Khi tạo mật khẩu, nhiều dịch vụ trực tuyến hiện nay yêu cầu người dùng cung cấp tổ hợp phức tạp các ký tự chữ và số và ký tự đặc biệt. Điều này không phải để làm phiền những người không thích sử dụng trình quản lý mật khẩu; Khi máy tính ngày càng mạnh hơn, việc bẻ khóa mật khẩu bằng phương pháp tấn công vũ phu trở nên dễ dàng hơn. Để giúp công chúng thấy rõ hơn, một công ty tư vấn an ninh mạng đã công bố phiên bản mới của một bảng rất hữu ích cho phép bạn ước tính mức độ dễ bị tấn công của mật khẩu chỉ trong nháy mắt.
Tấn công bằng cách dùng vũ lực là gì?
Thuật ngữ này đề cập đến một chiến lược khá thô sơ bao gồm việc yêu cầu máy tính khám phá tất cả các khả năng, từng khả năng một, một cách có hệ thống, cho đến khi tìm ra giải pháp. Ưu điểm lớn nhất của phương pháp này là nó có tỷ lệ thành công về mặt lý thuyết là 100%. Câu hỏi không phải là liệu máy có tìm ra được tổ hợp ký tự đúng hay không, mà là khi nào.
Nhưng điều đó không có nghĩa là cách tiếp cận này luôn khả thi trong thực tế, hoàn toàn không phải vậy. Trên thực tế, các nguồn lực cần thiết để thực hiện loại tấn công này tăng theo cấp số nhân theo kích thước và tính đa dạng của chuỗi ký tự. Với mật khẩu đủ phức tạp, thời gian cần thiết sẽ nhanh chóng tăng vọt lên gấp bội, lớn hơn nhiều so với vòng đời của một mật khẩu.
Chính vì lý do này mà các tin tặc hiện đại có xu hướng ưa chuộng các phương pháp tiếp cận khác. Có thể trích dẫn các cuộc tấn công từ điển, nhằm đẩy nhanh quá trình bằng cách ưu tiên các giải pháp có khả năng xảy ra hơn, dựa trên danh sách các thuật ngữ thường gặp (danh sách từ)... hoặc danh sách mật khẩu thực được khôi phục trong các lần tấn công trước đó. Cách tiếp cận khác, có thể nói là nguy hiểm nhất, dựa trên kỹ thuật xã hội. Có lẽ bạn đã quen với trò lừa đảo nổi tiếng này, khai thác điểm yếu của người dùng để lừa họ cung cấp thông tin đăng nhập quý giá của mình một cách dễ dàng.
Nhưng điều đó không có nghĩa là phương pháp tấn công bằng vũ lực đã hoàn toàn lỗi thời. Do đó, toàn bộ câu hỏi là xác định mức độ phức tạp nào thì mật khẩu trở nên đủ an toàn.
Thay đổi đáng chú ý đầu tiên so với phiên bản 2024: từ bây giờ, tất cả mật khẩu 4 ký tự, bất kể là gì, đều bị mất ngay lập tức, tức là trong chưa đầy một giây trong bối cảnh này. Điều này cũng áp dụng cho tất cả mật khẩu chỉ bao gồm các chữ số: nếu mật khẩu có 8 chữ số trở xuống, tin tặc có chuyên môn sẽ dễ dàng đoán được mật khẩu đó.
Nhưng may mắn thay, hiện nay hầu như không ai sử dụng mật khẩu ngắn như vậy nữa. Theo nghiên cứu của DemandSage, hơn một nửa số người dùng Internet bảo vệ quyền truy cập vào tài khoản của họ bằng 8 đến 11 ký tự.
Phần này rất thú vị vì chúng ta sẽ đến một khu vực mà sự lựa chọn ký tự tạo nên sự khác biệt rất lớn. Ví dụ, với 8 chữ số, mật khẩu có thể bị bẻ khóa gần như ngay lập tức. Nhưng nếu thêm cả chữ hoa, chữ thường và ký hiệu thì thời gian tính toán ước tính sẽ lên tới 164 năm. Sự khác biệt thậm chí còn rõ rệt hơn ở 11 ký tự: 1 tuần làm việc nếu mật khẩu chỉ bao gồm các chữ số và… 56 triệu năm với sự kết hợp được đề cập ở trên.
Bài học rút ra: đừng bỏ qua lời khuyên của những người gợi ý sử dụng mật khẩu dài và phức tạp. Ngoài ra, tránh dựa vào các thuật ngữ thông dụng, tên người nổi tiếng hoặc ngày tháng vì chúng dễ bị tấn công bằng từ điển như đã đề cập ở trên. Vào cuối ngày, không gì có thể đánh bại được một chuỗi ký tự cổ điển; Chắc chắn là nó hạn chế hơn trong cuộc sống hằng ngày, nhưng lớp bảo mật bổ sung này vô giá trong thời đại mà chúng ta dành phần lớn cuộc sống trực tuyến.
Để biết thêm chi tiết, bạn có thể xem phân tích đầy đủ của Hive Systems tại đây.
Tấn công bằng cách dùng vũ lực là gì?
Thuật ngữ này đề cập đến một chiến lược khá thô sơ bao gồm việc yêu cầu máy tính khám phá tất cả các khả năng, từng khả năng một, một cách có hệ thống, cho đến khi tìm ra giải pháp. Ưu điểm lớn nhất của phương pháp này là nó có tỷ lệ thành công về mặt lý thuyết là 100%. Câu hỏi không phải là liệu máy có tìm ra được tổ hợp ký tự đúng hay không, mà là khi nào.
Nhưng điều đó không có nghĩa là cách tiếp cận này luôn khả thi trong thực tế, hoàn toàn không phải vậy. Trên thực tế, các nguồn lực cần thiết để thực hiện loại tấn công này tăng theo cấp số nhân theo kích thước và tính đa dạng của chuỗi ký tự. Với mật khẩu đủ phức tạp, thời gian cần thiết sẽ nhanh chóng tăng vọt lên gấp bội, lớn hơn nhiều so với vòng đời của một mật khẩu.
Chính vì lý do này mà các tin tặc hiện đại có xu hướng ưa chuộng các phương pháp tiếp cận khác. Có thể trích dẫn các cuộc tấn công từ điển, nhằm đẩy nhanh quá trình bằng cách ưu tiên các giải pháp có khả năng xảy ra hơn, dựa trên danh sách các thuật ngữ thường gặp (danh sách từ)... hoặc danh sách mật khẩu thực được khôi phục trong các lần tấn công trước đó. Cách tiếp cận khác, có thể nói là nguy hiểm nhất, dựa trên kỹ thuật xã hội. Có lẽ bạn đã quen với trò lừa đảo nổi tiếng này, khai thác điểm yếu của người dùng để lừa họ cung cấp thông tin đăng nhập quý giá của mình một cách dễ dàng.
Nhưng điều đó không có nghĩa là phương pháp tấn công bằng vũ lực đã hoàn toàn lỗi thời. Do đó, toàn bộ câu hỏi là xác định mức độ phức tạp nào thì mật khẩu trở nên đủ an toàn.
Độ dài và độ phức tạp, sự kết hợp hoàn hảo
Đây chính là lúc Hive Systems, một công ty tư vấn duy trì một bảng được thiết kế đặc biệt cho mục đích này, xuất hiện. Mục tiêu của nó: xác định xem một tin tặc được trang bị tốt sẽ mất bao lâu để bẻ khóa khóa quý giá của bạn bằng cách sử dụng phần cứng tiêu dùng thế hệ mới nhất (12 bản sao của GPU mạnh nhất hiện có). Tài liệu này vừa được cập nhật dựa trên hiệu suất của Nvidia RTX 5090 mới. Và nó chứa một số thông tin rất thú vị.
Thay đổi đáng chú ý đầu tiên so với phiên bản 2024: từ bây giờ, tất cả mật khẩu 4 ký tự, bất kể là gì, đều bị mất ngay lập tức, tức là trong chưa đầy một giây trong bối cảnh này. Điều này cũng áp dụng cho tất cả mật khẩu chỉ bao gồm các chữ số: nếu mật khẩu có 8 chữ số trở xuống, tin tặc có chuyên môn sẽ dễ dàng đoán được mật khẩu đó.
Nhưng may mắn thay, hiện nay hầu như không ai sử dụng mật khẩu ngắn như vậy nữa. Theo nghiên cứu của DemandSage, hơn một nửa số người dùng Internet bảo vệ quyền truy cập vào tài khoản của họ bằng 8 đến 11 ký tự.
Phần này rất thú vị vì chúng ta sẽ đến một khu vực mà sự lựa chọn ký tự tạo nên sự khác biệt rất lớn. Ví dụ, với 8 chữ số, mật khẩu có thể bị bẻ khóa gần như ngay lập tức. Nhưng nếu thêm cả chữ hoa, chữ thường và ký hiệu thì thời gian tính toán ước tính sẽ lên tới 164 năm. Sự khác biệt thậm chí còn rõ rệt hơn ở 11 ký tự: 1 tuần làm việc nếu mật khẩu chỉ bao gồm các chữ số và… 56 triệu năm với sự kết hợp được đề cập ở trên.
Bài học rút ra: đừng bỏ qua lời khuyên của những người gợi ý sử dụng mật khẩu dài và phức tạp. Ngoài ra, tránh dựa vào các thuật ngữ thông dụng, tên người nổi tiếng hoặc ngày tháng vì chúng dễ bị tấn công bằng từ điển như đã đề cập ở trên. Vào cuối ngày, không gì có thể đánh bại được một chuỗi ký tự cổ điển; Chắc chắn là nó hạn chế hơn trong cuộc sống hằng ngày, nhưng lớp bảo mật bổ sung này vô giá trong thời đại mà chúng ta dành phần lớn cuộc sống trực tuyến.
Để biết thêm chi tiết, bạn có thể xem phân tích đầy đủ của Hive Systems tại đây.