Công cụ tạo mật khẩu chỉ hữu ích nếu bạn chọn đúng loại mật mã cho công việc đó. Đây là điều khiến nhiều người bối rối. Họ biết mình muốn thứ gì đó mạnh hơn, nhưng không chắc liệu mình nên tạo mật khẩu ngẫu nhiên, cụm mật khẩu dễ nhớ hay mã PIN số.

Cách quyết định dễ nhất là ngừng hỏi tùy chọn nào mạnh nhất về mặt lý thuyết. Hãy hỏi tùy chọn nào phù hợp với ngữ cảnh đăng nhập. Một tài khoản trang web, lần đăng nhập di động hàng ngày và mở khóa thiết bị cục bộ không gây ra cùng một loại rủi ro.

Nếu bạn muốn chọn nhanh, chế độ mật khẩu ngẫu nhiên trên trang chủ là mặc định tốt nhất cho hầu hết các lần đăng nhập tài khoản, trong khi chế độ cụm mật khẩu dễ nhớ và trình tạo mã PIN trên trang chủ hợp lý hơn trong các trường hợp cụ thể hơn. Chìa khóa là biết được mỗi loại thuộc về đâu.

Tại sao một chế độ trình tạo không thể phù hợp với mọi lần đăng nhập

Một mật mã đăng nhập mạnh không chỉ nằm ở độ phức tạp đơn thuần. Nó còn phụ thuộc vào nơi bạn sử dụng và tần suất bạn phải nhập nó. Nó cũng phụ thuộc vào việc có trình quản lý mật khẩu tham gia hay không và liệu mật mã đó bảo vệ tài khoản từ xa hay chỉ mở khóa thiết bị cục bộ.

Đó là lý do tại sao trang web cung cấp ba chế độ thay vì một. Ngẫu nhiên, Dễ nhớ và PIN không phải là những lựa chọn mang tính hình thức. Chúng giải quyết các điểm gây trở ngại khác nhau trong khi vẫn giữ nguyên mục tiêu cốt lõi: tạo ra thứ gì đó độc nhất thay vì sử dụng lại một thông tin xác thực cũ và yếu.

Khi nào mật khẩu ngẫu nhiên là mặc định mạnh nhất

Tốt nhất cho các tài khoản đăng nhập mà bạn sẽ lưu trong trình quản lý

Đối với hầu hết các tài khoản trang web và ứng dụng, mật khẩu ngẫu nhiên vẫn là mặc định mạnh nhất. Nó khó đoán, dễ dàng tạo sự độc nhất và không phụ thuộc vào trí nhớ của bạn nếu bạn lưu trữ nó đúng cách.

Điều đó phù hợp với các tiêu chuẩn hiện hành. NIST SP 800-63B cho biết các mật khẩu được sử dụng làm mật mã xác thực yếu tố đơn lẻ phải dài ít nhất 15 ký tự. Đó là một lý do tại sao công cụ tạo mật khẩu lại hữu ích cho các thông tin đăng nhập đã lưu: nó giúp tạo ra các chuỗi dài, độc nhất dễ dàng mà không cần phải tự nghĩ ra.

Nơi các chuỗi ngẫu nhiên tạo ra nhiều trở ngại hơn là giá trị

Các chuỗi ngẫu nhiên trở nên kém tiện lợi hơn khi bạn phải nhập chúng thường xuyên trên điện thoại, máy tính bảng, điều khiển TV hoặc các bề mặt nhập liệu bất tiện khác. Trong những trường hợp đó, chuỗi mạnh nhất về mặt lý thuyết có thể đẩy người dùng đến các hành vi thiếu an toàn như lưu mật khẩu trong các ghi chú thông thường hoặc sử dụng lại các mật khẩu dễ hơn sau này.

Điều đó không có nghĩa là mật khẩu ngẫu nhiên là sai. Nó có nghĩa là chúng hoạt động tốt nhất khi việc đăng nhập được kết hợp với trình quản lý mật khẩu hoặc một cách đáng tin cậy khác để lưu trữ và tự động điền chúng.

Khi nào cụm mật khẩu dễ nhớ là sự đánh đổi tốt hơn

Tốt cho những thông tin đăng nhập mà bạn thực sự phải nhập thường xuyên

Một cụm mật khẩu dễ nhớ có thể là sự đánh đổi tốt hơn khi bạn cần một mật mã mà bạn sẽ nhập thường xuyên và không phải lúc nào cũng có thể dựa vào tính năng tự động điền. Một cụm từ dài được tạo từ các từ không liên quan thường dễ nhập hơn và ít cám dỗ hơn để ghi chép lại ở sai nơi.

NIST cũng hỗ trợ các mật mã dài hơn, linh hoạt hơn ở đây. Hướng dẫn tương tự của NIST cho biết các trình xác thực nên chấp nhận tất cả các ký tự ASCII có thể in được cộng với ký tự dấu cách. Nó cũng cho biết chúng nên cho phép độ dài tối đa ít nhất là 64 ký tự. Điều đó tạo không gian cho các cụm mật khẩu dài thay vì ép buộc người dùng sử dụng các chuỗi ngắn, khó nhớ.

Nơi các cụm mật khẩu vẫn cần thêm sự thận trọng

Một cụm mật khẩu không tự động mạnh chỉ vì nó sử dụng các từ. Nó vẫn cần đủ dài, đủ khác biệt và độc nhất cho tài khoản đó. Một câu trích dẫn nổi tiếng, lời bài hát hoặc cụm từ bạn đã sử dụng ở nơi khác không phải là sự thay thế tốt cho một mật mã hoàn toàn mới.

Đây là nơi chế độ Dễ nhớ của trang web giúp ích. Nó cung cấp cho bạn cách để tạo ra thứ gì đó dễ ghi nhớ hơn mà không bị rơi vào các khuôn mẫu cá nhân, các cụm từ yêu thích được sử dụng lại hoặc các biến thể dễ đoán.

Khi nào mã PIN thuộc về thiết bị chứ không phải trang web

Hữu ích cho các ngữ cảnh mở khóa thiết bị cục bộ

Mã PIN số phù hợp với các ngữ cảnh mở khóa cục bộ như điện thoại hoặc máy tính bảng có giới hạn số lần nhập. Điều đó rất khác với việc sử dụng một mật mã số ngắn làm mật khẩu chính cho một tài khoản trực tuyến.

NIST vạch ra ranh giới đó một cách rõ ràng. Trong hướng dẫn về mật mã kích hoạt, NIST cho biết các mật mã giống mã PIN cho thiết bị cục bộ phải dài ít nhất 4 ký tự. Nó cũng cho biết chúng nên dài ít nhất 6 ký tự. Đó là một tiêu chuẩn hữu ích cho tư duy mở khóa thiết bị, không phải là lý do để thay thế mật khẩu tài khoản thực bằng mã PIN ngắn.

Tại sao mã PIN không nên thay thế mật khẩu tài khoản mạnh

Mật khẩu trang web thường bảo vệ một tài khoản từ xa có thể bị phơi nhiễm với các cuộc tấn công lạm dụng thông tin xác thực, các cuộc tấn công sử dụng lại mật khẩu và hậu quả của các vụ rò rỉ dữ liệu rộng hơn. Một mã PIN số ngắn dễ đoán hơn nhiều và kém linh hoạt hơn nhiều so với mật khẩu đầy đủ hoặc cụm mật khẩu trong ngữ cảnh đó.

Đó là lý do tại sao chế độ PIN của trang web nên được coi là một tùy chọn cụ thể, không phải là câu trả lời phổ quát. Nó phù hợp với các nhu cầu mở khóa cục bộ nhất định. Nó không thay thế mật mã tài khoản mạnh cho email, công cụ công việc, ngân hàng hoặc các đăng nhập giá trị cao khác.

Cách chọn chế độ phù hợp trên trang chủ một cách nhanh chóng

Khớp chế độ với loại đăng nhập trước khi bạn nhấp vào Tạo

Một quy tắc quyết định nhanh sẽ giúp ích. Nếu mật mã dành cho tài khoản trực tuyến thông thường và bạn sẽ lưu nó vào trình quản lý, hãy chọn Ngẫu nhiên. Nếu bạn phải nhập nó thường xuyên và cần thứ gì đó thân thiện với con người hơn, hãy chọn Dễ nhớ. Nếu mật mã dành cho ngữ cảnh mở khóa thiết bị cục bộ, hãy chọn PIN.

Điều đó giữ cho quyết định đơn giản mà không khiến nó trở nên bất cẩn. Bạn không chọn định dạng yêu thích. Bạn đang chọn định dạng ít rủi ro nhất cho công việc cụ thể đó.

Sao chép nó, lưu trữ nó và tránh sử dụng lại trong ngắn hạn

Tạo mật khẩu chỉ là bước đầu tiên. Thói quen lưu trữ và sử dụng lại quan trọng không kém sau đó. Nếu một mật khẩu mạnh nhưng được sử dụng lại trên nhiều trang web, một vụ rò rỉ vẫn có thể gây ra thiệt hại lan rộng.

Hướng dẫn về mật khẩu của FTC khuyến nghị sử dụng mật khẩu dài, độc nhất cho mỗi tài khoản vì việc sử dụng lại mật khẩu có thể làm lộ nhiều tài khoản khi một trang web bị xâm nhập. Đó là lý do tại sao quy trình an toàn nhất không chỉ là tạo và sao chép. Đó là tạo, lưu trữ đúng cách và chuyển sang tài khoản tiếp theo với một mật mã hoàn toàn mới.

Những việc cần làm tiếp theo trước khi bạn tạo một mật mã mới

Bắt đầu bằng cách xác định ngữ cảnh đăng nhập. Đây là tài khoản từ xa, một lần đăng nhập thường xuyên phải nhập hay mở khóa thiết bị cục bộ? Khi câu trả lời đó đã rõ ràng, chế độ phù hợp thường trở nên hiển nhiên.

Sau đó, tạo một lần, sao chép cẩn thận và lưu nó vào đúng nơi. Mục tiêu không phải là tạo ra chuỗi đáng sợ nhất có thể. Mục tiêu là tạo ra một mật mã đủ mạnh cho rủi ro đó và đủ dễ sử dụng để bạn không phải tìm cách né tránh nó sau này.

Đó là lợi thế thực sự của việc có Ngẫu nhiên, Dễ nhớ và PIN ở cùng một nơi. Bạn có thể khớp chế độ trình tạo với vấn đề thay vì ép buộc một định dạng vào mọi tình huống bảo mật.