Dù các vụ hack xảy ra thường xuyên nhưng người dùng vẫn hiếm khi thay đổi mật khẩu

Mặc cho các vụ lộ lọt dữ liệu, đánh cắp thông tin cá nhân vẫn diễn ra thường xuyên nhưng nhiều người dùng vẫn tỏ ra khá thờ ơ với các biện pháp bảo mật, dù là yêu cầu đơn giản như việc thay đổi mật khẩu.


Theo một nghiên cứu gần đây được thực hiện bởi các học giả đến từ Viện Bảo mật và An ninh thuộc Đại học Carnegie Mellon (CyLab), chỉ có khoảng một phần ba người dùng chú ý thay đổi mật khẩu của họ sau khi được thông báo về việc rò rỉ thông tin.

Nghiên cứu trên được trình bày tại Hội thảo về Công nghệ và Bảo vệ người tiêu dùng IEEE 2020 đầu tháng này với nguồn dữ liệu thu thập dựa trên lưu lượng truy cập trình duyệt thực tế thay vì khảo sát thông tin.

Các học giả đã phân tích lưu lượng truy cập thực tế các trình duyệt trên toàn thế giới, dữ liệu được thu thập với sự hỗ trợ từ Security Behavior Observatory (SBO), một nhóm nghiên cứu tự nguyện nơi người dùng đăng ký và chia sẻ lịch sử hoạt động duyệt web đầy đủ của họ cho một mục đích duy nhất là nghiên cứu học thuật.

Bộ dữ liệu của nhóm nghiên cứu bao gồm những thông tin được thu thập từ các máy tính gia đình của 249 người tham gia. Phạm vi dữ liệu từ tháng 1 năm 2017 đến tháng 12 năm 2018, bao gồm lưu lượng mạng, mật khẩu từng được sử dụng để đăng nhập vào các trang web, được lưu trữ trên trình duyệt.

Trên cơ sở phân tích dữ liệu, các nhà nghiên cứu cho biết trong số 249 người dùng, chỉ có 63 người có tài khoản trên tên miền bị xâm nhập trong khoảng thời gian thực nghiệm. CyLab cho biết trong số 63 người kể trên, chỉ có 21 người (tương đương 33%) truy cập vào các trang web bị rò rỉ thông tin để thay đổi mật khẩu và trong số 21 người này, chỉ có 15 người thay đổi mật khẩu trong vòng 3 tháng sau khi được thông báo về tình trạng thông tin cá nhân của họ.

Tổng cộng, có 23 mật khẩu đã thay đổi trên các tên miền này. Trong số 21 người kể trên, có 18 người sử dụng tài khoản Yahoo, còn 31 người dùng còn lại (trong số 49 người có tài khoản Yahoo) không thực hiện thay đổi mật khẩu dẫu cho đã được thông báo. Có 2 người tham gia đã thay đổi mật khẩu tài khoản Yahoo của họ hai lần ngay sau khi được thông báo vi phạm. Hai người này đã thay đổi mật khẩu của họ trên tên miền trong vòng một tháng kể từ khi nhận được thông báo, tổng cộng là 5 lần trong vòng 2 tháng và 8 lần trong 3 tháng.



Phần lớn người dùng vẫn sử dụng mật khẩu yếu khi thay đổi

Vì SBO cũng thu thập dữ liệu mật khẩu, nên CyLab có thể phân tích độ mạnh những mật khẩu mới của người dùng.

Nhóm nghiên cứu cho biết trong số những người dùng thực hiện thay đổi mật khẩu (21 người), chỉ có một phần ba (9 người) chuyển sang sử dụng mật khẩu mạnh hơn, dựa trên cơ chế mã hóa chuyển đổi logarit thập phân của mật mã.

Mật khẩu của những người còn lại thậm chí còn yếu hơn hoặc tương tự như ban đầu, thường là sử dụng lại các chuỗi ký tự từ mật khẩu trước đó hoặc tương tự với các tài khoản khác được lưu trữ trên trình duyệt của họ.

Nghiên cứu cho thấy rằng người dùng vẫn thiếu đi nền tảng kiến thức cần thiết trong việc lựa chọn mật khẩu mạnh hơn hoặc độc nhất. Thậm chí nhiều lập luận còn đổ lỗi cho các trang dịch vụ bị tấn công "gần như không bao giờ thông báo cho người dùng đặt lại những mật khẩu tương tự - hoặc giống hệt nhau - đã được áp dụng trên các tài khoản khác".

Mặc dù nghiên cứu trên có quy mô nhỏ so với các nghiên cứu khác, tuy nhiên lại cho thấy độ chính xác cao hơn trong việc thể hiện thói quen sử dụng của người dùng sau khi bị xâm phạm dữ liệu, vì nó dựa trên dữ liệu web và lưu lượng truy cập thực tế chứ không phải là phản hồi khảo sát, vốn đôi khi không chính xác hoặc mang tính chủ quan.

Bạn có thể tìm hiểu thêm về nghiên cứu "(How) Do People Change Their Passwords After a Breach?" tại đây.

Post a Comment

Mới hơn Cũ hơn