Tập tin tạo mật khẩu

Entropi theo độ dài và tập ký tự

Ý nghĩa của entropy trong thực tế

• 40 bit — có thể bị phá khóa trong vòng vài ngày chỉ với một GPU hiện đại; phù hợp cho các tài khoản dùng một lần.
• 60 bit: có khả năng chống lại các cuộc tấn công trực tuyến nhưng dễ bị phá khóa khi sử dụng phương pháp crack ngoại tuyến chuyên biệt.
• 80 bit – có khả năng chống lại việc phá khóa ngoại tuyến trên phần cứng hiện tại một cách hiệu quả.
• 100 bit – về cơ bản không thể bị phá khóa cho đến khi công nghệ tính toán lượng tử phát triển đầy đủ.
• 128 bit — tương ứng với độ mạnh khóa của AES-128.

Đối với hầu hết các tài khoản trực tuyến, 16 ký tự trong bộ ký tự đầy đủ (105 bit) đã hoàn toàn đủ. Các tài khoản ngân hàng, công cụ quản lý mật khẩu và ví tiền mã hóa cần từ 20 ký tự trở lên.

Vì sao các lớp nhân vật quan trọng

Mỗi lớp bổ sung thêm các tùy chọn cho từng ký tự. Với 26 chữ cái thường, mỗi ký tự chiếm 2^log₂(26) = 4,7 bit. Nếu thêm chữ hoa thì số ký tự tăng lên 52 và mỗi ký tự chiếm 5,7 bit; thêm chữ số là 62 ký tự với 5,95 bit; thêm ký hiệu thì đạt 94 ký tự và 6,55 bit. Khi số lượng ký tự vượt quá 16, sự chênh lệch này tích lũy lên khoảng 30 bit – chính là ranh giới giữa việc có thể “vỡ mã” và việc không đáng để thử.

Khi nào nên loại bỏ các ký tự mơ hồ

Nếu mật khẩu được nhập từ màn hình vào thiết bị mà không có đường dẫn sao chép–dán – như các trình cài đặt trên máy console, một số ví phần cứng hoặc người dùng lớn tuổi đọc mật khẩu bằng giọng nói – thì việc loại trừ các mã 0, O, 1, l và I sẽ giúp ngăn ngừa các lỗi ghi chép. Chi phí entropy cực kỳ thấp (chỉ khoảng 2–3 bit trong tổng số hơn 80 bit).

Quy trình làm việc của quản lý mật khẩu

1. Cài đặt công cụ quản lý mật khẩu (Bitwarden, 1Password, KeePass).
2. Thiết lập một khẩu hiệu chính mạnh mẽ (gồm 6–8 từ ngẫu nhiên – xem công cụ tạo khẩu hiệu).
3. Sử dụng bộ tạo của quản trị viên cho mỗi trang web, đồng thời áp dụng các thiết lập mặc định mạnh.
4. Không bao giờ sử dụng lại mật khẩu trên các trang web khác nhau, kể cả những mật khẩu tạm thời.
5. Khởi động hai yếu tố xác thực (2FA) trên mọi thiết bị hỗ trợ tính năng này.

Các mật khẩu được nhập thủ công nên rất hiếm gặp – chỉ nên dùng cho tài khoản quản trị viên chính, chức năng mã hóa toàn bộ đĩa, và có thể là thông tin đăng nhập máy tính làm việc của bạn.

Những điều không giúp ích

– Thay đổi mỗi 90 ngày một lần. Việc xoay bắt buộc sẽ thúc đẩy sự hình thành các mẫu tuần hoàn có thể dự đoán được (Mùa hè 2024 → Mùa thu 2024). Tiêu chuẩn NIST SP 800-63B rõ ràng khuyến cáo không nên áp dụng phương pháp này. – Viết lại mật khẩu trên giấy và lưu trong ví điện tử: An toàn hơn so với việc sử dụng lại các mật khẩu yếu, nhưng kém hiệu quả hơn so với công cụ quản lý mật khẩu. – Các câu hỏi bảo mật kèm theo đáp án thật. Đối với hầu hết mọi người, “Trường học đầu tiên” chỉ cần tìm trên Google là có thể tra cứu được. Tạo các đáp án giả ngẫu nhiên và lưu chúng vào hệ thống quản lý của bạn.