Khái niệm, định nghĩa Bill Burr là gì?

Bill Burr là một cựu quản trị viên của Viện công nghệ và các tiêu chuẩn quốc gia (NIST), người đã tạo ra kiểu mật khẩu an toàn dùng ký tự đặc biệt, ông soạn thảo một văn bản hướng dẫn dài 8 trang về cách tạo các mật khẩu an toàn, lúc đó được gọi là “Ấn bản đặc biệt NIST 800-63. Phụ lục A.”

Văn bản này đã trở thành một mệnh đề khiến mật khẩu của mọi thứ từ tài khoản email cho đến mật khẩu đăng nhập vào các trang mạng, cổng thanh toán, tài khoản ngân hàng trực tuyến trở nên phức tạp hơn. Tất cả những quy tắc về việc sử dụng ký tự in hoa, ký tự đặc biệt và con số đều là do Bill đặt ra. Vấn đề duy nhất là Bill Bur không thật sự hiểu về cách mật khẩu vận hành vào thời điểm cách đây gần 15 năm, khi ông viết văn bản hướng dẫn đó. Ông hiển nhiên không phải là một chuyên gia bảo mật và hiện tại, Bill 72 tuổi đã nghỉ hưu và ông muốn nói lời xin lỗi.

Trong một cuộc phỏng vấn với tờ The Wall Street Journal, Bill nói: “Với những gì tôi đã làm, tôi giờ đây cảm thấy hối tiếc.” Ông cũng thừa nhận rằng những nghiên cứu của mình về mật khẩu lại dựa trên những văn bản được viết vào thập niên 80 của thế kỷ trước, thời kỳ mà web còn chưa được phát minh. Ông thổ lộ rằng: “Cuối cùng, danh sách những hướng dẫn đó đã trở nên quá phức tạp đối với phần đông những người hiểu rõ về nó và sự thật là nó đã đi sai mụch đích.”

Bill không sai bởi một phép toán đơn giản đã chứng minh rằng một mật khẩu ngắn với nhiều ký tự thay thế kỳ quặc lại dễ đoán hơn so với một mật khẩu dài gồm toàn những từ dễ nhớ. Hình ảnh mô tả trên được đăng tải trên XKCD comic cho thấy sự khác biệt này, mật khẩu Tr0ub4dor&3 mặc dù được cấu tạo từ các ký tự gồm số và chữ, ký tự đặc biệt, có in thường lẫn in hoa nhưng máy tính chỉ mất 3 ngày để đoán ra với tốc độ 1000 lần đoán/giây. Kiểu mật khẩu này cũng khiến người đặt khó nhớ hơn. Trong khi đó với một mật khẩu dài kiểu như correcthorsebatterystaple mặc dù gồm 4 từ phổ biến, không ký tự đặc biệt và cũng không viết hoa thì máy tính sẽ phải mất đến 550 năm để đoán ra với cùng tốc độ 1000 lần đoán/giây. Dĩ nhiên mật khẩu này dễ nhớ hơn rất nhiều. Đây cũng là lý do tại sao những văn bản hướng dẫn mới nhất do NIST ban hành khuyến khích người dùng nên tạo những mật khẩu dài, dễ nhớ hơn là những mật khẩu phức tạp với nhiều ký tự đặc biệt như thứ mà Bill nghĩ rằng an toàn.