top of page

Các chuyên gia Kaspersky nghiên cứu kiểm tra khả năng chống chịu của 193 triệu mật khẩu trước các hình thức tấn công dự đoán thông minh và brute force

20/6/24

Trong năm 2023, Kaspersky phát hiện có hơn 32 triệu cuộc tấn công người dùng bằng mã độc password stealers. Con số này cho thấy tầm quan trọng của việc duy trì thói quen làm sạch không gian mạng và thay đổi mật khẩu định kỳ.


Kaspersky sử dụng mật khẩu khác nhau cho các dịch vụ khác nhau

Bà Yuliya Novikova, Trưởng phòng Digital Footprint Intelligence tại Kaspersky cho hay: “Một cách vô thức, con người thường đặt mật khẩu rất đơn giản, thường là các từ trong từ điển bằng tiếng mẹ đẻ, như tên riêng và số... Ngay cả những tổ hợp mật khẩu mạnh cũng hiếm khi được đặt khác với xu hướng trên, vì vậy chúng hoàn toàn có thể bị thuật toán đoán được. Do đó, giải pháp đáng tin cậy nhất là tạo ra một mật khẩu hoàn toàn ngẫu nhiên bằng các trình quản lý mật khẩu hiện đại và đáng tin cậy. Những ứng dụng như vậy có thể lưu trữ khối lượng lớn dữ liệu một cách an toàn, cung cấp khả năng bảo vệ toàn diện và mạnh mẽ cho thông tin người dùng.”


Theo kết quả nghiên cứu, 45% trên tổng 87 triệu mật khẩu có thể bị bẻ khóa thành công trong vòng một phút. Duy chỉ có 23% (tương đương 44 triệu) tổ hợp mật khẩu được đánh giá đủ mạnh để chống lại các cuộc tấn công và việc bẻ khóa những mật khẩu này sẽ mất hơn một năm. Bên cạnh đó, các chuyên gia của Kaspersky cũng tiết lộ những tổ hợp ký tự được sử dụng phổ biến nhất khi người dùng thiết lập mật khẩu.


Vào tháng 6 năm 2024, Kaspersky đã phân tích 193 triệu mật khẩu, được tìm thấy từ các nguồn công khai trên các trang darknet khác nhau. Kết quả cho thấy phần lớn các mật khẩu được đánh giá không đủ mạnh và kém an toàn, điều này tạo điều kiện cho kẻ tấn công dễ dàng xâm nhập tài khoản bằng cách sử dụng các thuật toán dự đoán thông minh (smart guessing algorithms). Dưới đây là phân tích về tốc độ bẻ khóa mật khẩu của kẻ tấn công:


  • 45% (87 triệu) trong vòng chưa đầy 1 phút.

  • 14% (27 triệu) – Từ 1 phút đến 1 tiếng.

  • 8% (15 triệu) – Từ 1 tiếng đến 1 ngày.

  • 6% (12 triệu) – Từ 1 ngày đến 1 tháng.

  • 4% (8 triệu) – Từ 1 tháng đến 1 năm.


Theo đó, các chuyên gia nhận định rằng chỉ có 23% (tương đương 44 triệu) mật khẩu được đánh giá là an toàn vì việc bẻ khóa chúng phải mất hơn 1 năm. Bên cạnh đó, đa phần các mật khẩu (57%) đều chứa một từ dễ dàng tìm thấy trong từ điển, điều này làm giảm đáng kể độ mạnh của mật khẩu. Trong số các chuỗi từ vựng phổ biến nhất, Kaspersky phân thành một số nhóm mật khẩu:


  • Tên: "ahmed", "nguyen", "kumar", "kevin", "daniel".

  • Từ phổ biến: "forever", "love", "google", "hacker", "gamer".

  • Mật khẩu tiêu chuẩn: "password", "qwerty12345", "admin", "12345", "team".


Phân tích cho thấy chỉ có 19% mật khẩu chứa tổ hợp của một mật khẩu mạnh, bao gồm một từ không có trong từ điển, cả chữ thường và chữ in hoa, cũng như số và ký hiệu. Đồng thời, nghiên cứu cũng cho thấy 39% trong số các mật khẩu mạnh đó vẫn có thể bị đoán bằng các thuật toán thông minh chỉ trong vòng chưa đầy một giờ.


Điều thú vị là các kẻ tấn công không cần sở hữu kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu. Ví dụ, bộ xử lý máy tính xách tay chuyên dụng có thể tìm ra chính xác tổ hợp mật khẩu gồm 8 chữ cái hoặc chữ số viết thường bằng brute force chỉ trong 7 phút. Ngoài ra, card đồ họa tích hợp sẽ xử lý tác vụ tương tự trong 17 giây. Bên cạnh đó, các thuật toán đoán mật khẩu thông minh còn có xu hướng thay thế các ký tự ("e" thành "3", "1" thành "!" hoặc "a" thành "@") và các chuỗi phổ biến ("qwerty", "12345", "asdfg").


Kaspersky khuyến cáo tăng cường độ mạnh của mật khẩu, người dùng có thể áp dụng các mẹo đơn giản

Để tăng cường độ mạnh của mật khẩu, người dùng có thể áp dụng các mẹo đơn giản sau:


  • Việc ghi nhớ hết các mật khẩu cho tất cả các dịch vụ đang sử dụng là không thể, người dùng nên sử dụng Kaspersky Password Manager để tiện quản lý các mật khẩu.

  • Sử dụng mật khẩu khác nhau cho các dịch vụ khác nhau. Bằng cách này, ngay cả khi một trong các tài khoản của bạn bị tấn công, những tài khoản khác vẫn an toàn.

  • Chuỗi ký tự (passphrase), giúp người dùng khôi phục lại tài khoản khi quên mật khẩu, sẽ an toàn hơn khi sử dụng các từ ít phổ biến. Ngay cả khi sử dụng các từ thông dụng, người dùng có thể sắp xếp chúng theo thứ tự khác thường và không liên quan đến nhau. Ngoài ra, họ có thể sử dụng một dịch vụ trực tuyến để kiểm tra độ mạnh của mật khẩu.

  • Không nên sử dụng các thông tin cá nhân, như ngày sinh nhật, tên thành viên trong gia đình, thú cưng hoặc tên riêng để đặt mật khẩu. Đây thường là những lựa chọn đầu tiên kẻ tấn công sẽ thử khi bẻ khóa mật khẩu.

  • Bật xác thực hai yếu tố (2FA). Mặc dù không liên quan trực tiếp đến độ mạnh của mật khẩu, việc bật 2FA sẽ giúp tăng thêm một lớp bảo mật. Ngay cả khi mật khẩu bị phát hiện, kẻ tấn công vẫn cần xác minh hai yếu tố để truy cập vào tài khoản. Kaspersky Password Manager lưu trữ khóa 2FA (2FA keys) và bảo mật chúng bằng các thuật toán mã hóa mới nhất.

  • Sử dụng giải pháp bảo mật đáng tin cậy sẽ nâng cao khả năng bảo vệ cho người dùng. Giải pháp này giúp giám sát internet và Dark Web, cảnh báo họ nếu mật khẩu bị lộ hoặc cần thay đổi.


Nghiên cứu của Kaspersky được thực hiện dựa trên 193 triệu mật khẩu được tìm thấy công khai ở các nguồn khác nhau của darknet. Thông tin nghiên cứu chi tiết và thông tin bổ sung có thể được tìm thấy lần lượt ở Kaspersky Daily Post và Securelist.


Trong quá trình khảo sát, các chuyên gia Kaspersky đã sử dụng các thuật toán dự đoán mật khẩu sau:


  • Bruteforcehình thức đoán mật khẩu bằng cách thử tất cả các tổ hợp ký tự có thể cho đến khi tìm ra tổ hợp chính xác.

  • Zxcvbn – thuật toán tính điểm nâng cao có sẵn trên GitHub. Đối với một mật khẩu đã tồn tại, thuật toán sẽ xác định dựa trên cấu trúc mật khẩu. Sau đó, thuật toán tính số lần lặp từ để tìm kiếm từng phần của cấu trúc. Vì vậy, nếu mật khẩu chứa một từ, thì việc tìm kiếm nó sẽ mất một số lần lặp bằng với độ dài của từ điển. Sau khi có thời gian tìm kiếm cho từng phần tử của cấu trúc, độ mạnh của mật khẩu sẽ được xác định.

  • Thuật toán dự đoán thông minh (Smart guessing algorithm) – là một thuật toán học máy. Bằng cách dựa trên tập dữ liệu mật khẩu của người dùng, nó có thể tính toán tần suất xuất hiện của các tổ hợp ký tự khác nhau. Sau đó, nó có thể tạo ra các lần thử nghiệm từ các biến thể thường gặp nhất và kết hợp chúng với các biến thể ít gặp nhất.

Xu hướng bảo mật

kaspersky-da-phat-hien-ra-cac-hinh-thuc-tan-cong-gia-mao-duoc-toi-pham-mang-su-dung-de-vuot-xac-thuc-hai-yeu-to

Kaspersky đã phát hiện ra các hình thức tấn công giả mạo được tội phạm mạng sử dụng để vượt xác thực hai yếu tố

Mặc dù 2FA được nhiều trang web áp dụng rộng rãi và các tổ chức bắt buộc thực hiện, những kẻ tấn công mạng đã thay đổi hình thức tấn công mạng tinh vi hơn, bằng cách kết hợp phishing với bot OTP tự động để đánh lừa người dùng và truy cập trái phép vào tài khoản của họ.

sach-trang-moi-nhat-cua-kaspersky-nhan-manh-vai-tro-then-chot-cua-cac-nha-giao-duc-trong-viec-nang-cao-nhan-thuc-ve-an-ninh-mang-lop-hoc

Sách trắng mới nhất của Kaspersky nhấn mạnh vai trò then chốt của các nhà giáo dục trong việc nâng cao nhận thức về an ninh mạng lớp học

Nghiên cứu cho thấy các nhà giáo dục có thói quen làm sạch không gian mạng sẽ tự tin hơn trong việc hướng dẫn học sinh nhận diện nguồn không đáng tin cậy và xử lý email khả nghi. Sự tự tin này thể hiện rõ ràng ở những nhà giáo dục được trang bị kiến thức nền tảng vững chắc về các biện pháp an ninh mạng hoặc đã tham gia các khóa đào tạo chuyên sâu từ các chuyên gia.

kaspersky-next-cung-cap-ba-goi-san-pham-dap-ung-moi-yeu-cau-bao-mat-co-so-ha-tang-cong-nghe-thong-tin-va-nguon-luc-san-co-cua-doanh-nghiep

Kaspersky Next cung cấp ba gói sản phẩm đáp ứng mọi yêu cầu bảo mật, cơ sở hạ tầng công nghệ thông tin và nguồn lực sẵn có của doanh nghiệp

Kaspersky Next là dòng sản phẩm an ninh mạng thế hệ mới, tích hợp khả năng bảo mật thiết bị đầu cuối mạnh mẽ nhờ trí tuệ nhân tạo. Không chỉ dừng lại ở nền tảng EPP (Endpoint Protection Platform) cơ bản, Kaspersky Next mang đến sự kết hợp đột phá giữa EDR và XDR, đáp ứng nhu cầu bảo mật toàn diện cho các doanh nghiệp thuộc mọi quy mô và lĩnh vực.

mien-dich-khong-gian-mang-la-mot-cach-tiep-can-dot-pha-de-phat-trien-cac-he-thong-cong-nghe-thong-tin-mang-tinh-bao-mat-cao

Miễn dịch Không gian mạng là một cách tiếp cận đột phá để phát triển các hệ thống công nghệ thông tin mang tính bảo mật cao

Với mục tiêu khám phá bối cảnh mối đe doạ an ninh mạng đang tiến triển ngày một phức tạp, Hội nghị Quốc tế về Miễn dịch Không gian mạng đã cung cấp những thông tin chuyên sâu về tương lai của thời đại kỹ thuật số và tôn vinh những nỗ lực tiên phong của các đơn vị dẫn đầu về Miễn dịch Không gian mạng.

av-test-trao-tang-chung-chi-khang-dinh-hieu-qua-vuot-bac-cho-giai-phap-kaspersky-vpn

AV-TEST trao tặng chứng chỉ khẳng định hiệu quả vượt bậc cho giải pháp Kaspersky VPN

Kết quả thử nghiệm cho thấy 355% cải thiện trong tốc độ tải lên (Upload speed) ở kết nối quốc tế, điều này chứng minh cho mức độ hiểu quả của nền tảng. Hơn nữa, mạng máy chủ VPN toàn cầu mở rộng của Kaspersky được công nhận là một trong những mạng lớn nhất trong ngành.

nghien-cuu-kaspersky-tiet-lo-gan-2-trong-so-3-doanh-nghiep-o-chau-a-thai-binh-duong-apac-da-trien-khai-tri-tue-nhan-tao-ai-va-internet-van-vat-iot-trong-co-so-ha-tang-cua-ho

Nghiên cứu Kaspersky tiết lộ, gần 2 trong số 3 doanh nghiệp ở Châu Á - Thái Bình Dương (APAC) đã triển khai Trí tuệ nhân tạo (AI) và Internet vạn vật (IoT) trong cơ sở hạ tầng của họ

Trong đó, có đến 28% và 26% doanh nghiệp đang có kế hoạch ứng dụng AI và IoT trong vòng hai năm. Các chuyên gia khuyến nghị các chủ doanh nghiệp phải đảm bảo rằng họ có các giải pháp an ninh mạng phù hợp để bảo mật chúng.

bottom of page