Công cụ mật khẩu Quay lại trình tạo

Hướng dẫn bảo mật

Có nên sử dụng ký tự đặc biệt trong mật khẩu?

Tìm hiểu khi nào ký tự đặc biệt hữu ích, khi nào gây vấn đề tương thích, và tại sao độ dài cùng tính ngẫu nhiên lại quan trọng hơn độ phức tạp trực quan.

Tóm tắt

Ký tự đặc biệt có thể hữu ích vì chúng tăng số lượng ký tự khả dụng. Chúng không phải là phép màu. Một mật khẩu ngắn với một ký tự đặc biệt dễ đoán vẫn yếu, trong khi một mật khẩu dài ngẫu nhiên không có ký tự đặc biệt có thể mạnh.

Hãy thử các preset có ký tự đặc biệtkhông có ký tự đặc biệt.

Khi nào ký tự đặc biệt hữu ích

Ký tự đặc biệt hữu ích khi trình tạo chọn chúng một cách ngẫu nhiên và dịch vụ chấp nhận chúng. Chúng có thể đáp ứng các quy tắc chính sách mật khẩu và tăng không gian tìm kiếm lý thuyết.

Khi nào ký tự đặc biệt gây hại cho khả năng sử dụng

Ký tự đặc biệt có thể gây ra vấn đề trên các biểu mẫu cũ, bàn phím di động, chuỗi kết nối, shell, tệp cấu hình và khi sao chép thủ công. Nếu một ký tự cần được thoát (escape) hoặc dễ đọc nhầm, nó có thể tạo ra rủi ro vận hành.

Khuyến nghị thực tế

Hướng dẫn chi tiết

Hướng dẫn này tập trung vào việc quyết định liệu ký tự đặc biệt có giúp ích hay gây hại cho chính sách mật khẩu. Nó được viết cho những người làm việc với các dịch vụ yêu cầu hoặc từ chối ký tự đặc biệt, vì vậy mục tiêu thực tế không phải là đưa ra một tuyên bố bảo mật ấn tượng. Mục tiêu là chọn một thói quen mật khẩu có thể tồn tại trong sử dụng hàng ngày: biểu mẫu đăng nhập, trình quản lý mật khẩu, bàn phím di động, khôi phục tài khoản, thiết bị dùng chung và đôi khi là dịch vụ có quy tắc xác thực kỳ lạ. Một khuyến nghị bảo mật chỉ hữu ích nếu một người thực tế có thể tuân theo nó một cách nhất quán.

Điểm khởi đầu an toàn nhất là tính ngẫu nhiên cộng với tính duy nhất. Ngẫu nhiên có nghĩa là giá trị được chọn từ một không gian lớn bởi một nguồn ngẫu nhiên phù hợp về mặt mật mã, không phải được phát minh từ ngày sinh, tên thú cưng, mẫu bàn phím hay câu trích dẫn yêu thích. Duy nhất có nghĩa là cùng một mật khẩu không được sử dụng ở bất kỳ nơi nào khác. Một mật khẩu dài nhưng bị tái sử dụng có thể nhanh chóng bị lộ sau một vụ rò rỉ không liên quan, trong khi một mật khẩu ngẫu nhiên duy nhất giới hạn thiệt hại trong một tài khoản duy nhất nơi nó được sử dụng.

Đối với chủ đề này, một preset thực tế là bật ký tự đặc biệt khi đích đến chấp nhận chúng, với độ dài dài hơn khi chúng bị từ chối. Bạn có thể áp dụng preset đó với trình tạo mật khẩu có ký tự đặc biệt và sau đó lưu giá trị cuối cùng vào một trình quản lý mật khẩu đáng tin cậy. PwdGen tạo giá trị cục bộ trong trình duyệt với Web Crypto; mật khẩu được tạo không được gửi đến máy chủ PwdGen. Thiết kế cục bộ đó giảm thiểu rủi ro phía máy chủ, nhưng nó không bảo vệ khỏi mọi mối đe dọa. Một tiện ích mở rộng trình duyệt độc hại, thiết bị bị xâm phạm, trang lừa đảo hoặc xử lý clipboard không an toàn vẫn có thể làm lộ bí mật sau khi nó được tạo.

Các vấn đề phổ biến nhất cần tránh là đánh giá quá cao một ký tự đặc biệt trong mật khẩu ngắn, vấn đề thoát (escape) trong shell, lỗi xác thực biểu mẫu và lỗi gõ thủ công. Những vấn đề này quan trọng vì kẻ tấn công hiếm khi cần brute-force mọi mật khẩu có thể khi thói quen con người cho chúng một lối tắt. Credential stuffing, lừa đảo, danh sách mật khẩu bị rò rỉ và lạm dụng khôi phục tài khoản thường thực tế hơn một cuộc tìm kiếm toán học thuần túy. Đó là lý do tại sao lời khuyên tốt nhất kết hợp chất lượng mật khẩu với các biện pháp kiểm soát cấp tài khoản như MFA, passkey, lưu trữ mã khôi phục và kiểm tra thường xuyên email hoặc số điện thoại khôi phục.

Sử dụng danh sách kiểm tra này khi áp dụng khuyến nghị:

Nếu một trang web từ chối cài đặt lý tưởng, đừng ép mật khẩu vào một mẫu yếu hơn bằng tay. Điều chỉnh một biến tại một thời điểm. Nếu ký tự đặc biệt bị từ chối, hãy giữ chữ hoa, chữ thường và số được bật và tăng độ dài. Nếu độ dài tối đa thấp, hãy sử dụng độ dài lớn nhất được chấp nhận và đảm bảo giá trị là duy nhất. Nếu mật khẩu phải được đọc to, in ra hoặc gõ trên màn hình TV hoặc bộ định tuyến, hãy cân nhắc loại trừ các ký tự gây nhầm lẫn và tăng độ dài để bù đắp cho bảng chữ cái nhỏ hơn.

Cuối cùng, hãy nhớ ranh giới của lời khuyên về mật khẩu. Một mật khẩu mạnh là một lớp phòng thủ, không phải là sự đảm bảo. Nó không thể làm cho một trang lừa đảo an toàn, sửa phần mềm độc hại hoặc bù đắp cho một dịch vụ lưu trữ thông tin đăng nhập kém. Thói quen hữu ích là nhàm chán nhưng bền vững: tạo một giá trị duy nhất, lưu trữ an toàn, bảo vệ đường dẫn khôi phục và thay thế nhanh chóng nếu bạn nghi ngờ bị lộ.

Một bước tiếp theo an toàn

Sau khi đọc hướng dẫn này, hãy thực hiện một cuộc kiểm tra tài khoản nhỏ thay vì cố gắng sửa mọi thứ cùng một lúc. Chọn tài khoản sẽ gây rắc rối nhất nếu bị chiếm quyền, xác nhận mật khẩu của nó là duy nhất và kiểm tra email khôi phục, số điện thoại khôi phục, phương thức MFA và lưu trữ mã dự phòng. Nếu bất kỳ phần nào của chuỗi đó yếu, hãy cải thiện phần đó trước khi chuyển sang các tài khoản rủi ro thấp hơn. Thứ tự này giữ cho công việc có thể quản lý được và bảo vệ các tài khoản mà kẻ tấn công có nhiều khả năng sử dụng làm bước đệm. Đối với câu hỏi có nên sử dụng ký tự đặc biệt trong mật khẩu không?, kết quả tốt nhất là một thói quen có thể lặp lại: tạo cục bộ, lưu trữ cẩn thận và tránh tái sử dụng.

Các câu hỏi thường gặp

Ký tự đặc biệt có làm mật khẩu mạnh hơn không?

Ký tự đặc biệt có thể tăng kích thước bảng chữ cái khi được chọn ngẫu nhiên, nhưng độ dài và tính duy nhất vẫn quan trọng hơn độ phức tạp trực quan.

Nếu một trang web từ chối ký tự đặc biệt thì sao?

Sử dụng mật khẩu dài hơn không có ký tự đặc biệt và giữ chữ hoa, chữ thường và số được bật nếu được chấp nhận.

Ký tự đặc biệt gây nhầm lẫn có phải là vấn đề không?

Chúng có thể là vấn đề, đặc biệt đối với mật khẩu in ấn, đọc thành tiếng hoặc gõ thủ công. Loại trừ chúng cải thiện khả năng sử dụng nhưng giảm kích thước bảng chữ cái.

Nguồn