Những mật khẩu bạn không bao giờ nên dùng
6 tỷ mật khẩu bị rò rỉ tiết lộ những mật khẩu bạn không bao giờ nên dùng
Phân tích 6 tỷ thông tin đăng nhập bị đánh cắp cho thấy phần lớn mọi người vẫn sử dụng mật khẩu không an toàn. Bạn nên tránh những mật khẩu này bằng mọi giá.
Trong suốt năm qua, các nhà nghiên cứu bảo mật tại Specops Software đã xem xét 6 tỷ mật khẩu bị rò rỉ và sau đó công bố một báo cáo toàn diện về những phát hiện của họ. Báo cáo này không chỉ cung cấp cái nhìn sâu sắc về những mật khẩu được sử dụng phổ biến nhất, mà còn về mối đe dọa hiện tại từ các vụ rò rỉ dữ liệu.
Đây là những mật khẩu bị đánh cắp thường xuyên nhất
Thật đáng báo động khi top 5 mật khẩu bị đánh cắp nhiều nhất cho thấy rất ít người dùng rút ra bài học trong những năm gần đây. Vẫn như trước đây, các mật khẩu phổ biến nhất là:
- 123456
- 123456789
- 12345678
- admin
- Password
Điều đáng lo ngại là hầu hết mọi người dường như thậm chí không buồn chọn những từ riêng lẻ làm mật khẩu. Ngoài 5 mật khẩu phổ biến nhất, các nhà nghiên cứu còn thường xuyên phát hiện các tổ hợp mật khẩu chứa từ như “hello”, “welcome”, “guest” hoặc “student”.
Điều này cho thấy đây không chỉ là tài khoản cá nhân, mà còn là dữ liệu truy cập của công ty, trường đại học hoặc các hệ thống công cộng. Mật khẩu “qwerty” – tức là sáu chữ cái đầu tiên trên bàn phím bố cục tiếng Anh – cũng tiếp tục xuất hiện phổ biến.
Các mật khẩu kết thúc bằng “@123” hoặc “@1234” cũng được dùng rất nhiều. Chúng thường được đặt trước bởi một tên, tên quốc gia hoặc từ thông dụng như “hello” hay “hola”. Ở đây, người dùng cũng cho thấy sự thiếu sáng tạo. Các nhà nghiên cứu còn lưu ý rằng chỉ dùng “mật khẩu phức tạp hơn” với chữ cái in hoa và ký tự đặc biệt là chưa đủ nếu chúng vẫn tuân theo cùng một mẫu lặp lại.
Thú vị là hầu hết mật khẩu trong phân tích đều có đúng 8 ký tự. Gần một phần sáu đạt độ dài này, có lẽ vì “password” có đúng 8 chữ cái. Mật khẩu ngắn hơn (7 ký tự trở xuống) lại ít phổ biến hơn tương đối.
Đây là những phần mềm đánh cắp thông tin nguy hiểm nhất
Ngoài ra, các nhà nghiên cứu còn chỉ ra những phần mềm đánh cắp thông tin (infostealer) đã lấy cắp nhiều dữ liệu nhất từ tập dữ liệu trong khoảng thời gian từ tháng 1 đến tháng 12 năm 2025:
- LummaC2: 60.934.662 mật khẩu bị đánh cắp
- RedLine: 31.144.858 mật khẩu bị đánh cắp
- Vidar: 5.965.748 mật khẩu bị đánh cắp
- StealC: 3.441.423 mật khẩu bị đánh cắp
- Raccoon Stealer: 1.656.673 mật khẩu bị đánh cắp
Chỉ riêng 5 họ phần mềm độc hại này đã chịu trách nhiệm đánh cắp gần 100 triệu thông tin đăng nhập. Các vụ rò rỉ mật khẩu thường diễn ra ở quy mô lớn, ảnh hưởng đến hàng triệu người cùng lúc, như vụ rò rỉ được hỗ trợ bởi FBI vào tháng 12 đã cho thấy.
Những người dùng ít am hiểu công nghệ – thường là nạn nhân của các chiến dịch lừa đảo phishing – được cho là đặc biệt dễ bị tấn công. Các nhà nghiên cứu cũng đánh giá mối đe dọa từ Lumma Stealer là đặc biệt nghiêm trọng, vì nó đã tăng vọt mạnh mẽ trong danh sách các chương trình nguy hiểm nhất. Các nhà cung cấp infostealer hàng đầu cũng đang phát triển các gói ngày càng hiệu quả, tích hợp nhiều tính năng khác nhau.
Cách bảo vệ bản thân
Cả người dùng cá nhân lẫn quản trị viên hệ thống nên đảm bảo sử dụng mật khẩu an toàn và phức tạp, không theo mẫu phổ biến nào. Tốt nhất là sử dụng trình quản lý mật khẩu (password manager) để tạo và lưu trữ các thông tin truy cập quan trọng.
Ngoài ra, nên bật xác thực hai yếu tố (two-factor authentication). Đồng thời, tránh sử dụng mật khẩu đã từng bị rò rỉ. Ví dụ, bạn có thể kiểm tra xem mật khẩu của mình có bị đánh cắp trước đây hay không qua trang web Have I Been Pwned.
Việc thay đổi và cập nhật mật khẩu định kỳ cũng giúp bảo vệ chống lại việc bị đánh cắp. Quản trị viên có thể đặt quy định cụ thể, chẳng hạn thay đổi một lần mỗi năm hoặc cứ mỗi x tháng một lần.
Tin tức liên quan
