10 tỷ mật khẩu bị đánh cắp: Cách bảo vệ bản thân

Rò rỉ dữ liệu là điều không thể tránh khỏi trong thời đại số. Hầu như không thể có tài khoản trực tuyến mà không mất một số mật khẩu của bạn vào các cuộc tấn công này (đây là lý do tại sao sử dụng xác thực hai yếu tố (2FA) rất quan trọng). Nhưng biết rằng một số mật khẩu của bạn đang ở ngoài đó là một chuyện; biết rằng có hàng tỷ mật khẩu của chúng ta được tập hợp lại một cách tiện lợi cho việc chiếm đoạt là một chuyện hoàn toàn khác.

Đó chính xác là những gì nghiên cứu mới dường như gợi ý: Theo báo cáo của TechRadar, các nhà nghiên cứu cho biết họ đã tìm thấy một tệp văn bản, có tên là rockyou2024.txt, chứa gần 10 tỷ mật khẩu duy nhất, tất cả đều được lưu trữ dưới dạng văn bản thuần túy. Điều này có nghĩa là bất kỳ ai có quyền truy cập đều có thể lấy danh sách như họ sẽ làm với một tệp PDF và phát hiện ra mọi mật khẩu.

Mặc dù việc bất kỳ ai có danh sách này có thể sử dụng lệnh Command+F để tìm kiếm bất kỳ mật khẩu nào đã là một vấn đề nghiêm trọng, nhưng đó không phải là nơi mà mối nguy hiểm chính nằm. Kẻ xấu có thể sử dụng các danh sách như thế này để thực hiện các cuộc tấn công brute force và credential stuffing. Trong một cuộc tấn công brute force, kẻ xấu thử một số lượng lớn mật khẩu liên tiếp để cố gắng đột nhập vào tài khoản. Credential stuffing tương tự, nhưng liên quan đến việc sử dụng các thông tin xác thực bị rò rỉ—như các kết hợp tên người dùng/mật khẩu đã biết—với các tài khoản khác, vì mọi người thường sử dụng cùng một mật khẩu cho nhiều tài khoản. (Xin đừng làm điều này.)

Hy vọng rằng các tổ chức sẽ dành thời gian để củng cố phòng thủ chống lại các cuộc tấn công như thế này, nhưng ngay cả như cá nhân, chúng ta cũng có khá nhiều việc có thể làm để bảo vệ bản thân.

• Sử dụng công cụ kiểm tra mật khẩu bị rò rỉ: Kiểm tra xem thông tin xác thực của bạn có sẵn để kẻ xấu sử dụng hay không, dù là trong cơ sở dữ liệu này hay nơi khác. Nếu bạn thấy bất kỳ mật khẩu nào của mình đã bị xâm phạm, hãy thay đổi chúng ngay lập tức.
• Sử dụng mật khẩu mạnh và duy nhất cho mỗi tài khoản: Trong trường hợp thông tin xác thực của một tài khoản bị rò rỉ, kẻ xấu sẽ không thể thành công trong việc credential stuffing, vì các tài khoản khác của bạn sẽ không sử dụng mật khẩu bị xâm phạm đó.
• Sử dụng xác thực hai yếu tố (2FA): Nếu tài khoản của bạn hỗ trợ passkeys, hãy sử dụng nó thay vì mật khẩu, vì passkeys không có thông tin xác thực để rò rỉ. Nếu không, hãy sử dụng xác thực hai yếu tố bất cứ khi nào có thể. Trong trường hợp kẻ xấu biết thông tin xác thực của bạn, họ sẽ không thể đột nhập vào tài khoản của bạn mà không có quyền truy cập vào thiết bị tin cậy của bạn, dù đó là điện thoại thông minh hay ứng dụng xác thực.
• Sử dụng trình quản lý mật khẩu: Để quản lý tất cả các thông tin xác thực này, hãy sử dụng một trình quản lý mật khẩu. Không chỉ giúp bạn quản lý mật khẩu, một trình quản lý mật khẩu tốt còn có các tính năng bảo mật tiện lợi, như tạo mật khẩu, mã 2FA, và cảnh báo khi mật khẩu của bạn bị rò rỉ.