Thói quen và hành vi của người dùng về việc tạo và sử dụng mật khẩu
Nghiên cứu đã thăm dò ý kiến của hơn 4.000 người dùng ở Mỹ, Anh, Pháp và Đức về thói quen, thái độ sử dụng mật khẩu của họ và một số nội dung khác.
Bất chấp những rủi ro bảo mật đã được nhận biết rộng rãi, thì mật khẩu vẫn là một giải pháp phổ biến để người dùng truy cập và xác thực cho các ứng dụng trực tuyến (trung bình một người có 100 mật khẩu). Kết quả khảo sát cho thấy, nhiều người dùng nhận thấy việc tạo mật khẩu là phức tạp và hành vi sử dụng mật khẩu yếu tùy tiện có thể khiến người dùng và các doanh nghiệp mà họ tham gia gặp rủi ro.
Nhiều người dùng không thực sự muốn tạo mật khẩu độc nhất cho mỗi tài khoản trực tuyến
Người dùng thà thực hiện các hoạt động vô vị, khó chịu và trong một số trường hợp là đau đớn (ví dụ lấy tủy răng), hơn là tạo một mật khẩu độc nhất cho mỗi tài khoản trực tuyến mà họ có.
17% số người được hỏi thà kê khai thuế hơn là tạo mật khẩu độc nhất cho mỗi tài khoản trực tuyến. Cứ 10 người thì có một người thà lấy tủy răng hoặc nội soi và 15% người được hỏi thà xếp hàng chờ cập nhật đăng ký xe hoặc giấy phép lái xe, so với việc tạo mật khẩu độc nhất cho mỗi tài khoản trực tuyến.
Nhiều người dự đoán mật khẩu sẽ biến mất trong tương lai
58% người được hỏi dự đoán rằng mật khẩu sẽ biến mất trong vòng 9 năm hoặc ít hơn, với 40% dự đoán trong 5 năm hoặc ít hơn.
58% cho rằng họ sẽ sử dụng sinh trắc học (như sinh trắc vân tay hoặc khuôn mặt) thay thế mật khẩu cho tất cả các tài khoản của họ nếu các thương hiệu và dịch vụ mà họ đã sử dụng cung cấp phương thức đó.
Thói quen sử dụng mật khẩu yếu vẫn tồn tại
50% người dùng trên toàn cầu sử dụng lại mật khẩu (17% chỉ sử dụng một mật khẩu cho tất cả các tài khoản; 33% sử dụng một số lượng mật khẩu được luân phiên trên tất cả các tài khoản).
Cứ 5 người thì có một người có mật khẩu chính mà họ sẽ thay đổi để đáp ứng các yêu cầu về độ mạnh mật khẩu của thương hiệu đó (như độ dài ký tự, ký tự đặc biệt,...) – đây là biện pháp tốt nhất được nhận biết phổ biến để bảo vệ tài khoản khỏi những tác nhân xấu với các kỹ thuật như nhồi thông tin đăng nhập (credential stuffing) lợi dụng việc tái sử dụng mật khẩu.
Người dùng ưu tiên sử dụng các mật khẩu khó bẻ khóa
Khi đề cập tới mật khẩu mới, 29% người dùng cho biết, việc tạo mật khẩu khó bẻ khóa là ưu tiên hàng đầu. Cứ 4 người thì có 1 người cho rằng việc đáp ứng các yêu cầu của dịch vụ mà họ đang tương tác là ưu tiên hàng đầu, trong khi gần 18% ưu tiên sự đơn giản và khoảng 1 trên 10 người ưu tiên việc nó phù hợp với các mật khẩu khác.
22% người dùng sử dụng ngày sinh cho mật khẩu, trong khi 19% sử dụng tên thú cưng, 19% sử dụng tên gia đình, 14% sử dụng sở thích, 12% sử dụng thời gian trong năm (mùa, tháng, năm) và 10% sử dụng tên thời chưa lấy chồng của mẹ, các đội thể thao, tên/địa chỉ đường phố và số điện thoại. Tin tặc có thể tìm thấy nhiều thông tin về một người trực tuyến nhất định chỉ bằng một vài thao tác tìm kiếm, điều này khiến người dùng gặp rủi ro.
Các tài khoản trong các ngành cụ thể ưu tiên độ phức tạp của mật khẩu
Cuộc khảo sát cũng yêu cầu người dùng đánh giá tầm quan trọng của việc sử dụng mật khẩu phức tạp và an toàn so với mật khẩu đơn giản và dễ nhớ cho các tài khoản trong các ngành cụ thể (trên thang điểm “1” là đơn giản và dễ nhớ và “5” là phức tạp và an toàn). 57% chọn phức tạp và an toàn cho ngân hàng, 47% chọn điều tương tự cho các sàn giao dịch tiền điện tử, 48% cho phần mềm hoặc dịch vụ được sử dụng cho công việc và 48% đối với các ứng dụng bảo mật gia đình.
35% ưu tiên độ phức tạp và bảo mật của mật khẩu cho các dịch vụ y tế và cá cược trực tuyến, 28% ưu tiên độ phức tạp và bảo mật của mật khẩu cho các ứng dụng du lịch, 25% cho giáo dục trực tuyến, 24% cho các nền tảng trò chơi và 21% cho giao hàng đồ ăn.
Bà Sarah Munro, Giám đốc Nhận dạng Cá nhân tại Onfido cho biết, mật khẩu là hình thức xác thực không đủ mạnh, nguyên nhân nằm ở việc người dùng phải ghi nhớ chúng đồng thời đảm bảo tính phức tạp của chúng. Với việc tin tặc ngày nay thực hiện các cuộc tấn công vô cùng tinh vi bằng cách sử dụng dữ liệu từ web tối, thì ngay cả những mật khẩu dài nhất và dường như mạnh nhất cũng có thể bị tấn công tương đối dễ dàng.
Một cách tiếp cận tốt hơn, an toàn hơn là các tổ chức đầu tư vào công nghệ dựa trên sinh trắc học. Đây là giải pháp có thể mang lại trải nghiệm thuận tiện và an toàn hơn cho người dùng.
Theo khảo sát quý 3/2020 của Forrester (công ty nghiên cứu thị trường của Mỹ), 46% người được hỏi đã sử dụng các phương thức xác thực không dùng mật khẩu cho các trang web người dùng phổ biến, trong khi 51% người dùng tin rằng đăng nhập sinh trắc học nên là một lựa chọn trong các ứng dụng dành cho thiết bị di động.
Đỗ Đoàn Kết
(theo Help Net Security)