Người dùng thường được khuyên đặt mật khẩu dài và phức tạp, nhưng chuyên gia cho rằng điều này không giúp tài khoản người dùng tránh bị tấn công.
Specops Software, nhà cung cấp dịch vụ xác thực và quản lý mật khẩu tại Thụy Điển, đã tiến hành nghiên cứu và phát hiện có 31,1 triệu tài khoản bị tấn công và truy cập trái phép đang sử dụng mật khẩu chứa từ 16 ký tự trở lên.
Khi phân tích thêm 1,8 triệu tài khoản quản trị viên của nhiều tổ chức khác nhau, các chuyên gia nhận thấy 40.000 tài khoản quản trị hệ thống sử dụng mật khẩu với có chứa từ khóa "admin" và chỉ 50% trong số này thực hiện đánh giá bảo mật hàng tháng.
Trong khi đó, theo công ty bảo mật KrakenLab, trong danh sách tài khoản bị tấn công, những mật khẩu phổ biến là chuỗi ký tự kết hợp cùng dãy số 123456. Tiếp đến là các mật khẩu chứa từ "pass" và các biến thể của nó như "P@ssw0rd" hoặc "Pass@123". Những mật khẩu này đủ phức tạp theo khuyến cáo vì có đủ các yếu tố như chữ cái viết hoa, viết thường, chữ số và ký tự đặc biệt để vượt qua quy tắc thiết lập mật khẩu của Active Directory, nhưng vẫn bị hacker bẻ khóa dễ dàng.
Do đó, để đảm bảo an toàn, mật khẩu không chỉ cần dài và phức tạp, mà còn cần chứa yếu tố "duy nhất", khó đoán, không nên dùng những từ khóa quen thuộc. Người dùng cũng nên đổi mật khẩu thường xuyên, tránh lặp lại. Các công cụ có thể mất hàng triệu năm để bẻ khóa mật khẩu dài và mạnh, nhưng việc sử dụng lại mật khẩu cũ hoặc chứa những từ khóa phổ biến có thể khiến tài khoản của người dùng bị xâm nhập trái phép ngay lập tức.
Cuối 2023, công ty cung cấp công cụ quản lý mật khẩu NordPass cho biết tên thương hiệu như "amazon", "netflix", "google", "motorola" và những từ dễ nhớ như "welcome", "demo", "test" được nhiều người lấy làm mật khẩu đi kèm chữ số. Tuy nhiên, chúng có thể bị hacker lần ra "trong khoảng một giây".
Ý kiến ()