Password được sử dụng để kết hợp với username; chỉ user đó biết và dùng nó để truy cập vào thiết bị, ứng dụng hoặc trang web. Vậy cụ thể hơn, password là gì? Liệu có phương pháp nào thay thế được nó không?
Nội dung
Password là gì?
Về bản chất, password là một chuỗi ký tự để xác minh danh tính của user trong quá trình xác thực. Nó được sử dụng để kết hợp với username; chỉ user đó biết và dùng nó để truy cập vào thiết bị, ứng dụng hoặc trang web.
Các password có thể khác nhau về độ dài và chứa các chữ cái, số và các ký tự đặc biệt. Passphrase có thể được sử dụng thay thế khi password sử dụng đến các chữ cái. Nếu password chỉ gồm các chữ số, thì thuật ngữ passcode và passkey tương đương nhau.
Cách tạo password an toàn
Nhiều tổ chức yêu cầu nhân viên tạo password mạnh và sử dụng nó cho thông tin đăng nhập. Một số phương pháp tạo password mạnh là:
- Độ dài tối thiểu là tám ký tự với giới hạn từ 16 đến 64 ký tự hoặc cao hơn;
- Bao gồm cả chữ hoa và chữ thường;
- Sử dụng ít nhất một số;
- Sử dụng ít nhất một ký tự đặc biệt.
Nên hạn chế sử dụng thông tin cá nhân như ngày sinh, tên của con, đội thể thao yêu thích….Cũng như tránh sử dụng bất kỳ từ hoặc cụm từ nào nằm trong password blacklist.
Cụ thể, password blacklist là danh sách các password dễ bị bẻ khóa, do đó không đủ an toàn để sử dụng. Chúng thường bao gồm “123456,” “password”, “football”, “qwerty”, v.v.
Các chính sách password mạnh cũng bao gồm giới hạn thời gian cho user password. Tức là nó sẽ hết hạn sau một khoảng thời gian nhất định – chẳng hạn như 90 hoặc 180 ngày – và user buộc phải thay đổi. User phải tạo password khác với cái đã được sử dụng trong 6 đến 12 tháng qua.
Mặc dù password mạnh là tốt, nhưng user thường quên chúng. Do đó, các phương pháp khôi phục có thể khác nhau. Điều này tùy thuộc vào quyền truy cập vào apps, trang web hoặc thiết bị. User có thể được yêu cầu trả lời các câu hỏi bảo mật, xác nhận email hoặc nhập mã bảo mật được gửi tới điện thoại di động để xác thực user cần đặt lại hoặc khôi phục password ban đầu.
Lịch sử sử dụng password
Việc sử dụng password trong máy tính bắt đầu từ năm 1961 khi Viện Công nghệ Massachusetts giới thiệu Hệ thống CTSS (Compatible Time-Sharing System). CTSS là một trong những hệ điều hành đầu tiên có lệnh LOGIN yêu cầu user password.
Vào những năm 1970 Robert Morris, chính nhà mật mã học nổi tiếng đã tạo ra Robert Morris worm, đã xây dựng một hệ thống lưu trữ hashed password như một phần của hệ điều hành UNIX. Dạng mã hóa ban đầu này đã dịch password thành các giá trị số.
Tuy nhiên, tính đến nay thì password không còn thịnh hành như trước nữa. Năm 2004, Bill Gates tuyên bố rằng password đã chính thức không còn được sử dụng ở nhiều hội nghị công nghệ.
Ngày nay, nhiều doanh nghiệp tìm cách giảm bớt sự phụ thuộc vào password hoặc loại bỏ hoàn toàn chúng. Các tổ chức như Liên minh FIDO đã phát triển nhiều tiêu chuẩn công nghệ nhằm thay thế password thông thường.
Các phương pháp thay thế cho password là gì?
Ngày nay có rất nhiều tùy chọn xác thực như:
- Xác thực hai yếu tố (2FA) – 2FA yêu cầu user cung cấp hai yếu tố xác thực bao gồm thông tin user biết – như mật khẩu hoặc mã PIN. Và thứ mà user có – như thẻ ID, token bảo mật hoặc điện thoại thông minh. Đôi khi có thể là thứ gì đó của user – như sinh trắc học.
- Sinh trắc học – Công nghệ này chủ yếu được sử dụng để nhận dạng và kiểm soát truy cập. Sinh trắc học bao gồm các đặc điểm sinh lý như dấu vân tay hoặc quét võng mạc. Ngoài ra còn có các đặc điểm hành vi như kiểu gõ và nhận dạng giọng nói.
- Xác thực đa yếu tố (MFA) – MFA chỉ khác 2FA ở chỗ nó không chỉ giới hạn ở hai yếu tố xác thực. Nó cũng sử dụng điều mà user biết, thứ user có và các yếu tố sinh học của user.
- Tokens– Token bảo mật là một thiết bị phần cứng vật lý như thẻ thông minh hoặc thẻ khóa mà user mang theo để cho phép truy cập vào mạng.
- Password dùng một lần (OTP) – OTP là password được tạo tự động chỉ xác thực user cho một giao dịch hoặc phiên duy nhất. Các password này thay đổi cho mọi lần sử dụng và thường được lưu trữ trên các token bảo mật.
- Social logins– user có thể xác thực bản thân trên các app hoặc trang web bằng cách kết nối với tài khoản mạng xã hội của họ. Chẳng như Facebook hoặc Google, thay vì sử dụng thông tin đăng nhập riêng cho từng trang web.
Theo Searchsecurity.