Khảo sát trên thế giới cho thấy hầu hết mọi website trên thế giới đều áp dụng chỉ một vài chính sách bảo mật cơ bản, thậm chí có những website còn cho phép tạo mật khẩu với chỉ 1 ký tự "a". Tại Việt Nam, tình trạng cũng không hề sáng sủa hơn, đặc biệt là thời gian qua, các website của các cảng hàng không bị tấn công.

Một số website của các cảng hàng không như: Tân Sơn Nhất, Rạch Giá, Tuy Hòa bị hacker tấn công.Vụ việc khiến cộng đồng hoang mang và nghi ngờ về một “sự cố Vietnam Airlines” lần thứ 2.  Tuy nhiên, các chuyên gia của Bkav cho biết đây không phải là tấn công APT như vụ việc của Vietnam Airlines mà chỉ là khai thác lỗ hổng website.

Dashlane, công ty đứng đằng sau ứng dụng quản lý mật khẩu cùng tên, hôm nay đã công bố khảo sát Xếp hạng Mức độ bảo mật của mật khẩu của mình. Cuộc khảo sát nghiên cứu thói quen bảo mật mật khẩu của những đối tượng khách hàng lớn, công ty cung cấp dịch vụ phần mềm và đa phương tiện. Kết quả khảo sát này đã khiến nhiều người phải kinh ngạc.

Có tới gần một nửa (chính xác là 46%) website khách hàng không tích hợp dù là những chính sách bảo mật thô sơ nhất. Con số các trang web doanh nghiệp tương tự là 36%, bao gồm cả Amazon Web Services.

Các trang web được xếp hạng từ 0 tới 5, 0 là mức thấp nhất và 5 là mức tốt nhất với 3 là số điểm tạm chấp nhận được. Các tiêu chí xếp hạng Dashlane đặt ra bao gồm: Độ dài mật khẩu (Trang web có yêu cầu mật khẩu tối thiểu 8 ký tự không); Mức độ phức tạp của mật khẩu: Trang web có ngăn người dùng tạo những mật khẩu siêu tối giản như “aaaaa” hay “111111” không? Đáng kinh ngạc, các nhà nghiên cứu phát hiện ra một số trang web cho phép tạo mật khẩu với chỉ một ký tự “a” duy nhất, trong đó có Amazon, Google, Instagram và Venmo.

Ngoài ra, còn có tiêu chí Thông báo mức độ bảo mật của mật khẩu: Trang web có thông báo cho người dùng đánh giá về mức độ bảo mật của mật khẩu sắp tạo hay không?

Sau 10 lần thử thất bại, website có thực hiện hành động nào để ngăn chặn một cuộc tấn công brute force (kỹ thuật đoán thử đúng sai liên tục để hack mật khẩu) hay không? Xác nhận 2 bước: Website có yêu cầu người dùng xác nhận danh tính qua token gửi qua SMS hay dùng ứng dụng xác nhận hay không?

Kết quả cho thấy, chỉ một trang web đạt số điểm tuyệt đối - GoDaddy - một trang web hosting platform nổi tiếng. Các trang khác phổ biến khác đạt điểm số chấp nhận được bao gồm Apple, Microsoft, Tumblr, Paypal, Reddit và Slack.

Netflix, Pandora, Spotify và Uber đều đạt 0 điểm. Đồng nghĩa với việc, theo tiêu chí của Dashlane, các trang này không áp dụng bất kỳ tính năng bảo mật mật khẩu nào được liệt kê trong danh sách trên.

Về phía các trang web doanh nghiệp, Stripe và QuickBooks là 2 websites đạt số điểm tuyệt đối. Dù không có trang nào bị điểm “liệt”, nhưng những ông lớn nổi tiếng như Amazon Web Services và FreshBooks đều đạt 1 điểm.

Tuy nhiên, cũng cần phải nói thêm rằng đánh cắp mật khẩu chỉ là một trong nhiều cách tin tặc hack vào một hệ thống để chiếm quyền sử dụng thông tin khách hàng, Hầu hết các trang web đều có hệ thống bảo mật tối tân đơn giản vì đó là yêu cầu cần thiết để website tồn tại, phát triển và đem lại lợi nhuận, nhưng những khảo sát tương tự như thế này cũng phần nào cho chúng ta biết về miếng mồi ngon mà rất nhiều hệ thống web đang vô tình trưng ra cho kẻ xấu.