Theo một báo cáo mới được công bố bởi Kaspersky, có 45% tổng số mật khẩu (tương đương với 87 triệu mật khẩu) có khả năng bị hack thành công trong vòng 1 phút; 14% (27 triệu mật khẩu) có thể bị hack trong vòng 1 giờ - 1 ngày; đồng thời, có 6% (12 triệu mật khẩu) và 4% (8 triệu mật khẩu) có thể bị hack trong khoảng 1 ngày - 1 tháng và 1 tháng - 1 năm.
Chỉ có 23% (khoảng 44 triệu mật khẩu) trong tổng số tổ hợp mật khẩu được xem là đủ mạnh để đối phó với các cuộc tấn công, và việc phá khóa những mật khẩu này sẽ mất hơn một năm.
Dữ liệu trên được thu thập từ việc phân tích 193 triệu mật khẩu từ các nguồn công khai trên "web đen" vào tháng 6/024. Kết quả cho thấy, hầu hết các mật khẩu được xem xét không đủ mạnh và không đảm bảo an toàn, điều này mở ra cơ hội cho tin tặc dễ dàng xâm nhập vào tài khoản bằng cách sử dụng các thuật toán dự đoán thông minh.
Theo báo cáo, vào năm 2023, Kaspersky đã phát hiện hơn 32 triệu cuộc tấn công người dùng bằng mã độc để đánh cắp mật khẩu. Con số này đề cao sự quan trọng của việc duy trì thói quen rà soát không gian mạng và thay đổi mật khẩu định kỳ.
Ngoài ra, theo phân tích chi tiết của Kaspersky, họ cho biết rằng hầu hết các mật khẩu (57%) đều chứa ít nhất một từ có thể dễ dàng tìm thấy trong từ điển, điều này làm giảm đáng kể độ an toàn của mật khẩu. Trên thực tế, Kaspersky đã phân loại một số nhóm mật khẩu dựa trên các từ vựng phổ biến nhất.
Tên các học sinh trong lớp gồm có "Ahmed", "Nguyên", "Kumar", "Kevin" và "Daniel".
Các từ thông dụng: "vĩnh viễn", "tình yêu", "tra cứu trên mạng", "tin tặc", "người chơi game".
Các mật khẩu thông thường bao gồm: "password", "qwerty12345", "admin", "12345", "team".
Theo phân tích, chỉ có 19% mật khẩu chứa tổ hợp phức tạp, bao gồm một từ không có trong từ điển, cả chữ thường và in hoa, số và ký hiệu. Đồng thời, nghiên cứu cũng chỉ ra rằng, 39% mật khẩu mạnh vẫn có khả năng bị đoán bằng các thuật toán thông minh trong thời gian ngắn hơn một giờ.
Một điều thú vị là những kẻ tấn công không cần phải sở hữu hiểu biết chuyên môn hay thiết bị tiên tiến để phá mã bảo mật. Ví dụ, một bộ xử lý máy tính xách tay chuyên dụng có thể tìm ra ngay tổ hợp mật khẩu gồm 8 chữ cái hoặc chữ số viết thường bằng phương pháp "brute force" chỉ trong vòng 7 phút. Mạnh mẽ hơn, khi sử dụng card đồ họa tích hợp thì quá trình xử lý tác vụ tương tự sẽ chỉ mất 17 giây. Ngoài ra, các thuật toán đoán mật khẩu thông minh cũng thường thay thế các ký tự ("e" thành "3", "1" thành "!" hoặc "a" thành "@") và các chuỗi phổ biến ("qwerty", "12345", "asdfg").
Bà Yuliya Novikova - Trưởng phòng Thông tin Dấu chân Số học tại Kaspersky đã cảnh báo: "Một cách không ý thức, con người thường thiết lập mật khẩu rất đơn giản, thường là các từ trong từ điển bằng tiếng gốc, như tên riêng và số,... Ngay cả những tổ hợp mật khẩu mạnh cũng ít khi được thiết lập khác biệt với xu hướng trên, do đó chúng hoàn toàn có thể bị thuật toán đoán được"
Để nâng cao độ bảo mật của mật khẩu, người dùng có thể sử dụng những cách thức sau đây để tăng cường độ mạnh của mật khẩu:
Việc nhớ hết tất cả các mật khẩu cho các dịch vụ mà chúng ta đang sử dụng là không khả thi, chính vì vậy, người dùng nên áp dụng một giải pháp như Kaspersky Password Manager để dễ dàng quản lý mật khẩu.
- Hãy sử dụng mật khẩu độc nhất cho từng dịch vụ riêng biệt. Như vậy, ngay cả khi một trong những tài khoản của bạn bị tấn công, các tài khoản khác vẫn được bảo đảm an toàn.
Việc sử dụng chuỗi ký tự (passphrase) giúp người dùng khôi phục tài khoản khi quên mật khẩu có độ bảo mật cao hơn nếu sử dụng các từ không phổ biến. Thậm chí khi sử dụng các từ thông dụng, người dùng vẫn có thể sắp xếp chúng theo cách không thông thường và không có mối liên hệ với nhau. Bên cạnh đó, người dùng cũng có thể sử dụng một dịch vụ trực tuyến để kiểm tra độ mạnh của mật khẩu.
Không nên sử dụng các thông tin cá nhân như ngày sinh nhật, tên thành viên trong gia đình, thú cưng hoặc tên riêng để tạo mật khẩu. Đây thường là những lựa chọn đầu tiên kẻ tấn công sẽ thử khi cố gắng đánh cắp mật khẩu.
Mặc dù không ảnh hưởng trực tiếp đến mức độ phức tạp của mật khẩu, việc kích hoạt 2FA sẽ gia tăng thêm một lớp bảo mật. Cho dù mật khẩu bị tiết lộ, kẻ tấn công vẫn phải xác minh hai yếu tố để có thể truy cập vào tài khoản.