Cụm ký tự 'nguyen' xuất hiện trong nhiều mật khẩu của người dùng, được đánh giá dễ đoán, làm giảm độ mạnh của phương thức bảo mật này.

Báo Vnexpress ngày 25/6 đưa thông tin với tiêu đề: Chữ 'nguyen' nằm trong số những mật khẩu bị lộ nhiều nhất. Với nội dung như sau: 

Hãng bảo mật Kaspersky công bố báo cáo dựa trên nghiên cứu 193 triệu mật khẩu bị xâm phạm và rao bán trên các chợ đen online.

Theo đó, 57% mật khẩu chứa một từ có thể dễ dàng tìm thấy trong từ điển của các nhóm chuyên dò mật khẩu. Những từ phổ biến nhất có thể kể đến như password, qwerty12345, admin, 12345, team, hoặc từ được dùng cho tên người như ahmed, nguyen, kumar, kevin, daniel. Trong đó, "nguyen" giống với phiên bản không dấu của "nguyễn" hoặc "nguyên", xuất hiện nhiều trong tên người Việt.

Theo chuyên gia Kaspersky, kẻ gian thường dùng hình thức tấn công dò tìm brute force (đoán mật khẩu bằng cách thử hàng loạt tổ hợp ký tự đến khi ra kết quả), hoặc dự đoán thông minh (smart guessing attack). Do đó, các từ phổ biến, dễ tìm thấy trong từ điển sẽ làm giảm đáng kể độ mạnh của mật khẩu cũng như thời gian tìm.

Theo nghiên cứu, có 87 triệu trong số 193 triệu mật khẩu, tương đương 45%, được lần ra trong chưa đầy một phút, 14% mất một tiếng, và chỉ 4% mật khẩu khiến hacker mất một năm để dò tìm.

Kaspersky cũng nhấn mạnh với phương thức cơ bản như trên, nhóm tấn công không cần kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa. Bộ xử lý máy tính xách tay chuyên dụng có thể tìm chính xác tổ hợp mật khẩu gồm tám chữ cái hoặc chữ số viết thường bằng brute force trong bảy phút. Trong khi với card đồ họa tích hợp, việc xử lý có thể hoàn thành trong 17 giây.

Nhiều người có xu hướng thay thế các ký tự như "admin" thành "@dmin" hoặc "password" thành "pa$$word" với hy vọng hacker khó đoán ra. Tuy nhiên theo các chuyên gia, cách làm này không khiến mật khẩu mạnh hơn nhiều, bởi chúng vẫn vẫn là những từ xuất hiện nhiều trong từ điển, đồng thời cũng được hacker thường xuyên bổ sung vào thuật toán thông minh để xử lý.

Hồi tháng 2, một nhóm bảo mật Việt Nam cũng từng dùng phương pháp tương tự để xác định mật khẩu của mạng wifi, và phát hiện gần 50% trong số đó có thể dễ dàng bẻ khóa bằng phương pháp dò tìm. Những chuỗi ký tự như 12345678, 88888888, 66668888, camonquykhach, hoilamgi nằm trong số những mật khẩu được dùng nhiều nhất.

Trong năm 2023, Kaspersky phát hiện hơn 32 triệu cuộc tấn công người dùng bằng mã độc đánh cắp mật khẩu. "Con số này cho thấy tầm quan trọng của việc duy trì thói quen làm sạch không gian mạng và đổi mật khẩu định kỳ", chuyên gia của hãng đánh giá.

Theo bà Yuliya Novikova, Trưởng phòng Digital Footprint Intelligence tại Kaspersky, con người "một cách vô thức" hay đặt mật khẩu đơn giản, thường là các từ trong từ điển bằng tiếng mẹ đẻ, như tên riêng và số, vì vậy chúng hoàn toàn có thể bị thuật toán đoán được.

"Giải pháp đáng tin cậy nhất là tạo ra mật khẩu ngẫu nhiên bằng các trình quản lý hiện đại và đáng tin cậy", bà khuyến nghị.

Để tăng độ mạnh, chuyên gia cho rằng người dùng có thể sử dụng trình ghi nhớ mật khẩu, sử dụng mật khẩu khác nhau cho những dịch vụ khác nhau; không lấy thông tin cá nhân như ngày sinh nhật, tên riêng để đặt, bởi đây là lựa chọn đầu tiên kẻ tấn công sẽ thử khi bẻ khóa. Ngoài ra, việc bật xác thực hai yếu tố (2FA) cũng được khuyến nghị để giúp tăng thêm một lớp bảo mật ngay cả khi mật khẩu bị lộ.

Tiếp dến, báo VTC cũng có bài đăng tương tự với thông tin: Mật khẩu chứa chữ "nguyen" của người Việt trong nhóm dễ bị lộ nhất

Nội dung được báo đưa như sau: 

Trong số các chuỗi từ vựng phổ biến nhất của nhóm mật khẩu dễ bị lộ, chữ "nguyen" thường thấy trong tên hoặc họ của người Việt, xuất hiện thường xuyên nhất.

Các chuyên gia của Kaspersky đã tiến hành một nghiên cứu kiểm tra khả năng chống chịu của 193 triệu mật khẩu trước các hình thức tấn công dự đoán thông minh (smart guessing attacks) và tấn công thám mã (brute force - hình thức thử mọi mật khẩu để dò chuỗi ký tự đúng). Đây cũng là những mật khẩu bị xâm phạm và rao bán trên darknet ("vùng tối" của Internet) bởi những kẻ đánh cắp thông tin.

Theo kết quả nghiên cứu, 45% trên tổng 87 triệu mật khẩu có thể bị bẻ khóa thành công trong vòng một phút; 23% (tương đương 44 triệu) tổ hợp mật khẩu được đánh giá đủ mạnh để chống lại các cuộc tấn công và việc bẻ khóa sẽ mất hơn một năm.

Bên cạnh đó, các chuyên gia của Kaspersky cũng tiết lộ những tổ hợp ký tự được sử dụng phổ biến nhất khi người dùng thiết lập mật khẩu.

Phần lớn (57%) mật khẩu đều có chứa một từ dễ tìm thấy ở từ điển, làm giảm đáng kể độ mạnh của mật khẩu. Đáng chú ý, "nguyen" là một trong những từ xuất hiện thường xuyên nhất, bên cạnh "ahmed", "kumar", "kevin", "daniel". Đây đều là những cái tên hoặc họ phổ biến tại nhiều quốc gia, trong đó có Việt Nam. Từ "nguyen" thường xuất hiện ở tên (Nguyên) hoặc họ (Nguyễn) của người Việt.

Các từ phổ biến khác cũng thường xuất hiện tại nhóm mật khẩu yếu gồm "forever", "love", "google", "hacker", "gamer". Vẫn như thông lệ, những mật khẩu dễ đoán nhất chứa từ "password", "qwerty12345", "admin", "12345" và "team".

Nghiên cứu cũng cho thấy chỉ có 19% mật khẩu chứa tổ hợp của một mật khẩu mạnh, bao gồm một từ không có trong từ điển, cả chữ thường và chữ in hoa, cũng như số và ký hiệu. Đồng thời, 39% trong số các mật khẩu mạnh đó vẫn có thể bị đoán bằng các thuật toán thông minh chỉ trong vòng chưa đầy một giờ.

Kẻ tấn công không cần sở hữu kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu. Ví dụ, bộ xử lý máy tính xách tay chuyên dụng có thể tìm ra chính xác tổ hợp mật khẩu gồm 8 chữ cái hoặc chữ số viết thường bằng brute force chỉ trong 7 phút. Ngoài ra, card đồ họa tích hợp sẽ xử lý tác vụ tương tự trong 17 giây.

Bên cạnh đó, các thuật toán đoán mật khẩu thông minh còn có xu hướng thay thế ký tự ("e" thành "3", "1" thành "!" hoặc "a" thành "@") và các chuỗi phổ biến ("qwerty", "12345", "asdfg").

Bà Yuliya Novikova, Trưởng phòng Digital Footprint Intelligence tại Kaspersky cho hay: " Con người có xu hướng đặt mật khẩu rất đơn giản, thường là các từ trong từ điển bằng tiếng mẹ đẻ, như tên riêng và số... Ngay cả những tổ hợp mật khẩu mạnh cũng hiếm khi được đặt khác với xu hướng trên, vì vậy thuật toán hoàn toàn có thể đoán được. Giải pháp tối ưu nhất là tạo ra mật khẩu ngẫu nhiên bằng các trình quản lý hiện đại và đáng tin cậy ".

Trong năm 2023, Kaspersky phát hiện có hơn 32 triệu cuộc tấn công người dùng bằng mã độc password stealers. Con số này cho thấy tầm quan trọng của việc duy trì thói quen làm sạch không gian mạng và thay đổi mật khẩu định kỳ.

Điện thoại có 2 ứng dụng này, người dùng cần gỡ gấp nếu không muốn bị đánh cắp tài khoản ngân hàng