SỐC: 87 triệu password có thể bị bẻ khóa trong không quá 1 phút
Kết quả nói trên có được từ việc phân tích 193 triệu mật khẩu từ các nguồn công khai trên "web đen".
Theo một báo cáo vừa được Kaspersky phát hành, 45% (tương đương 87 triệu mật khẩu) có thể bị bẻ khóa thành công trong vòng 1 phút; 14% (27 triệu mật khẩu) có thể bị bẻ khóa trong vòng 1 giờ - 1 ngày; tương tự là 1 ngày - tháng và 1 tháng - 1 năm đối với 6% (12 triệu mật khẩu) và 4% (8 triệu mật khẩu).
Duy chỉ có 23% (tương đương 44 triệu mật khẩu) tổ hợp mật khẩu được đánh giá đủ mạnh để chống lại các cuộc tấn công, và việc bẻ khóa những mật khẩu này sẽ mất hơn một năm.
87 triệu mật khẩu hiện có có thể bị bẻ khóa thành công chỉ trong 1 phút. (Ảnh minh họa)
Kết quả nói trên có được từ việc phân tích 193 triệu mật khẩu từ các nguồn công khai trên "web đen" vào tháng 6/024. Kết quả cho thấy, phần lớn mật khẩu được đánh giá không đủ mạnh và kém an toàn, điều này tạo điều kiện cho kẻ tấn công dễ dàng xâm nhập tài khoản bằng cách sử dụng các thuật toán dự đoán thông minh.
Báo cáo cho biết thêm, trong năm 2023, Kaspersky phát hiện có hơn 32 triệu cuộc tấn công người dùng bằng mã độc đánh cắp mật khẩu. Con số này cho thấy tầm quan trọng của việc duy trì thói quen làm sạch không gian mạng và thay đổi mật khẩu định kỳ.
Bên cạnh đó, phân tích kỹ hơn Kaspersky cho biết, đa phần các mật khẩu (57%) đều chứa một từ dễ dàng tìm thấy trong từ điển, điều này làm giảm đáng kể độ mạnh của mật khẩu. Trong số các chuỗi từ vựng phổ biến nhất, Kaspersky phân thành một số nhóm mật khẩu như sau:
- Tên: "ahmed", "nguyen", "kumar", "kevin", "daniel".
- Từ phổ biến: "forever", "love", "google", "hacker", "gamer".
- Mật khẩu tiêu chuẩn: "password", "qwerty12345", "admin", "12345", "team".
Phân tích cho thấy, chỉ có 19% mật khẩu chứa tổ hợp của một mật khẩu mạnh, bao gồm một từ không có trong từ điển, cả chữ thường và chữ in hoa, cũng như số và ký hiệu. Đồng thời, nghiên cứu cũng cho hay, 39% trong số các mật khẩu mạnh đó vẫn có thể bị đoán bằng các thuật toán thông minh chỉ trong vòng chưa đầy một giờ.
Điều thú vị là các kẻ tấn công không cần sở hữu kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu. Ví dụ, bộ xử lý máy tính xách tay chuyên dụng có thể tìm ra chính xác tổ hợp mật khẩu gồm 8 chữ cái hoặc chữ số viết thường bằng kỹ thuật "brute force" chỉ trong 7 phút. Mạnh hơn, khi dùng card đồ họa tích hợp thì quá trình xử lý tác vụ tương tự sẽ chỉ trong 17 giây. Bên cạnh đó, các thuật toán đoán mật khẩu thông minh còn có xu hướng thay thế các ký tự ("e" thành "3", "1" thành "!" hoặc "a" thành "@") và các chuỗi phổ biến ("qwerty", "12345", "asdfg").
Bà Yuliya Novikova - Trưởng phòng Digital Footprint Intelligence tại Kaspersky cảnh báo: “Một cách vô thức, con người thường đặt mật khẩu rất đơn giản, thường là các từ trong từ điển bằng tiếng mẹ đẻ, như tên riêng và số,... Ngay cả những tổ hợp mật khẩu mạnh cũng hiếm khi được đặt khác với xu hướng trên, vì vậy chúng hoàn toàn có thể bị thuật toán đoán được”
Để tăng cường độ mạnh của mật khẩu, người dùng có thể áp dụng các mẹo đơn giản sau:
- Việc ghi nhớ hết các mật khẩu cho tất cả các dịch vụ đang sử dụng là không thể, người dùng nên sử dụng một giải pháp như Kaspersky Password Manager để tiện quản lý các mật khẩu.
- Sử dụng mật khẩu khác nhau cho các dịch vụ khác nhau. Bằng cách này, ngay cả khi một trong các tài khoản của bạn bị tấn công, những tài khoản khác vẫn an toàn.
- Chuỗi ký tự (passphrase) giúp người dùng khôi phục lại tài khoản khi quên mật khẩu, sẽ an toàn hơn khi sử dụng các từ ít phổ biến. Ngay cả khi sử dụng các từ thông dụng, người dùng có thể sắp xếp chúng theo thứ tự khác thường và không liên quan đến nhau. Ngoài ra, người dùng có thể sử dụng một dịch vụ trực tuyến để kiểm tra độ mạnh của mật khẩu.
- Không nên sử dụng các thông tin cá nhân như ngày sinh nhật, tên thành viên trong gia đình, thú cưng hoặc tên riêng để đặt mật khẩu. Đây thường là những lựa chọn đầu tiên kẻ tấn công sẽ thử khi bẻ khóa mật khẩu.
- Mặc dù không liên quan trực tiếp đến độ mạnh của mật khẩu, nhưng việc bật 2FA sẽ giúp tăng thêm một lớp bảo mật. Ngay cả khi mật khẩu bị phát hiện, kẻ tấn công vẫn cần xác minh hai yếu tố để truy cập vào tài khoản.
Nguồn: [Link nguồn]
Hãy thay đổi ngay lập tức nếu bạn đang sử dụng một trong những mật khẩu 4 chữ số (mã PIN) thuộc danh sách dưới đây.