60% băm mật khẩu MD5 có thể bị bẻ khóa trong vòng một giờ

Chào mừng Ngày Mật khẩu Thế giới! Có lẽ đã đến lúc 'giết chết' ngày lễ này để nhường chỗ cho Ngày Thế giới Không Cần Mật Khẩu nữa?

Vào Ngày Mật khẩu Thế giới, không có cách nào để ăn mừng tốt hơn là thông tin cho thấy phần lớn các băm mật khẩu được cho là an toàn có thể bị bẻ khóa chỉ bằng một chiếc GPU trong chưa đầy một giờ, một số trường hợp thậm chí chưa đến một phút.

Sử dụng tập dữ liệu hơn 231 triệu mật khẩu duy nhất có nguồn gốc từ các vụ rò rỉ trên dark web - bao gồm 38 triệu mật khẩu được thêm vào kể từ nghiên cứu trước đó - và băm chúng bằng thuật toán MD5, các nhà nghiên cứu tại công ty bảo mật Kaspersky đã phát hiện ra rằng, chỉ với một chiếc card đồ họa Nvidia RTX 5090, 60 phần trăm mật khẩu có thể bị bẻ khóa trong vòng chưa đầy một giờ, và tới 48 phần trăm có thể bị giải mã trong vòng dưới 60 giây.

Chắc chắn, đây không phải là mẫu card đồ họa máy bàn thông thường given giá thành của nó, nhưng điều này làm nổi bật một quan điểm quan trọng: Việc bẻ khóa băm mật khẩu trung bình thực sự không cần quá nhiều tài nguyên. Theo Kaspersky, những tội phạm mạng tương lai thậm chí không thực sự cần sở hữu riêng một chiếc 5090, vì họ có thể dễ dàng thuê một chiếc từ các nhà cung cấp dịch vụ đám mây và bẻ khóa các băm dữ liệu với chi phí chỉ vài đồng.

Kết luận cốt lõi ở đây là các mật khẩu chỉ được bảo vệ bởi các thuật toán băm nhanh như MD5 không còn an toàn nếu kẻ tấn công có được chúng trong một vụ vi phạm dữ liệu.

"Một giờ là tất cả những gì kẻ tấn công cần để bẻ khóa ba trong số năm mật khẩu mà chúng tìm thấy trong một vụ rò rỉ," Kaspersky nhận định.

Một phần lớn lý do khiến việc bẻ khóa băm mật khẩu trở nên dễ dàng như vậy là do tính dễ dự đoán của mật khẩu. Theo Kaspersky, phân tích của họ về hơn 200 triệu mật khẩu bị lộ đã tiết lộ các mẫu mã phổ biến mà kẻ tấn công có thể sử dụng để tối ưu hóa thuật toán bẻ khóa, giúp giảm đáng kể thời gian cần thiết để đoán các kết hợp ký tự granting quyền truy cập vào tài khoản mục tiêu.

Trong trường hợp bạn tự hỏi liệu có xu hướng nào để so sánh hay không, Kaspersky đã thực hiện một phiên bản trước của nghiên cứu này vào năm 2024, và tin xấu là: Mật khẩu thực ra còn dễ bị bẻ khóa hơn một chút vào năm 2026 so với vài năm trước. Không phải nhiều đâu - chỉ vài phần trăm - nhưng đó vẫn là một bước đi sai lầm.

"Kẻ tấn công nợ sự gia tăng tốc độ này cho các bộ vi xử lý đồ họa, vốn ngày càng mạnh mẽ hơn mỗi năm," Kaspersky giải thích. "Thật không may, mật khẩu vẫn yếu ớt như mọi khi."

Thế giới không còn dùng mật khẩu?

Tin về cái chết của mật khẩu, thật không may, đã bị thổi phồng quá mức trong vài thập kỷ qua, nhưng hầu hết chúng ta vẫn dựa vào nó nhiều lần mỗi ngày. Có lẽ sẽ không gây ngạc nhiên cho độc giả khi biết rằng chúng tôi bị ngập trong các lời giới thiệu cho các sự kiện như Ngày Mật khẩu Thế giới, và hầu hết các lời mời nhận được trong năm nay đều có cùng một thông điệp: Chúng ta thực sự cần thúc đẩy việc loại bỏ mật khẩu, hoặc ít nhất là suy nghĩ lại về các mô hình bảo mật của mình.

Chris Gunner, một chuyên gia bảo mật (CISO) thuê tại tập đoàn dịch vụ được quản lý Thrive, cho biết trong bình luận qua email rằng không có lý do gì để loại bỏ hoàn toàn mật khẩu, nhưng chúng cần chỉ là một phần của chiến lược bảo mật dựa trên danh tính rộng lớn hơn.

"Kể cả khi mật khẩu mạnh cũng có thể bị đe dọa nếu môi trường danh tính và truy cập rộng lớn hơn không được quản lý đúng cách," ông Gunner nói. Mật khẩu nên được kết hợp với yếu tố thứ hai, ưu tiên là sinh trắc học, vì đây là yếu tố khó bị tin tặc vượt qua nhất.

"Các điều khiển MFA (xác thực đa yếu tố) sau đó nên được kết hợp với quản trị danh tính và bảo vệ điểm cuối để giảm thiểu khoảng cách giữa các hệ thống," ông Gunner thêm vào, đồng thời khuyến nghị nên thiết lập mô hình Zero Trust (tin tưởng bằng không) rộng rãi hơn nữa, hạn chế khả năng di chuyển ngang thông qua một tài khoản bị xâm phạm.

Steven Furnell, thành viên cao cấp của IEEE và giáo sư an ninh mạng tại Đại học Nottingham, cho biết thông điệp của Ngày Mật khẩu Thế giới không nên dừng lại ở việc kêu gọi mọi người cải thiện tư thế bảo mật cá nhân. Mật khẩu sẽ không đi đâu xa trong một thời gian dài, ông Furnell giải thích qua email, và việc áp dụng không đồng nhất các công nghệ bảo mật mới sẽ khiến người dùng gặp rủi ro khi một số nhà cung cấp không thích nghi.

"Nhiều trang web và dịch vụ vẫn chưa hỗ trợ passkey, vì vậy người dùng sẽ thấy mình trải nghiệm đăng nhập hỗn hợp," ông Furnell giải thích. "Trong khi một số người có thể lập luận rằng đó là trách nhiệm của người dùng để tự bảo vệ mình, họ cần biết cách làm thế nào."

Giáo sư lưu ý rằng, trong nhiều trường hợp, người dùng không được hướng dẫn cách tạo mật khẩu hiện đại tốt, và trong các trường hợp khác, các trang web đơn giản là không thực thi các yêu cầu về mật khẩu đầy đủ để làm cho mật khẩu an toàn, ở mức độ có thể thực hiện được.

"Vào Ngày Mật khẩu Thế giới này, thông điệp chính lẽ ra không dành cho người dùng, những người thường không có lựa chọn nào khác ngoài việc sử dụng mật khẩu anyways, mà là dành cho các trang web và nhà cung cấp yêu cầu họ làm như vậy," ông Furnell nói với chúng tôi.

Bạn đã nghe lời khuyên rồi đấy - đã đến lúc nâng cấp ngăn xếp bảo mật người dùng. Bất kể bạn nghĩ những mật khẩu đó có an toàn đến đâu, với các yêu cầu phức tạp và lưu trữ băm thích hợp, có lẽ sẽ không mất quá nhiều thời gian cho ai đó để đột nhập, khiến việc đảm bảo có thêm một cánh cửa khóa khác phía sau cánh cửa đầu tiên trở thành trách nhiệm của tổ chức.