Làm thế nào để bảo vệ bản thân trước nguy cơ rò rỉ mật khẩu?

Tình trạng lộ lọt dữ liệu cá nhân ngày càng trở nên nghiêm trọng hơn khi hàng tỷ mật khẩu người dùng được đăng tải công khai trên diễn đàn dành cho tin tặc.

Gần một nửa dân số Australia bị đánh cắp dữ liệu cá nhân

Ngày 18/7 vừa qua, nhà cung cấp thuốc kê đơn điện tử MediSecure thông báo, 12,9 triệu khách hàng đã bị đánh cắp dữ liệu cá nhân, trong đó một lượng dữ liệu không xác định đã bị tải lên trang "web đen". MediSecure lần đầu tiên biết đến vụ xâm phạm dữ liệu này vào ngày 13/4 vừa qua khi phát hiện mã độc tống tiền (ransomware) trên một máy chủ chứa dữ liệu nhạy cảm về sức khỏe và cá nhân, sau đó công khai xác nhận vụ tấn công vào tháng 5.

MediSecure cho biết, những người Australia sử dụng dịch vụ giao thuốc theo đơn của công ty từ tháng 3/2019 đến tháng 11/2023 đã bị bên thứ ba đánh cắp dữ liệu. Khoảng 6,5 TB dữ liệu đã bị đánh cắp, trong đó bao gồm các thông tin như tên, ngày sinh, địa chỉ, số điện thoại, số thẻ bảo hiểm y tế Medicare, đơn thuốc và lý do sử dụng thuốc. Công ty này cho rằng, không thể xác định được những cá nhân cụ thể bị ảnh hưởng do tính phức tạp của dữ liệu và chi phí để thực hiện việc đó.

Thủ tướng Australia Anthony Albanese cho biết, Cảnh sát Liên bang Australia vẫn đang tiến hành điều tra vụ việc.

10 tỷ tài khoản trực tuyến bị lộ mật khẩu

Các chuyên gia bảo mật của CyberNews đã phát hiện một cơ sở dữ liệu dưới dạng văn bản chứa mật khẩu đăng nhập của 9.948.575.739 tài khoản trực tuyến được đăng tải công khai trên diễn đàn nổi tiếng dành cho tin tặc. Đây được coi là một trong những vụ rò rỉ dữ liệu người dùng lớn nhất từ trước đến nay.

Theo đó, tệp dữ liệu mang tên "rockyou2024.txt" đã được đăng tải lên mạng từ ngày 4/7 bởi một người dùng diễn đàn có tên là "ObamaCare". Các chuyên gia của CyberNews đã đối chiếu những mật khẩu trong tệp này với cơ sở dữ liệu từ các vụ rò rỉ mật khẩu trước đây và nhận thấy rằng, những mật khẩu được công bố trong tệp là sự kết hợp từ nhiều vụ rò rỉ dữ liệu cũ và mới, bao gồm cả mật khẩu của các tài khoản chưa từng được công bố.

Các chuyên gia nhận định, tệp dữ liệu "rockyou2024" thực chất là một bộ sưu tập các mật khẩu được thu thập bởi người dùng trên toàn cầu. Việc tiết lộ lượng mật khẩu đăng nhập lớn như vậy có thể làm tăng đáng kể nguy cơ các cuộc tấn công nhồi nhét thông tin xác thực - một kỹ thuật tấn công mạng mà tin tặc sử dụng các thông tin đăng nhập bị đánh cắp để truy cập vào tài khoản của người dùng.

Tin tặc có thể lợi dụng tệp mật khẩu được công bố để thực hiện các cuộc tấn công dò mật khẩu.
Tin tặc có thể lợi dụng tệp mật khẩu được công bố để thực hiện các cuộc tấn công dò mật khẩu.

Các cuộc tấn công nhồi nhét thông tin xác thực có thể gây hại nghiêm trọng cho những người dùng và doanh nghiệp với thói quen tái sử dụng mật khẩu đăng nhập hay sử dụng một mật khẩu cho nhiều tài khoản khác nhau. Trong trường hợp người dùng sử dụng chung một mật khẩu cho nhiều tài khoản khác nhau, tin tặc có thể sử dụng thông tin mật khẩu trong dữ liệu bị rò rỉ để thử tấn công các tài khoản khác của người dùng và có khả năng đăng nhập thành công vào tài khoản của họ.

Theo các chuyên gia bảo mật của CyberNews, tin tặc có thể lợi dụng tệp dữ liệu "rockyou2024" để thực hiện các cuộc tấn công dò mật khẩu và truy cập trái phép vào các tài khoản trực tuyến khác nhau của người dùng nếu họ sử dụng mật khẩu này cho chung nhiều tài khoản.

Làm thế nào để tăng cường bảo mật cho tài khoản?

Dựa trên nghiên cứu 193 triệu mật khẩu bị xâm phạm và rao bán trên các chợ đen online, báo cáo của hãng bảo mật Kaspersky cho thấy, 57% mật khẩu hiện nay chứa một từ có thể dễ dàng tìm thấy trong từ điển của các nhóm chuyên dò mật khẩu.

Phổ biến trong số đó là: password, qwerty12345, admin, 12345, team... Những từ được dùng cho tên người cũng được sử dụng nhiều để tạo mật khẩu, ví dụ như: ahmed, nguyen, kumar, kevin, daniel. Trong đó, "nguyen" giống với phiên bản không dấu của "nguyễn", xuất hiện nhiều trong tên người Việt Nam.

Theo các chuyên gia bảo mật của Kaspersky, kẻ xấu thường sử dụng hình thức tấn công dò tìm Brute Force - đoán mật khẩu bằng cách thử hàng loạt tổ hợp ký tự đến khi ra kết quả hoặc Smart Guessing Attack - hình thức dự đoán thông minh mật khẩu để tấn công. Do đó, những từ phổ biến, dễ tìm thấy trong từ điển chuyên dò mật khẩu sẽ làm giảm đáng kể độ mạnh mật khẩu của người dùng, từ đó rút ngắn thời gian tìm đúng mật khẩu của kẻ xấu.

Theo các chuyên gia bảo mật, với những phương thức cơ bản trên, các nhóm tấn công không cần kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu của các cá nhân hay tổ chức. Với hình thức Brute Force, bộ xử lý của laptop chuyên dụng có thể tìm chính xác tổ hợp mật khẩu gồm 8 chữ cái hoặc chữ số viết thường chỉ trong 7 phút. Trong khi đó, với card đồ họa đi kèm, việc dò tìm mật khẩu có thể hoàn thành chỉ trong 17 giây.

Nghiên cứu của Kaspersky chỉ ra rằng, có 87 triệu trong số 193 triệu mật khẩu, tương đương 45%, được tìm ra trong chưa đầy 1 phút, 14% mật khẩu mất tới 1 tiếng và chỉ 4% mật khẩu khiến các tin tặc phải mất 1 năm để dò tìm.

Với những phương thức cơ bản, các nhóm tấn công không cần kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu của các cá nhân hay tổ chức.
Với những phương thức cơ bản, các nhóm tấn công không cần kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu của các cá nhân hay tổ chức.

Nghiên cứu của Kaspersky cũng cho thấy, nhiều người dùng có xu hướng thay thế các ký tự như "admin" thành "@dmin" hoặc "password" thành "pa$$word" với hy vọng các hacker khó đoán ra. Tuy nhiên, các chuyên gia cho rằng, cách làm này không khiến mật khẩu mạnh hơn nhiều bởi chúng vẫn là những từ xuất hiện nhiều trong từ điển dò tìm mật khẩu, được hacker thường xuyên cập nhật vào thuật toán thông minh để xử lý.

Các chuyên gia khuyến cáo, người dùng nên đổi mật khẩu các tài khoản trực tuyến 6 tháng một lần, không sử dụng chung mật khẩu cho nhiều tài khoản để tránh bị truy cập trái phép khi một trong những tài khoản bị rò rỉ thông tin.

Để tăng độ mạnh của mật khẩu, người dùng có thể sử dụng các trình ghi nhớ mật khẩu. Ngoài ra, người dùng không nên lấy thông tin cá nhân như ngày sinh nhật, tên riêng để đặt mật khẩu bởi đây là lựa chọn đầu tiên của kẻ tấn công khi dò tìm mật khẩu để bẻ khóa. Bên cạnh đó, các chuyên gia cũng khuyến nghị kích hoạt tính năng xác thực hai yếu tố (2FA) để giúp tăng thêm một lớp bảo mật cho tài khoản.

Theo vtv.vn

Có thể bạn quan tâm

Tin cùng chuyên mục

Bộ Công an lý giải việc bãi bỏ thủ tục thu thập ADN, giọng nói: Không phải dừng quản lý dữ liệu căn cước

Bộ Công an lý giải việc bãi bỏ thủ tục thu thập ADN, giọng nói: Không phải dừng quản lý dữ liệu căn cước

Bộ Công an khẳng định việc bãi bỏ thủ tục thu thập, cập nhật thông tin sinh trắc học về ADN và giọng nói không đồng nghĩa với việc dừng quản lý dữ liệu căn cước, mà chỉ là điều chỉnh thẩm quyền giải quyết thủ tục hành chính theo hướng phân cấp về cơ sở.

CHÍNH THỨC: Tiêu chuẩn nhân sự thôn, tổ dân phố sau sắp xếp - không quá 65 tuổi, ưu tiên cán bộ trẻ, am hiểu chuyển đổi số

CHÍNH THỨC: Tiêu chuẩn nhân sự thôn, tổ dân phố sau sắp xếp - không quá 65 tuổi, ưu tiên cán bộ trẻ, am hiểu chuyển đổi số

Ban Tổ chức Trung ương vừa ban hành Hướng dẫn số 03 về việc sắp xếp, thành lập tổ chức đảng tại thôn, tổ dân phố sau sáp nhập. Trong đó, cơ quan này yêu cầu việc lựa chọn nhân sự phải bảo đảm khách quan, minh bạch, tạo sự đồng thuận, đồng thời ưu tiên cán bộ trẻ, có năng lực đổi mới và đáp ứng yêu cầu chuyển đổi số ở cơ sở.

Người hưởng lương hưu, trợ cấp BHXH có thể bị gián đoạn từ 1/7?

Người hưởng lương hưu, trợ cấp BHXH có thể bị gián đoạn từ 1/7?

Từ ngày 1/7 tới, việc chi trả lương hưu và trợ cấp bảo hiểm xã hội (BHXH) sẽ có những điều chỉnh theo quy định mới về tổ chức và phương thức thanh toán. Cơ quan BHXH Việt Nam khẳng định quyền lợi người hưởng vẫn được đảm bảo, song có thể phát sinh gián đoạn cục bộ trong giai đoạn chuyển đổi hệ thống.

Đối thoại tháo gỡ vướng mắc tại Dự án Khu đô thị mới tổ 24A - 26B phường Duyên Hải trước đây

Đối thoại tháo gỡ vướng mắc tại Dự án Khu đô thị mới tổ 24A - 26B phường Duyên Hải trước đây

Ngày 20/6, UBND phường Lào Cai tổ chức hội nghị đối thoại với người dân và chủ đầu tư nhằm tiếp tục tháo gỡ các vướng mắc kéo dài trong công tác bồi thường, giải phóng mặt bằng Dự án Khu đô thị mới tổ 24A - 26B phường Duyên Hải trước đây, nay thuộc khu vực tổ 13, 14, 15, 16 Cốc Lếu, phường Lào Cai.

Quy định các trường hợp bị cấm bay

Quy định các trường hợp bị cấm bay

Chính phủ ban hành Nghị định số 215/2026/NĐ-CP ngày 18/6/2026 về an ninh hàng không. Trong đó, đáng chú ý là quy định về các trường hợp hành khách bị cấm vận chuyển bằng đường hàng không.

Bộ Y tế trả lời kiến nghị miễn phí BHYT cho người từ 65 tuổi: Chưa có quy định áp dụng trên toàn quốc

Bộ Y tế trả lời kiến nghị miễn phí BHYT cho người từ 65 tuổi: Chưa có quy định áp dụng trên toàn quốc

Trước kiến nghị miễn phí bảo hiểm y tế (BHYT) cho toàn bộ người dân từ 65 tuổi trở lên, Bộ Y tế cho biết hiện pháp luật chưa có quy định hỗ trợ 100% mức đóng BHYT cho nhóm đối tượng này trên phạm vi cả nước. Tuy nhiên, nhiều địa phương đã chủ động ban hành chính sách riêng nhằm mở rộng diện bao phủ BHYT cho người cao tuổi.

2 cách tra cứu lịch cắt điện nhanh nhất

2 cách tra cứu lịch cắt điện nhanh nhất

Lịch tạm ngừng cung cấp điện hiện có thể được tra cứu nhanh theo tỉnh, thành phố hoặc khu vực sinh sống thông qua các nền tảng trực tuyến, giúp người dân chủ động sắp xếp công việc và sinh hoạt.

Muốn xe máy bền và ít hao xăng, đừng bỏ qua các bước này

Muốn xe máy bền và ít hao xăng, đừng bỏ qua các bước này

Không cần đợi xe phát sinh tiếng kêu lạ hay gặp sự cố mới mang đi sửa, nhiều hạng mục trên xe máy hoàn toàn có thể được người dùng tự kiểm tra và bảo dưỡng tại nhà. Thực hiện đúng cách không chỉ giúp tiết kiệm chi phí mà còn kéo dài tuổi thọ động cơ, nâng cao độ an toàn khi vận hành.

fb yt zl tw