Mới đây, Kaspersky đã công bố báo cáo từ việc nghiên cứu 193 triệu mật khẩu bị lộ và được bán trên chợ đen online. Theo báo cáo, 57% trong số đó bao gồm các từ có thể tìm thấy trong từ điển - điều này được các nhóm chuyên hack mật khẩu khai thác. Các từ thông dụng như "password", "qwerty12345", "admin", "12345", "team", hoặc các tên họ như "ahmed", "nguyen", "kumar", "kevin", "daniel" thường được sử dụng.
Đáng chú ý cụm từ "nguyen", tương đương với tên Việt không dấu "Nguyễn" hoặc "Nguyên" là một trong những từ được dùng nhiều trong mật khẩu và được đánh giá là dễ dự đoán, khiến sức mạnh bảo mật của mật khẩu bị suy giảm.
Ở Việt Nam, có hơn 36 triệu người mang họ Nguyễn. Trong một nghiên cứu được đăng tải trên trang theworldgeography.com cho thấy, 40% người Việt mang họ Nguyễn. Đó là chưa kể đến việc người dùng có xu hướng dùng tên để đặt mật khẩu và số người tên "Nguyên" cũng không phải hiếm.
Các chuyên gia của Kaspersky chỉ ra rằng hacker thường sử dụng các phương thức như brute force (đoán mật khẩu qua việc thử nghiệm hàng loạt) hoặc smart guessing (đoán thông minh). Do đó, việc dùng các từ thông dụng giảm đáng kể độ mạnh của mật khẩu và rút ngắn thời gian tìm kiếm của hacker.
Nghiên cứu chỉ ra rằng 87 triệu mật khẩu, chiếm 45%, có thể bị phá trong vòng chưa đầy 1 phút, 14% mất khoảng 1 tiếng và chỉ có 4% khiến hacker mất đến một năm để phá.
Kaspersky nhấn mạnh rằng với phương pháp cơ bản, nhóm tấn công không cần phải có chuyên môn hay thiết bị công nghệ cao để phá mật khẩu. Chỉ cần dùng bộ xử lý máy tính, một mật khẩu 8 ký tự có thể được đoán trong 7 phút, và với card đồ họa có thể mất 17 giây.
Người dùng thường thay thế các ký tự như "admin" thành "@dmin" hoặc "password" thành "pa$$word" nhằm làm khó đoán cho hacker. Tuy nhiên, các chuyên gia cho rằng điều này không làm tăng đáng kể độ bảo mật của mật khẩu vì chúng vẫn là các từ thông dụng và thường được hacker cập nhật vào các thuật toán của mình.
Vào tháng 2, một nhóm bảo mật Việt Nam đã sử dụng phương pháp tấn công tương tự để xác định mật khẩu wifi, và phát hiện ra rằng gần 50% số đó có thể bị hack một cách dễ dàng. Các chuỗi ký tự như '12345678', '88888888', '66668888', 'camonquykhach', 'hoilamgi' là những mật khẩu phổ biến.
Trong năm 2023, Kaspersky ghi nhận hơn 32 triệu cuộc tấn công sử dụng mã độc để đánh cắp mật khẩu. Điều này chứng tỏ sự cần thiết của việc duy trì việc bảo vệ không gian mạng và thay đổi mật khẩu định kỳ.
Bà Yuliya Novikova, người đứng đầu Digital Footprint Intelligence tại Kaspersky, cho biết con người thường "vô ý" đặt mật khẩu đơn giản, thường từ từ điển bằng tiếng mẹ đẻ, tên riêng hoặc số, và chúng có thể bị thuật toán đoán mò. Bà khuyến nghị rằng cách tốt nhất để tạo ra mật khẩu là sử dụng các trình quản lý mật khẩu hiện đại và đáng tin cậy.
Để cải thiện độ mạnh mật khẩu, người dùng nên dùng trình quản lý mật khẩu, tạo mật khẩu riêng biệt cho từng dịch vụ, tránh sử dụng thông tin cá nhân làm mật khẩu vì đó là những gì hacker sẽ thử đầu tiên. Bật xác thực hai yếu tố (2FA) cũng là một cách làm tăng cường bảo mật.