Tính bảo mật của mật khẩu của chúng ta thường phụ thuộc vào rất ít thứ. Một con số thừa, một chữ cái viết hoa, một ký tự đặc biệt… hoặc không. Tuy nhiên, theo báo cáo mới nhất từ công ty Hive Systems của Mỹ, chuyên về an ninh mạng, sức mạnh của card đồ họa dành cho người tiêu dùng đã đạt đến mức khiến hầu hết các mật khẩu "cổ điển" trở nên lỗi thời. Báo cáo năm 2025 sử dụng cấu hình mười hai RTX 5090—card đồ họa nhanh nhất hiện có—để mô phỏng những gì một tin tặc có động cơ có thể thực hiện.
Và đó chỉ là cái nhìn thoáng qua. Bởi vì Hive Systems cũng đã kiểm tra độ mạnh của mật khẩu so với khả năng của các trung tâm dữ liệu được sử dụng để đào tạo trí tuệ nhân tạo như ChatGPT. Với GPU A100 và H100 (Nvidia) được OpenAI sử dụng, mật khẩu viết thường gồm tám chữ cái có thể bị bẻ khóa trong 30 phút. Một mật khẩu phức tạp hơn (chữ thường, chữ hoa, số, ký tự đặc biệt) sẽ tồn tại được khoảng hai tháng... nhưng không có gì là không thể vượt qua.
Nghiên cứu này cho thấy trên hết là các biện pháp bảo vệ truyền thống đang nhanh chóng lỗi thời. Nếu bạn vẫn sử dụng mật khẩu tám ký tự, ngay cả khi là mật khẩu ngẫu nhiên, bạn đang ở trong vùng nguy hiểm. Hive nhắc nhở chúng ta rằng một hệ thống phòng thủ tốt phải dựa trên ba trụ cột thiết yếu. Đầu tiên, một mật khẩu dài và phức tạp, lý tưởng nhất là tạo ngẫu nhiên bằng trình quản lý mật khẩu.
Sau đó, kích hoạt xác thực hai yếu tố (2FA), ưu tiên các ứng dụng tạo mã hoặc tốt hơn là khóa vật lý (như YubiKey). Cuối cùng là việc sử dụng passkey, một phương pháp xác thực không cần mật khẩu mới giúp ngăn chặn cả các cuộc tấn công bằng cách dùng vũ lực và các nỗ lực lừa đảo.
Đồng thời, Hive đã xem xét các sự cố trong đời thực, bao gồm cả vụ vi phạm dữ liệu LastPass năm 2022. Vào thời điểm đó, nền tảng này mặc định sử dụng số lần lặp băm thấp để mã hóa mật khẩu, giúp giải mã nhanh hơn nhiều so với dự kiến. Theo một số nhà nghiên cứu, có thể chỉ mất 2,5 năm để bẻ khóa một số mật khẩu chính - một khoảng thời gian dài đối với con người, nhưng lại là cơ hội cho các nhóm tội phạm mạng có tổ chức.
Ngay cả các thuật toán băm tốt nhất (như bcrypt hoặc PBKDF2 SHA-256) cũng vô dụng với các mật khẩu yếu, dễ đoán hoặc được sử dụng lại. Sự phát triển của phần cứng, dù là GPU tiêu dùng hay cơ sở hạ tầng dùng để đào tạo AI, đang thay đổi luật chơi.
GPU ngày càng mạnh, mật khẩu ngày càng yếu
Kết quả? Mật khẩu tám chữ số có thể bị bẻ khóa ngay lập tức, ngay cả khi chỉ dùng một trong những thẻ này. Một chuỗi tám chữ cái thường chỉ tồn tại được khoảng ba tuần trên một GPU duy nhất. Nếu mật khẩu đó là một từ trong từ điển hoặc xuất hiện trong dữ liệu bị rò rỉ thì sao? Nó bị xâm phạm ngay lập tức.Và đó chỉ là cái nhìn thoáng qua. Bởi vì Hive Systems cũng đã kiểm tra độ mạnh của mật khẩu so với khả năng của các trung tâm dữ liệu được sử dụng để đào tạo trí tuệ nhân tạo như ChatGPT. Với GPU A100 và H100 (Nvidia) được OpenAI sử dụng, mật khẩu viết thường gồm tám chữ cái có thể bị bẻ khóa trong 30 phút. Một mật khẩu phức tạp hơn (chữ thường, chữ hoa, số, ký tự đặc biệt) sẽ tồn tại được khoảng hai tháng... nhưng không có gì là không thể vượt qua.
Nghiên cứu này cho thấy trên hết là các biện pháp bảo vệ truyền thống đang nhanh chóng lỗi thời. Nếu bạn vẫn sử dụng mật khẩu tám ký tự, ngay cả khi là mật khẩu ngẫu nhiên, bạn đang ở trong vùng nguy hiểm. Hive nhắc nhở chúng ta rằng một hệ thống phòng thủ tốt phải dựa trên ba trụ cột thiết yếu. Đầu tiên, một mật khẩu dài và phức tạp, lý tưởng nhất là tạo ngẫu nhiên bằng trình quản lý mật khẩu.
Sau đó, kích hoạt xác thực hai yếu tố (2FA), ưu tiên các ứng dụng tạo mã hoặc tốt hơn là khóa vật lý (như YubiKey). Cuối cùng là việc sử dụng passkey, một phương pháp xác thực không cần mật khẩu mới giúp ngăn chặn cả các cuộc tấn công bằng cách dùng vũ lực và các nỗ lực lừa đảo.
Đồng thời, Hive đã xem xét các sự cố trong đời thực, bao gồm cả vụ vi phạm dữ liệu LastPass năm 2022. Vào thời điểm đó, nền tảng này mặc định sử dụng số lần lặp băm thấp để mã hóa mật khẩu, giúp giải mã nhanh hơn nhiều so với dự kiến. Theo một số nhà nghiên cứu, có thể chỉ mất 2,5 năm để bẻ khóa một số mật khẩu chính - một khoảng thời gian dài đối với con người, nhưng lại là cơ hội cho các nhóm tội phạm mạng có tổ chức.
Ngay cả các thuật toán băm tốt nhất (như bcrypt hoặc PBKDF2 SHA-256) cũng vô dụng với các mật khẩu yếu, dễ đoán hoặc được sử dụng lại. Sự phát triển của phần cứng, dù là GPU tiêu dùng hay cơ sở hạ tầng dùng để đào tạo AI, đang thay đổi luật chơi.
