Hướng dẫn bảo mật

Mật khẩu (Password) so với Cụm mật khẩu (Passphrase)

So sánh mật khẩu ký tự ngẫu nhiên và cụm mật khẩu từ ngẫu nhiên, bao gồm khả năng ghi nhớ, entropy, lưu trữ và các trường hợp sử dụng an toàn.

Tóm tắt

Mật khẩu (password) thường là một chuỗi ký tự ngẫu nhiên. Cụm mật khẩu (passphrase) thường là một chuỗi các từ. Cả hai đều có thể mạnh nếu được tạo ngẫu nhiên, duy nhất và được lưu trữ hoặc ghi nhớ an toàn. Lựa chọn đúng phụ thuộc vào việc bạn cần sự nhỏ gọn tối đa, dễ gõ hay dễ nhớ.

Sử dụng trình tạo cụm mật khẩu khi bạn muốn các từ ngẫu nhiên, hoặc trình tạo mật khẩu khi một trang web yêu cầu mật khẩu ký tự nhỏ gọn.

Mật khẩu ký tự ngẫu nhiên

Mật khẩu ký tự ngẫu nhiên rất hiệu quả: mỗi ký tự có thể mở rộng không gian tìm kiếm. Chúng lý tưởng cho trình quản lý mật khẩu, bảng quản trị, WiFi, ngân hàng, email và các bí mật của nhà phát triển. Nhược điểm là chúng khó nhớ và khó gõ trên bàn phím nhỏ.

Cụm mật khẩu từ ngẫu nhiên

Cụm mật khẩu dễ đọc và gõ hơn. Từ quan trọng là “ngẫu nhiên”. Một câu bạn tự nghĩ ra, một câu trích dẫn, lời bài hát hoặc một cụm từ quen thuộc có thể bị đoán bởi các công cụ dựa trên mẫu. Một cụm mật khẩu nên được tạo từ các từ được chọn độc lập từ một danh sách đủ lớn.

Khuyến nghị thực tế

• Sử dụng mật khẩu ký tự ngẫu nhiên cho hầu hết các tài khoản được lưu trong trình quản lý.
• Sử dụng cụm mật khẩu cho các thông tin đăng nhập bạn có thể cần nhớ.
• Không tái sử dụng bất kỳ định dạng nào.
• Tránh các cụm từ cá nhân, trích dẫn, tên và ngày tháng.
• Kiểm tra xem khoảng trắng hoặc dấu phân cách có được chấp nhận bởi trang đích hay không.

Hướng dẫn chi tiết

Hướng dẫn này tập trung vào việc quyết định giữa mật khẩu ký tự ngẫu nhiên và cụm mật khẩu ngẫu nhiên. Nó được viết cho những người cần cả mật khẩu lưu trữ an toàn và bí mật đăng nhập dễ nhớ, vì vậy mục tiêu thực tế không phải là tạo ra một tuyên bố bảo mật ấn tượng. Mục tiêu là chọn một thói quen mật khẩu có thể tồn tại trong sử dụng hàng ngày: biểu mẫu đăng nhập, trình quản lý mật khẩu, bàn phím di động, khôi phục tài khoản, thiết bị dùng chung và đôi khi là dịch vụ có quy tắc xác thực kỳ lạ. Một khuyến nghị an toàn chỉ hữu ích nếu một người thực sự có thể tuân theo nó một cách nhất quán.

Điểm khởi đầu an toàn nhất là tính ngẫu nhiên cộng với tính duy nhất. Ngẫu nhiên có nghĩa là giá trị được chọn từ một không gian lớn bởi một nguồn ngẫu nhiên phù hợp về mặt mật mã, không phải được phát minh từ ngày sinh, tên thú cưng, mẫu bàn phím hoặc câu trích dẫn yêu thích. Duy nhất có nghĩa là cùng một mật khẩu không được sử dụng ở bất kỳ nơi nào khác. Một mật khẩu dài nhưng bị tái sử dụng có thể thất bại nhanh chóng sau một vụ rò rỉ không liên quan, trong khi một mật khẩu ngẫu nhiên duy nhất giới hạn thiệt hại cho tài khoản duy nhất nơi nó được sử dụng.

Đối với chủ đề này, một thiết lập thực tế là bốn đến sáu từ ngẫu nhiên để dễ nhớ, hoặc các ký tự ngẫu nhiên để lưu trữ trong trình quản lý mật khẩu. Bạn có thể áp dụng thiết lập đó với trình tạo cụm mật khẩu và sau đó lưu giá trị cuối cùng vào một trình quản lý mật khẩu đáng tin cậy. PwdGen tạo giá trị cục bộ trong trình duyệt với Web Crypto; mật khẩu được tạo không được gửi đến máy chủ PwdGen. Thiết kế cục bộ đó giảm thiểu rủi ro phía máy chủ, nhưng nó không bảo vệ khỏi mọi mối đe dọa. Một tiện ích mở rộng trình duyệt độc hại, thiết bị bị xâm phạm, trang lừa đảo hoặc xử lý clipboard không an toàn vẫn có thể làm lộ bí mật sau khi nó được tạo.

Các vấn đề phổ biến nhất cần tránh là các cụm từ viết tay, trích dẫn nổi tiếng, lời bài hát, khẩu hiệu cá nhân và các cụm từ từ điển do con người chọn. Những vấn đề này quan trọng vì kẻ tấn công hiếm khi cần brute-force mọi mật khẩu có thể khi thói quen của con người cho chúng một lối tắt. Credential stuffing, phishing, danh sách mật khẩu bị rò rỉ và lạm dụng khôi phục tài khoản thường thực tế hơn là một cuộc tìm kiếm toán học thuần túy. Đó là lý do tại sao lời khuyên tốt nhất kết hợp chất lượng mật khẩu với các biện pháp kiểm soát cấp tài khoản như MFA, passkey, lưu trữ mã khôi phục và xem xét thường xuyên cài đặt email hoặc điện thoại khôi phục.

Sử dụng danh sách kiểm tra này khi áp dụng khuyến nghị:

• Sử dụng các từ được chọn ngẫu nhiên, không phải câu bạn tự nghĩ ra.
• Giữ dấu phân cách nhất quán với biểu mẫu đích.
• Không tái sử dụng cụm mật khẩu qua các tài khoản.
• Sử dụng trình quản lý cho mật khẩu ngẫu nhiên dài.

Nếu một trang web từ chối cài đặt lý tưởng, đừng ép mật khẩu vào một mẫu yếu hơn bằng tay. Điều chỉnh một biến tại một thời điểm. Nếu ký tự đặc biệt bị từ chối, hãy bật chữ hoa, chữ thường và số và tăng độ dài. Nếu độ dài tối đa thấp, hãy sử dụng độ dài được chấp nhận lớn nhất và đảm bảo giá trị là duy nhất. Nếu mật khẩu phải được đọc to, in ra hoặc gõ trên màn hình tivi hoặc bộ định tuyến, hãy cân nhắc loại trừ các ký tự dễ nhầm lẫn và tăng độ dài để bù đắp cho bảng chữ cái nhỏ hơn.

Cuối cùng, hãy nhớ ranh giới của lời khuyên về mật khẩu. Một mật khẩu mạnh là một lớp bảo vệ, không phải là sự đảm bảo. Nó không thể làm cho một trang lừa đảo an toàn, sửa phần mềm độc hại hoặc bù đắp cho một dịch vụ lưu trữ thông tin đăng nhập kém. Thói quen hữu ích là nhàm chán nhưng bền bỉ: tạo một giá trị duy nhất, lưu trữ an toàn, bảo vệ đường dẫn khôi phục và thay thế nhanh chóng nếu bạn nghi ngờ bị lộ.

Các câu hỏi thường gặp

Cụm mật khẩu có luôn mạnh hơn mật khẩu không?

Không. Một cụm mật khẩu ngẫu nhiên có thể mạnh, nhưng một câu trích dẫn hoặc câu quen thuộc không tương đương với các từ được chọn ngẫu nhiên.

Khi nào tôi nên chọn cụm mật khẩu?

Chọn cụm mật khẩu khi bạn có thể cần nhớ hoặc gõ thủ công, đặc biệt là cho thông tin đăng nhập chính của trình quản lý mật khẩu.

Cụm mật khẩu nên có bao nhiêu từ?

Bốn từ ngẫu nhiên là điểm khởi đầu thực tế; thêm nhiều từ hơn cho các mục đích sử dụng giá trị cao hơn hoặc danh sách từ nhỏ hơn.