Chúng ta có nên thay mật khẩu thường xuyên hay không?
Có thể nói rằng “Hãy thay đổi mật khẩu thường xuyên” là một trong số những lời khuyên rất hay gặp. Liệu bạn, một người dùng bình thường, có thực sự cần phải thay đổi mật khẩu thường xuyên hay không?
Nói ngắn gọn, câu trả lời sẽ là “không”. Việc ép buộc người dùng thay đổi mật khẩu quá thường xuyên sẽ gây phản tác dụng, do họ sẽ sử dụng các mật khẩu yếu hơn và do đó không chỉ lãng phí thời gian mà còn làm giảm mức độ bảo mật của hệ thống.
Hiển nhiên, trong một số trường hợp, bạn sẽ nên và cần phải đổi mật khẩu thường xuyên. Song, đây chỉ là các trường hợp chiếm số ít: chúng là một số ngoại lệ đặc biệt chứ không phải là một luật lệ nên áp dụng thường xuyên.
Suy nghĩ thông thường về việc thay đổi mật khẩu thường xuyên
Về mặt lý thuyết, hành động thay đổi mật khẩu thường xuyên là một suy nghĩ hợp lý. Việc thay đổi mật khẩu thường xuyên sẽ đảm bảo rằng những người đã đánh cắp được mật khẩu của bạn sẽ không thể tiếp tục theo dõi bạn trong một thời gian dài.
Ví dụ, nếu ai đó đã lấy cắp được mật khẩu email của bạn, họ có thể dùng mật khẩu này nhằm đánh cắp các thông tin mật trong các cuộc hội thoại của bạn. Nếu bạn vô tình để lộ mật khẩu Internet Banking, ai đó có thể chờ đợi một thời gian rồi mới thực hiện giao dịch trái phép trên tài khoản ngân hàng của bạn. Nếu ai đó lấy được mật khẩu Facebook của bạn, họ sẽ nắm giữ được rất nhiều thông tin cá nhân của bạn khi theo dõi trong một thời gian dài.
Do đó, việc đổi mật khẩu thường xuyên sẽ giúp đảm bảo các trường hợp này không bao giờ xảy ra, hoặc giảm thiểu tác hại của chúng. Nếu như kẻ xấu thực sự chiếm được mật khẩu của bạn, khung thời gian để cho chúng thực hiện hành vi xấu cũng chỉ là vài tuần lễ mà thôi.
Tác hại ít ai nhận ra
Như đã nói ở trên, việc đổi mật khẩu thường xuyên là một hành động nên thực hiện về mặt lý thuyết. Cụ thể hơn, nếu con người có trí nhớ vô hạn, chúng ta nên đổi mật khẩu càng thường xuyên càng tốt. Nhưng trong thực tế, việc bị ép phải đổi mật khẩu quá nhiều sẽ tạo ra một gánh nặng có hại.
Việc đổi mật khẩu quá thường xuyên sẽ khiến bạn khó có thể nhớ được các mật khẩu mạnh (độ mạnh của mật khẩu được đánh giá dựa trên mức độ phức tạp và khó nhớ). Thay vì tập trung nghĩ ra một vài mật khẩu mạnh hết mức có thể, cứ vài tháng một lần bạn sẽ phải nhớ một mật khẩu mới. Điều này tạo ra tâm lý đối phó ở người dùng: một vài người thay đổi mật khẩu bằng cách đánh số ở phía sau. Do đó, khi buộc phải thay đổi mật khẩu “password1”, họ sẽ sử dụng “password2” và “password3”.
Hơn nữa, người dùng còn cần phải sử dụng các mật khẩu khác nhau cho các tài khoản khác nhau. Đây là một nguyên tắc tuyệt đối không thể bỏ qua, do số vụ rò rỉ mật khẩu trong thời gian vừa qua đã gia tăng rất nhiều. Song, mỗi người dùng đều đang sử dụng rất nhiều dịch vụ khác nhau. Việc buộc phải thay đổi mật khẩu thường xuyên và ghi nhớ 5 – 10 mật khẩu mạnh (khác nhau) cùng lúc là không thể.
Đó là một trong những lý do người dùng nên sử dụng các ứng dụng quản lý mật khẩu như LastPass hoặc KeePass. Trong bất kỳ trường hợp nào, nếu bạn đặt nguyên tắc thay đổi mật khẩu quá thường xuyên, bạn gần như chắc chắn sẽ chuyển sang sử dụng các mật khẩu yếu và tái sử dụng chúng trên nhiều dịch vụ mạng. So với nguyên tắc thay mật khẩu thường xuyên, việc sử dụng nhiều mật khẩu mạnh và độc nhất cho từng trang web, mạng xã hội, dịch vụ trực tuyến… còn quan trọng hơn gấp nhiều lần.
Vì sao đổi mật khẩu sẽ KHÔNG có ích trong nhiều trường hợp
Việc thay đổi mật khẩu thường xuyên không có nhiều lợi ích về mặt thực tế. Thay đổi mật khẩu sẽ giúp giảm khung thời gian mà hacker có thể dùng để tấn công bạn, song một khi kẻ xấu đã nắm được mật khẩu của bạn, chúng sẽ gây hại ngay lập tức.
Hiện tại, tội phạm số hoạt động chủ yếu với mục tiêu kinh tế. Chúng sẽ không có động lực nào để giữ quyền kiểm soát tài khoản của bạn trong một thời gian dài. Hành động này là hoàn toàn không có lợi về mặt kinh tế. Do đó, một khi đã chiếm được tài khoản ngân hàng, hacker sẽ ngay lập tức tìm cách rút tiền. Khi chiếm được tài khoản thương mại điện tử, chúng sẽ dùng tài khoản này để mua hàng. Tài khoản email sẽ được sử dụng để chiếm tài khoản trên các dịch vụ khác, còn tài khoản Facebook sẽ bị dùng để lừa đảo bạn bè của nạn nhân.
Nhìn từ góc độ hacker, thay đổi mật khẩu thường xuyên chỉ thực sự có ích trong trường hợp bạn sử dụng chung một mật khẩu cho nhiều trang web. Do số lượng các vụ rò rỉ mật khẩu đang gia tăng chóng mặt trong thời gian gần đây, việc đổi mật khẩu sau khi một dịch vụ lớn bị tấn công có thể giúp bảo vệ cho các tài khoản khác của bạn khi hacker chưa kịp mò tới các tài khoản này. Song, đây cũng không phải là cách giải quyết tối ưu. Thay vì tiếp tục sử dụng mật khẩu đồng nhất cho nhiều dịch vụ, hãy sử dụng các mật khẩu riêng biệt trên email, Facebook, ngân hàng trực tuyến…
Khi nào thì việc thay đổi mật khẩu thường xuyên sẽ có lợi?
Thay đổi mật khẩu chỉ thực sự có lợi trong trường hợp kẻ đã chiếm quyền tài khoản của bạn không phải là một hacker chuyên nghiệp/có hiểu biết kỹ thuật. Ví dụ, giả sử bạn vô tình để lộ mật khẩu Facebook hoặc email tới một người bạn, người này có thể sử dụng mật khẩu nói trên để lén theo dõi bạn. Hành động thay đổi mật khẩu sẽ chỉ giúp bạn tránh được các trường hợp theo dõi, sử dụng tài khoản “chùa” kiểu này. Với các hacker chuyên nghiệp, hành động thay đổi mật khẩu sẽ không giúp bảo vệ bạn tốt hơn chút nào hết.
Một số công ty yêu cầu bảo mật cao sẽ đòi hỏi thay đổi mật khẩu thường xuyên, song chính sách này cần được xem xét cần thận. Các admin của hệ thống IT không nên ép buộc người dùng thay đổi mật khẩu quá thường xuyên, bởi người dùng rất có thể sẽ chuyển sang sử dụng mật khẩu yếu, hoặc ghi chú mật khẩu ra ngoài cho dễ nhớ, hoặc thậm chí là chuyển đổi giữa 2 hoặc 3 mật khẩu quen dùng.
Trường hợp cần phải thay đổi mật khẩu nhất là khi các vụ rò rỉ mật khẩu xảy ra. Khi một dịch vụ mà bạn sử dụng để lộ mật khẩu hoặc bị tấn công số, bạn cần thiết phải thay đổi mật khẩu của mình sau khi đợt tấn công đã bị ngăn chặn hoặc một bản vá mới đã được tung ra.
Như đã nói ở trên, nếu sử dụng một mật khẩu đồng nhất cho các dịch vụ, bạn cần phải ngay lập tức thay đổi mật khẩu cho tất cả các dịch vụ này. Hãy tránh vấn đề này ngay từ đầu bằng cách sử dụng một mật khẩu riêng cho từng dịch vụ mạng đang dùng.
Hãy tập trung vào những lời khuyên hữu ích hơn
Vấn đề lớn nhất đối với nguyên tắc ép buộc người dùng phải thay đổi mật khẩu thường xuyên là chính sách này sẽ gây rối cho quá trình sử dụng. Cả chuyên gia bảo mật độc lập Bruce Schenier lẫn Microsoft đều đã đưa ra tuyên bố rằng chính sách thay đổi mật khẩu định kỳ là vô ích và phí phạm thời gian. Trong khi việc thay đổi mật khẩu không phải là vô ích trong tất cả các trường hợp, trong phần lớn các trường hợp sử dụng hàng ngày, hành động này sẽ chỉ gia tăng sức ép lên người dùng và gần như không đem lại lợi ích nào cả.
Thay vào đó, hãy tập trung vào những lời khuyên thực sự quan trọng. Hãy sử dụng các mật khẩu độc nhất cho các dịch vụ khác nhau. Hãy sử dụng tính năng xác thực 2 yếu tố nhằm gia tăng thêm một lớp bảo vệ chắc chắn cho mình. Hãy sử dụng các phần mềm quản lý mật khẩu đáng tin cậy như KeePass và LastPass để tự bảo vệ cho mình.
—
Nguồn: vnreview.vn/tu-van-bao-mat/-/view_content/content/1090213/chung-ta-co-nen-thay-mat-khau-thuong-xuyen-hay-khong
Lê Hoàng
Theo Howtogeek