Từ lâu, hacker đã có thể ‘kiên nhẫn’ thử hàng ngàn đến hàng triệu lần để ‘bẻ khóa’ mật khẩu, bạn đã biết chưa?

Brute Force Attack là gì?

Theo công ty an ninh mạng Fortinet, “Brute Force Attack” hay còn gọi là tấn công vét cạn là một trong những phương thức xâm nhập phổ biến và lâu đời nhất. Về bản chất, đây là kỹ thuật mà kẻ tấn công dùng máy tính thử mọi khả năng có thể của mật khẩu, khóa mã hóa cho đến khi tìm ra đúng.

Cách làm này nghe có vẻ “cổ điển”, nhưng nhờ sự hỗ trợ của phần mềm tự động hóa và năng lực xử lý khổng lồ của máy tính hiện đại, brute force vẫn được xem là mối đe dọa nghiêm trọng trong an ninh mạng ngày nay.

Fortinet mô tả, brute force chẳng khác nào việc người dùng đứng trước một ổ khóa số rồi kiên nhẫn vặn từ “0000” đến “9999” cho đến khi cánh cửa bật mở.

Brute Force Attack hoạt động ra sao?

Brute force hoạt động theo nguyên tắc đơn giản: càng thử nhiều thì càng có cơ hội tìm ra mật khẩu đúng. Các công cụ brute force có thể thử hàng ngàn đến hàng triệu tổ hợp chỉ trong vài giây.

Theo Palo Alto Networks, cách tấn công này thường có nhiều biến thể khác nhau. Một trong số đó là “dictionary attack”, khi hacker sử dụng sẵn danh sách các mật khẩu phổ biến hoặc bị rò rỉ để thử trước. Biến thể tiếp theo là “hybrid attack”, kết hợp mật khẩu từ điển với ký tự đặc biệt hoặc số để tăng xác suất thành công.

Đáng chú ý, có loại tấn công gọi là “reverse brute force”, trong đó hacker bắt đầu từ một mật khẩu quen thuộc như “123456” rồi lần lượt thử với hàng loạt tên người dùng. Ngoài ra, còn có hình thức “credential stuffing”, tận dụng thông tin đăng nhập bị lộ từ các vụ rò rỉ dữ liệu để thử đăng nhập trên nhiều nền tảng khác nhau.

Công ty phần mềm bảo mật Malwarebytes thông tin, điểm nguy hiểm nhất của brute force nằm ở chỗ nó quá dễ thực hiện và có thể tận dụng được thói quen lười biếng trong việc đặt mật khẩu của người dùng. Thống kê của NordPass cho thấy, hàng triệu người trên thế giới vẫn dùng những mật khẩu như “123456” – vốn chỉ chưa đầy 1 giây để brute force dò ra.

Malwarebytes cũng cảnh báo, đã có nhiều vụ tấn công lớn bắt đầu chỉ từ việc hacker bẻ khóa được một tài khoản yếu, từ đó mở rộng sang cả hệ thống. Trong bối cảnh nhiều người tái sử dụng mật khẩu ở nhiều dịch vụ, chỉ cần một cú brute force thành công, hệ quả có thể lan rộng sang email, mạng xã hội, tài khoản ngân hàng hay cả hệ thống nội bộ của doanh nghiệp.

Theo công ty phần mềm Splunk, brute force không chỉ là vấn đề mang tính cá nhân mà còn là mối đe dọa ở cấp tổ chức. Một khi kẻ tấn công chiếm được thông tin đăng nhập của nhân viên, chúng có thể dễ dàng leo thang quyền truy cập để cài mã độc, đánh cắp dữ liệu hoặc gây gián đoạn hoạt động.

Tổ chức này từng nhấn mạnh, hậu quả của brute force không chỉ dừng ở việc mất tài khoản, mà còn có thể dẫn đến các vụ rò rỉ dữ liệu hàng loạt, thiệt hại tài chính và cả ảnh hưởng uy tín thương hiệu.

Người dùng cần bảo vệ mình ra sao?

Tuy nguy hiểm, brute force lại là kiểu tấn công có thể phòng ngừa nếu người dùng và tổ chức thực sự cẩn trọng.

Theo OWASP, trước hết, mật khẩu mạnh là lá chắn cơ bản nhưng vô cùng quan trọng. Các chuyên gia khuyên rằng mật khẩu nên dài ít nhất 12 ký tự, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt. Quan trọng hơn, mỗi tài khoản nên có mật khẩu riêng, tránh thói quen “dùng một mật khẩu cho tất cả”.

Tiếp đến, xác thực đa yếu tố (MFA) được xem là giải pháp cực kỳ hiệu quả. Ngay cả khi hacker có được mật khẩu, họ vẫn cần vượt qua một lớp bảo mật bổ sung như mã OTP gửi qua điện thoại hoặc ứng dụng xác thực.

Ngoài ra, các hệ thống quản trị cần thiết lập cơ chế khóa tài khoản sau nhiều lần đăng nhập sai, đồng thời giám sát lưu lượng bất thường để phát hiện các đợt brute force sớm. OWASP khuyến nghị áp dụng biện pháp “rate limiting” – tức giới hạn số lần nhập sai hoặc tăng dần thời gian chờ giữa các lần thử – như một cách để làm brute force trở nên vô dụng.

Có thể nói, Brute Force Attack giống như một cuộc chơi của sự kiên nhẫn và tài nguyên máy tính. Càng nhiều dữ liệu rò rỉ, càng nhiều mật khẩu yếu tồn tại, thì cuộc chơi này càng có lợi cho hacker. Trong kỷ nguyên số, khi mọi tài khoản trực tuyến đều gắn liền với dữ liệu cá nhân, tài chính hay công việc, việc chủ động bảo vệ mình trước những “cú đấm vét cạn” không chỉ là lựa chọn, mà đã trở thành một thói quen bắt buộc.