Trong kỷ nguyên số hóa hiện nay, mật khẩu không chỉ là chìa khóa truy cập các tài khoản trực tuyến mà còn là lớp bảo vệ đầu tiên cho thông tin cá nhân và tài sản số của bạn. Tuy nhiên, nhiều người dùng vẫn chưa thực sự hiểu rõ về cách thức hoạt động cũng như tầm quan trọng của việc tạo ra và quản lý một mật khẩu an toàn. Trên thực tế, nhiều mật khẩu phổ biến có thể bị bẻ khóa chỉ trong vài giây, mở ra cánh cửa cho những kẻ tấn công mạng xâm nhập vào đời tư và gây ra những thiệt hại không mong muốn. Bài viết này của thoibaocongnghe.net sẽ đi sâu vào cơ chế hoạt động của mật khẩu, những rủi ro tiềm ẩn khi sử dụng mật khẩu yếu, các loại mật khẩu bạn nên tránh, và đặc biệt là cách để tạo ra một mật khẩu mạnh, dễ nhớ, góp phần củng cố an ninh mạng cá nhân của bạn.
Mật khẩu hoạt động như thế nào?
Trái với suy nghĩ thông thường, các trang web hoặc dịch vụ không lưu trữ mật khẩu của bạn dưới dạng văn bản rõ ràng. Việc này sẽ là một rủi ro bảo mật rất lớn. Nếu máy chủ của họ bị xâm nhập, tin tặc sẽ dễ dàng chiếm đoạt toàn bộ thông tin đăng nhập của người dùng. Thay vào đó, một quy trình bảo mật phức tạp hơn được áp dụng khi bạn tạo mật khẩu, đó là băm mật khẩu (password hashing).
Băm mật khẩu chuyển đổi mật khẩu bạn nhập thành một chuỗi ký tự ngắn gồm chữ cái và/hoặc số thông qua một thuật toán băm (hashing algorithm). Chuỗi ký tự này được gọi là mã băm (hash), và nó thường là duy nhất. Trang web sẽ lưu trữ mã băm này, và lần sau khi bạn nhập mật khẩu, hệ thống sẽ băm mật khẩu bạn vừa nhập rồi so sánh kết quả với mã băm đã lưu. Nếu hai mã băm trùng khớp, bạn sẽ được cấp quyền truy cập.
Nếu mật khẩu đủ mạnh, mã băm của nó rất khó bị bẻ khóa. Điều này càng đúng khi các thuật toán băm mạnh mẽ hơn như Argon2 hoặc Bcrypt được sử dụng. Một mật khẩu càng phức tạp, việc bẻ khóa mã băm của nó càng trở nên khó khăn hơn đối với tin tặc.
Mật khẩu yếu có thể bị bẻ khóa chỉ trong vài giây
Các mật khẩu như “123456”, “Password1” hay “qwerty” không chỉ phổ biến trên toàn thế giới mà còn cực kỳ dễ bị bẻ khóa, chỉ mất chưa đầy một giây để giải mã. Thậm chí có những mật khẩu tưởng chừng độc đáo nhưng vẫn có thể bị bẻ khóa trong vài giây, tùy thuộc vào kỹ năng kỹ thuật của tin tặc.
Hiện nay, tồn tại các công cụ bẻ khóa tự động (thường là công cụ tấn công vét cạn – brute force) cho phép một tin tặc với rất ít kỹ năng kỹ thuật có thể “ép” tài khoản bị tấn công phải chấp nhận mật khẩu. Các công cụ này hoạt động bằng cách tự động thử các tổ hợp mật khẩu tiềm năng khác nhau cho đến khi tìm thấy mật khẩu chính xác. Điều này có nghĩa là ngay cả một tin tặc mới vào nghề cũng có thể bẻ khóa mật khẩu của bạn nếu nó quá yếu.
Ổ khóa và các biểu tượng mối đe dọa mạng, mã nhị phân thể hiện rủi ro bảo mật mật khẩu yếu
Tầm quan trọng của các mật khẩu phổ biến trong tấn công mạng
Một loại tấn công vét cạn phổ biến là tấn công từ điển (dictionary attack). Trong đó, tin tặc sử dụng một danh sách các mật khẩu phổ biến để cố gắng truy cập vào một tài khoản. Một số công cụ tấn công vét cạn còn sử dụng phương pháp kết hợp (hybrid approach), nơi chúng thử nhiều biến thể của các mật khẩu thông dụng cùng với việc thêm các ký tự đặc biệt và số. Toàn bộ quá trình này được tự động hóa hoàn toàn. Tin tặc không hề ngồi đó và thử đăng nhập vào một tài khoản bằng cách gõ từng mật khẩu phổ biến một.
Những loại mật khẩu phổ biến bạn tuyệt đối nên tránh
Ngoài những mật khẩu quá rõ ràng như “qwerty” hoặc “123456” do các quy tắc bàn phím hay các chuỗi số dễ đoán, công ty bảo mật mật khẩu NordPass đã xác định hàng loạt mật khẩu khác cũng cực kỳ phổ biến trên toàn thế giới và nên được tránh sử dụng.
Mật khẩu liên quan đến thể thao
Bạn có biết rằng “football” (bóng đá) và “baseball” (bóng chày) là hai trong số các mật khẩu phổ biến nhất, với “football” xếp thứ 50 và “baseball” xếp thứ 64 trong danh sách mật khẩu được dùng nhiều nhất? “Soccer” (bóng đá) cũng có mặt trong danh sách, với hơn 42.000 người dùng trên toàn thế giới đã chọn nó làm mật khẩu. Các mật khẩu liên quan đến thể thao khác như “basketball” (bóng rổ) cũng nằm trong danh sách này. Hầu hết chúng đều có thể bị bẻ khóa trong vài giây.
Nếu bạn là người hâm mộ thể thao, bạn nên tránh xa những mật khẩu phổ biến này. Ngay cả những biến thể như “football123456” cũng không an toàn hơn là bao do cách thức hoạt động của các công cụ tấn công vét cạn.
Biệt danh quen thuộc
Hóa ra, “princess” (công chúa) và “sunshine” (nắng ấm) không chỉ là những biệt danh dễ thương mà còn là “món hời” của tin tặc, bị bẻ khóa nhanh hơn cả thời gian bạn pha cà phê buổi sáng. Cả “princess” và “sunshine” đều mất chưa đầy một giây để bẻ khóa và đã được sử dụng hơn 54.000 lần, lần lượt xếp thứ 52 và 57 trong danh sách các mật khẩu phổ biến nhất trên toàn thế giới.
Tên nhân vật hư cấu
Ngay cả các chương trình truyền hình yêu thích thời thơ ấu của bạn cũng không an toàn; trên thực tế, “Pokémon” đã được sử dụng hơn 50.000 lần. “Superman” cũng có trong danh sách này, và cả hai mật khẩu đều mất chưa đầy một giây để bẻ khóa.
Batman thực sự đứng thứ 183 trong danh sách phổ biến nhất, với hơn 24.000 người sử dụng nó làm mật khẩu. Điều này liệu có giải quyết được cuộc tranh luận muôn thuở giữa Superman và Batman không?
Các mật khẩu phổ biến khác trong danh sách bao gồm Star Wars, xếp thứ 112, và hơn 34.427 người dùng nó làm mật khẩu. Đáng buồn thay, tất cả những mật khẩu này đều có thể bị bẻ khóa chỉ trong chưa đầy một giây.
Tên riêng
Hầu hết các tên riêng đều không phải là duy nhất, và tin tặc biết điều này. Tên đã được xây dựng thành danh sách trong các cuộc tấn công từ điển vì chúng dễ đoán, khiến tin tặc dễ dàng bẻ khóa mật khẩu.
Một số tên này bao gồm “michael”, “daniel”, “jessica”, “jordan”, “ashley”, “jennifer”, “thomas”, “anthony”, “andrew”, “nicole”, “jonathan”, “justin”, “samantha”, tất cả đều có thể bị bẻ khóa chỉ trong vài giây.
Nếu tên của bạn nằm trong danh sách, xin chúc mừng, bạn vừa lọt vào top 70 mật khẩu phổ biến nhất được sử dụng trực tuyến. Bạn cũng nên thay đổi mật khẩu của mình – thêm chữ cái viết hoa hoặc ký tự đặc biệt sẽ không giúp ích được nhiều trong trường hợp này.
Các từ ngẫu nhiên nhưng phổ biến
Các từ như “cheese” (phô mai), “shadow” (bóng tối), và “unknown” (không xác định) thực sự đã lọt vào danh sách phổ biến nhất, với hai từ sau có thể bị bẻ khóa trong vài giây. Thật ngạc nhiên khi “shadow” lại là lựa chọn mật khẩu của hơn 42.000 người!
Thú vị hơn, mật khẩu “unknown” có thể mất một chút thời gian hơn để bẻ khóa – khoảng 17 phút. Mặc dù đây không phải là một khoảng thời gian dài và không đủ mạnh để trở thành một mật khẩu an toàn, nhưng có một lý do tại sao mật khẩu này mất nhiều thời gian hơn một chút để bị bẻ khóa. Một trong những lý do là các cuộc tấn công từ điển hoặc danh sách từ thường ưu tiên các từ có xác suất cao.
“Unknown” nghe có vẻ ngẫu nhiên, nhưng thường không phải là một từ được ưu tiên trừ khi được ghép nối với các biến thể như “unknown123”, và có thể mất nhiều thời gian hơn để bẻ khóa chỉ vì nó xuất hiện muộn hơn trong thứ tự ưu tiên bẻ khóa (vì vậy nó thực sự không mạnh hơn), ngoài ra tốc độ bẻ khóa cũng có thể phụ thuộc vào thuật toán băm và tốc độ tính toán.
Từ ngữ liên quan đến công nghệ
Các từ như “computer” (máy tính), “letmein” (cho tôi vào), “changeme” (hãy đổi tôi), “samsung”, và “internet” đều xuất hiện trong danh sách phổ biến nhất, và tất cả đều có thể bị bẻ khóa chỉ trong chưa đầy một giây. Tốt nhất là nên tránh các từ phổ biến và dễ đoán liên quan đến công nghệ.
Mật khẩu “admin” cũng xuất hiện ở vị trí cao trong danh sách, điều này không có gì ngạc nhiên. Nhiều thiết bị và hệ thống thường đi kèm với thông tin đăng nhập mặc định, với “admin” là tên người dùng và mật khẩu. Có vẻ như nó là mật khẩu phổ biến thứ 94, với 40.324 người sử dụng nó làm mật khẩu. Họ có thể đã không thay đổi mật khẩu mặc định hoặc quyết định giữ “admin” vì sự tiện lợi.
Trong cả hai trường hợp, đây không phải là một mật khẩu an toàn và có thể bị bẻ khóa trong chưa đầy một giây. Trường hợp tương tự cũng xảy ra với mật khẩu “master”, xếp thứ 106 trong danh sách mật khẩu phổ biến nhất, với hơn 36.000 người chọn nó làm mật khẩu. Giống như “admin”, nó cũng có thể bị bẻ khóa trong chưa đầy một giây.
Một bàn tay giữ trường nhập mật khẩu với nhiều mật khẩu khác và biểu tượng khóa bao quanh
Cách chọn mật khẩu mạnh và an toàn
Sau khi đã thấy những loại mật khẩu cần tránh, làm thế nào để chúng ta chọn một mật khẩu an toàn, độc đáo và không bị bẻ khóa trong vài phút?
Chúng tôi khuyên bạn nên chọn một mật khẩu có tối thiểu 12 ký tự; càng dài càng tốt. Bạn nên bao gồm càng nhiều loại số, ký tự đặc biệt, chữ cái viết hoa và chữ cái viết thường càng tốt. Sự kết hợp này có thể làm cho mật khẩu khó bị bẻ khóa hơn.
Bạn nên tránh các tên và từ phổ biến có thể tìm thấy trong từ điển, cũng như các kết hợp của chúng. Sử dụng các cách thay thế phổ biến cũng không phải là một lựa chọn thông minh. Ví dụ, việc thay thế “O” bằng “0” trong mật khẩu và thêm một mẫu số dễ đoán như thay “computer” thành “c0mputer123” không làm cho nó an toàn hơn chút nào.
Rủi ro khi sử dụng cùng một mật khẩu cho mọi thứ
Theo KnowBe4, mật khẩu được tái sử dụng 64% số lần, và số lượng mật khẩu cần nhớ đạt hơn 100.
Việc sử dụng cùng một mật khẩu cho các tài khoản khác nhau bị khuyến cáo là không an toàn. Nếu một tài khoản bị xâm phạm, dù thông qua việc rò rỉ dữ liệu (điều này không hề hiếm gặp hiện nay) hay truy cập trái phép vào tài khoản của bạn, tin tặc có thể thử sử dụng mật khẩu đó để truy cập các tài khoản khác của bạn.
Nếu máy chủ của một công ty bị xâm phạm, tin tặc có thể tiếp cận các mã băm mà họ có thể cố gắng “bẻ khóa”. Một cách họ làm điều này là đoán các mật khẩu phổ biến, băm chúng bằng cùng một thuật toán và xem liệu có sự trùng khớp nào không.
Hãy cân nhắc sử dụng xác thực đa yếu tố (MFA) trên tất cả các tài khoản của bạn. Điều này cung cấp thêm một lớp bảo mật trong trường hợp mật khẩu của bạn bị xâm phạm.
Minh họa điện thoại với các mật khẩu, chìa khóa, ổ khóa, lá chắn và linh vật Android, biểu thị bảo mật di động
Làm thế nào để ghi nhớ mật khẩu của bạn?
Bạn có thể tạo mật khẩu phức tạp nhất với nhiều ký tự, biểu tượng đặc biệt và số, nhưng điều đó có ích gì nếu bạn không thể nhớ nó? Viết mật khẩu ra giấy có vẻ tiện lợi, nhưng điều này vẫn tiềm ẩn rủi ro bị đánh cắp theo cách truyền thống. Ghi nhớ mật khẩu không nhất thiết phải là một nỗi khổ.
Bạn có thể chọn sử dụng một trình quản lý mật khẩu (password manager) để lưu trữ mật khẩu cho bạn, nhưng còn một giải pháp khác. Bạn có thể sử dụng một mẫu hoặc cụm từ dễ nhớ (passphrase) để tạo ra một mật khẩu độc đáo của riêng bạn, vừa mạnh mẽ lại vừa dễ nhớ.
Ví dụ, hãy nói: “Tôi đã học tại trường Richfield High School, tốt nghiệp vào năm 2000, và mua một chiếc xe hơi trong năm đó với giá 4000 đô la.” (I went to Richfield High School, graduated in the year 2000, and bought a car in that year for $4000.)
Bạn có thể biến câu đó thành mật khẩu bằng cách sử dụng chữ cái đầu tiên của mỗi từ, vì vậy mật khẩu của bạn trong trường hợp này sẽ trở thành: “Iwtrhs,gity2000,&bac4$4000.” Mật khẩu này có thể mất tới 13 triệu tỷ năm để bẻ khóa!
Ước tính này dựa trên PasswordMonster, một công cụ có thể đo thời gian cần thiết để bẻ khóa mật khẩu của bạn. Mặc dù các công cụ này chỉ mang tính ước tính và giả định các phương pháp tấn công cụ thể, bạn có thể sử dụng chúng như một hướng dẫn sơ bộ để xem liệu mật khẩu của bạn có đủ an toàn không.
Sử dụng mật khẩu độc đáo cho mọi dịch vụ, tránh các chiêu trò lừa đảo trực tuyến phổ biến, và đảm bảo sử dụng xác thực đa yếu tố có thể giúp bạn rất nhiều trong thế giới bảo mật trực tuyến. Nhưng đây không phải là điểm cuối, vì vậy điều quan trọng là bạn phải luôn cảnh giác và cập nhật thông tin.
