Chuyện cái password: Từ “12345” đến... “123456”

MOD

Để tăng cường tính bảo mật, một số website đã buộc người sử dụng phải “trộn lẫn” cả số lẫn chữ, thậm chí là cả biểu tượng trong mật khẩu.

Ở thời kỳ đầu của Internet, mật khẩu (password) được mọi người sử dụng phổ biến nhất là “12345”. Ngày nay, mật khẩu phổ biến nhất có dài hơn một ký tự, nhưng xem ra cũng chẳng an toàn hơn là mấy: “123456”.

Bất chấp thông tin về các vụ xâm phạm an ninh trên mạng liên tục diễn ra trong nhiều năm qua, nhiều người vẫn “bình chân như vại” với mật khẩu quá dễ đoán của họ. Tờ New York Times dẫn một phân tích mới được thực hiện gần đây cho thấy, 1/5 số người dùng web ở Mỹ “để chìa khóa ngay ở ổ” khi sử dụng những mật khẩu đơn giản và dễ lộ như “abc123”, “iloveyou”, hoặc thậm chí là “password” để bảo vệ dữ liệu của họ.

“Tôi cho rằng, đây là một sai lầm do gen di truyền quyết định ở con người. Chúng tôi nhận thấy, xu hướng này đã tồn tại từ thập niên 1990”, ông Amichai Shulman, Giám đốc công nghệ của Imperva, một hãng phần mềm chống tin tặc (hacker), cho hay.

Imperva đã phân tích một danh sách gồm 32 triệu mật khẩu mà một tin tặc đánh cắp tháng trước từ RockYou, một hãng chuyên sản xuất phần mềm cho người sử dụng trên các mạng xã hội như Facebook và MySpace.

Phân tích này đã cho thấy khá chi tiết thói quen mật khẩu của người sử dụng máy tính, ít nhất là tại Mỹ. Thông thường, chỉ có các cơ quan của Chính phủ Mỹ như Cục Điều tra Liên bang (FBI) hoặc Cơ quan An ninh Quốc gia (NSA) được tiếp cận với những danh sách mật khẩu lớn như vậy.

Qua phân tích, Imperva kết luận, gần 1% trong danh sách 32 triệu mật khẩu này là mật khẩu “123456”. Phổ biến thứ hai là mật khẩu “12345”. Vài mật khẩu khác trong số 20 mật khẩu phổ biến nhất mà phân tích này chỉ ra là “qwerty”, "abc123”, và “princess”. Tệ hơn, không ít người có tài khoản trên trang RockYou lại sử dụng chính “rockyou” làm mật khẩu đăng nhập.

Thực tế này cho thấy, giới tin tặc có thể dễ dàng xâm nhập vào nhiều tài khoản bằng cách thử một vài mật khẩu phổ biến. Do mức độ hiện đại của công nghệ ngày nay, tin tặc có thể thử tới cả nghìn mật khẩu mỗi phút đồng hồ.

“Người ta cứ nghĩ là đoán mật khẩu là một việc mất thời gian, trong đó tin tặc phải thử một số lượng mật khẩu lớn đối với mỗi tài khoản. Thực tế là tin tặc có thể làm việc nhanh chóng bằng cách chọn một số ít những mật khẩu phổ biến”, ông Shulman nói.

Một số website đã tìm cách chặn tin tặc bằng cách khóa tài khoản trong một khoảng thời gian nhất định nếu có quá nhiều mật khẩu không chính xác được nhập vào. Tuy nhiên, các chuyên gia cho rằng, tin tặc có thể dễ dàng lách qua biện pháp này, chẳng hạn bằng cách đoán số mật khẩu sai tối đa được phép để tránh bị khóa tài khoản.

Để tăng cường tính bảo mật, một số website đã buộc người sử dụng phải “trộn lẫn” cả số lẫn chữ, thậm chí là cả biểu tượng trong mật khẩu. Một số khác, như Twitter, thì không cho người sử dụng chọn những mật khẩu có độ phổ biến cao.

Tuy nhiên, các nhà nghiên cứu an ninh mạng cho rằng, các mạng xã hội và các trang web giải trí vẫn thường cố gắng tạo sự đơn giản cho người sử dụng và không muốn áp đặt quá nhiều sự kiểm soát. Thậm chí cả những trang web thương mại như eBay cũng phải tính tới hậu quả của việc khóa tài khoản người sử dụng, vì nhiều lý do, chẳng hạn như tin tặc có thể thắng trong một cuộc đấu giá nào đó bằng cách làm cho tài khoản của những người tham gia đấu giá khác bị khóa.

Việc sử dụng phổ biến những mật khẩu đơn giản không phải là chuyện mới. Nghiên cứu của Imperva cho thấy, từ những năm 1990, người dùng máy tính đã đặc biệt “kết” những mật khẩu như “12345”, “abc123”, và “password”. Vậy đâu là lý do để người sử dụng đi đến những lựa chọn này, bất chấp những cảnh báo về sự rủi ro bảo mật?

Các chuyên gia an ninh mạng cho rằng, trong kỷ nguyên kỹ thuật số, con người có quá nhiều thứ phải ghi nhớ trong đầu. “Ngày nay, chúng ta có lẽ phải nhớ số mật khẩu nhiều gấp khoảng 10 lần so với cách đây một thập kỷ. Nào là mật khẩu hộp thư thoại, mật khẩu ATM, các loại mã PIN, rồi mật khẩu Internet... “, ông Jeff Moss, một chuyên gia chống tin tặc của Mỹ, nói.

Trong thế giới lý tưởng của các chuyên gia bảo mật, người ta cần có mật khẩu khác nhau cho mỗi trang web, ghi nhớ những mật khẩu đó trong đầu, hoặc trong trường hợp thực sự cần thiết, phải ghi ra giấy.

Tuy nhiên, do bộ não đã ở trạng thái quá tải của mọi người, các chuyên gia cho rằng, mỗi người ít nhất phải có hai mật khẩu khác nhau, một mật khẩu phức tạp cho các trang web mà vấn đề bảo mật là sống còn như tài khoản ngân hàng và e-mail, cộng thêm một mật khẩu đơn giản hơn cho các trang web khác như mạng xã hội ảo hay các trang giải trí.

Chuyên gia Moss cho biết, ông tin tưởng ở những mật khẩu có ít nhất 12 ký tự. Theo ông, với những mật khẩu như vậy, ông trở thành một mục tiêu khó khăn đối với giới tin tặc hơn là hàng triệu người chọn những mật khẩu có 5-6 ký tự.