Không khó để chúng ta gặp trường hợp yêu cầu thay đổi mật khẩu cho các tài khoản và dịch vụ sau một khoảng thời gian nhất định. Điều này có thể áp dụng cho tài khoản ngân hàng trực tuyến, tài khoản mạng xã hội và thậm chí là tài khoản hệ điều hành Windows. Thực hiện việc thay đổi mật khẩu định kỳ theo các hướng dẫn được coi là một biện pháp để tăng cường bảo mật. Tuy nhiên, liệu điều này có thực sự hiệu quả như vậy không?
Trước hết, chúng ta xác nhận rằng lời khuyên của các chuyên gia bảo mật về việc thay đổi mật khẩu định kỳ là chính xác. Trong quá trình sử dụng hàng ngày, chúng ta có thể vô tình tiết lộ mật khẩu tại nhiều nơi khác nhau, như khi truy cập vào các trang web độc hại hoặc do sơ suất khi nhập mật khẩu khi có người khác có thể nhìn thấy. Giả sử chúng ta không sử dụng tính năng bảo mật hai lớp hoặc dịch vụ đó không hỗ trợ, kẻ xấu có thể đăng nhập vào tài khoản mà chúng ta không hề biết, theo dõi và lấy đi thông tin quan trọng trong một khoảng thời gian dài cho đến khi chúng ta thay đổi mật khẩu. Đó cũng là lý do chính cho lời khuyên thường xuyên thay đổi mật khẩu.
Năm 2010, Đại học Bắc Carolina đã tiến hành một nghiên cứu sử dụng hơn 10.000 tài khoản cũ và 51.141 mật khẩu. Trong nghiên cứu đó, họ thực hiện các cuộc tấn công ngoại tuyến sử dụng kỹ thuật 'pass the hash' và thành công trong việc bẻ khóa 60% thông tin đăng nhập. Trong số đó, có 7.752 mật khẩu không phải là mật khẩu cuối cùng mà chỉ là mật khẩu cũ. Tuy nhiên, khi sử dụng các dữ liệu này để đoán mật khẩu chính xác, tỷ lệ thành công là 17% trong vòng 5 giây. Nguyên nhân cho điều này là do người ta thường ít thay đổi mật khẩu và giữ nguyên cấu trúc cũ để dễ nhớ. Ví dụ, nếu mật khẩu hiện tại là 'Tinhte.vn', người dùng có thể thay đổi thành 'T1nhte.vn'.
Mặc dù có những quy chuẩn áp dụng cho đa số người dùng, nhưng đối với từng trường hợp cụ thể, những quy chuẩn này có thể không còn phù hợp hoặc ít hiệu quả. Nếu người dùng đã có một mật khẩu đủ mạnh và đã bật bảo mật hai lớp, thì việc bị ép thay đổi mật khẩu định kỳ có thể gây khó chịu và khó nhớ, đặc biệt là khi có nhiều tài khoản cần nhớ. Điều này đặc biệt đúng nếu người dùng không sử dụng ứng dụng hoặc dịch vụ quản lý mật khẩu. Mật khẩu được xem là đủ mạnh nếu nó là một tổ hợp của chữ cái, chữ số, ký tự đặc biệt và có độ dài khoảng 12 ký tự trở lên.
Giải pháp của bạn là lưu trữ và quản lý mật khẩu trong một nơi an toàn, kèm theo chức năng autofill để tiện lợi và tránh phải gõ lại mật khẩu. Điều này rất hợp lý và có thể giúp bạn duy trì một hệ thống mật khẩu mạnh và đảm bảo an toàn.
Thay đổi mật khẩu định kỳ là một thực hành tốt để bảo vệ tài khoản. Bạn đề xuất rằng thay đổi mật khẩu trong những trường hợp như sau: sau khi nhập mật khẩu trên một máy tính công cộng hoặc khi có người xung quanh có thể nhìn thấy, sau khi cho mượn tài khoản cho người khác, sau khi máy tính bị nhiễm malware, và đổi mật khẩu nếu có những tài khoản khác nhau có mật khẩu có điểm chung.
Điều này là một cách tiếp cận khá an toàn và khôn ngoan. Bằng cách thay đổi mật khẩu định kỳ và không sử dụng cùng một mật khẩu cho nhiều tài khoản, bạn tăng cường bảo mật và giảm nguy cơ bị tấn công. Việc đảm bảo mật khẩu của các tài khoản khác nhau không có điểm chung cũng là một biện pháp bảo mật quan trọng, vì nếu một tài khoản bị xâm phạm, các tài khoản khác cũng không bị ảnh hưởng.
Tóm lại, việc thay đổi mật khẩu định kỳ từ ý định cá nhân có thể mang lại tính an toàn và cải thiện độ mạnh của mật khẩu. Tuy nhiên, việc thay đổi mật khẩu do bị ép có thể không hiệu quả và chỉ mang tính tạm thời. Trong mọi trường hợp, nên duy trì mật khẩu mạnh và tuân thủ các biện pháp bảo mật khác như kích hoạt xác thực hai lớp để bảo vệ tài khoản trực tuyến của bạn.