Hơn 90% người dùng vẫn sử dụng mật khẩu yếu: Những mật khẩu như "1234", "admin" vẫn rất phổ biến đến mức khó tin.

Một điều đáng chú ý là chỉ có 6% trong số hơn 19 tỷ mật khẩu được kiểm tra là duy nhất, điều này cho thấy thói quen tái sử dụng mật khẩu cũ hoặc mật khẩu mặc định vẫn còn tồn tại rộng rãi.

Một nghiên cứu gần đây, xem xét hơn 19 tỷ mật khẩu rò rỉ từ tháng 4/2024 đến 2025, cho thấy hơn 90% mật khẩu đều yếu hoặc dễ đoán, với những chuỗi phổ biến như "1234", "admin" hay "password" vẫn được sử dụng rộng rãi, phản ánh thói quen bảo mật kém của người dùng.

Mật khẩu ngắn, dễ đoán và lặp lại khá phổ biến

Theo nghiên cứu từ nhóm Cybernews, phần lớn người dùng tạo mật khẩu có độ dài từ 8 đến 10 ký tự, đủ để đáp ứng yêu cầu cơ bản của hầu hết hệ thống trực tuyến. Tuy nhiên, trong số này có đến 27% mật khẩu chỉ bao gồm chữ cái thường và số, rất dễ bị đoán ra qua các công cụ tấn công phổ biến. Những lựa chọn phổ biến khác còn có tên riêng, từ chửi thề, tên thành phố, quốc gia, món ăn và động vật.

Điều đáng chú ý là chỉ có 6% trong hơn 19 tỷ mật khẩu được kiểm tra là duy nhất, điều này cho thấy thói quen tái sử dụng mật khẩu cũ hoặc mật khẩu mặc định vẫn còn khá phổ biến.

"1234", "admin", "password" – những mật khẩu quen thuộc mà tin tặc cũng dễ dàng đoán ra

Qua phân tích, nhóm nghiên cứu phát hiện chuỗi "1234" xuất hiện trong hơn 727 triệu mật khẩu. Từ "password" được sử dụng 56 triệu lần, còn "admin" xuất hiện trong 53 triệu mật khẩu. Những mật khẩu này không chỉ đơn giản mà còn nằm trong danh sách từ khóa ưu tiên mà tin tặc sử dụng để dò mật khẩu.

Lý do người dùng chọn mật khẩu đơn giản rất quen thuộc: vì dễ nhớ. Mặc dù việc tạo ra mật khẩu mạnh không quá khó, nhưng việc nhớ một loạt mật khẩu riêng biệt cho từng tài khoản lại là vấn đề không phải ai cũng làm được, đặc biệt khi không sử dụng công cụ hỗ trợ.

Giải pháp có sẵn, nhưng thói quen vẫn là rào cản lớn nhất

Mặc dù những giải pháp bảo mật như trình quản lý mật khẩu (password manager) và xác thực hai yếu tố (2FA) ngày càng phổ biến, nhưng nhiều người vẫn ngần ngại áp dụng vì cho rằng chúng tốn thời gian và gây phiền phức. Nghiên cứu này chỉ ra một thực tế rõ ràng: công cụ bảo mật cá nhân không thiếu, chỉ thiếu đi sự nghiêm túc và ý thức của người dùng.

Dữ liệu trong nghiên cứu được tổng hợp từ khoảng 200 sự cố an ninh mạng khác nhau, với tổng dung lượng lên đến 213 GB. Tất cả mật khẩu đã được lọc và ẩn danh để đảm bảo không vi phạm quyền riêng tư của bất kỳ cá nhân nào.