Đặt mật khẩu quá dễ đoán
Theo nghiên cứu gần đây nhất được công bố năm 2024 của công ty an ninh mạng NordPass, thông qua phân tích các vụ lộ lọt dữ liệu tại 44 quốc gia, thì các mật khẩu được người dùng thường xuyên sử dụng: 123456, 111111, 123123...
25 mật khẩu phổ biến nhất thế giới, theo NordPass
11111111 - đã sử dụng 80.000 lần
abc123 - đã sử dụng 58.000 lần
iloveyou - đã sử dụng 54.000 lần
123123123 - đã sử dụng 51.000 lần
000000 - đã sử dụng 46.000 lần
00000000 - đã sử dụng 45.000 lần
a123456 - đã sử dụng 42.000 lần
password1 - đã sử dụng 41.000 lần
654321 - đã sử dụng 41.000 lần
qwer4321 - đã sử dụng 36.000 lần
1q2w3e4r5t - đã sử dụng 35.000 lần
123456a - đã sử dụng 35.000 lần
q1w2e3r4t5y6 - đã sử dụng 34.000 lần
Nhìn vào danh sách công bố, có thể thấy phần lớn các mật khẩu đều sử dụng chuỗi ký tự theo thứ tự xuất hiện trên bàn phím. Cách đặt mật khẩu này là sai lầm nghiêm trọng, gần như chắc chắn sẽ khiến hacker dễ dàng đoán ra mật khẩu và xâm nhập đánh cắp dữ liệu.
Đây là những điều đầu tiên mà hacker sẽ thử khi cố gắng truy cập vào một tài khoản. Trên thực tế, hacker thường sở hữu các tập lệnh tự động mà chúng có thể sử dụng như một cuộc tấn công brute-force (thử các chuỗi mật khẩu để tìm ra mật khẩu đúng - PV ) với tất cả các mật khẩu phổ biến nhất chỉ trong vài giây.
Các xu hướng đặt mật khẩu phổ biến khác
Cũng theo NordPass, người dùng có xu hướng sử dụng tên động vật hoặc các môn thể thao để đặt mật khẩu, chẳng hạn như khỉ, rồng và kỳ lân; bóng chày, bóng bầu dục và bóng đá.
Ngoài các từ và số thông dụng, mọi người có xu hướng sử dụng thông tin nhận dạng trong mật khẩu của họ. Điều này có thể bao gồm một phần tên của họ, thành phố hiện tại hoặc nơi sinh, ngày sinh hoặc năm sinh của họ.
Chuyên gia bảo mật khuyến cáo
Theo chuyên gia bảo mật Ngô Minh Hiếu (Hiếu PC), người dùng không nên đặt mật khẩu kiểu như 123456, password, tên người thân, ngày sinh hay số điện thoại. Những mật khẩu này rất dễ bị kẻ xấu dò ra chỉ trong vài giây bằng công cụ tự động.
Khi đặt mật khẩu, người dùng nên đặt mật khẩu dài và ngẫu nhiên. Một mật khẩu mạnh nên có ít nhất 12 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Ví dụ: dR8^mK3!pV7z@qW0.
123456 - đã sử dụng 1,2 triệu lần
123456789 - đã sử dụng 693.000 lần
12345678 - đã sử dụng 365.000 lần
secret - được sử dụng 339.000 lần
password - đã sử dụng 196.000 lần
qwerty123 - đã sử dụng 144.000 lần
qwerty1 - đã sử dụng 138.000 lần
111111 - đã sử dụng 106.000 lần
123123 - đã sử dụng 102.000 lần
1234567890 - đã sử dụng 93.000 lần
qwerty - được sử dụng 92.000 lần
1234567 - đã sử dụng 86.000 lần
Cũng theo chuyên gia Hiếu PC, người dùng không nên sử dụng chung một mật khẩu cho nhiều tài khoản. Khi một dịch vụ bị lộ dữ liệu, kẻ xấu có thể dùng mật khẩu đó để truy cập vào các tài khoản khác của người dùng. Đây gọi là “credential stuffing”, một trong các kỹ thuật tấn công phổ biến hiện nay.
Chuyên gia khuyến cáo người dùng nên sử dụng xác thực hai yếu tố (2FA). Dù mật khẩu có mạnh tới đâu, nếu không bật 2FA thì vẫn có nguy cơ bị đánh cắp. Sử dụng Google Authenticator, Authy, Microsoft Authenticator để thực hiện xác thực hai yếu tố thay vì tin nhắn SMS.
Ngoài ra, nên sử dụng các phần mềm quản lý mật khẩu như Bitwarden, 1Password, Dashlane, KeePassXC. Các phần mềm này sẽ giúp người dùng tạo và lưu trữ hàng trăm mật khẩu mạnh, khác nhau cho từng dịch vụ; Tự động điền mật khẩu an toàn, tránh gõ tay hoặc copy-paste; Đồng bộ dữ liệu an toàn giữa nhiều thiết bị.
Cuối cùng, chuyên gia Hiếu PC khuyến cáo người dùng không lưu mật khẩu trong trình duyệt hay lưu vào ứng dụng ghi chú trong điện thoại, bởi vì trình duyệt có thể bị khai thác, còn ghi chú thì không được mã hóa.
Người dùng có thể vào trang https://haveibeenpwned.com/ để kiểm tra email của họ có nằm trong các vụ lộ dữ liệu hay không, và thay mật khẩu nếu cần.
