Tại sao mật khẩu “mạnh” vẫn bị hacker phá?

Nhiều khi chúng ta đã áp dụng các nguyên tắc để tạo mật khẩu mạnh nhưng vẫn bị phá? Tại mật khẩu quá ngắn ư? Không phải thế – ngay cả mật khẩu có độ dài đến 16 ký tự cũng bị hack. Câu hỏi là tại sao lại có khả năng đó? hay kẻ tấn công đã làm như thế nào?

Khi bạn đặt mật khẩu, bạn có thể ước lượng sức mạnh của nó thông qua thời gian phá trên lý thuyết. Chẳng hạn mật khẩu mạnh gồm 13 ký tự: nguoi!Toi!yeu có thời gian phá là 38.9 thế kỷ ngay cả với những máy tính có tốc độ tính toán cực lớn. Tuy nhiên trên thực tế, với những giải thuật hợp lý hacker có thể phá nó trong vài ngày hoặc vài tháng trong điều kiện tấn công offline – cái vốn cho phép tốc độ thử mật khẩu rất lớn (hàng triệu cho đến hàng tỷ mật khẩu trên giây).

Nếu bạn để mật khẩu kiểu như nguoi!Toi!yeu cho tài khoản trực tuyến thì có thể an tâm vì mô hình online kẻ tấn công bị hạn chế rất nhiều về tốc độ thử, và một trang web cũng phát hiện dễ dàng bất thường trong việc đăng nhập tài khoản khi số lần thử sai tăng đột biến.
Quay lại vấn đề, đến lúc tôi sẽ trả lời câu hỏi tại sao? Cơ chế nằm ở chỗ, hacker sẽ viết ra chương trình để khoanh vùng số lượng mật khẩu phải thử ít đi rất nhiều thay vì phải đoán tất cả trường hợp như trên lý thuyết. Nếu hắn thử tất cả thì sẽ mất đúng 38.9 thế kỷ thật ! nhưng hắn sẽ tìm biện pháp để số lượng phải thử giảm xuống hàng 100 ngàn lần và có khi còn hơn nữa.
Đâu là điểm yếu của mật khẩu nguoi!Toi!yeu 
  • Nó bao gồm những từ có trong từ điển, đó là các từ người, tôi, yêu
  • Chủ yếu là chữ cái thường
  • Chữ viết HOA là chữ cái đầu tiên của từ (chữ T của từ Toi)
  • Sử dụng 2 ký tự đặc biệt nhưng là cùng một kiểu (đều là dấu chấm cảm)
Nếu tôi có đưa số vào mật khẩu trên tôi sẽ cho các con số liên quan đến ngày tháng năm, và sẽ là số và chữ tách biệt chứ không phải trộn lẫn vào nhau…Tóm lại kẻ tấn công biết rõ các cách thức đặt mật khẩu hay được dùng nhất, hắn đánh vào các điểm yếu liên quan đến thói quen sử dụng từ ngữ, đồng thời áp dụng nhiều quy tắc trong ngôn ngữ học và thống kê để giảm tối đa lượng mật khẩu có thể.
Nếu bạn để mật khẩu trái hẳn với các quy tắc ngôn ngữ thông thường thì nó sẽ mạnh lên rất nhiều, nhưng nó cũng khó nhớ hơn, ví dụ: 6nGuo!toi!ye9
 
Tuy nhiên ngay cả khi bạn chủ ý đặt mật khẩu trái với quy tắc thì rất có thể bạn vẫn quên nên sơ ý ở đâu đó. Do vậy, đối với các tài liệu cần bảo mật rất cao và có khả năng tấn công theo kiểu offline chúng ta cần dùng các mật khẩu có độ dài lớn được tạo tự động để buộc hacker phải dùng cách tấn công vét cạn với thời gian phá bất khả chứ không cho hắn có cơ hội khác.

Leave a Comment