ngày, có lẽ đã đến lúc bạn nên nghĩ ra một cái gì đó mới, đặc biệt là đối với thông tin nhạy cảm của bạn như mật khẩu ngân hàng, v.v.
Hãy nhớ, rất nhiều trang web trực tuyến này bị hack mọi lúc, vì vậy mật khẩu của bạn không bao giờ là an toàn tuyệt đối. Tuy nhiên, nếu bạn sử dụng một mật khẩu thực sự mạnh, ngay cả khi mã hóa rất yếu, sẽ phải dùng một siêu máy tính để bẻ khóa mãi mãi!
Nếu bạn đã thử mật khẩu của mình trên trang web trong khi đọc bài đăng này, hãy cho chúng tôi biết bằng cách để lại bình luận rằng sẽ mất bao lâu để bẻ khóa nó. Trải nghiệm nhé!