Lorrie Cranor - kỹ thuật viên trưởng Ủy ban Thương mại Mỹ - vừa khiến tất cả “ngã ngửa” khi phá vỡ huyền thoại này tại một hội nghị an ninh ở Las Vegas (Mỹ).
Theo ông, yêu cầu thay đổi mật khẩu định kỳ có thể khiến mật khẩu trở nên kém an toàn. Lý do là khi được yêu cầu đổi mật khẩu, hầu hết mọi người chỉ thêm vài thay đổi nhỏ vào mật khẩu cũ.
Họ có thể đổi một chữ cái thường thành ký tự hoa hay thêm một chữ cái, ví dụ như “Pumpkin77!”, thành ”pUmpkin77!,” hay “puMpkin77!”... Các nhà nghiên cứu gọi những thủ thuật nhỏ này là “sự biến đổi” và tin tặc rất có ý thức khai thác nó. Nhiều chương trình bẻ khóa mật khẩu được xây dựng dựa trên những biến đổi này nhằm dự đoán tình huống và thói quen của họ.
“Các nhà nghiên cứu cho biết nếu mọi người phải đổi mật khẩu 90 ngày một lần, họ có xu hướng dùng cùng một môtíp và làm những gì mà các chuyên gia bảo mật gọi là “sự biến đổi”. Họ đổi mật khẩu cũ bằng cách thêm một chi tiết nhỏ và cho ra đời mật khẩu mới” - Cranor cho biết trên tờ Ars Technica.
Kết luận kể trên được ông Cranor tiết lộ dựa trên kết quả nghiên cứu từ năm 2010 với bộ dữ liệu là 7.700 tài khoản được yêu cầu thay đổi mật khẩu thường xuyên. Các nhà nghiên cứu cho biết, họ có thể viết một chương trình hack được những tài khoản kiểu đó dựa trên việc phân tích những thay đổi về mật khẩu của người dùng.
Chuyên gia bảo mật nổi tiếng Bruce Schneier người Mỹ hoàn toàn tán đồng với nhận định này. “Trước nay tôi luôn khuyến cáo rằng lời khuyên an toàn kiểu đó là rất tệ, nó khuyến khích người dùng sử dụng các các mật khẩu ít an toàn”.
Điều đó không có nghĩa rằng không bao giờ thay đổi mật khẩu là một ý tưởng tốt. Nhưng theo các chuyên gia bảo mật, việc thay đổi mật khẩu chỉ thực sự phát huy hiệu quả tối đa nếu mật khẩu mới dài và phức tạp hơn so với mật khẩu cũ. Đáng tiếc là phần lớn mọi người đều chọn những mật khẩu mới với yếu tố ưu tiên là dễ nhớ hơn là mức độ an toàn.