Gần 7.000 cuộc tấn công vào mật khẩu mỗi giây, Microsoft ra khuyến cáo khẩn cho người dùng
Microsoft tuyên bố sẽ tiến tới xóa bỏ hoàn toàn mật khẩu trên hơn 1 tỉ tài khoản người dùng, đặc biệt là khi số lượng các cuộc tấn công vào mật khẩu ngày càng tăng.
Những nền tảng AI phổ biến, vốn được tạo ra để hỗ trợ con người, giờ đây đang bị lợi dụng để thiết kế và triển khai những cuộc tấn công cực kỳ tinh vi, đến mức khó có thể phát hiện.
Các hãng bảo mật như Symantec, Cofense, và gần đây là Guardio, đều phát đi cảnh báo tương tự: AI đang giúp cả những kẻ không có kỹ năng lập trình thực hiện các chiến dịch lừa đảo chuyên nghiệp chỉ bằng vài cú nhấp chuột và một vài câu lệnh đơn giản.
Số lượng các cuộc tấn công vào mật khẩu ngày càng tăng.
Microsoft cũng thẳng thắn thừa nhận điều này: “AI đã bắt đầu hạ thấp rào cản kỹ thuật đối với những kẻ gian lận và tội phạm mạng... giúp việc tạo ra nội dung đáng tin cậy cho các cuộc tấn công trở nên dễ dàng và rẻ hơn.” Công ty đã ngăn chặn đến 7.000 cuộc tấn công vào mật khẩu mỗi giây, gần gấp đôi so với năm trước.
Để hạn chế các cuộc tấn công này, Microsoft đang đẩy mạnh chiến dịch xóa bỏ mật khẩu, một trong những yếu tố bảo mật yếu nhất hiện nay. Giải pháp thay thế được hãng khuyến khích là passkey, hình thức xác thực không cần mật khẩu, liên kết trực tiếp với thiết bị phần cứng như điện thoại, máy tính cá nhân hoặc khóa bảo mật.
Với passkey, nếu kẻ gian không có quyền truy cập vật lý vào thiết bị của bạn, chúng hoàn toàn không thể đăng nhập, kể cả khi có thông tin đăng nhập truyền thống. Điều này giúp chặn đứng những kiểu tấn công như lừa đảo qua email, trang web giả mạo hay lấy trộm mã OTP qua tin nhắn.
“Mục tiêu cuối cùng của chúng tôi là loại bỏ hoàn toàn mật khẩu và thay thế bằng thông tin xác thực chống lừa đảo. Hàng triệu người dùng đã xóa mật khẩu và tự bảo vệ mình khỏi các cuộc tấn công mạng,” đại diện Microsoft nhấn mạnh.
Vì sao passkey vượt trội hơn mật khẩu + 2FA?
Trong các kịch bản lừa đảo tinh vi do AI hỗ trợ, tội phạm mạng có thể dễ dàng tạo ra các trang đăng nhập giả để đánh cắp tên người dùng, mật khẩu và thậm chí cả mã xác thực hai bước. Nhưng passkey, vốn được lưu trữ và xác thực trực tiếp trên thiết bị cá nhân, sẽ không thể bị sao chép hay nhập tay.
Điều này lý giải vì sao Microsoft phản đối việc duy trì song song cả mật khẩu và passkey, bởi nếu hacker vẫn có thể truy cập tài khoản thông qua mật khẩu, passkey sẽ trở nên vô dụng. Trong khi đó, Google vẫn cho phép người dùng giữ lại mật khẩu như một phương án dự phòng.
Hướng dẫn bật passkey cho tài khoản Microsoft cá nhân
- Truy cập địa chỉ account.microsoft.com
- Chọn Security (bảo mật) – Manage how I sign in (quản lý cách tôi đăng nhập) - Add a new way to sign in or verify (thêm cách mới để đăng nhập hoặc xác minh), sau đó chọn thêm vân tay, khuôn mặt, mã PIN hoặc khóa bảo mật.
Thêm phương thức xác thực bằng khóa bảo mật. Ảnh: MINH HOÀNG
Đối với tài khoản cơ quan hoặc trường học, người dùng chỉ cần truy cập mục Security Info (thông tin bảo mật) - Add sign-in method (thêm phương thức đăng nhập) - Passkey or Passkey in Microsoft Authenticator và làm theo hướng dẫn trên thiết bị.
Sau khi thiết lập, bạn chỉ cần sử dụng dấu vân tay, nhận diện khuôn mặt hoặc mã PIN để đăng nhập, không cần nhập mật khẩu.
Bảo mật tài khoản bằng Passkey. Ảnh: MINH HOÀNG
Hiện tại, gần như mọi nền tảng lớn như Apple, Google, Microsoft, Amazon… đều đã hỗ trợ passkey. Đây là thời điểm thích hợp để người dùng chuyển sang hình thức bảo mật mạnh mẽ hơn, vừa tiện lợi vừa chống lừa đảo hiệu quả.
“Đây là một cột mốc quan trọng,” Andrew Shikiar, CEO FIDO Alliance, tổ chức đứng sau tiêu chuẩn bảo mật không mật khẩu, nhận định. “Microsoft đang dẫn đầu xu hướng với hơn 1 tỉ người dùng sẵn sàng chuyển sang phương thức xác thực an toàn và thân thiện hơn.”
