6 tỷ mật khẩu bị rò rỉ cho thấy những mật khẩu bạn tuyệt đối không bao giờ nên dùng

Một phân tích quy mô lớn đối với 6 tỷ mật khẩu bị rò rỉ cho thấy đa số người dùng vẫn tiếp tục sử dụng những mật khẩu cực kỳ yếu và dễ đoán, khiến tài khoản cá nhân lẫn doanh nghiệp đối mặt với nguy cơ bị tấn công nghiêm trọng.

Trong suốt năm vừa qua, các chuyên gia bảo mật tại Specops Software đã thu thập và phân tích hàng tỷ thông tin đăng nhập bị lộ từ các vụ rò rỉ dữ liệu trên toàn cầu. Báo cáo không chỉ phản ánh thói quen đặt mật khẩu của người dùng, mà còn cho thấy mức độ nguy hiểm ngày càng tăng của các chiến dịch đánh cắp thông tin.

Những mật khẩu bị đánh cắp nhiều nhất

Đáng báo động là 5 mật khẩu bị đánh cắp nhiều nhất vẫn là những lựa chọn quen thuộc suốt nhiều năm qua:

• 123456

• 123456789

• 12345678

• admin

• password

Điều này cho thấy nhiều người thậm chí không cố gắng đặt mật khẩu mang tính cá nhân. Ngoài ra, các nhà nghiên cứu cũng thường xuyên phát hiện những mật khẩu chứa các từ phổ biến như hello, welcome, guest hoặc student.

Đáng chú ý, những mật khẩu này không chỉ xuất hiện trong tài khoản cá nhân mà còn được dùng cho hệ thống doanh nghiệp, trường học và các nền tảng công cộng. Chuỗi ký tự “qwerty” — sáu phím đầu tiên trên bàn phím chuẩn tiếng Anh — tiếp tục nằm trong nhóm mật khẩu phổ biến.

Một xu hướng khác là các mật khẩu kết thúc bằng “@123” hoặc “@1234”, thường đi kèm với tên riêng, tên quốc gia hoặc từ thông dụng như hello hay hola. Theo các chuyên gia, việc thêm chữ in hoa hoặc ký tự đặc biệt không đủ an toàn nếu người dùng vẫn lặp lại cùng một khuôn mẫu quen thuộc.

Phân tích cũng cho thấy phần lớn mật khẩu có độ dài đúng 8 ký tự. Gần 1/6 số mật khẩu rơi vào độ dài này, nhiều khả năng vì từ “password” cũng có đúng 8 ký tự. Trong khi đó, các mật khẩu ngắn hơn (7 ký tự trở xuống) lại ít được sử dụng hơn.

Những phần mềm đánh cắp thông tin nguy hiểm nhất

Báo cáo cũng chỉ ra các họ mã độc infostealer đã đánh cắp nhiều mật khẩu nhất trong giai đoạn từ tháng 1 đến tháng 12/2025:

• LummaC2: 60.934.662 mật khẩu bị đánh cắp

• RedLine: 31.144.858 mật khẩu

• Vidar: 5.965.748 mật khẩu

• StealC: 3.441.423 mật khẩu

• Raccoon Stealer: 1.656.673 mật khẩu

Chỉ riêng 5 loại mã độc này đã chịu trách nhiệm cho gần 100 triệu thông tin đăng nhập bị đánh cắp. Các vụ rò rỉ mật khẩu thường xảy ra trên quy mô rất lớn và có thể ảnh hưởng đến hàng triệu người cùng lúc.

Theo các nhà nghiên cứu, người dùng ít am hiểu công nghệ — đặc biệt là nạn nhân của các chiến dịch lừa đảo phishing — là nhóm có nguy cơ cao nhất. Trong đó, Lumma Stealer được đánh giá là mối đe dọa đặc biệt nghiêm trọng do tốc độ phát triển và mức độ lan rộng nhanh chóng. Các nhóm phát triển infostealer hiện nay cũng liên tục tung ra những gói công cụ ngày càng tinh vi và hiệu quả hơn.

Cách tự bảo vệ tài khoản

Cả người dùng cá nhân lẫn quản trị hệ thống cần đảm bảo sử dụng mật khẩu mạnh, phức tạp và không theo khuôn mẫu phổ biến. Việc sử dụng trình quản lý mật khẩu để tạo và lưu trữ thông tin đăng nhập là giải pháp được khuyến nghị.

Bên cạnh đó, người dùng nên:

• Kích hoạt xác thực hai yếu tố (2FA)

• Tránh sử dụng những mật khẩu đã từng bị rò rỉ

• Kiểm tra mật khẩu của mình thông qua các dịch vụ phát hiện rò rỉ dữ liệu

• Thay đổi mật khẩu định kỳ

Đối với doanh nghiệp, quản trị viên có thể thiết lập chính sách buộc thay đổi mật khẩu theo chu kỳ, chẳng hạn mỗi 6 hoặc 12 tháng, nhằm giảm thiểu nguy cơ bị xâm nhập.