Nhiều người dùng Internet vẫn tiếp tục chọn mật khẩu yếu. Theo nghiên cứu của NordPass, hơn 80% mã được chọn thực sự có thể bị tin tặc "bẻ khóa" trong vòng chưa đầy một giây. Tuy nhiên, việc chọn mật khẩu kém cũng có thể gây ra hậu quả. Khi bạn chọn một mật khẩu phổ biến, như "password" hay "123456", bạn đang tạo điều kiện cho tin tặc thực hiện nhiệm vụ dễ dàng hơn. Khi cố gắng đột nhập vào tài khoản của bạn, tin tặc sẽ bắt đầu bằng cách kiểm tra danh sách các mật khẩu phổ biến nhất.
Trên hết, một cuộc tấn công bằng cách dùng vũ lực sẽ sớm có thể bẻ khóa được mật khẩu của bạn. Trong loại tấn công này, thuật toán sẽ kiểm tra mọi tổ hợp để đoán mã của bạn. Trên thực tế, phần mềm có khả năng “bẻ khóa” một tài khoản trực tuyến chỉ bằng tên người dùng. Thuật toán sẽ đảm nhiệm việc đoán phần còn lại. Mật khẩu càng đơn giản thì phần mềm sẽ thành công càng nhanh.
Theo nghiên cứu của SecureLink, hơn 80% các vụ tấn công kinh doanh thành công bằng cách khai thác thói quen đặt mật khẩu kém của nhân viên. Các chuyên gia tại Keeper Security cho biết thêm rằng 31% người lao động sử dụng tên hoặc ngày sinh của con mình làm mã PIN... Rõ ràng là thông tin này rất dễ đoán. Ngoài ra, hãy lưu ý rằng 69% người Pháp sử dụng cùng một mật khẩu cho tất cả các dịch vụ trực tuyến của họ, theo một nghiên cứu của công ty nghiên cứu thị trường Bilend.
Nhân Ngày Mật khẩu Thế giới, diễn ra vào thứ Năm, ngày 1 tháng 5 năm 2025, chúng ta hãy cùng nhìn lại một số trường hợp mà một mã tốt, được bảo mật tốt có thể ngăn chặn một cuộc tấn công mạng và hậu quả do nó gây ra.
Trong quá trình điều tra, người ta phát hiện ra rằng một số máy chủ SolarWinds được bảo mật bằng mật khẩu yếu: "solarwinds123." Có thể chính mã truy cập được chọn kém này đã tạo điều kiện cho tin tặc xâm nhập vào hệ thống của nhóm. Thông tin này cũng đã bị rò rỉ trực tuyến vài năm trước đó. Sau tiết lộ này, một số giám đốc điều hành cấp cao của công ty đã đổ lỗi cho một cựu thực tập sinh. Cựu giám đốc điều hành của SolarWinds, Kevin Thompson, đã nói vào thời điểm đó rằng ông chính là người "đã phạm phải sai lầm này".
Trong mọi trường hợp, vụ tấn công đã gây ra hậu quả nghiêm trọng. Một số cơ quan của chính phủ Hoa Kỳ đã trở thành mục tiêu tấn công, bao gồm Bộ An ninh Nội địa, cơ quan chịu trách nhiệm về an ninh máy tính quốc gia. Một số tổ chức của Liên minh châu Âu cũng là mục tiêu. Tất cả các mục tiêu này đều sử dụng phần mềm Orion. Hình ảnh của SolarWinds đã bị tổn hại đáng kể sau vụ việc này.
Như Microsoft thừa nhận, các tin tặc không gặp khó khăn gì trong việc xâm phạm tài khoản. Điều này thực sự được bảo mật bằng một mật khẩu được coi là yếu. Trong một cuộc tấn công được gọi là rải mật khẩu, tội phạm đã thử nghiệm một loạt các mã phổ biến. Tài khoản này nhanh chóng bị xâm phạm, dẫn đến việc truy cập vào thông tin mật. Microsoft từ chối nêu rõ mật khẩu đã được chọn.
Lưu ý rằng Donald Trump đã từng hack một vài năm trước đó... vì mật khẩu yếu. Trên thực tế, ông trùm bất động sản đã chọn "yourefired" ("Bạn bị sa thải") để bảo vệ tài khoản Twitter của mình. Đây là câu nói đặc trưng của tỷ phú này khi ông dẫn chương trình truyền hình thực tế The Apprentice.
Ông cũng đã làm điều tương tự với những người nổi tiếng khác, bao gồm cả Britney Spears. Để đạt được mục tiêu của mình, "Hacker-Croll" đã dành thời gian nghiên cứu mục tiêu, một thám tử người Pháp điều tra vụ án, được phỏng vấn bởi Daily Mail cho biết:
Những ví dụ cuối cùng này minh họa tầm quan trọng của việc không chọn mật khẩu liên quan đến người thân, sở thích, đam mê hoặc thú cưng của bạn. Những từ này rất dễ đoán, có thể là do người thân thiết với bạn có ý định xấu hoặc do một tin tặc vô danh cố gắng lừa bạn.
Nói chung, tốt nhất là không nên chọn một từ có trong từ điển. Thay vào đó, bạn nên chọn một chuỗi số, chữ cái và ký hiệu phi logic và không thể đoán trước. Loại mã này có khả năng chống lại các cuộc tấn công bằng cách dùng vũ lực và không thể đoán được. Để thuận tiện, đừng ngần ngại sử dụng trình quản lý mật khẩu được trang bị trình tạo mật khẩu. Các giải pháp này cho phép bạn tạo mật khẩu an toàn để bảo vệ bạn khỏi tin tặc.
Trên hết, một cuộc tấn công bằng cách dùng vũ lực sẽ sớm có thể bẻ khóa được mật khẩu của bạn. Trong loại tấn công này, thuật toán sẽ kiểm tra mọi tổ hợp để đoán mã của bạn. Trên thực tế, phần mềm có khả năng “bẻ khóa” một tài khoản trực tuyến chỉ bằng tên người dùng. Thuật toán sẽ đảm nhiệm việc đoán phần còn lại. Mật khẩu càng đơn giản thì phần mềm sẽ thành công càng nhanh.
Theo nghiên cứu của SecureLink, hơn 80% các vụ tấn công kinh doanh thành công bằng cách khai thác thói quen đặt mật khẩu kém của nhân viên. Các chuyên gia tại Keeper Security cho biết thêm rằng 31% người lao động sử dụng tên hoặc ngày sinh của con mình làm mã PIN... Rõ ràng là thông tin này rất dễ đoán. Ngoài ra, hãy lưu ý rằng 69% người Pháp sử dụng cùng một mật khẩu cho tất cả các dịch vụ trực tuyến của họ, theo một nghiên cứu của công ty nghiên cứu thị trường Bilend.
Nhân Ngày Mật khẩu Thế giới, diễn ra vào thứ Năm, ngày 1 tháng 5 năm 2025, chúng ta hãy cùng nhìn lại một số trường hợp mà một mã tốt, được bảo mật tốt có thể ngăn chặn một cuộc tấn công mạng và hậu quả do nó gây ra.
solarwinds123
Một số vụ tấn công quy mô lớn đã được tạo điều kiện thuận lợi bằng cách chọn mật khẩu yếu hoặc thậm chí là mật khẩu quá dễ đoán. Đây chính là trường hợp của vụ hack SolarWinds. Vào năm 2020, nhà xuất bản phần mềm này đã trở thành mục tiêu của một cuộc tấn công vào chuỗi cung ứng. Tin tặc Nga đã đưa phần mềm độc hại có tên Sunburst vào bản cập nhật phần mềm giám sát mạng Orion của SolarWinds để xâm nhập vào hệ thống của khách hàng công ty. Khách hàng của công ty bao gồm những gã khổng lồ công nghệ như Microsoft, Google, Cisco, Nvidia, Intel, Malwarebytes, Mimecast, Palo Alto Networks và CrowdStrike.Trong quá trình điều tra, người ta phát hiện ra rằng một số máy chủ SolarWinds được bảo mật bằng mật khẩu yếu: "solarwinds123." Có thể chính mã truy cập được chọn kém này đã tạo điều kiện cho tin tặc xâm nhập vào hệ thống của nhóm. Thông tin này cũng đã bị rò rỉ trực tuyến vài năm trước đó. Sau tiết lộ này, một số giám đốc điều hành cấp cao của công ty đã đổ lỗi cho một cựu thực tập sinh. Cựu giám đốc điều hành của SolarWinds, Kevin Thompson, đã nói vào thời điểm đó rằng ông chính là người "đã phạm phải sai lầm này".
Trong mọi trường hợp, vụ tấn công đã gây ra hậu quả nghiêm trọng. Một số cơ quan của chính phủ Hoa Kỳ đã trở thành mục tiêu tấn công, bao gồm Bộ An ninh Nội địa, cơ quan chịu trách nhiệm về an ninh máy tính quốc gia. Một số tổ chức của Liên minh châu Âu cũng là mục tiêu. Tất cả các mục tiêu này đều sử dụng phần mềm Orion. Hình ảnh của SolarWinds đã bị tổn hại đáng kể sau vụ việc này.
Microsoft bị tấn công bởi Midnight Blizzard
Vào tháng 1 năm 2024, Microsoft nhận ra rằng tội phạm mạng Nga đã xâm nhập được vào tài khoản email của một số giám đốc điều hành của công ty. Sau một cuộc điều tra kỹ lưỡng, gã khổng lồ của Mỹ phát hiện ra rằng tin tặc có liên hệ với băng đảng Nga Midnight Blizzard đã hack một tài khoản thử nghiệm không được công ty sử dụng. Nhờ các quyền được cấp cho tài khoản này, các tin tặc được Nga ủy quyền đã có thể xem các tin nhắn trao đổi giữa các giám đốc điều hành và một số nhân viên của nhóm.Như Microsoft thừa nhận, các tin tặc không gặp khó khăn gì trong việc xâm phạm tài khoản. Điều này thực sự được bảo mật bằng một mật khẩu được coi là yếu. Trong một cuộc tấn công được gọi là rải mật khẩu, tội phạm đã thử nghiệm một loạt các mã phổ biến. Tài khoản này nhanh chóng bị xâm phạm, dẫn đến việc truy cập vào thông tin mật. Microsoft từ chối nêu rõ mật khẩu đã được chọn.
Vụ tấn công Quốc hội Ireland năm 2018
Theo báo cáo của các đồng nghiệp tại CyberNews, mật khẩu yếu cũng đã làm rung chuyển quốc hội Bắc Ireland vào năm 2018. Năm đó, tin tặc đã đoán được mật khẩu của các nghị sĩ bằng cách tấn công bằng phương pháp dò mật khẩu. Rõ ràng là họ đã chọn những từ bí mật thường được sử dụng. Kẻ tấn công không mất nhiều thời gian để xâm nhập vào hệ thống và truy cập thông tin riêng tư và nhạy cảm...maga2020
Chúng ta cũng sẽ nhớ đến vụ tấn công vào tài khoản Twitter của Donald Trump. Vào năm 2020, chuyên gia bảo mật máy tính Victor Gevers đã đoán được mật khẩu của tổng thống Hoa Kỳ chỉ trong năm lần thử. Đơn giản là "maga2020!", viết tắt của khẩu hiệu tranh cử "Đưa nước Mỹ vĩ đại trở lại 2020." Trong trường hợp này, sự bất cẩn này không gây ra hậu quả gì. Chuyên gia người Hà Lan chỉ đơn giản cảnh báo các nhà chức trách Hoa Kỳ.Lưu ý rằng Donald Trump đã từng hack một vài năm trước đó... vì mật khẩu yếu. Trên thực tế, ông trùm bất động sản đã chọn "yourefired" ("Bạn bị sa thải") để bảo vệ tài khoản Twitter của mình. Đây là câu nói đặc trưng của tỷ phú này khi ông dẫn chương trình truyền hình thực tế The Apprentice.
Bo
Không có gì ngạc nhiên khi Donald Trump không phải là người nổi tiếng duy nhất trở thành nạn nhân của thói quen bảo mật CNTT kém. Năm 2010, một người Pháp tự gọi mình là "Hacker-Croll" đã đoán được mật khẩu tài khoản Twitter của Barack Obama, người vừa mới đến Nhà Trắng. Chàng trai trẻ tiết lộ rằng anh đã suy ra mã truy cập của đảng viên Dân chủ bằng cách nghiên cứu sở thích và tính cách của ông ta. Ông nhanh chóng xác định rằng Barack Obama có thể đã chọn tên chú chó của mình là Bo, hoặc một biến thể nào đó của nó, để bảo vệ tài khoản mạng xã hội của mình.Ông cũng đã làm điều tương tự với những người nổi tiếng khác, bao gồm cả Britney Spears. Để đạt được mục tiêu của mình, "Hacker-Croll" đã dành thời gian nghiên cứu mục tiêu, một thám tử người Pháp điều tra vụ án, được phỏng vấn bởi Daily Mail cho biết:
Những ví dụ cuối cùng này minh họa tầm quan trọng của việc không chọn mật khẩu liên quan đến người thân, sở thích, đam mê hoặc thú cưng của bạn. Những từ này rất dễ đoán, có thể là do người thân thiết với bạn có ý định xấu hoặc do một tin tặc vô danh cố gắng lừa bạn.
Nói chung, tốt nhất là không nên chọn một từ có trong từ điển. Thay vào đó, bạn nên chọn một chuỗi số, chữ cái và ký hiệu phi logic và không thể đoán trước. Loại mã này có khả năng chống lại các cuộc tấn công bằng cách dùng vũ lực và không thể đoán được. Để thuận tiện, đừng ngần ngại sử dụng trình quản lý mật khẩu được trang bị trình tạo mật khẩu. Các giải pháp này cho phép bạn tạo mật khẩu an toàn để bảo vệ bạn khỏi tin tặc.