Mật khẩu của bạn không chỉ đơn thuần nằm trên máy chủ chờ bị đánh cắp—có cả một quy trình phức tạp diễn ra phía sau hậu trường để giữ chúng an toàn. Tuy nhiên, nếu mật khẩu của bạn quá phổ biến, chúng có thể bị bẻ khóa chỉ trong vài giây, đặt bạn vào nguy cơ mất an toàn dữ liệu nghiêm trọng. Việc hiểu rõ cách mật khẩu hoạt động và những rủi ro tiềm ẩn là bước đầu tiên để bảo vệ thông tin cá nhân trên không gian mạng. Bài viết này sẽ đi sâu phân tích tại sao những mật khẩu tưởng chừng vô hại lại trở thành điểm yếu chí mạng, đồng thời cung cấp các phương pháp hữu hiệu để bạn xây dựng “lá chắn” vững chắc hơn cho tài khoản trực tuyến của mình.
Mật khẩu hoạt động như thế nào?
Trang web hoặc dịch vụ bạn đang sử dụng không chỉ đơn thuần ghi nhớ mật khẩu của bạn rồi cho phép bạn truy cập tài khoản. Việc này sẽ là một rủi ro bảo mật rất lớn, bởi lẽ tất cả những gì một hacker cần làm là xâm nhập vào máy chủ, và họ sẽ có được quyền truy cập vào thông tin xác thực của bạn. Vậy điều gì thực sự xảy ra khi bạn tạo một mật khẩu?
Quá trình này liên quan đến một công nghệ gọi là băm mật khẩu (password hashing). Băm mật khẩu chuyển đổi mật khẩu của bạn thành một chuỗi ký tự hoặc số ngắn bằng cách sử dụng một thuật toán băm. Đây được gọi là một “hash”, và nó thường là duy nhất. Trang web sẽ lưu trữ giá trị hash này, và lần tới khi bạn nhập mật khẩu, nó sẽ so sánh mật khẩu đó với giá trị hash đã lưu để xem liệu chúng có khớp nhau không. Nếu mật khẩu đủ mạnh, giá trị hash thường không thể bị bẻ khóa, bởi vì mật khẩu càng an toàn thì càng khó bị crack. Điều này đặc biệt đúng khi các thuật toán băm mạnh hơn được sử dụng (chẳng hạn như Argon2 hoặc Bcrypt).
Mật khẩu dễ đoán có thể bị phá vỡ trong tích tắc
Những mật khẩu như “123456”, “Password1” và “qwerty” không chỉ phổ biến trên toàn thế giới mà còn cực kỳ dễ bị bẻ khóa, chỉ mất chưa đầy một giây để giải mã. Thậm chí có những mật khẩu tưởng chừng độc đáo, nhưng đáng ngạc nhiên là vẫn có thể bị phá vỡ chỉ trong vài giây. Mặc dù thời gian này có thể thay đổi tùy thuộc vào kỹ năng kỹ thuật của hacker.
Hiện có các công cụ bẻ khóa (thường là công cụ tấn công vét cạn – brute force tools) cho phép hacker với rất ít kỹ năng kỹ thuật có thể tấn công thâm nhập vào một tài khoản đăng nhập. Các công cụ này hoạt động bằng cách tự động thử các kết hợp mật khẩu tiềm năng khác nhau cho đến khi tìm thấy mật khẩu đúng. Điều này có nghĩa là ngay cả một hacker mới vào nghề cũng có thể bẻ khóa mật khẩu của bạn nếu nó yếu.
Ổ khóa bị bao quanh bởi biểu tượng mối đe dọa mạng và mã nhị phân, minh họa nguy cơ mật khẩu yếu.
Tấn công từ điển: Kẻ thù của mật khẩu yếu
Một trong những dạng tấn công vét cạn phổ biến là tấn công từ điển (dictionary attack), khi hacker sử dụng một danh sách các mật khẩu thông dụng để giành quyền truy cập vào tài khoản. Một số công cụ tấn công vét cạn còn sử dụng phương pháp kết hợp (hybrid approach), nơi chúng thử các biến thể của mật khẩu phổ biến cùng với việc thêm các ký tự khác nhau, chẳng hạn như ký tự đặc biệt và số. Toàn bộ quá trình này đều được tự động hóa. Đương nhiên, không có hacker nào ngồi đó gõ từng mật khẩu phổ biến một cách thủ công để cố gắng đăng nhập vào tài khoản của bạn.
Những loại mật khẩu phổ biến bạn cần tránh ngay lập tức
Bên cạnh những mật khẩu phổ biến hiển nhiên dễ nhận biết, như các mẫu bàn phím (ví dụ “qwerty” hoặc “asdfgh”) hay các tổ hợp số (như “123456” hoặc “111111”), công ty bảo mật mật khẩu NordPass đã xác định hàng loạt mật khẩu khác cũng rất phổ biến trên toàn cầu. Một số trong số đó bao gồm:
Mật khẩu liên quan đến thể thao
Bạn có biết rằng “football” (bóng đá) và “baseball” (bóng chày) là hai trong số những mật khẩu phổ biến nhất, với “football” đứng thứ 50 và “baseball” đứng thứ 64 trong danh sách mật khẩu thông dụng nhất? “Soccer” (bóng đá kiểu Mỹ) cũng lọt vào danh sách này, với hơn 42.000 người dùng trên toàn thế giới đã chọn nó làm mật khẩu. Các mật khẩu liên quan đến thể thao khác cũng có mặt trong danh sách bao gồm cả “basketball” (bóng rổ). Rất nhiều trong số này chỉ mất vài giây để bẻ khóa. Nếu bạn là một người hâm mộ thể thao, bạn nên tránh những mật khẩu phổ biến này. Ngay cả những biến thể như “football123456” cũng không an toàn do cách thức hoạt động của các công cụ tấn công vét cạn.
Biệt danh thông thường
Hóa ra, “princess” (công chúa) và “sunshine” (nắng mai) không chỉ là những biệt danh dễ thương – chúng còn là những cái tên yêu thích của hacker, bị bẻ khóa nhanh hơn cả thời gian bạn pha cà phê buổi sáng. Cả “princess” và “sunshine” đều mất chưa đầy một giây để bị bẻ khóa và đã được sử dụng hơn 54.000 lần, đồng thời lần lượt xếp hạng 52 và 57 trong danh sách các mật khẩu phổ biến nhất trên toàn thế giới.
Tên nhân vật hư cấu
Ngay cả những chương trình truyền hình hoài niệm yêu thích của bạn cũng không an toàn; trên thực tế, “Pokémon” đã được sử dụng hơn 50.000 lần. “Superman” cũng lọt vào danh sách này, với cả hai mật khẩu đều bị bẻ khóa trong vòng chưa đầy một giây. Batman thực tế đứng thứ 183 trong danh sách phổ biến nhất, với hơn 24.000 người dùng nó làm mật khẩu. Liệu điều này có thể giải quyết được cuộc tranh luận muôn thuở về Superman so với Batman không? Các mật khẩu phổ biến khác cũng lọt vào danh sách bao gồm Star Wars, được xếp hạng 112, và hơn 34.427 người dùng nó làm mật khẩu. Thật không may, tất cả những mật khẩu này đều mất chưa đầy một giây để bẻ khóa.
Tên riêng phổ biến
Hầu hết các tên riêng đều không phải là duy nhất, và hacker biết điều đó. Tên riêng đã được tích hợp vào các danh sách trong tấn công từ điển vì chúng dễ đoán, giúp hacker dễ dàng bẻ khóa mật khẩu.
Một số tên trong danh sách này bao gồm “michael”, “daniel”, “jessica”, “jordan”, “ashley”, “jennifer”, “thomas”, “anthony”, “andrew”, “nicole”, “jonathan”, “justin”, “samantha”, tất cả đều mất vài giây để bẻ khóa. Nếu tên của bạn có trong danh sách này, xin chúc mừng, bạn vừa lọt vào top 70 mật khẩu phổ biến nhất được sử dụng trực tuyến. Bạn cũng có thể nên thay đổi mật khẩu của mình — việc thêm chữ cái viết hoa hoặc các ký tự phụ sẽ không giúp ích nhiều trong trường hợp này.
Các từ ngẫu nhiên nhưng phổ biến
Các từ như “cheese” (phô mai), “shadow” (bóng tối) và “unknown” (không xác định) thực sự đã lọt vào danh sách phổ biến nhất, với hai từ sau cùng chỉ mất vài giây để bẻ khóa. Thật ngạc nhiên khi “shadow” lại là lựa chọn mật khẩu của hơn 42.000 người!
Điều thú vị là mật khẩu “unknown” có thể mất lâu hơn một chút để bẻ khóa—khoảng 17 phút. Mặc dù đây không phải là thời gian dài và không đủ mạnh để trở thành một mật khẩu an toàn, nhưng có một lý do tại sao mật khẩu này mất lâu hơn một chút để bị bẻ khóa. Một trong những lý do là các cuộc tấn công từ điển hoặc danh sách từ thường ưu tiên các từ có khả năng cao. “Unknown” có vẻ đủ ngẫu nhiên, nhưng thường không phải là một từ được ưu tiên trừ khi đi kèm với các biến thể như “unknown123”, và có thể mất nhiều thời gian hơn để bẻ khóa chỉ vì nó xuất hiện muộn hơn trong thứ tự ưu tiên bẻ khóa (vì vậy nó thực sự không mạnh hơn), cộng với tốc độ bẻ khóa cũng có thể phụ thuộc vào thuật toán băm và tốc độ tính toán.
Từ ngữ liên quan công nghệ
Các từ như “computer” (máy tính), “letmein” (cho tôi vào), “changeme” (thay đổi tôi), “samsung” và “internet” đều nằm trong danh sách các mật khẩu phổ biến, tất cả đều bị bẻ khóa trong vòng chưa đầy một giây. Tốt nhất là nên tránh các từ phổ biến và dễ đoán liên quan đến công nghệ.
Mật khẩu “admin” cũng xuất hiện ở vị trí cao trong danh sách, điều này không có gì ngạc nhiên. Nhiều thiết bị và hệ thống thường đi kèm với tài khoản đăng nhập mặc định, với “admin” là tên người dùng và mật khẩu. Có vẻ như nó là mật khẩu phổ biến thứ 94, với 40.324 người sử dụng nó làm mật khẩu của họ. Họ có thể đã không thay đổi mật khẩu mặc định hoặc quyết định giữ “admin” vì sự tiện lợi. Trong cả hai trường hợp, đây không phải là mật khẩu an toàn và có thể bị bẻ khóa trong vòng chưa đầy một giây. Điều này cũng tương tự đối với mật khẩu “master”, đứng thứ 106 trong danh sách mật khẩu phổ biến nhất, với hơn 36.000 người chọn nó làm mật khẩu. Giống như “admin”, nó cũng mất chưa đầy một giây để bẻ khóa.
Bàn tay cầm ô nhập mật khẩu, phía sau là nhiều mật khẩu, biểu tượng ổ khóa và chìa khóa, tượng trưng cho việc lựa chọn và quản lý mật khẩu.
Làm thế nào để tạo mật khẩu an toàn và khó đoán?
Bây giờ chúng ta đã biết những mật khẩu không nên chọn, vậy làm thế nào để chọn một mật khẩu an toàn, độc đáo và không mất vài phút để bẻ khóa? Chúng tôi khuyên bạn nên chọn mật khẩu có ít nhất 12 ký tự; càng dài càng tốt. Bạn nên kết hợp càng nhiều loại số, ký tự đặc biệt, chữ cái viết hoa và chữ cái viết thường càng tốt. Sự kết hợp này có thể làm cho mật khẩu khó bị bẻ khóa hơn.
Bạn nên tránh các tên và từ thông dụng có thể tìm thấy trong từ điển, cũng như các sự kết hợp của chúng. Việc sử dụng các phương pháp thay thế ký tự phổ biến cũng không phải là một nước đi thông minh, ví dụ, thay thế chữ “O” bằng “0” trong mật khẩu và thêm một mẫu số dễ đoán như “computer” thành “c0mputer123” không làm cho nó an toàn hơn chút nào.
Nguy cơ khi dùng một mật khẩu cho mọi thứ
Theo KnowBe4, mật khẩu được tái sử dụng 64% số lần, và số lượng mật khẩu cần nhớ lên đến hơn 100. Việc sử dụng cùng một mật khẩu cho các tài khoản khác nhau không được khuyến khích. Nếu một tài khoản bị xâm phạm, dù là thông qua rò rỉ dữ liệu (điều không hiếm gặp ngày nay) hay từ truy cập trái phép vào tài khoản của bạn, một hacker có thể cố gắng sử dụng mật khẩu đó để giành quyền truy cập vào các tài khoản khác.
Nếu máy chủ của một công ty bị xâm phạm, hacker có thể truy cập vào các giá trị hash mà họ có thể cố gắng “bẻ khóa”. Một cách họ làm điều này là đoán các mật khẩu phổ biến, băm chúng bằng cùng một thuật toán và xem liệu có khớp không. Hãy cân nhắc sử dụng xác thực đa yếu tố (MFA) trên tất cả các tài khoản của bạn. Điều này cung cấp cho bạn một lớp bảo mật bổ sung trong trường hợp mật khẩu của bạn bị xâm phạm.
Minh họa điện thoại di động được bảo vệ bởi nhiều mật khẩu, chìa khóa, ổ khóa và lá chắn, với linh vật Android, biểu thị bảo mật di động và xác thực đa yếu tố.
Ghi nhớ mật khẩu an toàn dễ dàng hơn bạn nghĩ
Bạn có thể tạo mật khẩu phức tạp nhất với nhiều ký tự, ký hiệu đặc biệt và số, nhưng điều đó có ý nghĩa gì nếu bạn không thể nhớ nó? Viết mật khẩu ra có vẻ tiện lợi, nhưng điều này vẫn tiềm ẩn rủi ro trộm cắp kiểu cũ. Ghi nhớ mật khẩu không nhất thiết phải là một cơn ác mộng.
Bạn có thể chọn sử dụng một trình quản lý mật khẩu lưu trữ mật khẩu cho bạn, nhưng còn một giải pháp khác. Bạn có thể sử dụng một mẫu hoặc cụm mật khẩu dễ nhớ để tạo ra một mật khẩu độc đáo của riêng bạn, vừa mạnh vừa dễ nhớ.
Ví dụ, hãy tưởng tượng câu nói: “Tôi đã đi học tại trường trung học Richfield, tốt nghiệp vào năm 2000 và mua một chiếc xe vào năm đó với giá 4000 đô la.” Bạn có thể biến câu này thành mật khẩu bằng cách sử dụng các chữ cái và số đầu tiên của mỗi từ và số trong câu, ví dụ: “Iwtrhs,gity2000,&bac4$4000”. Mật khẩu này có thể mất 13 triệu nghìn tỷ năm để bẻ khóa! Ước tính này là theo PasswordMonster, một công cụ có thể đo lường thời gian cần thiết để bẻ khóa mật khẩu của bạn. Mặc dù những công cụ này vẫn chỉ là ước tính và giả định các phương pháp tấn công cụ thể, bạn có thể sử dụng chúng như một hướng dẫn sơ bộ để xem liệu mật khẩu của bạn có đủ an toàn hay không.
Sử dụng mật khẩu duy nhất cho mỗi dịch vụ, tránh các trò lừa đảo phổ biến trực tuyến và đảm bảo sử dụng xác thực đa yếu tố có thể giúp bạn tiến xa trong thế giới an ninh mạng. Nhưng đây không phải là điểm cuối, vì vậy điều quan trọng là bạn phải luôn cảnh giác và cập nhật thông tin. Hãy thường xuyên truy cập Thuthuatvitinh.com để nắm bắt các mẹo bảo mật và công nghệ mới nhất, giữ cho tài khoản của bạn luôn được bảo vệ an toàn.
