Theo báo cáo của hãng bảo mật Kaspersky dựa trên nghiên cứu 193 triệu mật khẩu bị xâm phạm và rao bán trên các chợ đen online, 57% mật khẩu hiện nay chứa một từ có thể dễ dàng tìm thấy trong từ điển của các nhóm chuyên dò mật khẩu.
Phổ biến trong số đó là: password, qwerty12345, admin, 12345, team... Những từ được dùng cho tên người cũng được sử dụng nhiều để tạo mật khẩu, ví dụ như: ahmed, nguyen, kumar, kevin, daniel. Trong đó, "nguyen" giống với phiên bản không dấu của "nguyễn", xuất hiện nhiều trong tên người Việt Nam.
Theo các chuyên gia bảo mật của Kaspersky, kẻ xấu thường sử dụng hình thức tấn công dò tìm Brute Force - đoán mật khẩu bằng cách thử hàng loạt tổ hợp ký tự đến khi ra kết quả hoặc Smart Guessing Attack - hình thức dự đoán thông minh mật khẩu để tấn công. Chính vì vậy, những từ phổ biến, dễ tìm thấy trong từ điển chuyên dò mật khẩu sẽ làm giảm đáng kể độ mạnh của mật khẩu, qua đó rút ngắn thời gian tìm đúng mật khẩu của kẻ gian hơn.
Theo nghiên cứu của Kaspersky, có 87 triệu trong số 193 triệu mật khẩu, tương đương 45%, được tìm ra trong chưa đầy 1 phút, 14% mật khẩu mất tới 1 tiếng và chỉ 4% mật khẩu khiến các hacker phải mất 1 năm để dò tìm.
Các chuyên gia của Kaspersky nhấn mạnh, với những phương thức cơ bản trên, các nhóm tấn công không cần kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu của các cá nhân hay tổ chức. Với hình thức Brute Force, bộ xử lý của laptop chuyên dụng có thể tìm chính xác tổ hợp mật khẩu gồm 8 chữ cái hoặc chữ số viết thường chỉ trong 7 phút. Trong khi đó, với card đồ họa đi kèm, việc dò tìm mật khẩu có thể hoàn thành chỉ trong 17 giây.
Nghiên cứu của Kaspersky cũng cho thấy, nhiều người dùng có xu hướng thay thế các ký tự như "admin" thành "@dmin" hoặc "password" thành "pa$$word" với hy vọng các hacker khó đoán ra. Tuy nhiên, theo các chuyên gia bảo mật, cách làm này không khiến mật khẩu mạnh hơn nhiều bởi chúng vẫn là những từ xuất hiện nhiều trong từ điển dò tìm mật khẩu, được hacker thường xuyên cập nhật vào thuật toán thông minh để xử lý.
Trong năm 2023, Kaspersky đã phát hiện hơn 32 triệu cuộc tấn công người dùng bằng mã độc đánh cắp mật khẩu. Con số này cho thấy tầm quan trọng của việc duy trì thói quen làm sạch không gian mạng và đổi mật khẩu định kỳ.
Để tăng độ mạnh của mật khẩu, các chuyên gia bảo mật khuyến cáo, người dùng có thể sử dụng trình ghi nhớ mật khẩu, sử dụng mật khẩu khác nhau cho những dịch vụ khác nhau. Ngoài ra, người dùng không nên lấy thông tin cá nhân như ngày sinh nhật, tên riêng để đặt mật khẩu bởi đây là lựa chọn đầu tiên của kẻ tấn công khi dò tìm mật khẩu để bẻ khóa. Bên cạnh đó, kích hoạt tính năng xác thực hai yếu tố (2FA) cũng được các chuyên gia khuyến nghị để giúp tăng thêm một lớp bảo mật.
* Mời quý độc giả theo dõi các chương trình đã phát sóng của Đài Truyền hình Việt Nam trên TV Online và VTVGo!