Chúng ta vẫn thường được khuyên tập thói quen định kỳ đổi mật khẩu để giúp bảo mật tốt hơn cho tài khoản và thiết bị. Thế nhưng, theo nhận xét từ người đứng đầu bộ phận công nghệ thuộc Ủy ban thương mại liên bang Hoa Kỳ (Federal Trade Commission) là Lorrie Cranor thì việc đổi mật khẩu thường xuyên lại hóa ra khiến cho cơ chế bảo mật của người dùng trở nên yếu ớt hơn.
Nhận xét này được bà Cranor đưa ra tại một buổi phát biểu ở hội thảo về bảo mật BSides được tổ chức ở Las Vegas mới đây. Theo đó, bà Cranor cho biết sau khi rời Đại học Carnegie Mellon University để chuyển sang làm việc cho Ủy ban thương mại liên bang Hoa Kỳ (FTC) thì bà trở thành chủ sở hữu của sáu mật khẩu liên quan đến công việc mang tầm vóc chính phủ, đồng thời bà có trách nhiệm thay đổi các mật khẩu mỗi 60 ngày một lần.
Bà Cranor đã trao đổi với các cấp lãnh đạo của Ủy ban cho biết việc thay đổi mật khẩu thường xuyên như vậy thật ra lại có thể khiến giảm sức mạnh của việc bảo mật. Thật ngạc nhiên phải không nào? Sau đây là dẫn chứng mà bà Cranor đưa ra: một báo cáo nghiên cứu năm 2010 do Đại học Bắc Carolina thực hiện với 10.000 tài khoản của trường đã hết hạn sử dụng. Những người chủ tài khoản được yêu cầu đổi mật khẩu của họ mỗi ba tháng một lần, nhưng thay vì đổi thành mật khẩu mới hoàn toàn thì những người chủ tài khoản này lại thường chỉ hoán đổi hoặc thay đổi một chút ít ngay với mật khẩu hiện có của họ. Vì sao lại vậy? Chỉ là để họ dễ nhớ hơn mà thôi.
Lấy ví dụ: mật khẩu nguyên thủy là “Techspot#1” (không đặt trong dấu nháy) sẽ thường được biến đổi thành “tEchspot#1” rồi “teChspo#1” và cứ thế cho các lần thay đổi theo định kỳ tiếp theo. Các nhà nghiên cứu đồng thời chỉ ra rằng các con số thường sẽ được bổ sung thêm vào hoặc tăng lên sau mỗi lần cập nhật mật khẩu "mới".
Với dữ liệu có được ấy, các nhà nghiên cứu đã phát triển một thuật toán cho phép đoán trúng 17% số mật khẩu với thành công ít hơn con số 5 lần được phép nhập mật khẩu sai mà các giao dịch trực tuyến hiện nay vẫn cho phép. Còn khi áp dụng giả lập một cuộc tấn công ngoại mạng với các hệ thống máy tính nhanh và mạnh hơn thì có đến 41% số mật khẩu đã bị phá chỉ trong chưa đầy 3 giây.
Vậy nên, thói quen thay đổi mật khẩu thường xuyên tưởng tốt mà hóa ra gây họa tiềm ẩn, trừ khi người dùng thật sự đổi sang một mật khẩu mới hoàn toàn thay vì chỉ hoán đổi hoặc thêm thắt chút ít vào mật khẩu vốn đã có.
Nguồn Techspot
