Quá nhiều người dùng lại mật khẩu cũ

So sánh những thông tin đăng nhập bị đánh cắp tại 2 website khác nhau, các chuyên gia bảo mật đã phát hiện thấy một thực tế đáng báo động: 50% mật khẩu là loại "tái sử dụng", tức được "xào đi nấu lại" nhiều lần.

Công ty, tổ chức của bạn có thể ban hành một chính sách mật khẩu rất nghiêm mật, đòi hỏi cả một chuỗi dài các ký tự, số đếm và biểu tượng đặc biệt. Nhưng thật không may, những chính sách này lại mất hết tác dụng khi bạn sử dụng cùng mật khẩu đó (hay mật khẩu gần giống thế) để đăng nhập Facebook hay Amazon.com và các website khác. Nếu hacker có thể đoạt được mật khẩu người dùng tại một tên miền, hắn sẽ có xuất phát điểm cực kỳ thuận lợi để đoán ra mật khẩu tại các trang khác.

 

Chuyên gia Joseph Bonneu của Đại học Cambridge đã nghiên cứu tình trạng phổ biến của việc tái sử dụng mật khẩu, và ông kết luận rằng thực tế còn nghiêm trọng hơn nhiều so với tưởng tượng. Sau khi so sánh thông tin bị đánh cắp để đăng nhập vào 2 website rootkit.com và gawker.com, Bonneau đã tìm thấy 456 địa chỉ email hợp pháp giao nhau và tỷ lệ mật khẩu tái sử dụng trong nhóm địa chỉ này là hơn 31%. "Con số này có thể tăng lên thành 49% nếu như bạn tính cả các mật khẩu tương tự, thí dụ như kiểu viết hoa khác nhau: Hello với hEllO hoặc một chữ số được thêm vào mật khẩu kiểu như Hello và Hello1", Bonneau giải thích.

Điều này có nghĩa là nếu như hacker xoay xở thành công để đánh cắp thông tin đăng nhập và mật khẩu của người dùng ở một site, hắn sẽ có phân nửa cơ hội để truy cập vào các tài khoản bảo mật khác của người dùng đó.

Các nghiên cứu trước đây đều chỉ cho ra tỷ lệ mật khẩu tái sử dụng là 20%, thấp hơn rất nhiều so với công trình của Bonneau. Lý giải cho sự khác biệt này, Bonneau cho biết ông khảo sát ở 2 website không liên quan nhiều đến tài chính và giá trị, nên có thể với những website mang giá trị kinh tế lớn hơn, người dùng sẽ tỏ ra thận trọng hơn.

Mặc dù vậy, đây vẫn là một hồi chuông báo động cho các tổ chức/doanh nghiệp có chính sách mật khẩu tương đối thoáng: các chuyên viên kỹ thuật cần cảnh báo và không cho phép nhân viên được sử dụng chung một mật khẩu cho các trang cá nhân với website công việc.

(Theo Vietnamnet)