Lời khuyên về mật khẩu đã không thay đổi trong nhiều thập kỷ: hãy sử dụng mật khẩu phức tạp với chữ hoa, chữ thường, số và ký hiệu. Ý tưởng là để khiến mật khẩu khó bị tin tặc bẻ khóa thông qua các phương pháp brute force. Tuy nhiên, hướng dẫn gần đây cho thấy trọng tâm của chúng ta nên là độ dài mật khẩu, thay vì độ phức tạp. Độ dài là yếu tố bảo mật quan trọng hơn, và cụm mật khẩu (passphrase) là cách đơn giản nhất để người dùng tạo (và ghi nhớ!) các mật khẩu dài hơn.
Toán học đằng sau
Khi kẻ tấn công đánh cắp các bản băm (hashes) mật khẩu từ một vụ breach, chúng thực hiện brute-force bằng cách băm hàng triệu phỏng đoán mỗi giây cho đến khi tìm thấy sự trùng khớp. Thời gian này phụ thuộc vào một yếu tố: có bao nhiêu sự kết hợp có thể có.
Một mật khẩu "phức tạp" truyền thống gồm 8 ký tự (P@ssw0rd!) cung cấp khoảng 218 nghìn tỷ sự kết hợp. Nghe có vẻ ấn tượng cho đến khi bạn nhận ra các hệ thống GPU hiện đại có thể kiểm tra các sự kết hợp đó trong vài tháng, không phải vài năm. Tăng lên 16 ký tự chỉ sử dụng chữ cái viết thường, bạn sẽ có 26^16 sự kết hợp, khó bẻ khóa hơn hàng tỷ lần.
Đây là hiệu quả entropy: sự ngẫu nhiên thực tế mà kẻ tấn công phải vượt qua. Ba hoặc bốn từ thông dụng ngẫu nhiên được ghép lại với nhau ("carpet-static-pretzel-invoke") mang lại entropy lớn hơn nhiều so với việc nhồi nhét các ký hiệu vào các chuỗi ngắn. Và người dùng thực sự có thể ghi nhớ chúng.
Tại sao cụm mật khẩu thắng thế trên mọi mặt
Lợi ích của cụm mật khẩu không chỉ là lý thuyết, mà còn mang tính thực tiễn:
Ít phải đặt lại hơn. Khi mật khẩu dễ nhớ, người dùng sẽ ngừng viết chúng lên Post-it note hoặc tái sử dụng các biến thể tương tự trên các tài khoản. Số lượng yêu cầu hỗ trợ từ helpdesk của bạn sẽ giảm, điều này riêng nó đã đủ để biện minh cho sự thay đổi.
Khả năng chống tấn công tốt hơn. Kẻ tấn công tối ưu hóa theo các mẫu. Chúng kiểm tra các từ trong từ điển với các ký tự thay thế phổ biến (@ cho a, 0 cho o) vì đó là những gì mọi người thường làm. Một cụm mật khẩu bốn từ hoàn toàn bỏ qua các mẫu này – nhưng chỉ khi các từ thực sự ngẫu nhiên và không liên quan.
Phù hợp với hướng dẫn hiện tại. NIST đã nói rõ: ưu tiên độ dài hơn độ phức tạp bắt buộc. Mức tối thiểu 8 ký tự truyền thống thực sự nên thuộc về quá khứ.
Một quy tắc đáng tuân theo
Ngừng quản lý 47 yêu cầu mật khẩu. Hãy cung cấp cho người dùng một hướng dẫn rõ ràng:
Chọn 3-4 từ thông dụng không liên quan + một ký tự phân tách. Tránh lời bài hát, tên riêng hoặc các cụm từ nổi tiếng. Không bao giờ tái sử dụng trên các tài khoản.
Ví dụ: mango-glacier-laptop-furnace hoặc cricket.highway.mustard.piano
Chỉ vậy thôi. Không bắt buộc chữ in hoa, không yêu cầu ký hiệu, không phức tạp hóa. Chỉ cần độ dài và tính ngẫu nhiên.
Triển khai mà không gây hỗn loạn
Những thay đổi đối với xác thực có thể gây ra sự phản kháng. Dưới đây là cách để giảm thiểu ma sát:
Bắt đầu với một nhóm thí điểm, chọn 50-100 người dùng từ các phòng ban khác nhau. Cung cấp cho họ hướng dẫn mới và theo dõi (nhưng không thực thi) trong hai tuần. Quan sát các mẫu: Người dùng có đang mặc định sử dụng các cụm từ từ văn hóa đại chúng không? Họ có đáp ứng yêu cầu độ dài tối thiểu một cách nhất quán không?
Sau đó chuyển sang chế độ chỉ cảnh báo (warn-only mode) trên toàn tổ chức. Người dùng sẽ thấy cảnh báo khi cụm mật khẩu mới của họ yếu hoặc đã bị lộ, nhưng họ không bị chặn. Điều này xây dựng nhận thức mà không tạo ra tắc nghẽn hỗ trợ.
Chỉ thực thi sau khi bạn đã đo lường:
- Tỷ lệ chấp nhận cụm mật khẩu
- Giảm yêu cầu đặt lại tại helpdesk
- Số lần bị chặn do mật khẩu nằm trong blocklist
- Các điểm khó khăn do người dùng báo cáo
Theo dõi các chỉ số này như các KPI. Chúng sẽ cho bạn biết liệu chính sách này có hiệu quả hơn chính sách cũ hay không.
Giữ vững chính sách với các công cụ phù hợp
Chính sách mật khẩu Active Directory của bạn cần ba cập nhật để hỗ trợ cụm mật khẩu đúng cách:
- Tăng độ dài tối thiểu. Chuyển từ 8 lên 14+ ký tự. Điều này phù hợp với cụm mật khẩu mà không gây vấn đề cho những người dùng vẫn thích mật khẩu truyền thống.
- Bỏ các kiểm tra độ phức tạp bắt buộc. Ngừng yêu cầu chữ hoa, số và ký hiệu. Độ dài mang lại bảo mật tốt hơn với ít ma sát cho người dùng hơn.
- Chặn các thông tin xác thực bị lộ. Điều này là không thể bỏ qua. Ngay cả cụm mật khẩu mạnh nhất cũng không giúp ích gì nếu nó đã bị rò rỉ trong một vụ breach. Chính sách của bạn nên kiểm tra các mật khẩu được gửi chống lại danh sách bị lộ đã biết trong thời gian thực.
Self-service password reset (SSPR) có thể giúp trong quá trình chuyển đổi. Người dùng có thể cập nhật thông tin xác thực một cách an toàn vào thời gian của riêng họ, và helpdesk của bạn không nên là điểm tắc nghẽn.
Kiểm tra mật khẩu (Password auditing) giúp bạn có cái nhìn rõ ràng về tỷ lệ chấp nhận. Bạn có thể xác định các tài khoản vẫn đang sử dụng mật khẩu ngắn hoặc các mẫu phổ biến, sau đó hướng dẫn thêm cho những người dùng đó.
Các công cụ như Specops Password Policy xử lý cả ba chức năng: mở rộng các yêu cầu tối thiểu của chính sách, chặn hơn 4 tỷ mật khẩu bị lộ và tích hợp với các quy trình SSPR. Các cập nhật chính sách đồng bộ hóa với Active Directory và Azure AD mà không cần thêm cơ sở hạ tầng, và blocklist được cập nhật hàng ngày khi các vụ breach mới xuất hiện.
Điều này trông như thế nào trong thực tế
Hãy tưởng tượng chính sách của bạn yêu cầu 15 ký tự nhưng loại bỏ tất cả các quy tắc phức tạp. Một người dùng tạo umbrella-coaster-fountain-sketch trong lần thay đổi mật khẩu tiếp theo của họ. Một công cụ như Specops Password Policy kiểm tra nó với cơ sở dữ liệu mật khẩu bị lộ – nó sạch. Người dùng ghi nhớ nó mà không cần trình quản lý mật khẩu vì nó là bốn hình ảnh cụ thể được liên kết với nhau. Họ không tái sử dụng nó vì họ biết nó dành riêng cho tài khoản này.
Sáu tháng sau, không có yêu cầu đặt lại. Không có Post-it note và không có cuộc gọi đến helpdesk vì họ đã gõ nhầm một ký hiệu. Không có gì cách mạng – chỉ đơn giản và hiệu quả.
Bảo mật bạn thực sự cần
Cụm mật khẩu không phải là viên đạn bạc. MFA vẫn quan trọng. Theo dõi thông tin xác thực bị lộ vẫn quan trọng. Nhưng nếu bạn đang dành nguồn lực cho các thay đổi chính sách mật khẩu, đây là nơi bạn nên đầu tư: độ dài tối thiểu lớn hơn, quy tắc đơn giản hơn và bảo vệ thực sự chống lại các thông tin xác thực bị lộ.
Kẻ tấn công vẫn đánh cắp các bản băm (hashes) và thực hiện brute-force chúng ngoại tuyến. Điều đã thay đổi là sự hiểu biết của chúng ta về những gì thực sự làm chậm chúng, vì vậy chính sách mật khẩu tiếp theo của bạn nên phản ánh điều đó. Bạn muốn thử không? Đặt lịch demo trực tiếp Specops Password Policy.
