HashCat, một công cụ dò mật khẩu mã nguồn mở, có thể phá được giá trị băm NTLM của mật khẩu Windows dài 8 ký tự trong khi bạn chưa xem xong bộ phim Avengers: Endgame.

Năm 2011, nhà nghiên cứu Steven Myer chứng minh rằng một khẩu khẩu gồm 8 ký tự (53-bit) có thể được dò ra trong 44 ngày, hay 14 giây nếu dùng GPU và bảng cầu vồng chứa các giá trị băm tính sẵn.

Tới năm 2015, một nhà phát triển Jeff Atwood báo cáo về đề tài này thì độ dài trung bình của mật khẩu được đa số mọi người sử dụng rơi vào khoảng 8 ký tự và từ đó đến nay chưa  có dấu hiệu nào cho thấy sự việc đã thay đổi đáng kể. Nhưng đến thời điểm này, khi khoảng 620 triệu thông tin đăng nhập web đang bị bán trên thị trường web đen, thì có lẽ chúng ta phải xem lại độ dài và cách thức quản lý của mật khẩu.

Trong một bài đăng trên Twitter mới đây, những người tham gia dự án phần mềm cho biết một phiên bản tinh chỉnh thủ công HashCat (6.0.0 beta) đã tận dụng 8 GPU Nvidia GTX 2080Ti trong một cuộc tấn công ngoại tuyến và vượt qua ngưỡng tốc độ phá mật khẩu NTLM 100GH/s (100 tỷ giá trị băm mỗi giây). Với tốc độ này, một mật khẩu gồm tám ký tự, dù phức tạp tới đâu đi nữa, cũng có thể bị tìm ra trong chưa đầy 2,5 giờ. Người có biệt danh Tinker đã viết trên rằng "Mật khẩu tám ký tự đã chết."

Mật khẩu tám ký tự đã chết, ít nhất là trong ngữ cảnh tấn công vào các tổ chức sử dụng Windows và Active Directory. NTLM là một giao thức xác thực cũ của Microsoft, tuy đã bị thay thế bằng Kerberos, nhưng vẫn được dùng để lưu mật khẩu Windows lưu trên máy tính hoặc trong tệp NTDS.dit trên Active Directory Domain Controllers.

Các thuật toán băm mạnh hơn sẽ cần nhiều thời gian hơn để dò mật khẩu, đôi khi mức độ tăng thêm khá lớn. Để tiện so sánh, khi IBM đạt tốc độ dò giá trị băm 334 GH/s với NTLM và Hashcat năm 2017, họ chỉ đạt được tốc độ 118.6 kH/s với bcrypt và Hashcat. Nhưng với những mât khẩu tương đối ngắn, những kẻ tìm cách dò mật khẩu có thể chi tiền cho dịch vụ điện toán đám mây để sử dụng năng lực tính toán cao hơn.

Tinker ước tính rằng chi phí mua 8 GPU nêu trên rơi vào khoảng 10 ngàn đô la, trong khi đó những người khác cho rằng năng lực tính toán để dò mật khẩu NTLM 8 ký tự có thể thuê từ dịch vụ đám mây của Amazon với giá chỉ 25 đô la.

Hướng dẫn mới nhất của NIST nói rằng mật khẩu phải gồm ít nhất 8 ký tự nhưng một số nhà cung cấp dịch vụ trực tuyến yêu cầu ít hơn nhiều. Nhà nghiên cứu bảo mật Troy Hunt đã tìm hiểu về độ dài mật khẩu tối thiểu tại các website vào năm ngoái và thấy rằng Facebook, LinkedIn và Twitter chỉ yêu cầu mật khẩu gồm 6 ký tự.

Vậy nếu mật khẩu 8 ký tự là không đủ an toàn thì chúng ta nên dùng mật khẩu gồm bao nhiêu ký tự để có thể yên tâm cho tới khi một đột phá công nghệ mới xuất hiện? Tinker đề xuất một chuỗi gồm 5 từ ngẫu nhiên, giống như trong bức tranh hài trực tuyến XKCD từng gợi ý mật khẩu 4 từ: "correcthorsebatterystaple".