Làm thế nào để bảo vệ bản thân trước nguy cơ rò rỉ mật khẩu?

Tình trạng lộ lọt dữ liệu cá nhân ngày càng trở nên nghiêm trọng hơn khi hàng tỷ mật khẩu người dùng được đăng tải công khai trên diễn đàn dành cho tin tặc.

Gần một nửa dân số Australia bị đánh cắp dữ liệu cá nhân

Ngày 18/7 vừa qua, nhà cung cấp thuốc kê đơn điện tử MediSecure thông báo, 12,9 triệu khách hàng đã bị đánh cắp dữ liệu cá nhân, trong đó một lượng dữ liệu không xác định đã bị tải lên trang "web đen". MediSecure lần đầu tiên biết đến vụ xâm phạm dữ liệu này vào ngày 13/4 vừa qua khi phát hiện mã độc tống tiền (ransomware) trên một máy chủ chứa dữ liệu nhạy cảm về sức khỏe và cá nhân, sau đó công khai xác nhận vụ tấn công vào tháng 5.

MediSecure cho biết, những người Australia sử dụng dịch vụ giao thuốc theo đơn của công ty từ tháng 3/2019 đến tháng 11/2023 đã bị bên thứ ba đánh cắp dữ liệu. Khoảng 6,5 TB dữ liệu đã bị đánh cắp, trong đó bao gồm các thông tin như tên, ngày sinh, địa chỉ, số điện thoại, số thẻ bảo hiểm y tế Medicare, đơn thuốc và lý do sử dụng thuốc. Công ty này cho rằng, không thể xác định được những cá nhân cụ thể bị ảnh hưởng do tính phức tạp của dữ liệu và chi phí để thực hiện việc đó.

Thủ tướng Australia Anthony Albanese cho biết, Cảnh sát Liên bang Australia vẫn đang tiến hành điều tra vụ việc.

10 tỷ tài khoản trực tuyến bị lộ mật khẩu

Các chuyên gia bảo mật của CyberNews đã phát hiện một cơ sở dữ liệu dưới dạng văn bản chứa mật khẩu đăng nhập của 9.948.575.739 tài khoản trực tuyến được đăng tải công khai trên diễn đàn nổi tiếng dành cho tin tặc. Đây được coi là một trong những vụ rò rỉ dữ liệu người dùng lớn nhất từ trước đến nay.

Theo đó, tệp dữ liệu mang tên "rockyou2024.txt" đã được đăng tải lên mạng từ ngày 4/7 bởi một người dùng diễn đàn có tên là "ObamaCare". Các chuyên gia của CyberNews đã đối chiếu những mật khẩu trong tệp này với cơ sở dữ liệu từ các vụ rò rỉ mật khẩu trước đây và nhận thấy rằng, những mật khẩu được công bố trong tệp là sự kết hợp từ nhiều vụ rò rỉ dữ liệu cũ và mới, bao gồm cả mật khẩu của các tài khoản chưa từng được công bố.

Các chuyên gia nhận định, tệp dữ liệu "rockyou2024" thực chất là một bộ sưu tập các mật khẩu được thu thập bởi người dùng trên toàn cầu. Việc tiết lộ lượng mật khẩu đăng nhập lớn như vậy có thể làm tăng đáng kể nguy cơ các cuộc tấn công nhồi nhét thông tin xác thực - một kỹ thuật tấn công mạng mà tin tặc sử dụng các thông tin đăng nhập bị đánh cắp để truy cập vào tài khoản của người dùng.

Tin tặc có thể lợi dụng tệp mật khẩu được công bố để thực hiện các cuộc tấn công dò mật khẩu.
Tin tặc có thể lợi dụng tệp mật khẩu được công bố để thực hiện các cuộc tấn công dò mật khẩu.

Các cuộc tấn công nhồi nhét thông tin xác thực có thể gây hại nghiêm trọng cho những người dùng và doanh nghiệp với thói quen tái sử dụng mật khẩu đăng nhập hay sử dụng một mật khẩu cho nhiều tài khoản khác nhau. Trong trường hợp người dùng sử dụng chung một mật khẩu cho nhiều tài khoản khác nhau, tin tặc có thể sử dụng thông tin mật khẩu trong dữ liệu bị rò rỉ để thử tấn công các tài khoản khác của người dùng và có khả năng đăng nhập thành công vào tài khoản của họ.

Theo các chuyên gia bảo mật của CyberNews, tin tặc có thể lợi dụng tệp dữ liệu "rockyou2024" để thực hiện các cuộc tấn công dò mật khẩu và truy cập trái phép vào các tài khoản trực tuyến khác nhau của người dùng nếu họ sử dụng mật khẩu này cho chung nhiều tài khoản.

Làm thế nào để tăng cường bảo mật cho tài khoản?

Dựa trên nghiên cứu 193 triệu mật khẩu bị xâm phạm và rao bán trên các chợ đen online, báo cáo của hãng bảo mật Kaspersky cho thấy, 57% mật khẩu hiện nay chứa một từ có thể dễ dàng tìm thấy trong từ điển của các nhóm chuyên dò mật khẩu.

Phổ biến trong số đó là: password, qwerty12345, admin, 12345, team... Những từ được dùng cho tên người cũng được sử dụng nhiều để tạo mật khẩu, ví dụ như: ahmed, nguyen, kumar, kevin, daniel. Trong đó, "nguyen" giống với phiên bản không dấu của "nguyễn", xuất hiện nhiều trong tên người Việt Nam.

Theo các chuyên gia bảo mật của Kaspersky, kẻ xấu thường sử dụng hình thức tấn công dò tìm Brute Force - đoán mật khẩu bằng cách thử hàng loạt tổ hợp ký tự đến khi ra kết quả hoặc Smart Guessing Attack - hình thức dự đoán thông minh mật khẩu để tấn công. Do đó, những từ phổ biến, dễ tìm thấy trong từ điển chuyên dò mật khẩu sẽ làm giảm đáng kể độ mạnh mật khẩu của người dùng, từ đó rút ngắn thời gian tìm đúng mật khẩu của kẻ xấu.

Theo các chuyên gia bảo mật, với những phương thức cơ bản trên, các nhóm tấn công không cần kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu của các cá nhân hay tổ chức. Với hình thức Brute Force, bộ xử lý của laptop chuyên dụng có thể tìm chính xác tổ hợp mật khẩu gồm 8 chữ cái hoặc chữ số viết thường chỉ trong 7 phút. Trong khi đó, với card đồ họa đi kèm, việc dò tìm mật khẩu có thể hoàn thành chỉ trong 17 giây.

Nghiên cứu của Kaspersky chỉ ra rằng, có 87 triệu trong số 193 triệu mật khẩu, tương đương 45%, được tìm ra trong chưa đầy 1 phút, 14% mật khẩu mất tới 1 tiếng và chỉ 4% mật khẩu khiến các tin tặc phải mất 1 năm để dò tìm.

Với những phương thức cơ bản, các nhóm tấn công không cần kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu của các cá nhân hay tổ chức.
Với những phương thức cơ bản, các nhóm tấn công không cần kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu của các cá nhân hay tổ chức.

Nghiên cứu của Kaspersky cũng cho thấy, nhiều người dùng có xu hướng thay thế các ký tự như "admin" thành "@dmin" hoặc "password" thành "pa$$word" với hy vọng các hacker khó đoán ra. Tuy nhiên, các chuyên gia cho rằng, cách làm này không khiến mật khẩu mạnh hơn nhiều bởi chúng vẫn là những từ xuất hiện nhiều trong từ điển dò tìm mật khẩu, được hacker thường xuyên cập nhật vào thuật toán thông minh để xử lý.

Các chuyên gia khuyến cáo, người dùng nên đổi mật khẩu các tài khoản trực tuyến 6 tháng một lần, không sử dụng chung mật khẩu cho nhiều tài khoản để tránh bị truy cập trái phép khi một trong những tài khoản bị rò rỉ thông tin.

Để tăng độ mạnh của mật khẩu, người dùng có thể sử dụng các trình ghi nhớ mật khẩu. Ngoài ra, người dùng không nên lấy thông tin cá nhân như ngày sinh nhật, tên riêng để đặt mật khẩu bởi đây là lựa chọn đầu tiên của kẻ tấn công khi dò tìm mật khẩu để bẻ khóa. Bên cạnh đó, các chuyên gia cũng khuyến nghị kích hoạt tính năng xác thực hai yếu tố (2FA) để giúp tăng thêm một lớp bảo mật cho tài khoản.

Theo vtv.vn

Có thể bạn quan tâm

Tin cùng chuyên mục

7 cách tránh mất tiền hiệu quả

7 cách tránh mất tiền hiệu quả

Trong thời đại số, các giao dịch ngân hàng trực tuyến ngày càng phổ biến, nhưng đồng thời cũng tiềm ẩn nhiều rủi ro, đặc biệt là các website giả mạo và phần mềm độc hại nhắm vào người dùng. Dưới đây là 5 cách cơ bản giúp bảo vệ tài khoản ngân hàng và thông tin cá nhân khi giao dịch trực tuyến.

Ưu nhược điểm của nhà lắp ghép ở Việt Nam

Ưu nhược điểm của nhà lắp ghép ở Việt Nam

Nhà lắp ghép ngày càng được giới trẻ ưu chuộng vì những ưu điểm mà nhà xây gạch truyền thống không có. Tuy nhiên, khi quyết định đầu tư một căn nhà lắp ghép, nhất là để nghỉ dưỡng, thì các bạn cần chú ý những hạn chế sau của nhà lắp ghép khung sắt.

Bộ Y tế yêu cầu khẩn trước tình trạng gia tăng ca mắc liên cầu lợn ở người

Bộ Y tế yêu cầu khẩn trước tình trạng gia tăng ca mắc liên cầu lợn ở người

Trước thực trạng nhiều địa phương ghi nhận ca mắc liên cầu lợn ở người, đặc biệt tại TP Huế và tỉnh Hưng Yên, Bộ Y tế đã có công văn gửi Giám đốc Sở Y tế các tỉnh, thành phố yêu cầu khẩn trương triển khai các biện pháp phòng, chống dịch nhằm kiểm soát nguy cơ lây lan bệnh từ động vật sang người.

"Dân nói - Đảng nghe - Chính quyền hành động" - Cầu nối từ nhà dân đến chính quyền ở phường Sa Pa

"Dân nói - Đảng nghe - Chính quyền hành động" - Cầu nối từ nhà dân đến chính quyền ở phường Sa Pa

Tối 5/8, một buổi đối thoại đặc biệt đã diễn ra tại tổ dân phố Cầu Mây 2, phường Sa Pa, khi các lãnh đạo phường không mời dân đến hội trường mà trực tiếp đến nhà dân để lắng nghe tâm tư, nguyện vọng của bà con. Buổi gặp gỡ thân mật đã trở thành cầu nối vững chắc, lan tỏa tinh thần gần dân, sát dân của cấp ủy, chính quyền phường Sa Pa.

fb yt zl tw