"Mật khẩu nên dài, tốt hơn nữa là trộn giữa các ký tự chữ và số", "Điều quan trọng là tạo mật khẩu mà người khác không đoán được"… đây đều là các thông điệp quen thuộc, được nhiều người dùng Internet tin tưởng lâu nay. Nhưng theo Alex Weinert, làm việc trong nhóm bảo vệ an ninh, bộ phận thông tin cá nhân của Microsoft thì điều này không hoàn toàn chính xác.

"Chúng tôi có rất nhiều diễn ngôn cường điệu về mật khẩu. Nhưng trên thực tế, độ dài và độ phức tạp của mật khẩu không quá quan trọng", ông nói.

Theo chuyên gia bảo mật này, các lời khuyên khi tạo một mật khẩu mới như đòi hỏi chúng "chưa bao giờ được sử dụng bởi bất cứ ai", "dài nhất có thể" hay "chứa ký tự phức tạp"… dù mang lại tác dụng nhưng không nhiều. Bởi với trình độ phát triển của công nghệ, phần mềm cũng như trình độ của tin tặc hiện nay, những biện pháp bảo vệ trên vẫn giống như một tờ mỏng, có thể dễ dàng bị đâm thủng. Theo Alex, điều quan trọng nhất trong việc thiết lập mật khẩu hiện nay là phải hiểu cách những kẻ tấn công sẽ dùng để phá vỡ chúng. Dưới đây là một số phương pháp tấn công thông thường của tin tặc và tầm quan trọng của mật khẩu người dùng trong các trường hợp này.

Không phải cứ đặt mật khẩu dài, phức tạp là tốt.

1. Tấn công dạng nhồi thông tin → Mật khẩu không quan trọng

Đây là loại tấn công mạng trong đó thông tin tài khoản bị đánh cắp thường bao gồm danh sách tên người dùng hoặc địa chỉ email cùng mật khẩu tương ứng. Các thông tin rò rỉ này thường bắt nguồn từ một vi phạm dữ liệu và chúng được sử dụng để truy cập trái phép vào tài khoản người dùng thông qua các yêu cầu đăng nhập.

Trong trường hợp này, vì kẻ tấn công đã lấy được "mật khẩu chính xác" của người dùng, nên việc bảo mật không quan trọng cho dù mật khẩu của bạn được đặt phức tạp đến mức nào.

2. Lừa đảo → Mật khẩu không quan trọng

Hành vi lừa đảo phổ biến nhất là gửi e-mail giả mạo của một công ty hay đơn vị nào đó, hướng dẫn người dùng đến các trang web giả mạo rồi yêu cầu họ đăng nhập tài khoản. Mặc dù chỉ 0,5% của tất cả các email là lừa đảo, nhưng đây lại là mối đe dọa quen thuộc với rất nhiều người. Và một lần nữa, mật khẩu mạnh hay yếu không liên quan hay có tác dụng gì. Bởi chính người dùng sẽ tự cung cấp nó cho tin tặc. Để ngăn chặn các hành vi lừa đảo, đòi hỏi người dùng phải cải thiện chính kiến thức Internet của mình.

3. Trộm thông tin bằng phần mềm độc hại → Mật khẩu không quan trọng

Nói một cách đơn giản là kẻ gian cài phần mềm, hoặc sử dụng phần cứng để ghi lại các hành động của người dùng thông qua bàn phím. Một số phần mềm có thể gửi các thông tin này thẳng cho các bên thứ ba. Trong trường hợp này, cho dù mật khẩu dài hay ngắn, nhiều ký tự hay phức tạp với chữ thường, chữ in hoa, tài khoản vẫn bị đánh cắp. Tuy nhiên, theo Vainert, đây không phải là một phương thức tấn công quá phổ biến.

4. Dò mật khẩu từ nhiều manh mối khác nhau → Mật khẩu không quan trọng

Ví dụ người dùng có thói quen ghi các mật khẩu hay dùng vào một tệp tin hay cuốn sổ ghi chép. Điều này khá phổ biến khi bạn có thói quen dùng các mật khẩu phức tạp, khác nhau cho nhiều tài khoản. Kẻ gian biết được điều này và tìm kiếm chúng. Trong trường hợp đó, độ phức tạp hay độ dài của mật khẩu lại trở nên vô dụng, bởi tin tặc hoặc kẻ gian đã có trong tay thông tin chính xác nhất.

5. Thu thập mật khẩu bằng cách đe dọa → Mật khẩu không quan trọng

Trường hợp này hiếm khi xảy ra, nhưng nếu kẻ gian dùng các thông tin quan trọng, tính mạng sức khỏe hay bí mật nào khác để ép người sử dụng cung cấp mật khẩu thì việc cố đặt mật khẩu khó cũng trở nên vô dụng. Đừng nghĩ điều này chỉ xảy ra trong phim hay tiểu thuyết, kẻ xấu có thể ở rất gần bạn đấy.

6. Tấn công phun mật khẩu (Password Spray) → Mật khẩu... hơi quan trọng một chút

Đây là một phương thức tấn công mà kẻ gian cố gắng đăng nhập vào một số lượng lớn tài khoản bằng cách sử dụng "cùng một mật khẩu chung". Các cuộc tấn công phun mật khẩu đã gia tăng trong những năm gần đây và theo Weinert, hơn 100.000 người có thể bị phá mật khẩu trong một ngày. Trong trường hợp này, kẻ tấn công không thực sự sở hữu mật khẩu tài khoản của bất kỳ ai, nhưng chúng cố gắng tấn công dần dần bằng "một số mật khẩu thường được sử dụng". Vì vậy, trừ khi bạn đang sử dụng các mật khẩu đơn giản như "qwerty", "123456", "pass1234", thì độ phức tạp của mật khẩu sẽ mang lại một chút giá trị.

7. Tấn công kiểu vét cạn (Brute Force) → Mật khẩu hơi quan trọng

Đây là kiểu tấn công được dùng cho tất cả các loại mã hóa, hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu. Về mặt lý thuyết, phương thức này rất ít được sử dụng, trừ khi đối tượng cần tấn công là mục tiêu rất quan trọng. Do bản chất của phương pháp này, mật khẩu dài và phức tạp sẽ có độ bảo mật tốt hơn mật khẩu đơn giản.

Người dùng nên tăng độ bảo mật của thiết bị thay vì mật khẩu.

Do đó, kết luận của chuyên gia bảo mật của Microsoft cho rằng sự phức tạp của mật khẩu không quá quan trọng trong nhiều trường hợp tấn công có thể xảy ra. Nó chỉ có vai trò nhất định, khi tin tặc sử dụng hai kiểu tấn công là "phun" và "vét cạn". Nhưng trong trường hợp tấn công kiểu "phun", các thống kê chỉ ra rằng mô hình mẫu mật khẩu mà kẻ tấn công sử dụng thường là rất nhỏ. Dưới đây là 10 mật khẩu hàng đầu mà tin tặc hay sử dụng trong các cuộc tấn công phun mật khẩu.

1. 123456

2. password

3. 000000

4. 1qaz2wsx

5. a123456

6. abc123

7. abcd1234

8. 1234qwer

9. qwe123

10. 123qwe

Theo cách này, kẻ tấn công chỉ có thể tấn công chỉ bằng một số lượng mật khẩu rất nhỏ. Người dùng có thể dễ dàng ngăn chặn bằng cách sử dụng mật khẩu là một từ kết hợp của riêng mình. "Nếu đó không phải là thứ được liệt kê trong bảng xếp hạng ở trên, thì gần như không có vấn đề gì", Weinert nói.

Ở trường hợp còn lại, với kiểu tấn công "vét cạn", rất hiếm khi tin tặc sử dụng phương pháp này. Nó đòi hỏi thiết bị, thời gian và cả tầm quan trọng của mục tiêu. Và việc tạo một mật khẩu dài hơn 9 ký tự có thể làm giảm đáng kể khả năng bị xâm phạm bởi cách tấn công này.

Theo quan điểm của Alex Weinert, người dùng thay vì lo lắng về độ dài hay phức tạp của mật khẩu, nên chuyển sang việc tăng cường sự bảo mật trên các thiết bị hay sử dụng các phương pháp xác thực nhiều yếu tố. Việc này sẽ mang lại hiệu quả tốt hơn thời gian ngồi nghĩ ra một loại mật khẩu siêu dài, siêu phức tạp để thách thức trình độ hacker.

Tham khảo Gigazine