Mật khẩu yếu - hiểm họa thật trong thế giới số
Tình trạng lộ lọt mật khẩu và dữ liệu cá nhân đã lên đến mức báo động, là minh chứng rõ ràng cho sự gia tăng nhanh chóng của các cuộc tấn công mạng.
Báo cáo từ nhóm nghiên cứu bảo mật TRACE thuộc công ty Bitsight cho thấy, tổng lượng dữ liệu bị xâm phạm trong năm 2024 đã tăng đột biến lên 43% so với năm trước. Đáng chú ý, số lượng thông tin đăng nhập bị đánh cắp và không trùng lặp đã lên tới 2,9 tỷ tài khoản, tăng mạnh so với con số 2,2 tỷ theo báo cáo năm 2023. Những dữ liệu này hiện đang được rao bán công khai trên các diễn đàn tội phạm mạng.
Trong một báo cáo vào đầu tháng 5, các chuyên gia từ Cybernews đã công bố con số khiến bất kỳ ai đang sống trong kỷ nguyên số cũng phải giật mình: hơn 19 tỷ mật khẩu bị rò rỉ trực tuyến và chỉ 6% trong số đó, tương đương với khoảng 1,14 tỷ mật khẩu, là duy nhất.
Theo nghiên cứu của Cybernews, từ tháng 4/2024 đến tháng 4/2025 đã ghi nhận hơn 200 vụ vi phạm dữ liệu nghiêm trọng, làm rò rỉ 19.030.305.929 mật khẩu thật. Đáng nói hơn, tới 94% trong số đó được người dùng tái sử dụng, dù là trên cùng một nền tảng hay giữa nhiều dịch vụ khác nhau. Điều này mở đường cho các chuỗi tấn công mạng lan rộng.
"Vấn đề ‘mật khẩu mặc định’ vẫn là kiểu mẫu nguy hiểm và phổ biến nhất trong các bộ dữ liệu bị rò rỉ" - chuyên gia an ninh thông tin Neringa Macijauskaitė từ Cybernews nhấn mạnh.
Người dùng đang bất cẩn đến mức nguy hiểm
Theo báo cáo từ Cybernews, có tới 42% trong số hơn 19 tỷ mật khẩu chỉ dài từ 8 - 10 ký tự. Độ dài này quá hạn chế, khiến các mật khẩu trở thành mục tiêu dễ dàng cho các cuộc tấn công mạng như Brute Force - tấn công thử mật khẩu liên tục và Credential Stuffing - tấn công nhồi thông tin đăng nhập.
Không chỉ vậy, 27% số mật khẩu rò rỉ chỉ bao gồm chữ thường và số, hoàn toàn không có ký tự đặc biệt hay chữ hoa.
Các ví dụ điển hình cho "thảm họa bảo mật" bao gồm: "1234" được sử dụng tới 727 triệu lần (4% tổng số mật khẩu); "123456" xuất hiện 338 triệu lần; "password" xuất hiện 56 triệu lần; "admin" xuất hiện 53 triệu lần.
Không có gì ngạc nhiên khi những mật khẩu này luôn góp mặt trong danh sách "mật khẩu tệ nhất hành tinh" từ ít nhất năm 2011.
Hiệu ứng domino từ thói quen "xài lại mật khẩu"
Các chuyên gia bảo mật cảnh báo, việc sử dụng cùng một mật khẩu cho nhiều tài khoản sẽ dẫn đến hậu quả dây chuyền nghiêm trọng. Chỉ cần một hệ thống bị xâm nhập, toàn bộ danh tính số của người dùng có thể bị đặt vào vòng nguy hiểm. Các hacker thường xuyên quét và tái sử dụng các thông tin rò rỉ, khiến việc bảo mật trở nên mong manh hơn bao giờ hết.
Ngoài các chuỗi số đơn giản, mật khẩu còn thường xuyên chứa tên người. "Ana" là tên phổ biến nhất, có mặt trong 178,8 triệu mật khẩu. Khi so sánh với 100 cái tên phổ biến năm 2025, các nhà nghiên cứu phát hiện ra rằng, 8% mật khẩu có chứa tên người.
Đáng buồn là cả những từ ngữ tục tĩu cũng không tránh khỏi số phận được sử dụng làm mật khẩu.
Nhiều người chọn những cụm từ dễ nhớ, liên quan đến phim ảnh, nhân vật yêu thích, thậm chí là những từ mang tích cực để làm mật khẩu. Tuy nhiên, chính điều đó lại trở thành lỗ hổng dễ đoán đối với hacker.
"Kẻ tấn công biết rõ chúng ta có xu hướng chọn thứ thân thuộc. Nhưng trong thế giới số, sự thân quen đồng nghĩa với rủi ro" - chuyên gia Macijauskaitė cảnh báo.
Lời cảnh tỉnh cho người dùng Việt Nam
Trong bối cảnh Việt Nam đang đẩy mạnh chuyển đổi số và các dịch vụ công trực tuyến, người dùng cần nâng cao nhận thức về an toàn mật khẩu. Đừng để những mật khẩu như "123456" trở thành cánh cửa mở toang mời gọi tin tặc.
Theo khuyến cáo của các chuyên gia, người dùng nên sử dụng mật khẩu dài, chứa cả ký tự đặc biệt, chữ hoa, chữ thường và số. Hãy thay đổi mật khẩu mặc định ngay khi thiết lập tài khoản để giảm thiểu nguy cơ bị tấn công.
Người dùng không nên dùng lại mật khẩu giữa các nền tảng. Người dùng có thể cân nhắc sử dụng các trình quản lý mật khẩu để tạo và lưu trữ mật khẩu an toàn, kích hoạt xác thực hai bước (2FA) để giảm thiểu rủi ro bảo mật.
