Theo báo cáo của hãng bảo mật Kaspersky, 57% mật khẩu hiện
tại chứa một từ có thể dễ dàng tìm thấy trong từ điển của các nhóm chuyên dò
mật khẩu, dựa trên 193 triệu mật khẩu bị xâm phạm và được bán trên các chợ đen
trực tuyến.
Thông tin bảo mật, qwerty12345, quản lý, 12345, đội, v.v. Tên người cũng được
sử dụng làm mật khẩu; ví dụ: ahmed, nguyen, kumar, kevin, daniel. Trong đó, từ
"nguyen" giống với từ "nguyễn" không dấu, thường được tìm
thấy trong tên người Việt Nam.
Các chuyên gia bảo mật của Kaspersky cho biết các kẻ tấn công thường sử dụng
hai loại tấn công: tấn công dò tìm Brute Force (đoán mật khẩu bằng cách thử
nhiều tổ hợp ký tự đến khi ra kết quả) hoặc tấn công dự đoán thông minh mật
khẩu để tấn công Chính vì vậy, việc sử dụng những từ thông thường và dễ tìm
thấy trong từ điển chuyên dò mật khẩu sẽ làm giảm độ mạnh của mật khẩu. Điều
này sẽ làm giảm thời gian cần thiết để kẻ gian tìm ra mật khẩu đúng.
Theo nghiên cứu của Kaspersky, 87 triệu trong số 193 triệu
mật khẩu, tương đương 45%, có thể được tìm ra trong chưa đầy một phút; 14% mật
khẩu mất tới một giờ và chỉ 4% khiến các hacker mất một năm để tìm ra chúng.
Các chuyên gia của Kaspersky nhấn mạnh rằng các phương pháp cơ bản trên cho
phép các nhóm tấn công bẻ khóa mật khẩu của các cá nhân hoặc tổ chức mà không
cần kiến thức chuyên môn hoặc thiết bị tân tiến. Chỉ trong 7 phút, bộ xử lý của
laptop chuyên dụng có thể xác định một tổ hợp mật khẩu gồm 8 chữ cái hoặc chữ
số viết trong hình thức Brute Force. Tuy nhiên, với card đồ họa kèm theo, việc
dò tìm mật khẩu có thể được hoàn thành trong 17 giây.
Ngoài ra, theo nghiên cứu của Kaspersky, nhiều người dùng có xu hướng thay thế
các ký tự như "admin" thành "@dmin" hoặc
"password" thành "pa$$word" để khiến các hacker khó đoán.
Tuy nhiên, các chuyên gia bảo mật nói rằng phương pháp này không làm cho mật
khẩu trở nên mạnh hơn nhiều vì chúng vẫn là những từ được tìm thấy nhiều trong
từ điển dò tìm mật khẩu, được hacker thường xuyên cập nhật vào thuật toán thông
minh.
Kaspersky đã phát hiện hơn 32 triệu cuộc tấn công người dùng bằng mã độc đánh
cắp mật khẩu vào năm 2023. Con số này cho thấy tầm quan trọng của việc thường
xuyên đổi mật khẩu và làm sạch không gian mạng.
Các chuyên gia bảo mật khuyên rằng người dùng có thể sử dụng trình ghi nhớ mật
khẩu và sử dụng nhiều mật khẩu khác nhau cho các dịch vụ khác nhau để tăng độ
mạnh của mật khẩu của họ. Ngoài ra, người dùng không nên thu thập thông tin cá
nhân như tên riêng và ngày sinh nhật để đặt mật khẩu vì kẻ tấn công có thể sử
dụng những thông tin này để dò tìm mật khẩu để bẻ khóa. Các chuyên gia cũng khuyên
nên kích hoạt tính năng xác thực hai yếu tố (2FA) để tăng cường bảo mật.