Thực hành chọn mật khẩu mạnh

Liệu đã đủ mạnh?

Ở bài viết trước đây, Blog Kiến càng có đề cập đến các biện pháp nên làm để có mật khẩu mạnh và an toàn. Tuy nhiên vẫn chưa có ví dụ minh họa cụ thể từng bước. Và hôm nay, để bù đắp cho thiếu sót đó, chúng ta sẽ tiến hành vài thí nghiệm nhỏ để xem mật khẩu mạnh được tạo như thế nào.

Khi chọn mật khẩu, bạn thường nghĩ về từ/cụm từ/số nào đó có ý nghĩa với bạn, dĩ nhiên điều này sẽ giúp bạn dễ nhớ mật khẩu nhưng nó cũng khiến người khác đoán được nhanh chóng. Chính vì vậy chúng ta cần phải “xào nấu” lại cụm từ mà bạn nghĩ để nó không còn quá đơn giản nữa.

Để thấy được sự thay đổi tương đối về mức độ an toàn của mật khẩu sau mỗi lần biến đổi tôi sử dụng công cụ online https://www.grc.com/haystack.htm – cách làm của công cụ này là nó ước tính thời gian mật khẩu của bạn bị phá dựa trên cách tấn công vét cạn, tức là thử mọi khả năng có thể có của mật khẩu – bây giờ chúng ta bắt đầu nhé…

Giả dụ bạn nghĩ về cụm từ muathu – có thể đó là mùa bạn thích…

Trước tiên là đánh giá độ mạnh của mật khẩu muathu:

Thời gian phá pass của mật khẩu muathu
  • Với kịch bản tấn công online với tốc độ 1000 mật khẩu được đoán/1 giây thì mất 3.72 ngày để tìm ra mật khẩu muathu
  • Với kịch bản tấn công offline với thiết bị có tốc độ 100 tỷ tính toán/ 1 giây thì mất chưa đến 1/100 giây để tìm ra mật khẩu muathu
  • Còn với thiết bị tấn công siêu khủng (của các siêu hacker) thì con số thời gian giảm xuống còn vài phần triệu giây!

Giờ hãy xem chúng ta có thể làm gì…

Bước 1: Thêm số vào mật khẩu – bạn có thể thêm con số nào đó có ý nghĩa với bạn, tôi giả dụ đó là số 2009, vậy bạn có mật khẩu muathu2009

Độ mạnh:

Thời gian phá pass của mật khẩu muathu2009
Giờ sẽ mất khoảng 10 tiếng 25 phút nếu tấn công offline trên thiết bị thông thường
và 37.61 giây với thiết bị khủng

Bước 2: Thêm ký tự đặc biệt vào mật khẩu – ví dụ chúng thêm ký đặc biệt $ vào và để là $muathu2009

Độ mạnh:

Thời gian phá pass của mật khẩu $muathu2009
Giờ thiết bị khủng nhất cũng phải mất gần 3 tuần

Bước 3: Ngắt từ ghép – nếu bạn để từ ghép muathu, người khác dễ đoán ra do vậy thay vì để nó liền mạch ta hãy ngắt nó, và có thể đẩy ký tự đặc biệt chèn vào giữa – và giờ mật khẩu là mua$thu2009

Độ mạnh: Tương tự bước 2 (nếu là máy phá pass thì tương tự, còn nếu là người phá pass thì bước 3 có độ mạnh tốt hơn)

Bước 4: Biến ký tự thành chữ hoa – các chữ cái trong mật khẩu hiện đều là chữ thường, tôi sẽ biến các chữ U thành chữ hoa, vậy ta có mật khẩu là mUa$thU2009

Độ mạnh:

Thời gian phá pass của mật khẩu mUa$thU2009
Giờ đã tăng thêm đến 1.83 năm

Bước 5: Tự sáng tạo: giả dụ có thế thay chữ a thành @, số 0 thành chữ o, số 5 thành chữ S hay ngược lại…

Và có thể đây là kết quả: mU@$thU2009, hoặc $mu@2009thU, hoặc $2oo9mu@thu

Độ mạnh: tương tự bước 4 (ở phần này có thể bạn không tạo ra được mật khẩu có độ mạnh lớn hơn bước trước nhưng sẽ có được ưu điểm là dễ nhớ hơn).

Bước 6: Các mật khẩu ở nơi khác có thể có cấu trúc tương tự nhưng được thêm những ký tự riêng – điều này vừa giúp bạn có được nhiều mật khẩu khó đoán nhưng dễ quản lý (vì cùng cấu trúc) đồng thời tránh được tình trạng sử dụng chung mật khẩu cho nhiều tài khoản khác nhau.

Các ký tự đặc biệt có khá nhiều trên bàn phím gồm: !, @, #, $, %, ^, &, *, -, /, ?… bạn có thể tùy ý lựa chọn, đa số các dịch vụ đều cho phép thêm ký tự lạ vào mật khẩu.

Bước quan trọng nhất chính là bước 5, nơi bạn tự do sáng tạo ra các mật khẩu độc đáo, khó đoán nhưng lại gần gũi với bản thân bởi vì chỉ có thế bạn mới nhớ lâu và cảm thấy thuận tiện mỗi khi gõ mật khẩu.

Một mẹo nhỏ để xem mật khẩu có ổn không đó là thử tìm kiếm từ đó trên Google, nếu có trên 1000 kết quả cho tìm kiếm chính xác từ khóa thì mật khẩu đó không tốt.

Mật khẩu không mạnh
Có trên 1000 kết quả tìm thấy được cho mật khẩu này

Ngược lại càng ít kết quả thì càng tốt, nếu bạn chọn mật khẩu đủ mạnh, thậm chí sẽ không có bất kỳ kết quả tìm kiếm nào:

Tìm thử mật khẩu trên Google

Cuối cùng đừng chọn bất cứ mật khẩu nào được công khai ở trên (mU@$thU2009, hoặc $mu@2009thU, hoặc $2oo9mu@thu) làm mật khẩu của bạn!!! vì dù nó mạnh nhưng nó đã được viết ra và mọi người đều có thể đọc – chính vì thế nó không còn ý nghĩa nữa.

Chúc bạn tự chọn được mật khẩu mạnh cho riêng mình.

Bonus:

Những lưu ý dưới đây không có gì to tát nhưng lại quan trọng giúp chúng ta tránh tình trạng dở khóc dở cười khi chọn mật khẩu.

Thứ nhất khi nhập mật khẩu hãy đảm bảo phím CAPSLOCK không được nhấn. Nếu không có thể chúng ta sẽ mất hàng tiếng đồng hồ gõ đi gõ lại mà vẫn không hiểu vì sao không thể truy cập vào tài khoản. Phím CAPSLOCK khi được bật sẽ tạo ra các chữ IN HOA.

Thứ hai, hãy tắt công cụ gõ tiếng Việt. Nhiều mật khẩu sẽ bị thêm dấu hoặc biến đổi nếu bạn để tiếng Việt trong khi chủ đích của bạn thì không như thế. Khi bạn gõ, trên màn hình chỉ là các dấu * nên bạn sẽ không biết mình gõ sai hay đúng.
Thứ ba, nếu bạn đăng ký mật khẩu tại nhà riêng và chẳng có ai đang nhòm ngó thì hãy gõ mật khẩu trên notepad để chắc chắn là mật khẩu bạn gõ đã đúng với ý định, sau đó copy nó đưa vào trường mật khẩu.

Leave a Comment