.:Run:.
Senior Member
Tuỳ thiết kế của platform nhưng chắc chắn chuỗi sau mã hoá thì 1 hay ngàn ký tự cũng như nhau
Như ms thì vẫn yêu cầu nhưng google thì không nhé. Mình tin việc bảo mật ở đầu server đầu backend sẽ an toàn hơn nhiều
Mật khẩu “phức tạp” có còn là bảo mật
- Thread starter .:Run:.
- Start date
thrall
Member
cơ bản thì có kí tự hoa thường, số, kí tự đặc biệt sẽ k có tác dụng bảo mật vì crack = máy nên chả quan tâm loại kí tự, chỉ làm khó người dùng. Password càng dài thì càng khó crack thế thôi.
.:Run:.
Senior Member
Cái crack thím nói thì giờ cũng không phù hợp nữa. Các nền tảng nào yếu lắm mới không bảo mật được cái này thôi.
thrall
Member
https://www.nbcnews.com/tech/securi...now-about-passwords-says-man-who-made-n790711
mục đích ban đầu của cái thiết kế dạng password này là để chống crack = bruteforce mà
Indiana Jones Indiana Jo
Senior Member
Password dài nó là lớp bảo mật cuối cùng, nếu mọi biện pháp khác đều ko khả thi thì hacker nó mới nghĩ tới crack pass bằng từ điển. Đa phần các vụ hack nó chưa cần tới bước đó.
Nhưng vẫn nên đặt pass dài vì kiểu gì bọn nó cũng dò thử bằng từ điển ngắn trước, mấy cái kiểu abc1234 các thứ là đi ngay
Nhưng vẫn nên đặt pass dài vì kiểu gì bọn nó cũng dò thử bằng từ điển ngắn trước, mấy cái kiểu abc1234 các thứ là đi ngay
.:Run:.
Senior Member
Có lẽ cũng vì vậy mà ổng bảo bây giờ nó đã lỗi thời, vậy mà vẫn cay thật khi nhiều nền tảng vẫn khăng khăng yêu cầu này.
Hunglong3102
Member
Mật khẩu với chữ ký "như mẫu" là hai thứ hãm lolll nhất
Kwon JiYong
Senior Member
Cứ thirt party login cho khoẻ, kết hợp register login, trang nào giờ ko làm nhìn out update vl
via theNEXTvoz for iPhone
via theNEXTvoz for iPhone
.:Run:.
Senior Member
Theo kiến thức của tôi thì không phá được đối với dòng máy mới (không nhớ từ dòng nào), còn dòng cũ thì ở tiệm có đồ chơi phá được nhưng không còn data, kiểu như nó reset tạo user profile mới - nên cũng có thể hiểu là không phá được.
P/s: Đừng thím nào lôi cái startup ở Israel đợt bảo phá được nha, mấy mô hình áp dụng trong quân sự an ninh thì thường không công khai, và tốn rất nhiều tiền để mở thì bỏ qua nhé
.:Run:.
Senior Member
Cái chữ ký ra ngân hàng oải thật sự, không biết sau này có biện pháp gì không chứ tôi ký 10 chữ khác nhau cả 10.
Hunglong3102
Member
Sinh trắc học, vân tay, khuôn mặt thôi, thậm chí ví dụ sau này có xét nghiệm ADN nhanh như chọc đường huyết không chừng
))
nhutnam95tg
Senior Member
Cty cấp cái laptop, cứ 1,2 tháng là nó bắt đổi mk, bực mình
Gửi từ Realme RMX2205 bằng vozFApp
Gửi từ Realme RMX2205 bằng vozFApp
King0deu
Senior Member
Cái password này mình còn nhớ nhiều trang còn nghĩ ra lắm yêu cầu quái thai lắm. Như ông Samsung, không cho tạo pass có chuỗi 123. Hay có trang không cho phép 2 chữ giống nhau liên tiếp. Rồi lại còn bắt tối thiểu 2 chữ hoa nữa. Không hiểu nó muốn bảo vệ người dùng hay muốn chơi khăm người dùng nữa
King0deu
Senior Member
không biết có đúng bài bác đọc không nhưng nội dung trong phần phụ lục này cũng nói giống vậyTrước đây mình có đọc được 1 bài về chủ đề này, người viết nói là KHÔNG, mật khẩu phức tạp lỗi thời rồi, nó tránh được “user cheat” thôi, có nghĩa là tránh bị người quen hoặc ai có cơ hội tiếp cận nhìn đoán được pw. Chứ về mặt bảo mật là không. Còn dạng tấn công dò pw giờ cũng không ý nghĩa nhiều khi mà hầu hết các nền tảng đều có chức năng chặn cái này bằng việc giới hạn số lần nhập sai hay check bot
Nếu bài viết mình nhớ là đúng thì tại sao vẫn rất nhiều nền tảng lớn còn yêu cầu pw phức tạp như là 8 ký tự, chữ và số, chữ hoa và chữ thường, + ký tự đặc biệtMS là 1 ví dụ điển hình, trong khi Google thì dễ dãi cực
Còn để tránh “user cheat” thì mình nghĩ bây giờ có nhiều biện pháp bảo mật phía server phía backend nó an toàn hơn rất nhiều. Còn phía end user thì càng phức tạp càng làm khó user, đa phần lại ghi pw ra giấy hay note càng dễ bị lộ
https://pages.nist.gov/800-63-3/sp800-63b.html#appA
namtrai
Senior Member
Thiếm làm tôi giật mìnhTrước đây mình có đọc được 1 bài về chủ đề này, người viết nói là KHÔNG, mật khẩu phức tạp lỗi thời rồi, nó tránh được “user cheat” thôi, có nghĩa là tránh bị người quen hoặc ai có cơ hội tiếp cận nhìn đoán được pw. Chứ về mặt bảo mật là không. Còn dạng tấn công dò pw giờ cũng không ý nghĩa nhiều khi mà hầu hết các nền tảng đều có chức năng chặn cái này bằng việc giới hạn số lần nhập sai hay check bot
Nếu bài viết mình nhớ là đúng thì tại sao vẫn rất nhiều nền tảng lớn còn yêu cầu pw phức tạp như là 8 ký tự, chữ và số, chữ hoa và chữ thường, + ký tự đặc biệt
Còn để tránh “user cheat” thì mình nghĩ bây giờ có nhiều biện pháp bảo mật phía server phía backend nó an toàn hơn rất nhiều. Còn phía end user thì càng phức tạp càng làm khó user, đa phần lại ghi pw ra giấy hay note càng dễ bị lộ
làm gì có chuyện chị Gú gô bỏ mật khẩu phức tạp (MKPT) được họ vẫn yêu cầu xxx ý tự trở lên, đó là biểu hiện của 1 MKPT rồi.MKPT là để chống lại brute force, như thiếm nói, ngoài MKPT ra còn các biện pháp khác để tránh vét cạn, nên "có vẻ" như MKPT lỗi thời. Tuy nhiên, nó lại là yêu cầu gần như đầu tiên về bảo mật an toàn thông tin.
Ngoài ra, tuỳ vào cách tấn công mà MKPT có tác dụng hay không. Ví dụ như thiếm biết là nó tấn công vào backend, lộ ra mật khẩu hoặc keylogger thì MKPT không còn tác dụng nữa, lúc này thì mới cần tới MFA/mã hoá DB/mã hoá password/delay/captcha/lockout privacy vân vân và mây mây. Vấn đề này là bảo mật 1 hệ thống, nó gồm nhiều yếu tố, nhiều phương thức, chứ ko có nghĩa MKPT lỗi thời
Thiếm có thể tra cứu các tiêu chuẩn bảo mật, ISO 27001/27002, PCI DSS hoặc các chuẩn của Mẽo (NIST 800 53) thì vẫn thấy anh MKPT là 1 yêu cầu cơ bản, hí hí.
gakho209
Senior Member
Cái này thì lại quá dễ với tôi. Vẫn cứ là mật khẩu yêu thích thêm 1 con số đằng sau thôi, đặt tới 5 6 gì đó thì quay lại 1 tiếp.
Bao hack 
King0deu
Senior Member
thằng NIST như trong link trên của mình là nó đã ra bộ mới, trong đó bỏ bớt các yêu cầu về "strong password" rồi đó, bao gồm các thể loại ký tự đặc biệt, rồi thay đổi định kỳ... chỉ giữ lại y/c về độ dài thôi.Thiếm làm tôi giật mình
MKPT là để chống lại brute force, như thiếm nói, ngoài MKPT ra còn các biện pháp khác để tránh vét cạn, nên "có vẻ" như MKPT lỗi thời. Tuy nhiên, nó lại là yêu cầu gần như đầu tiên về bảo mật an toàn thông tin.
Ngoài ra, tuỳ vào cách tấn công mà MKPT có tác dụng hay không. Ví dụ như thiếm biết là nó tấn công vào backend, lộ ra mật khẩu hoặc keylogger thì MKPT không còn tác dụng nữa, lúc này thì mới cần tới MFA/mã hoá DB/mã hoá password/delay/captcha/lockout privacy vân vân và mây mây. Vấn đề này là bảo mật 1 hệ thống, nó gồm nhiều yếu tố, nhiều phương thức, chứ ko có nghĩa MKPT lỗi thời
Thiếm có thể tra cứu các tiêu chuẩn bảo mật, ISO 27001/27002, PCI DSS hoặc các chuẩn của Mẽo (NIST 800 53) thì vẫn thấy anh MKPT là 1 yêu cầu cơ bản, hí hí.
những yêu cầu đó đúng là lợi bất cập hại thật. Chẳng bảo mật hơn được bao nhiêu mà chỉ toàn làm khó người dùng
thrall
Member
Thiếm làm tôi giật mình
MKPT là để chống lại brute force, như thiếm nói, ngoài MKPT ra còn các biện pháp khác để tránh vét cạn, nên "có vẻ" như MKPT lỗi thời. Tuy nhiên, nó lại là yêu cầu gần như đầu tiên về bảo mật an toàn thông tin.
Ngoài ra, tuỳ vào cách tấn công mà MKPT có tác dụng hay không. Ví dụ như thiếm biết là nó tấn công vào backend, lộ ra mật khẩu hoặc keylogger thì MKPT không còn tác dụng nữa, lúc này thì mới cần tới MFA/mã hoá DB/mã hoá password/delay/captcha/lockout privacy vân vân và mây mây. Vấn đề này là bảo mật 1 hệ thống, nó gồm nhiều yếu tố, nhiều phương thức, chứ ko có nghĩa MKPT lỗi thời
Thiếm có thể tra cứu các tiêu chuẩn bảo mật, ISO 27001/27002, PCI DSS hoặc các chuẩn của Mẽo (NIST 800 53) thì vẫn thấy anh MKPT là 1 yêu cầu cơ bản, hí hí.
Xx kí tự trở lên thì ok chứ má nó còn bắt buộc in hoa, in thường, số, kí tự đặc biệt
Sent from Xiaomi Redmi Note 9S using vozFApp
Similar threads
