Tháng 6/2024, Hãng bảo mật Kaspersky đã phân tích khả năng chống chịu trước các hình thức tấn công của 193 triệu mật khẩu được tìm thấy công khai tại các nguồn khác nhau trên darknet (web đen).

Kết quả cho thấy, khoảng 87 triệu mật khẩu (chiếm 45% lượng khảo sát) có thể bị hacker bẻ khóa thành công trong vòng 1 phút. 27 triệu mật khẩu (chiếm 14%) bị bẻ khóa trong thời gian từ 1 phút đến 1 tiếng. Chỉ có 23% (tương đương 44 triệu) mật khẩu được đánh giá là an toàn vì việc bẻ khóa chúng phải mất hơn 1 năm.

Bên cạnh đó, các chuyên gia cũng tiết lộ những tổ hợp ký tự được sử dụng phổ biến nhất khi thiết lập mật khẩu.

Đáng chú ý, 57% số mật khẩu đều chứa từ dễ dàng tìm thấy trong từ điển, dẫn đến việc giảm đáng kể độ mạnh của mật khẩu.

Những từ phổ biến nhất là một số nhóm mật khẩu dạng tên người như: ahmed, nguyen, kumar, kevin, daniel. Trong đó, từ “nguyen” giống với phiên bản không dấu của “nguyễn” hoặc “nguyên”, hay xuất hiện trong họ hoặc tên người Việt.

Bất ngờ: Mật khẩu chứa chữ 'nguyen' nằm trong nhóm dễ bị lộ nhất
Mật khẩu chứa chữ "nguyen" nằm trong nhóm dễ bị lộ nhất

Bên cạnh đó, nhóm mật khẩu chứa các từ phổ biến (forever, love, google, hacker, gamer” hoặc nhóm mật khẩu tiêu chuẩn (password, qwerty12345, admin, 12345, team) cũng thuộc nhóm phổ biến, làm giảm đi độ mạnh của mật khẩu.

Kết quả phân tích còn cho thấy, chỉ có 19% mật khẩu chứa một tổ hợp của một mật khẩu mạnh, gồm một từ không có trong từ điển, chữ thường và chữ in hoa, số và ký hiệu.

Tuy nhiên, ngay cả với những mật khẩu này, 39% trong số đó vẫn có thể bị đoán ra bằng các thuật toán thông minh chỉ trong vòng chưa đầy một giờ.

Từ số liệu trên, các chuyên gia cho rằng, phần lớn mật khẩu mà người dùng đang sử dụng được đánh giá không đủ mạnh và kém an toàn. Điều này đã vô tình tạo điều kiện cho kẻ tấn công dễ dàng xâm nhập tài khoản.

Với công cụ đoán mật khẩu bằng cách thử các ký tự, kẻ tấn công thậm chí không cần sở hữu kiến thức chuyên môn hay thiết bị tân tiến mà vẫn có thể bẻ khóa.

Để tăng cường độ mạnh của mật khẩu, chuyên gia cho biết người dùng nên sử dụng mật khẩu riêng biệt cho các dịch vụ khác nhau. Bằng cách này, ngay cả khi một trong các tài khoản bị tấn công, những tài khoản khác vẫn an toàn.