Digital Shadows cảnh báo, nhiều người tiêu dùng vẫn dùng mật khẩu dễ crack. Theo nghiên cứu mới nhất từ Digital Shadows 24 tỷ tên người dùng và mật khẩu có sẵn trên dark web – tăng 65% chỉ trong hai năm.

Một số thông tin đăng nhập không chỉ được đăng tải một lần trên các diễn đàn, ngay cả khi đã loại bớt bản sao, Digital Shadows vẫn nhận thấy rằng có 6,7 tỷ thông tin xác thực tồn tại – tăng khoảng 1,7 tỷ hoặc 34% trong hai năm.

Theo một nghiên cứu được công bố hôm qua (15/06) người dùng vẫn tiếp tục sử dụng mật khẩu dễ đoán.

Ví dụ: khoảng 0,46% tất cả các mật khẩu – gần một trong mỗi 200 – là ‘123456’. Các tổ hợp bàn phím như ‘qwerty’ hoặc ‘1q2w3e’ cũng quá phổ biến.

Trả lời câu hỏi từ The Daily Swig, Digital Shadows cho biết hầu hết các thông tin xác thực được thu thập và phân tích trong báo cáo của họ đến từ cơ sở dữ liệu của các tổ chức bị tấn công trước đây và bị rò rỉ trên các diễn đàn tội phạm. Các thông tin đăng nhập bị đánh cắp thông qua các cuộc tấn công lừa đảo và thường sử dụng bộ công cụ lừa đảo chuyên dụng với một vectơ khác của thông tin đăng nhập.

Các công cụ tấn công thường có sẵn mà không phải trả phí giúp cho việc crack mật khẩu ngày càng đơn giản mà không cần phải người có kinh nghiệm. Tuy nhiên, chỉ cần thêm một số ký tự đặc biệt vào mật khẩu sẽ khiến cho việc tấn công mật khẩu trở nên khó khăn hơn nhiều. Digital Shadows chia sẻ với The Daily Swig, “đánh cắp thông tin đăng nhập là một trong những bước quan trọng đối với nhiều loại tội phạm mạng và các nhóm APT”.

Chris Morgan, nhà phân tích mối đe dọa tại Digital Shadows, cho biết mặc dù ngày càng có nhiều phương thức xác thực mới ngoài mật khẩu, nhưng vấn đề lộ thông tin xác thực ngày càng trở nên tồi tệ hơn. Theo Morgan, “chỉ trong 18 tháng qua, chúng tôi đã thông báo cho khách hàng về 6,7 triệu thông tin đăng nhập bị lộ bao gồm tên người dùng và mật khẩu của nhân viên, khách hàng, máy chủ và thiết bị IoT của họ.

Giải pháp hàng đầu cho vấn đề này là khuyên người dùng sử dụng trình quản lý mật khẩu và thêm xác thực đa yếu tố vào tài khoản trực tuyến để chỉ một mật khẩu (ngay cả khi bị xâm phạm) thì cũng không đủ để có được quyền truy cập.

Theo https://portswigger.net/