Mật khẩu là chìa khóa cho cuộc sống số của bạn – email, tài khoản ngân hàng, mạng xã hội và thậm chí cả hệ thống làm việc. Thật không may, chúng cũng là một trong những mắt xích yếu nhất trong an ninh mạng.
Mỗi năm, hàng tỷ thông tin đăng nhập bị đánh cắp và rao bán trên dark web.
Tội phạm mạng không nhất thiết phải dùng đến kỹ thuật cao để đột nhập vào tài khoản của bạn. Thường thì chúng sử dụng những phương pháp tự động đơn giản, khai thác thói quen của con người như việc dùng lại mật khẩu hoặc chọn mật khẩu dễ đoán.
Dưới đây là 5 phương pháp phổ biến mà kẻ tấn công dùng để bẻ khóa mật khẩu – và cách bạn có thể tự bảo vệ mình.
1. Tấn công Brute Force
Brute force (tấn công vũ lực) là một trong những kỹ thuật hack lâu đời nhất vẫn còn được sử dụng.
Phương pháp này sử dụng chương trình máy tính để thử mọi tổ hợp ký tự cho đến khi tìm ra mật khẩu đúng.
Nghe có vẻ mất thời gian, nhưng các công cụ như Hydra, Medusa hoặc John the Ripper có thể thử hàng nghìn, thậm chí hàng triệu mật khẩu mỗi giây.
Ví dụ: nếu mật khẩu của bạn là “test123”, công cụ brute force có thể bẻ khóa chỉ trong vài giây. Một mật khẩu 6 ký tự với toàn chữ thường có khoảng 308 triệu tổ hợp, và GPU hiện đại có thể xử lý chỉ trong vài phút.
Cách phòng thủ tốt nhất: Tăng độ dài và độ phức tạp của mật khẩu.
Một mật khẩu ngẫu nhiên gồm 16 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt hầu như không thể bị brute force bằng phần cứng hiện nay.
Sử dụng các trình quản lý mật khẩu như NordPass, Bitwarden hoặc 1Password giúp bạn tạo và lưu trữ mật khẩu mạnh một cách dễ dàng.
2. Tấn công Dictionary
Khác với brute force, tấn công Dictionary chỉ thử các mật khẩu từ danh sách có sẵn gồm những từ và cụm từ phổ biến.
Danh sách này thường bao gồm các mật khẩu bị rò rỉ từ các vụ vi phạm dữ liệu trước đó, tên đội thể thao, mẫu bàn phím như “qwerty” hoặc “123456”, cũng như tên riêng và từ chửi tục. Đây còn được gọi là wordlist.
Nhiều người tưởng rằng chỉ cần chỉnh sửa một chút là mật khẩu sẽ an toàn – ví dụ đổi “password” thành “P@ssw0rd!”. Nhưng công cụ dictionary attack đã được lập trình để đoán cả những biến thể này.
Ví dụ: công cụ Crunch cho phép tạo wordlist dựa trên mẫu, nên “Welcome@123” vẫn là một mật khẩu dễ đoán.
Những mật khẩu như “123456”, “password”, “qwerty”, “iloveyou”, “dragon” vẫn là những mật khẩu phổ biến nhất thế giới.
Cách phòng ngừa: Không bao giờ dùng từ ngữ thật, tên riêng hay mẫu dễ đoán trong mật khẩu. Thay vào đó, hãy dùng cụm từ ngẫu nhiên dài, như “truck-pillow-coffee-skyline” hoặc chuỗi hoàn toàn ngẫu nhiên như “g6D@!rXplQ8#1zVn”.
Dùng trình quản lý mật khẩu để duy trì mức độ ngẫu nhiên và độc nhất này.
3. Credential Stuffing (Dùng lại thông tin đăng nhập)
Đây là một trong những kỹ thuật tấn công hiệu quả nhất và ít phức tạp nhất. Nó lợi dụng một sự thật đơn giản: con người thường dùng lại mật khẩu cho nhiều tài khoản.
Khi một trang web như LinkedIn hoặc Dropbox bị lộ dữ liệu, kẻ tấn công sẽ lấy thông tin đăng nhập đó và thử trên các trang khác – như Gmail, Facebook, Netflix hay tài khoản ngân hàng.
Kỹ thuật này hoàn toàn tự động. Bot sẽ thử hàng nghìn tổ hợp tên đăng nhập – mật khẩu trên hàng chục trang cho đến khi tìm được tài khoản hợp lệ.
Ví dụ, nếu bạn từng dùng mật khẩu Gmail để đăng ký một diễn đàn nhỏ và diễn đàn đó bị hack, thì mật khẩu Gmail của bạn cũng có nguy cơ bị lộ.
Cách phòng ngừa: Dùng mật khẩu khác nhau cho từng tài khoản. Bạn không cần nhớ hết – chỉ cần dùng trình quản lý mật khẩu đáng tin cậy.
Bên cạnh đó, hãy bật xác thực hai yếu tố (MFA) bất cứ khi nào có thể. Dù ai đó biết mật khẩu, họ vẫn không đăng nhập được nếu thiếu mã xác thực thứ hai.
4. Phishing (Lừa đảo)
Phishing không phải là kỹ thuật hack – nó là chiêu trò tâm lý.
Thay vì đoán mật khẩu, kẻ xấu lừa bạn tự cung cấp.
Phishing thường xuất hiện dưới dạng email, tin nhắn hoặc trang web giả mạo trông giống thật để đánh cắp thông tin đăng nhập.
Ví dụ, bạn nhận được email giả danh ngân hàng yêu cầu “xác minh tài khoản”. Link trong email sẽ đưa bạn đến trang đăng nhập giả, nơi mật khẩu sẽ bị ghi lại ngay khi bạn nhập.
Các công cụ như Evilginx và Modlishka thậm chí còn vượt qua được cả xác thực 2 yếu tố bằng cách chặn token theo thời gian thực.
Phishing rất phổ biến vì nó hiệu quả. Theo CISA, phishing là phương thức tấn công phổ biến nhất năm 2022. Công nghệ AI còn giúp viết email thuyết phục, giả mạo người gửi và tạo ra trang web giống thật.
Cách phòng ngừa: Không nhấp vào các liên kết đáng ngờ. Không nhập thông tin đăng nhập từ các email lạ. Luôn gõ địa chỉ trang web trực tiếp hoặc dùng dấu trang của trình duyệt.
Học cách nhận diện dấu hiệu đáng ngờ – như lỗi chính tả, ngôn ngữ thúc giục, hoặc địa chỉ email sai lệch.
5. Social engineering và Đặt lại mật khẩu
Đôi khi, kẻ tấn công không cần kỹ năng kỹ thuật – chỉ cần thuyết phục.
Social engineering là hành vi lừa người khác để lấy thông tin. Ví dụ: gọi đến bộ phận hỗ trợ khách hàng, giả làm bạn và yêu cầu đặt lại mật khẩu. Nếu nhân viên không cẩn thận, họ có thể trao quyền truy cập cho kẻ giả mạo.
Điều này từng xảy ra với nhà báo công nghệ Mat Honan vào năm 2012, khi hacker chiếm tài khoản Apple của anh, khóa điện thoại, truy cập email và các dịch vụ liên quan.
Một chiêu trò khác là lợi dụng hệ thống đặt lại mật khẩu yếu – chẳng hạn chỉ cần trả lời câu hỏi bảo mật như “Tên thú cưng của bạn là gì?” hay “Bạn sinh ra ở đâu?”. Các thông tin này có thể đã bị lộ qua mạng xã hội hoặc rò rỉ dữ liệu.
Cách phòng ngừa:
- Hạn chế chia sẻ thông tin cá nhân trên mạng.
- Dùng câu trả lời giả cho câu hỏi bảo mật – lưu trong trình quản lý mật khẩu.
- Bật xác thực 2 yếu tố bằng ứng dụng như Authy hoặc Google Authenticator thay vì dùng SMS (dễ bị đánh cắp qua SIM swapping).
Phòng vẫn hơn chữa
Kẻ xấu không phải lúc nào cũng “hack” vào hệ thống – nhiều khi chỉ cần bạn sơ suất.
Tin vui là hầu hết các cuộc tấn công mật khẩu đều dựa vào lỗi của con người và thói quen dễ đoán.
Hãy:
- Dùng trình quản lý mật khẩu,
- Bật xác thực 2 yếu tố,
- Luôn cảnh giác với phishing.
Hãy tưởng tượng cuộc sống số của bạn như một ngôi nhà. Bạn có dùng cùng một chìa khóa cho nhà, xe, văn phòng và tủ đồ không? Bạn có giấu chìa khóa dưới thảm không? Đó chính là điều mật khẩu yếu hoặc dùng lại đang làm trên mạng.
Hãy luôn đi trước một bước. Khóa cẩn thận các “cánh cửa” kỹ thuật số – và đừng trao chìa khóa cho kẻ xấu.