Mật Khẩu Của Bạn Không Cần Quá Nhiều Ký Tự Phức Tạp

Posted on by admin_1

Đã đến lúc bạn phải thay đổi mật khẩu của mình một lần nữa — nhưng nếu theo khuyến nghị mới nhất của một cơ quan chính phủ Hoa Kỳ, rất có thể đây sẽ là lần cuối cùng bạn cần làm điều đó.

Sau gần bốn năm nghiên cứu và cập nhật hướng dẫn về cách các tổ chức, doanh nghiệp và cơ quan nên bảo vệ hệ thống và nhân viên của mình, Viện Tiêu Chuẩn và Công Nghệ Quốc Gia Hoa Kỳ (NIST) vừa công bố bộ hướng dẫn mới về việc tạo và quản lý mật khẩu — với nhiều thay đổi mang tính đột phá.

Những quy tắc cũ như buộc người dùng đổi mật khẩu hàng tháng hoặc phải chứa ký tự đặc biệt, số, và chữ in hoa nay đã không còn được khuyến khích. Thay vào đó, NIST cho rằng độ dài mật khẩu mới là yếu tố quyết định chính đến mức độ an toàn. Ngoài ra, các hình thức khôi phục mật khẩu cũ kỹ như “gợi ý mật khẩu” hay câu hỏi bảo mật cơ bản (“Tên thời thơ ấu của bạn là gì?”, “Tên mẹ bạn là gì?”) cũng được loại bỏ hoàn toàn.

Các quy định mới không chỉ ảnh hưởng đến các cơ quan chính phủ mà còn sẽ định hình lại chuẩn bảo mật của nhiều ngành chịu sự quản lý chặt chẽ, nơi mà luật bảo vệ dữ liệu yêu cầu phải tuân theo những tiêu chuẩn an ninh hiện đại và liên tục cập nhật.

Tóm tắt những thay đổi nổi bật trong hướng dẫn mới của NIST:

  •  Bỏ yêu cầu về “độ phức tạp” (ký tự đặc biệt, số, chữ in hoa).

  • Tăng cường độ dài mật khẩu – yếu tố quan trọng nhất.

  •  Không còn đặt lịch thay đổi mật khẩu định kỳ.

  •  Chỉ thay đổi mật khẩu khi có dấu hiệu bị xâm phạm.

  •  Loại bỏ “câu hỏi bảo mật” và “gợi ý mật khẩu”.

  •  Ưu tiên phục hồi thông qua liên kết hoặc mã xác thực gửi qua email, SMS, hoặc ứng dụng.

Dù không bắt buộc đối với tất cả doanh nghiệp, NIST khuyến cáo các doanh nghiệp nhỏ nên áp dụng sớm vì đây là phương pháp đơn giản nhưng hiệu quả để bảo vệ hệ thống và nhân viên khỏi hacker, tội phạm mạng và các cuộc tấn công lừa đảo.

Theo Báo cáo Điều tra Xâm phạm Dữ liệu 2025 của Verizon, “lạm dụng thông tin đăng nhập” — bao gồm trộm mật khẩu và tấn công brute-force — vẫn là phương thức tấn công phổ biến nhất đối với doanh nghiệp nhỏ.

1. Mật khẩu càng dài, càng an toàn

NIST khẳng định: “Độ dài mật khẩu là yếu tố chính quyết định sức mạnh bảo mật”. Tuy nhiên, độ dài cụ thể nên tùy thuộc vào cách mật khẩu được sử dụng.

  • Nếu mật khẩu là hình thức xác thực duy nhất, thì nó nên có ít nhất 15 ký tự.

  • Nếu mật khẩu chỉ là một phần trong xác thực đa yếu tố (MFA), thì có thể ngắn hơn, khoảng 8 ký tự là đủ.

  • Hệ thống nên cho phép người dùng đặt mật khẩu tối đa 64 ký tự để đảm bảo linh hoạt.

2. Không còn tập trung vào “độ phức tạp”

Việc buộc người dùng phải dùng ký tự đặc biệt (&^%$), số và chữ in hoa không thực sự giúp tăng cường bảo mật — ngược lại còn khiến mật khẩu trở nên dễ đoán.

Ví dụ: nếu người dùng định dùng “password”, họ có xu hướng chuyển sang “Password1” hoặc “Password1!” khi bị ép thêm ký tự đặc biệt — và hacker biết điều này.
Vì vậy, thay vì ép buộc “độ phức tạp”, doanh nghiệp nên tập trung tăng độ dài và tính ngẫu nhiên của mật khẩu.

3. Không còn yêu cầu đổi mật khẩu định kỳ

Những năm 2010, nhiều tổ chức thường xuyên thay mật khẩu WiFi hoặc hệ thống mỗi tuần — nhưng điều này sẽ chấm dứt.

Theo NIST, chỉ nên đặt lại mật khẩu khi phát hiện bị rò rỉ hoặc nghi ngờ xâm phạm. Khi đó, tổ chức cần bắt buộc người dùng đổi mật khẩu ngay lập tức.

4. Loại bỏ “gợi ý mật khẩu” và “câu hỏi bảo mật”

Các hình thức khôi phục mật khẩu cũ như “Tên thú cưng đầu tiên?” hay “Thành phố bạn sinh ra?” nay không còn an toàn. Dữ liệu cá nhân của người dùng đã bị rò rỉ quá nhiều trên mạng, khiến hacker dễ dàng đoán hoặc tìm được câu trả lời.

NIST khuyến nghị sử dụng liên kết hoặc mã khôi phục gửi qua email, tin nhắn, cuộc gọi hoặc thậm chí thư giấy (với hệ thống quan trọng).

5. Áp dụng danh sách “blocklist” cho mật khẩu

Một mật khẩu “đủ yêu cầu” chưa chắc đã mạnh. Do đó, NIST đề xuất doanh nghiệp cần xây dựng danh sách cấm (blocklist) gồm:

  • Các mật khẩu từng bị lộ trong các vụ rò rỉ dữ liệu trước đây.

  • Các từ phổ biến trong từ điển (vd: “password”).

  • Tên của dịch vụ hoặc công ty (vd: “companyname123”).

Ví dụ, các mật khẩu như “Password”, “Password1”, “Password1!” phải bị hệ thống từ chối ngay lập tức.

Không chỉ là mật khẩu – mà là nền tảng của an ninh mạng

Việc tăng cường bảo mật mật khẩu chỉ là bước khởi đầu cho chiến lược an ninh mạng toàn diện.
Tội phạm mạng hiện nay không chỉ nhắm vào mật khẩu, mà còn sử dụng malware, ransomware, kỹ thuật phishing và tấn công xã hội để xâm nhập và chiếm quyền điều khiển hệ thống.

Do đó, doanh nghiệp cần kết hợp thêm:

  • Xác thực đa yếu tố (MFA)

  • Giám sát hành vi người dùng (UEBA)

  • Giải pháp chống thất thoát dữ liệu (DLP)

  • Công nghệ phát hiện & phản ứng mối đe dọa (EDR/XDR)

Một hệ thống phòng thủ hiện đại không chỉ bảo vệ mật khẩu — mà bảo vệ toàn bộ vòng đời dữ liệu và quyền truy cập của người dùng, giúp doanh nghiệp đứng vững trước các cuộc tấn công tinh vi như ransomware hay malware có chủ đích.

Post Relate

Tin tức

Các Chiêu Lừa Đảo Dựa Trên AI Đang Nhắm Tới Cuộc Sống Số Của Thế Hệ Gen Z
15 Tháng 10, 2025

Tin tức

Khi Phần Mềm Diệt Virus Bị Tiêm Mã Độc: “Lá Chắn” Hóa Thành Cửa Ngõ Tấn Công
14 Tháng 10, 2025

Tin tức

Ứng Dụng VPN Phát Tán Mã Độc Đánh Cắp Tài Khoản Ngân Hàng
10 Tháng 10, 2025

Tin tức

Hacker Lợi Dụng Các Trang WordPress Để Triển Khai Các Cuộc Tấn Công Lừa Đảo ClickFix Thế Hệ Mới
9 Tháng 10, 2025

Tin tức

Discord Cảnh Báo Người Dùng Sau Khi Dữ Liệu Bị Đánh Cắp Qua Lỗ Hổng Từ Bên Thứ Ba
8 Tháng 10, 2025

Chúng tôi, các chuyên gia về cyber security luôn sẵn sàng đồng hành cùng doanh nghiệp bạn

Chúng tôi tập trung vào các giải pháp Chống mã độc, đặc biệt là dòng mã độc mã hóa dữ liệu tống tiền và giải pháp Chống thất thoát dữ liệu (DLP).

Liên hệ ngay