16 tỷ mật khẩu bị đánh cắp: Người dùng có thực sự gặp nguy hiểm?

Chuyên gia bảo mật khẳng định 16 tỷ mật khẩu rò rỉ chỉ là dữ liệu cũ từ nhiều vụ tấn công, người dùng cần thay đổi thói quen bảo vệ tài khoản.

Trang cybershack đưa tin về việc 16 tỷ mật khẩu bị đánh cắp, khiến nhiều người hoảng sợ về một cuộc tấn công mạng lớn chưa từng có. Thực tế, đây chỉ là tập hợp dữ liệu từ hơn 30 vụ rò rỉ thông tin xảy ra trong nhiều năm qua, bao gồm cả Apple, Facebook, Google và Microsoft.

Điểm đặc biệt của vụ việc này là trí tuệ nhân tạo có tên DarkBERT trên dark web đã sử dụng những dữ liệu rò rỉ cũ như một mô-đun học máy khổng lồ. Hệ thống này lọc ra những mật khẩu có thể sử dụng và học hỏi chi tiết từng thói quen tạo mật khẩu của 16 tỷ tài khoản bị rò rỉ.

Ảnh: cybershack

Thực trạng mật khẩu người dùng đáng báo động

Nghiên cứu từ Cybernews phân tích 19 tỷ mật khẩu từ hơn 200 vụ rò rỉ dữ liệu cho thấy chỉ 1,1 tỷ mật khẩu (6%) là duy nhất. Con số này phản ánh việc tái sử dụng mật khẩu phổ biến đến mức đáng lo ngại.

Dữ liệu cũng tiết lộ những thói quen tạo mật khẩu làm tăng nguy cơ bị tấn công. Người dùng sử dụng từ ngữ tục tĩu trong mật khẩu dễ bị tấn công brute-force hoặc dictionary attack hơn, với Mỹ dẫn đầu danh sách, theo sau là Anh và Australia. Việc sử dụng mật khẩu mặc định làm tăng 12,19% khả năng bị hack, trong khi mật khẩu toàn chữ thường giảm một nửa thời gian cần thiết cho các cuộc tấn công từ điển.

Đặc biệt, 7,94% mật khẩu sử dụng tên người, tỷ lệ này cao hơn nhiều nếu là tên của chính chủ tài khoản, con cái hay bạn bè. Một nhà nghiên cứu từ CyberNews cảnh báo: "Đây chưa phải chỉ là rò rỉ thông tin thông thường mà là bản thiết kế cho việc khai thác hàng loạt. Với hơn 16 tỷ bản ghi đăng nhập bị lộ, tội phạm mạng hiện có quyền truy cập chưa từng có vào thông tin đăng nhập cá nhân".

Ảnh minh họa tạo bởi AI

Cách bảo vệ tài khoản hiệu quả

Chuyên gia khuyến nghị người dùng ngừng sử dụng mật khẩu có thể liên kết với thông tin cá nhân thông qua việc AI thu thập dữ liệu từ mạng xã hội. Danh sách cần tránh bao gồm tên con cái, thú cưng, ngày sinh, địa chỉ, đội bóng yêu thích, địa điểm du lịch, nghề nghiệp và các thông tin đã từng chia sẻ trực tuyến.

Thay vào đó, mật khẩu an toàn cần có ít nhất 16 ký tự, kết hợp chữ hoa, chữ thường, ký hiệu ASCII và số. Ví dụ "PercyThePinkGalah$2025" có thể chống lại các cuộc tấn công brute force và dictionary. Người dùng có thể tạo câu chuyện xung quanh mật khẩu để dễ nhớ như "PercyPoopedOnMyCar&2378".

Giải pháp tối ưu là sử dụng trình quản lý mật khẩu trả phí, hỗ trợ đa nền tảng Windows, macOS, iOS và Android. Các chuyên gia khuyến nghị LastPass hoặc BitWarden thay vì dựa vào các dịch vụ từ Google, Apple hay Microsoft - nơi mật khẩu chưa phải lĩnh vực kinh doanh chính.

Cybernews cung cấp công cụ kiểm tra mật khẩu miễn phí, quét qua 33 tỷ mật khẩu bị đánh cắp để đánh giá mức độ an toàn. Bên cạnh việc sử dụng trình quản lý mật khẩu, người dùng cần kích hoạt xác thực hai yếu tố (2FA) cho tất cả tài khoản và tránh nhấp vào liên kết trong tin nhắn SMS.

Với sức mạnh máy tính và AI ngày càng phát triển, những gì từng mất nhiều năm để bẻ khóa giờ chỉ cần vài giây. Chuyên gia dự đoán trong tương lai, AI và máy tính sẽ có đủ sức mạnh để bẻ khóa mật khẩu 16 ký tự trong vài giây, đòi hỏi người dùng phải chuẩn bị từ bây giờ.