Cách tạo ra mật khẩu khiến siêu máy tính mạnh nhất cũng "chào thua"

Bằng cách lắc xúc xắc, người dùng có thể tạo ra những mật khẩu khiến siêu máy tính cũng phải tốn gần 3.000 năm để bẻ khóa.

Việc lựa chọn mật khẩu cho các tài khoản cá nhân như Email, tài khoản ngân hàng, mạng xã hội… cũng tương tự như việc bạn chọn một ổ khóa để cất giữ kho báu của mình.

Nếu ổ khóa đó cũ kỹ lạc hậu hoặc quá đơn giản, bạn có thể đánh mất tài sản của mình vào tay các hacker.

Với các tài khoản cá nhân như tài khoản Gmail, Facebook, Instagram,…, lời khuyên tốt nhất cho bạn là nên sử dụng các mật khẩu có độ mạnh để bảo vệ tài khoản của mình không bị người khác đăng nhập và sử dụng trái phép.

Nguyên lý bẻ khóa mật khẩu

Năm 2022, các nhà nghiên cứu an ninh mạng của Cybernews và công ty quản lý mật khẩu NordPass đã công bố báo cáo về những password thường được sử dụng nhất Internet.

Nói với Gizmodo, Cybernews cho biết đứng đầu những mật khẩu thông dụng thường là các chuỗi ký tự dễ nhớ như “123456”, “root”, "admin"...

Các hacker chỉ mất chưa đến 1 giây để bẻ khóa các mật khẩu thông dụng của người dùng phổ thông. (Ảnh: NordPass).

Nhiều người dùng còn sử dụng tên của người nổi tiếng để làm password như “messi”, “ronaldo” hay “gaga”, “eminem”...

NordPass cho biết đa số mật khẩu chỉ là một từ đơn nên rất dễ bị bẻ khóa. Chỉ cần một chút kiến thức về các password phổ biến, không cần các chiêu trò hack phức tạp, các đối tượng xấu có thể dò ra các mật khẩu đơn giản này.

Thậm chí, tên các công ty nổi tiếng cũng được dùng làm mã khóa, khiến nguy cơ bị xâm nhập trái phép ngày càng cao.

Hiện nay, hầu hết mật khẩu đều sẽ bảo vệ bởi hàm băm (hashing) để không ai có thể truy ra ký tự gốc.

Tuy nhiên, không giống với mã hóa, trình tự băm vẫn sẽ cho ra các kết quả giống nhau cho cùng một nội dung. Cụ thể, nếu dùng hàm băm cho từ khóa “ant”, tất cả thuật toán đều sẽ hiển thị một chuỗi tương tự.

Với sức mạnh phần cứng hiện nay, hacker có thể bẻ khóa mật khẩu ngắn chỉ gồm các chữ cái và số chỉ trong giây lát bằngphương pháp brute-force. (Ảnh: StrongDM).

Lỗ hổng này sẽ giúp các tội phạm mạng dễ phát hiện ra một vài hàm băm được lặp đi lặp lại, dùng cho các mật khẩu thông dụng.

Từ đó, các hacker sẽ tiến hành bẻ khóa bằng phương pháp brute-force. Đây là một loại tấn công mạng buộc hacker liên tục xoay vòng các ký tự khác nhau để kết hợp và tạo ra một mật khẩu đúng, Mantas Sasnauskas, người đứng đầu đội nghiên cứu của Cybernews nói.

Với sức mạnh phần cứng hiện nay, hầu hết máy tính hiện đại có thể bẻ khóa mật khẩu ngắn chỉ gồm các chữ cái và số trong giây lát.

Siêu mật khẩu khiến cả máy tính nhanh nhất cũng "chào thua"

Một mật khẩu mạnh không chỉ là từ ngữ ít được biết đến mà còn phải chứa nhiều ký tự, dấu câu, làm tăng độ khó cho tin tặc

Mật khẩu càng phức tạp sẽ càng chứa nhiều ký tự lộn xộn và càng nhiều nội dung khác nhau. Các ký tự được xếp lộn xộn sẽ khiến dữ liệu bị nhiễu và khó bị bẻ khóa bằng phương pháp brute-force.

Từ nguyên lý này, cô bé Mira Modi, 11 tuổi, đến từ thành phố New York đã nảy ra mở một dịch vụ cung cấp mật khẩu được tạo ra ngẫu nhiên thông qua việc tung xúc xắc.

Bằng việc dùng xúc xắc, người dùng có thể tạo ra một mật khẩu rất mạnh và gần như không thể bị các hacker bẻ khóa. (Ảnh: EFF).

Diceware là phương pháp lấy mật khẩu bằng cách dùng xúc xắc chọn các từ ngẫu nhiên từ danh sách đặc biệt được gọi là Danh sách từ Diceware.

Cụ thể, sau khi viết ra các con số bằng cách lắc xúc xắc, mỗi số sẽ ứng với một từ trong Danh sách Diceware để tạo ra cụm từ ngẫu nhiên mà vẫn tương đối dễ nhớ.

Mẹ Modi - bà Julia Angwin - là nhà báo điều tra, từng giành giải thưởng báo chí Pulitzer ở tờ ProPublica. Bà cũng là tác giả của một cuốn sách viết về an ninh và tự do mạng. Chính bà là người truyền cảm hứng cho Modi thực hiện ý tưởng tạo mật khẩu bằng Diceware.

Với việc toàn bộ các cụm từ đều là ngẫu nhiên từ việc tung xúc xắc, phần lớn các chuyên gia công nghệ đều nhận định sẽ rất khó để các hacker hoạt động riêng lẻ có thể bẻ khóa chỉ với một chiếc máy tính.

Điểm mấu chốt của phương pháp này là người dùng không được sửa đổi các cụm từ sau khi chúng đã được chọn. Mật khẩu được tạo ra từ việc tung xúc xắc hoàn toàn dựa vào tính ngẫu nhiên, khiến việc phân tích bằng thuật toán là không thể.

Những dòng PC phổ biến hiện nay có thể thử khoảng 15 triệu mật khẩu mỗi giây. Trong khi đó, theo EEF, siêu máy tính nhanh nhất thế giới có thể thử khoảng 92.000 tỷ mật khẩu mỗi giây.

Siêu máy tính mạnh nhất cũng phải tốn gần 3.000 năm để bẻ khóa một mật khẩu được tạo ra với 5 lần lắc xúc xắc. (Ảnh: Wired).

Ngay cả trong trường hợp hacker có trong tay danh sách các cụm từ mà người dùng đã sử dụng để tạo ra mật khẩu, với một chiếc máy tính với khả năng thử 15 triệu mật khẩu mỗi giây, thì sẽ mất hơn 2.000 năm để thử mọi kết hợp có thể.

Siêu máy tính nhanh nhất thế giới có thể bẻ khóa cùng một mật khẩu đó trung bình trong 1,5 giờ.

Tuy nhiên, chỉ cần người dùng lắc xúc xắc thêm 2 lần để tăng độ dài mật khẩu, thời gian bẻ khóa sẽ tăng lên gần 3.000 năm đối với ngay cả siêu máy tính nhanh nhất.