Cuộc khảo sát của Kaspersky được thực hiện nhằm kiểm tra khả năng chống chịu của mật khẩu trước các hình thức tấn công dự đoán thông minh và brute force (đoán mật khẩu bằng cách thử các ký tự cho đến khi tìm ra tổ hợp chính xác).
Nghiên cứu được thực hiện với 193 triệu mật khẩu tìm thấy công khai tại các nguồn khác nhau trên darknet (web đen). Kết quả cho thấy, khoảng 87 triệu mật khẩu (chiếm 45% lượng khảo sát) có thể bị hacker bẻ khóa thành công trong vòng 1 phút. 27 triệu mật khẩu (chiếm 14%) bị hacker bẻ khóa trong khoảng thời gian từ 1 phút đến 1 tiếng. Chỉ có 23% (tương đương 44 triệu) mật khẩu được đánh giá là an toàn vì việc bẻ khóa chúng phải mất hơn 1 năm.
Đáng chú ý, đa phần các mật khẩu (57%) đều chứa một từ dễ dàng tìm thấy trong từ điển, dẫn đến việc giảm đáng kể độ bảo mật của mật khẩu.
Cụ thể, các chuỗi từ vựng phổ biến nhất có thể kể đến một số nhóm mật khẩu theo dạng tên người (admed, nguyen, kumar, kevin, daniel), nhóm mật khẩu chứa các từ phổ biến (forever, love, google, hacker, gamer” hoặc nhóm mật khẩu tiêu chuẩn (password, qwerty12345, admin, 12345, team).
Phân tích cho thấy, chỉ có 19% mật khẩu chứa một tổ hợp ký tự mạnh, gồm một từ không có trong từ điển, cả chữ thường và chữ in hoa, số và ký hiệu. Tuy nhiên, ngay cả với những mật khẩu này, 39% trong số đó vẫn có thể bị đoán ra bằng các thuật toán thông minh chỉ trong vòng chưa đầy một giờ.
Qua cuộc khảo sát trên, các chuyên gia nhận định, phần lớn mật khẩu mà người dùng đang sử dụng được đánh giá không đủ mạnh và kém an toàn. Điều này đã vô tình tạo điều kiện cho kẻ tấn công dễ dàng xâm nhập tài khoản. Với công cụ đoán mật khẩu bằng cách thử các ký tự, kẻ tấn công thậm chí không cần sở hữu kiến thức chuyên môn hay thiết bị tân tiến mà vẫn có thể bẻ khóa.
Trước tình trạng trên, người dùng nên sử dụng mật khẩu riêng biệt cho các dịch vụ khác nhau. Bằng cách này, ngay cả khi một trong các tài khoản bị tấn công, những tài khoản khác vẫn an toàn.
Người dùng không nên sử dụng các thông tin cá nhân như ngày sinh nhật, tên thành viên trong gia đình, thú cưng hoặc tên riêng để đặt mật khẩu. Đây thường là những lựa chọn đầu tiên kẻ tấn công sẽ thử khi bẻ khóa mật khẩu.
Mặc dù không liên quan trực tiếp đến độ mạnh của mật khẩu, việc bật xác thực hai yếu tố (2FA) sẽ giúp tăng thêm một lớp bảo mật. Ngay cả khi mật khẩu bị phát hiện, kẻ tấn công vẫn cần xác minh hai yếu tố để truy cập vào tài khoản của người dùng.