Theo FBI, cụm mật khẩu dài, dù chỉ bao gồm những ký tự đơn giản, vẫn được đánh giá cao hơn mật khẩu phức tạp với các ký tự đặc biệt.
Nhiều năm nay, các chuyên gia bảo mật luôn tranh luận về cách tốt nhất để chọn mật khẩu cho tài khoản trực tuyến. Một số ý kiến cho rằng nên tăng độ phức tạp của mật khẩu bằng cách thêm số, chữ in hoa và những ký tự đặc biệt, trong khi nhiều chuyên gia khác lại nghĩ chỉ cần tăng độ dài cho mật khẩu là có thể bảo vệ tốt tài khoản trực tuyến.
Gần đây, văn phòng Cục điều tra liên bang (FBI) ở Portland (Oregon, Mỹ) tuyên bố họ thiên về ý kiến thứ hai hơn. “Thay vì sử dụng mật khẩu ngắn, phức tạp và khó nhớ, hãy cân nhắc sử dụng cụm mật khẩu dài hơn, ví dụ kết hợp nhiều từ thành chuỗi dài ít nhất 15 ký tự. Độ dài của cụm từ sẽ khiến mật khẩu khó bị bẻ khóa và giúp bạn dễ nhớ hơn”, đại diện FBI cho biết.
Theo FBI, mật khẩu dài, dù chỉ chứa những chữ cái đơn giản, không có ký tự đặc biệt, cũng sẽ khiến tin tặc cần thêm thời gian và tài nguyên tính toán hơn mới có thể bẻ khóa thành công. Ngay cả khi những kẻ tấn công đánh cắp được mật khẩu mã hóa của bạn từ hệ thống, họ cũng thiếu sức mạnh tính toán và không đủ thời gian để bẻ khóa mật khẩu.
Một nghiên cứu học thuật công bố trên arXiv năm 2015 ủng hộ luận điểm này. Trong đó giải thích “hiệu ứng tăng chiều dài chuỗi ký tự sẽ có tác dụng tăng thêm độ phức tạp của mật khẩu”.
Trước đây, trang web truyện tranh trực tuyến XKCD từng đưa ra lập luận tương tự, cho rằng một cụm mật khẩu gồm nhiều từ sẽ vừa dễ nhớ, vừa bảo mật hơn. Khi đó, khái niệm passphrases-over-passwords (cụm mật khẩu được đánh giá cao hơn mật khẩu thông thường) được rất nhiều người dùng biết đến. Thậm chí còn có nhiều dịch vụ web giúp tạo cụm mật khẩu tự động theo kiểu của XKCD.
Năm 2017, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã đề xuất các dịch vụ web cung cấp cho người dùng các trường mật khẩu lên đến 64 ký tự thay vì dùng những loại mật khẩu ngắn và đơn giản. Mặt khác, NIST cũng hướng dẫn người dùng nên ưu tiên sử dụng cụm mật khẩu để đảm bảo an toàn tài khoản trực tuyến.