Tweet
Các Phương Pháp Thực Hành Tốt Nhất Về Mật Khẩu
Mật khẩu là sự kết hợp của các ký tự (như chữ cái, số và ký hiệu đặc biệt) cần được giữ bí mật, và đây là hình thức phổ biến nhất của xác thực dựa trên kiến thức. Các phương pháp thực hành tốt nhất về mật khẩu là những chiến lược và kỹ thuật được khuyến nghị để tạo và quản lý mật khẩu nhằm nâng cao bảo mật. Xác thực bằng mật khẩu thường được coi là một trong những phương pháp xác thực yếu nhất, nhưng lại được sử dụng rộng rãi do dễ triển khai.
Điểm yếu của xác thực bằng mật khẩu chủ yếu xuất phát từ yếu tố con người hơn là vấn đề công nghệ. Dưới đây là danh sách một số vấn đề điển hình dẫn đến tăng rủi ro khi sử dụng mật khẩu làm phương pháp xác thực duy nhất:
■ Người dùng có xu hướng sử dụng cùng một mật khẩu trên nhiều hệ thống và tài khoản.
■ Người dùng thường ghi lại mật khẩu (ví dụ: trên giấy nhớ dán).
■ Người dùng thường sử dụng mật khẩu đơn giản (ví dụ: tên con cái hoặc 12345).
■ Người dùng có xu hướng giữ nguyên mật khẩu mặc định của hệ thống được cung cấp khi cài đặt.
Một trong những bước quan trọng nhất trong quản lý mật khẩu là tạo ra một tiêu chuẩn để xác định các yêu cầu về mật khẩu an toàn. Tiêu chuẩn này cần được áp dụng trên toàn tổ chức và cho tất cả các hệ thống. Khi xây dựng chính sách, quy trình và tiêu chuẩn liên quan đến việc tạo mật khẩu, tổ chức nên xem xét các yêu cầu sau:
#### Độ dài mật khẩu
Độ dài mật khẩu đề cập đến số lượng ký tự trong mật khẩu. Độ dài là yếu tố quan trọng đối với bảo mật của mật khẩu. Mật khẩu dài hơn vốn dĩ an toàn hơn mật khẩu ngắn, giảm khả năng bị tấn công thành công bằng phương pháp brute-force hoặc tấn công từ điển. Trong khi 8 ký tự từ lâu đã là độ dài tối thiểu tiêu chuẩn, nhiều chuyên gia hiện khuyến nghị sử dụng ít nhất 12 đến 16 ký tự để tăng cường bảo mật. Hệ điều hành Windows giới hạn độ dài mật khẩu ở 14 ký tự. Hệ thống macOS khuyến nghị sử dụng ít nhất 15 ký tự, còn hệ thống Linux không có giới hạn công bố. Việc tăng độ dài mật khẩu tạo ra số lượng tổ hợp tiềm năng lớn hơn, khiến kẻ tấn công khó bẻ khóa hơn. Tuy nhiên, đây là một sự cân bằng; mật khẩu quá dài có thể phức tạp để người dùng ghi nhớ, làm tăng khả năng họ ghi lại hoặc lưu trữ không an toàn. Theo hướng dẫn gần đây của NIST, hệ thống nên cho phép mật khẩu có độ dài lên đến một mức nhất định, chẳng hạn như 64 ký tự, nhưng có thể yêu cầu độ dài tối thiểu để đảm bảo mức bảo mật cơ bản. Hình 19-9 cho thấy ví dụ về nơi bạn có thể kiểm tra và cấu hình độ dài mật khẩu, thời hạn sử dụng và các chi tiết khác của mật khẩu trong Windows.
**Hình 19-9: Chính sách Bảo mật Cục bộ của Windows**
#### Độ phức tạp của mật khẩu
Độ phức tạp của mật khẩu liên quan đến việc sử dụng nhiều loại ký tự khác nhau, như chữ cái in hoa, chữ cái thường, số và ký hiệu, trong mật khẩu để tăng tính khó đoán. Việc thiết lập chính sách về độ mạnh của mật khẩu rất quan trọng để giảm nguy cơ người dùng thiết lập mật khẩu yếu, dễ bị xâm phạm qua các cuộc tấn công brute-force và các phương pháp khác. Yêu cầu về độ phức tạp—chẳng hạn như yêu cầu người dùng sử dụng kết hợp ký tự, số và ký hiệu—góp phần tăng cường độ mạnh của mật khẩu. Dựa trên nghiên cứu liên tục về việc sử dụng mật khẩu, NIST gần đây đã cập nhật hướng dẫn về mật khẩu của mình. Dưới đây là một số cập nhật mới nhất mà NIST đã thực hiện đối với yêu cầu mật khẩu trong NIST SP 800-63b:
■ Người dùng không còn bắt buộc phải sử dụng ký hiệu đặc biệt.
■ Người dùng nên được phép sử dụng tất cả các ký tự.
■ Việc sao chép và dán mật khẩu là chấp nhận được.
■ Chính sách mật khẩu không nên yêu cầu nhân viên thay đổi mật khẩu định kỳ.
■ Trường mật khẩu nên cho phép thêm ít nhất 64 ký tự ngoài 8 ký tự bắt buộc.
#### Tái sử dụng mật khẩu
Tái sử dụng mật khẩu—thói quen sử dụng cùng một mật khẩu trên nhiều tài khoản hoặc hệ thống—không được khuyến khích do tăng nguy cơ bị truy cập rộng rãi nếu mật khẩu bị xâm phạm. Việc tái sử dụng cùng một mật khẩu hoặc một phần của nó cũng làm tăng nguy cơ mật khẩu bị lộ. Thói quen phổ biến là chỉ thay đổi chữ số cuối của mật khẩu hoặc sử dụng luân phiên hai mật khẩu khi được yêu cầu. Chính sách liên quan đến khả năng tái sử dụng nên đảm bảo rằng mật khẩu không được tái sử dụng trong một khoảng thời gian nhất định.
#### Thời hạn sử dụng mật khẩu
Thời hạn sử dụng mật khẩu là khoảng thời gian định sẵn sau đó mật khẩu phải được thay đổi thành một mật khẩu mới để giảm nguy cơ bị xâm phạm theo thời gian. Theo truyền thống, việc đặt ngày hết hạn cho mật khẩu được coi là phương pháp tốt. Logic là ngay cả khi mật khẩu bị xâm phạm, thiệt hại có thể được hạn chế bằng cách tự động buộc người dùng cập nhật mật khẩu định kỳ. Tuy nhiên, cách tiếp cận này đã được đánh giá lại, vì việc thay đổi mật khẩu thường xuyên có thể dẫn đến sự khó chịu của người dùng và thói quen bảo mật kém, như thay đổi gia tăng trên mật khẩu hiện có. Hướng dẫn mới nhất của CIS và NIST khuyến nghị không bắt buộc thay đổi mật khẩu định kỳ trừ khi có bằng chứng về việc bị xâm phạm. Các chuyên gia bảo mật cần cân nhắc ưu và nhược điểm của chính sách thời hạn mật khẩu, xem xét cả bảo mật và trải nghiệm người dùng.
#### Tuổi của mật khẩu
Tuổi của mật khẩu là khoảng thời gian mật khẩu đã được sử dụng, với mật khẩu cũ hơn thường được coi là có nguy cơ bị lộ cao hơn. Việc thay đổi mật khẩu thường xuyên từng được coi là phương pháp thực hành tốt nhất. Tuy nhiên, mật khẩu được sử dụng càng lâu, nguy cơ bị xâm phạm càng cao. Chính sách yêu cầu mật khẩu nên quy định tuổi tối đa của mật khẩu. Hướng dẫn gần đây của CIS khuyến nghị thay đổi mật khẩu hàng năm. Hướng dẫn đầy đủ về Chính sách Mật khẩu của CIS có thể được tìm thấy tại đây: https://www.cisecurity.org/insights/...d-policy-guide.
Chính sách xung quanh việc tạo mật khẩu cũng nên chỉ định liệu mật khẩu được tạo bởi người dùng hay được hệ thống tự động tạo. Một cách tiếp cận kết hợp sử dụng cả hai phương pháp, kết hợp mật khẩu do người dùng chọn với mật khẩu do hệ thống tạo ra. Bảng 19-3 tóm tắt ưu và nhược điểm của từng phương pháp này.
| **Phương pháp** | **Mô tả** | **Ưu điểm** | **Nhược điểm** |
|--------------------------------|---------------------------------------------------------------------------|--------------------------------------|--------------------------------------------------------------------------------|
| **Mật khẩu do người dùng tạo** | Người dùng tự tạo mật khẩu. | Dễ nhớ. | Thường dẫn đến mật khẩu dễ đoán. Người dùng có thể tái sử dụng trên nhiều hệ thống. |
| **Mật khẩu do hệ thống tạo** | Mật khẩu được hệ thống tạo ra. | Mật khẩu mạnh, tuân thủ chính sách bảo mật. | Khó nhớ. Người dùng thường ghi lại mật khẩu, làm mất mục đích bảo mật. |
| **Mật khẩu một lần và token** | Mật khẩu được tạo bởi thực thể bên ngoài (phần cứng/phần mềm) đồng bộ với tài nguyên nội bộ. Thiết bị thường được bảo vệ bằng mật khẩu do người dùng tạo. | Người dùng không cần nhớ mật khẩu khó. | Cơ sở hạ tầng phức tạp hơn. Sử dụng phần cứng/phần mềm để tạo token, tăng chi phí triển khai và bảo trì. |
#### Trình Quản Lý Mật Khẩu
Quản lý mật khẩu không chỉ là một phần phụ trong câu chuyện bảo mật mạng lớn hơn; nó là một bộ sưu tập đầy đủ các phương pháp và công nghệ được thiết kế để củng cố hệ thống xác thực của tổ chức. Trình quản lý mật khẩu hoạt động như các kho lưu trữ số an toàn để lưu trữ và quản lý hàng loạt mật khẩu. Các giải pháp phần mềm này lưu trữ mật khẩu và giúp tạo ra các mật khẩu mạnh, duy nhất cho các tài khoản khác nhau, từ đó hạn chế rủi ro liên quan đến việc tái sử dụng mật khẩu. Ví dụ, nếu bạn có tài khoản trên nền tảng mạng xã hội và dịch vụ ngân hàng trực tuyến, trình quản lý mật khẩu sẽ đảm bảo rằng cả hai có mật khẩu riêng biệt, khó bẻ khóa. Tất cả những gì bạn cần nhớ là một mật khẩu duy nhất để mở khóa trình quản lý mật khẩu.
Trong môi trường Windows, Credential Manager là một công cụ tích hợp lưu trữ thông tin đăng nhập như tên người dùng và mật khẩu, cho phép người dùng truy xuất chúng một cách dễ dàng và an toàn khi cần. Chức năng này được tích hợp vào hệ điều hành, mang lại trải nghiệm liền mạch cho người dùng.
Trong hệ sinh thái của Apple, ứng dụng Keychain Access trên macOS đóng vai trò tương tự, tạo ra một môi trường an toàn nơi người dùng có thể lưu mật khẩu, sau đó được mã hóa và lưu trữ trên thiết bị. Keychain đồng bộ hóa qua các thiết bị thông qua iCloud, đảm bảo mật khẩu luôn sẵn sàng trên tất cả các thiết bị Apple của người dùng.
Ngoài các tùy chọn tích hợp này, nhiều trình quản lý mật khẩu bên thứ ba cung cấp các tính năng nâng cao như khả năng tương thích đa nền tảng, chia sẻ thông tin đăng nhập an toàn và các giao thức bảo mật nâng cao. Hãy nhớ cân nhắc rủi ro bảo mật khi lưu trữ tất cả mật khẩu trong một hệ thống và đảm bảo rằng các biện pháp bảo vệ để truy cập vào dịch vụ bên thứ ba là đủ mạnh. Các dịch vụ bên thứ ba này thường cung cấp thêm các lớp bảo vệ, như xác thực hai yếu tố, và có thể được tùy chỉnh để đáp ứng nhu cầu bảo mật cụ thể của cá nhân hoặc tổ chức.
#### Xác thực không cần mật khẩu
Trong hệ thống xác thực không cần mật khẩu, danh tính của người dùng được xác minh thông qua dữ liệu sinh trắc học, token phần cứng hoặc thậm chí các thuộc tính hành vi, loại bỏ nhu cầu ghi nhớ và nhập mật khẩu. Cách tiếp cận xác thực không cần mật khẩu có thể tiện lợi và an toàn, vì nó loại bỏ yếu tố con người—thường là mắt xích yếu nhất trong chuỗi bảo mật. Hãy tưởng tượng việc đăng nhập vào hệ thống công việc của bạn bằng cách sử dụng kết hợp token phần cứng và dấu vân tay; điều này không chỉ dễ dàng hơn so với việc nhớ một mật khẩu phức tạp, mà còn cung cấp một lớp xác minh kép khó bị kẻ xâm nhập giả mạo.
Mật khẩu là sự kết hợp của các ký tự (như chữ cái, số và ký hiệu đặc biệt) cần được giữ bí mật, và đây là hình thức phổ biến nhất của xác thực dựa trên kiến thức. Các phương pháp thực hành tốt nhất về mật khẩu là những chiến lược và kỹ thuật được khuyến nghị để tạo và quản lý mật khẩu nhằm nâng cao bảo mật. Xác thực bằng mật khẩu thường được coi là một trong những phương pháp xác thực yếu nhất, nhưng lại được sử dụng rộng rãi do dễ triển khai.
Điểm yếu của xác thực bằng mật khẩu chủ yếu xuất phát từ yếu tố con người hơn là vấn đề công nghệ. Dưới đây là danh sách một số vấn đề điển hình dẫn đến tăng rủi ro khi sử dụng mật khẩu làm phương pháp xác thực duy nhất:
■ Người dùng có xu hướng sử dụng cùng một mật khẩu trên nhiều hệ thống và tài khoản.
■ Người dùng thường ghi lại mật khẩu (ví dụ: trên giấy nhớ dán).
■ Người dùng thường sử dụng mật khẩu đơn giản (ví dụ: tên con cái hoặc 12345).
■ Người dùng có xu hướng giữ nguyên mật khẩu mặc định của hệ thống được cung cấp khi cài đặt.
Một trong những bước quan trọng nhất trong quản lý mật khẩu là tạo ra một tiêu chuẩn để xác định các yêu cầu về mật khẩu an toàn. Tiêu chuẩn này cần được áp dụng trên toàn tổ chức và cho tất cả các hệ thống. Khi xây dựng chính sách, quy trình và tiêu chuẩn liên quan đến việc tạo mật khẩu, tổ chức nên xem xét các yêu cầu sau:
#### Độ dài mật khẩu
Độ dài mật khẩu đề cập đến số lượng ký tự trong mật khẩu. Độ dài là yếu tố quan trọng đối với bảo mật của mật khẩu. Mật khẩu dài hơn vốn dĩ an toàn hơn mật khẩu ngắn, giảm khả năng bị tấn công thành công bằng phương pháp brute-force hoặc tấn công từ điển. Trong khi 8 ký tự từ lâu đã là độ dài tối thiểu tiêu chuẩn, nhiều chuyên gia hiện khuyến nghị sử dụng ít nhất 12 đến 16 ký tự để tăng cường bảo mật. Hệ điều hành Windows giới hạn độ dài mật khẩu ở 14 ký tự. Hệ thống macOS khuyến nghị sử dụng ít nhất 15 ký tự, còn hệ thống Linux không có giới hạn công bố. Việc tăng độ dài mật khẩu tạo ra số lượng tổ hợp tiềm năng lớn hơn, khiến kẻ tấn công khó bẻ khóa hơn. Tuy nhiên, đây là một sự cân bằng; mật khẩu quá dài có thể phức tạp để người dùng ghi nhớ, làm tăng khả năng họ ghi lại hoặc lưu trữ không an toàn. Theo hướng dẫn gần đây của NIST, hệ thống nên cho phép mật khẩu có độ dài lên đến một mức nhất định, chẳng hạn như 64 ký tự, nhưng có thể yêu cầu độ dài tối thiểu để đảm bảo mức bảo mật cơ bản. Hình 19-9 cho thấy ví dụ về nơi bạn có thể kiểm tra và cấu hình độ dài mật khẩu, thời hạn sử dụng và các chi tiết khác của mật khẩu trong Windows.
**Hình 19-9: Chính sách Bảo mật Cục bộ của Windows**
#### Độ phức tạp của mật khẩu
Độ phức tạp của mật khẩu liên quan đến việc sử dụng nhiều loại ký tự khác nhau, như chữ cái in hoa, chữ cái thường, số và ký hiệu, trong mật khẩu để tăng tính khó đoán. Việc thiết lập chính sách về độ mạnh của mật khẩu rất quan trọng để giảm nguy cơ người dùng thiết lập mật khẩu yếu, dễ bị xâm phạm qua các cuộc tấn công brute-force và các phương pháp khác. Yêu cầu về độ phức tạp—chẳng hạn như yêu cầu người dùng sử dụng kết hợp ký tự, số và ký hiệu—góp phần tăng cường độ mạnh của mật khẩu. Dựa trên nghiên cứu liên tục về việc sử dụng mật khẩu, NIST gần đây đã cập nhật hướng dẫn về mật khẩu của mình. Dưới đây là một số cập nhật mới nhất mà NIST đã thực hiện đối với yêu cầu mật khẩu trong NIST SP 800-63b:
■ Người dùng không còn bắt buộc phải sử dụng ký hiệu đặc biệt.
■ Người dùng nên được phép sử dụng tất cả các ký tự.
■ Việc sao chép và dán mật khẩu là chấp nhận được.
■ Chính sách mật khẩu không nên yêu cầu nhân viên thay đổi mật khẩu định kỳ.
■ Trường mật khẩu nên cho phép thêm ít nhất 64 ký tự ngoài 8 ký tự bắt buộc.
#### Tái sử dụng mật khẩu
Tái sử dụng mật khẩu—thói quen sử dụng cùng một mật khẩu trên nhiều tài khoản hoặc hệ thống—không được khuyến khích do tăng nguy cơ bị truy cập rộng rãi nếu mật khẩu bị xâm phạm. Việc tái sử dụng cùng một mật khẩu hoặc một phần của nó cũng làm tăng nguy cơ mật khẩu bị lộ. Thói quen phổ biến là chỉ thay đổi chữ số cuối của mật khẩu hoặc sử dụng luân phiên hai mật khẩu khi được yêu cầu. Chính sách liên quan đến khả năng tái sử dụng nên đảm bảo rằng mật khẩu không được tái sử dụng trong một khoảng thời gian nhất định.
#### Thời hạn sử dụng mật khẩu
Thời hạn sử dụng mật khẩu là khoảng thời gian định sẵn sau đó mật khẩu phải được thay đổi thành một mật khẩu mới để giảm nguy cơ bị xâm phạm theo thời gian. Theo truyền thống, việc đặt ngày hết hạn cho mật khẩu được coi là phương pháp tốt. Logic là ngay cả khi mật khẩu bị xâm phạm, thiệt hại có thể được hạn chế bằng cách tự động buộc người dùng cập nhật mật khẩu định kỳ. Tuy nhiên, cách tiếp cận này đã được đánh giá lại, vì việc thay đổi mật khẩu thường xuyên có thể dẫn đến sự khó chịu của người dùng và thói quen bảo mật kém, như thay đổi gia tăng trên mật khẩu hiện có. Hướng dẫn mới nhất của CIS và NIST khuyến nghị không bắt buộc thay đổi mật khẩu định kỳ trừ khi có bằng chứng về việc bị xâm phạm. Các chuyên gia bảo mật cần cân nhắc ưu và nhược điểm của chính sách thời hạn mật khẩu, xem xét cả bảo mật và trải nghiệm người dùng.
#### Tuổi của mật khẩu
Tuổi của mật khẩu là khoảng thời gian mật khẩu đã được sử dụng, với mật khẩu cũ hơn thường được coi là có nguy cơ bị lộ cao hơn. Việc thay đổi mật khẩu thường xuyên từng được coi là phương pháp thực hành tốt nhất. Tuy nhiên, mật khẩu được sử dụng càng lâu, nguy cơ bị xâm phạm càng cao. Chính sách yêu cầu mật khẩu nên quy định tuổi tối đa của mật khẩu. Hướng dẫn gần đây của CIS khuyến nghị thay đổi mật khẩu hàng năm. Hướng dẫn đầy đủ về Chính sách Mật khẩu của CIS có thể được tìm thấy tại đây: https://www.cisecurity.org/insights/...d-policy-guide.
Chính sách xung quanh việc tạo mật khẩu cũng nên chỉ định liệu mật khẩu được tạo bởi người dùng hay được hệ thống tự động tạo. Một cách tiếp cận kết hợp sử dụng cả hai phương pháp, kết hợp mật khẩu do người dùng chọn với mật khẩu do hệ thống tạo ra. Bảng 19-3 tóm tắt ưu và nhược điểm của từng phương pháp này.
| **Phương pháp** | **Mô tả** | **Ưu điểm** | **Nhược điểm** |
|--------------------------------|---------------------------------------------------------------------------|--------------------------------------|--------------------------------------------------------------------------------|
| **Mật khẩu do người dùng tạo** | Người dùng tự tạo mật khẩu. | Dễ nhớ. | Thường dẫn đến mật khẩu dễ đoán. Người dùng có thể tái sử dụng trên nhiều hệ thống. |
| **Mật khẩu do hệ thống tạo** | Mật khẩu được hệ thống tạo ra. | Mật khẩu mạnh, tuân thủ chính sách bảo mật. | Khó nhớ. Người dùng thường ghi lại mật khẩu, làm mất mục đích bảo mật. |
| **Mật khẩu một lần và token** | Mật khẩu được tạo bởi thực thể bên ngoài (phần cứng/phần mềm) đồng bộ với tài nguyên nội bộ. Thiết bị thường được bảo vệ bằng mật khẩu do người dùng tạo. | Người dùng không cần nhớ mật khẩu khó. | Cơ sở hạ tầng phức tạp hơn. Sử dụng phần cứng/phần mềm để tạo token, tăng chi phí triển khai và bảo trì. |
#### Trình Quản Lý Mật Khẩu
Quản lý mật khẩu không chỉ là một phần phụ trong câu chuyện bảo mật mạng lớn hơn; nó là một bộ sưu tập đầy đủ các phương pháp và công nghệ được thiết kế để củng cố hệ thống xác thực của tổ chức. Trình quản lý mật khẩu hoạt động như các kho lưu trữ số an toàn để lưu trữ và quản lý hàng loạt mật khẩu. Các giải pháp phần mềm này lưu trữ mật khẩu và giúp tạo ra các mật khẩu mạnh, duy nhất cho các tài khoản khác nhau, từ đó hạn chế rủi ro liên quan đến việc tái sử dụng mật khẩu. Ví dụ, nếu bạn có tài khoản trên nền tảng mạng xã hội và dịch vụ ngân hàng trực tuyến, trình quản lý mật khẩu sẽ đảm bảo rằng cả hai có mật khẩu riêng biệt, khó bẻ khóa. Tất cả những gì bạn cần nhớ là một mật khẩu duy nhất để mở khóa trình quản lý mật khẩu.
Trong môi trường Windows, Credential Manager là một công cụ tích hợp lưu trữ thông tin đăng nhập như tên người dùng và mật khẩu, cho phép người dùng truy xuất chúng một cách dễ dàng và an toàn khi cần. Chức năng này được tích hợp vào hệ điều hành, mang lại trải nghiệm liền mạch cho người dùng.
Trong hệ sinh thái của Apple, ứng dụng Keychain Access trên macOS đóng vai trò tương tự, tạo ra một môi trường an toàn nơi người dùng có thể lưu mật khẩu, sau đó được mã hóa và lưu trữ trên thiết bị. Keychain đồng bộ hóa qua các thiết bị thông qua iCloud, đảm bảo mật khẩu luôn sẵn sàng trên tất cả các thiết bị Apple của người dùng.
Ngoài các tùy chọn tích hợp này, nhiều trình quản lý mật khẩu bên thứ ba cung cấp các tính năng nâng cao như khả năng tương thích đa nền tảng, chia sẻ thông tin đăng nhập an toàn và các giao thức bảo mật nâng cao. Hãy nhớ cân nhắc rủi ro bảo mật khi lưu trữ tất cả mật khẩu trong một hệ thống và đảm bảo rằng các biện pháp bảo vệ để truy cập vào dịch vụ bên thứ ba là đủ mạnh. Các dịch vụ bên thứ ba này thường cung cấp thêm các lớp bảo vệ, như xác thực hai yếu tố, và có thể được tùy chỉnh để đáp ứng nhu cầu bảo mật cụ thể của cá nhân hoặc tổ chức.
#### Xác thực không cần mật khẩu
Trong hệ thống xác thực không cần mật khẩu, danh tính của người dùng được xác minh thông qua dữ liệu sinh trắc học, token phần cứng hoặc thậm chí các thuộc tính hành vi, loại bỏ nhu cầu ghi nhớ và nhập mật khẩu. Cách tiếp cận xác thực không cần mật khẩu có thể tiện lợi và an toàn, vì nó loại bỏ yếu tố con người—thường là mắt xích yếu nhất trong chuỗi bảo mật. Hãy tưởng tượng việc đăng nhập vào hệ thống công việc của bạn bằng cách sử dụng kết hợp token phần cứng và dấu vân tay; điều này không chỉ dễ dàng hơn so với việc nhớ một mật khẩu phức tạp, mà còn cung cấp một lớp xác minh kép khó bị kẻ xâm nhập giả mạo.