Trong kỷ nguyên số hóa, việc thực hành các biện pháp bảo mật trực tuyến đã trở nên cấp thiết hơn bao giờ hết. Rất nhiều người dùng đã và đang sử dụng các công cụ quản lý mật khẩu để lưu trữ và tạo ra những mật khẩu độc nhất cho từng tài khoản, một bước tiến lớn trong an ninh mạng. Bên cạnh đó, các phương pháp xác thực hai yếu tố (2FA) hay thậm chí là khóa TOTP vật lý cũng được áp dụng để tăng cường lớp bảo vệ. Tuy nhiên, một lỗ hổng nghiêm trọng vẫn tồn tại ở nhiều thiết bị mà chúng ta khó có thể thay đổi mật khẩu: đó chính là những mật khẩu mặc định thiết bị công nghệ.
Một số lượng đáng báo động các thiết bị điện tử được xuất xưởng với mật khẩu mặc định cực kỳ kém an toàn và thường không được người dùng thay đổi. Thậm chí, trong nhiều trường hợp, mật khẩu này không thể thay đổi được vì chúng được “nhúng cứng” vào firmware của thiết bị, đòi hỏi một bản cập nhật từ nhà sản xuất. Nhiều tài nguyên trực tuyến dành cho các nhà nghiên cứu bảo mật đã tổng hợp cơ sở dữ liệu khổng lồ về những mật khẩu mặc định này, cho thấy mức độ nghiêm trọng của vấn đề.
Đáng lo ngại nhất là các thiết bị được quảng bá là “an toàn” hoặc được thiết kế để bảo vệ ngôi nhà của bạn, chẳng hạn như camera an ninh kết nối internet, tường lửa phần cứng, bộ định tuyến Wi-Fi hay hệ thống báo động. Những thiết bị này thường có mật khẩu mặc định được đặt sẵn để tiện cho việc cài đặt ban đầu, nhưng không phải lúc nào chúng cũng được thay đổi sau khi quá trình lắp đặt hoàn tất. Nếu bạn đang sở hữu bất kỳ thiết bị nào trong số này, hãy kiểm tra ngay để đảm bảo các mật khẩu mặc định đã được thay đổi. Với những thiết bị không thể tự thay đổi, bạn cần liên hệ nhà sản xuất để được hỗ trợ.
7. Bộ Định Tuyến Wi-Fi (Routers)
Thật đáng báo động khi thiết bị cửa ngõ internet và Wi-Fi của bạn lại sử dụng thông tin đăng nhập mặc định. Các bộ định tuyến thường được xuất xưởng với mật khẩu mặc định, dù là cho trang quản trị, thông tin đăng nhập Wi-Fi hay để kết nối với nhà cung cấp dịch vụ internet (ISP). Mặc dù bất kỳ bộ định tuyến nào cũng có thể có các mật khẩu mặc định tệ hại như admin/password, cho phép người dùng toàn quyền quản trị và thay đổi mọi thứ, nhưng các bộ định tuyến do ISP cung cấp đặc biệt nổi tiếng về vấn đề này.
Một mặt, việc này giúp kỹ thuật viên cài đặt mọi thứ hoạt động trơn tru và bạn có thể kết nối Wi-Fi của bộ định tuyến mới một cách nhanh chóng, vì thông tin đăng nhập thường được in trên nhãn dán ở đâu đó trên thiết bị. Tuy nhiên, người dùng được khuyến nghị thay đổi những thông tin đăng nhập này ngay sau khi kỹ thuật viên rời đi. Thế nhưng, có bao nhiêu người thực sự làm điều đó? Không nhiều, theo IBM, 86% mật khẩu mặc định của bộ định tuyến chưa bao giờ được thay đổi.
Hãy nhớ rằng, đây là thiết bị đóng vai trò là cổng kết nối internet cho mọi thiết bị khác trong nhà bạn, và quan trọng hơn, là tường lửa bảo vệ mọi thiết bị trên internet cố gắng xâm nhập. Vì vậy, việc thay đổi mật khẩu là điều cực kỳ cần thiết.
Giao diện ứng dụng quản lý bộ định tuyến Wi-Fi Netgear Orbi trên điện thoại Zenfone 8.
6. Modem Cáp (Cable Modems)
Có vẻ như có một khuôn mẫu chung cho các thiết bị kết nối internet. Một số gia đình có thể sử dụng nhiều thiết bị để quản lý mạng tại nhà và cổng kết nối internet, trong đó modem cáp thường là một phần của gói thiết bị. Tuy nhiên, chúng hầu như luôn đi kèm với những mật khẩu mặc định cực kỳ đơn giản, ví dụ như admin/password. Tệ hơn nữa, nhiều ISP thậm chí không cho phép bạn thay đổi chúng, vì họ sử dụng những thông tin đăng nhập đó để đẩy các bản cập nhật firmware và thực hiện các tác vụ quản trị khác.
Nếu bạn đang bị “mắc kẹt” với một modem cáp mà không thể thay đổi mật khẩu quản trị, bạn có thể cân nhắc trả lại cho ISP và tự mua một modem cáp tốc độ cao của riêng mình. Bằng cách đó, bạn sẽ có toàn quyền kiểm soát thiết bị và có thể thay đổi mật khẩu mặc định kém an toàn đó.
Cổng internet Xfinity XFi và các điều khiển ứng dụng quản lý modem cáp.
5. Máy Tính Bo Mạch Đơn Raspberry Pi
Hãy bảo mật các máy tính bo mạch đơn (SBCs) của bạn, nếu không chúng sẽ trở thành “con mồi” tiềm năng cho tin tặc. Cho đến gần đây, Raspberry Pi vẫn có sự kết hợp mật khẩu mặc định tệ nhất (bên cạnh admin/password, tất nhiên). Vâng, sử dụng pi cho tên người dùng và raspberry cho mật khẩu sẽ đăng nhập bạn vào bất kỳ phiên bản Raspbian hoặc Raspberry Pi OS mới cài đặt nào. Điều này đúng cho cả việc đăng nhập từ giao diện đồ họa (GUI) hay truy cập SBC từ xa bằng SSH, và với các loại tác vụ mà người dùng Raspberry Pi thường cài đặt, đây là một vấn đề lớn.
May mắn thay, điều này không còn là vấn đề nữa. Từ Raspberry Pi OS dựa trên Bullseye trở lên, quá trình cài đặt sẽ yêu cầu bạn tạo sự kết hợp tên người dùng và mật khẩu của riêng mình. Điều này có thể là do Raspberry Pi Foundation có trụ sở tại Vương quốc Anh, nơi gần đây đã thông qua một đạo luật cấm các nhà sản xuất thiết bị sử dụng mật khẩu kém an toàn làm cài đặt mặc định. Rõ ràng, sử dụng tên của thiết bị làm mật khẩu là khá kém an toàn, vì vậy điều này đã được loại bỏ, và an toàn cho người dùng được tăng cường.
Hình ảnh một bo mạch máy tính Raspberry Pi cùng với ESP32.
4. Thiết Bị IoT (Internet of Things) và Nhà Thông Minh
Hàng năm, nhiều công ty bảo mật công bố báo cáo về những mật khẩu tệ nhất trong năm. Năm 2024, “123456” vẫn là mật khẩu phổ biến nhất đang được sử dụng. Bên cạnh việc thất vọng mỗi khi đọc con số này, cũng có một câu hỏi là liệu đây có luôn là lỗi của người dùng hay không. Mặc dù theo NordPass, đây là lỗi người dùng khi hơn một triệu người sử dụng mật khẩu đó trong môi trường doanh nghiệp, nhưng chúng ta hãy bàn về một vấn đề khác.
“123456” cũng là một trong những mật khẩu mặc định phổ biến nhất trên các thiết bị IoT, bao gồm camera kết nối internet, chuông cửa video thông minh, đèn thông minh, công tắc thông minh và các thiết bị tương tự. Không phải ngẫu nhiên mà những thiết bị này có danh tiếng kém về bảo mật. Đôi khi, những mật khẩu cực kỳ kém an toàn này còn được mã hóa cứng trong firmware của thiết bị, khiến bạn không thể làm gì được. Điều bạn có thể làm là tìm kiếm các thiết bị từ những thương hiệu đáng tin cậy, vì chúng ít có khả năng sử dụng các phương thức bảo mật lỗi thời, và hãy thay đổi mọi thông tin đăng nhập mặc định ngay khi bạn kết nối chúng vào mạng nhà mình.
Chuông cửa video thông minh Ring Video Doorbell Pro 2, một thiết bị IoT phổ biến.
3. Xe Hơi Với Điểm Phát Wi-Fi (Wi-Fi Hotspots)
Điểm phát Wi-Fi tích hợp trong xe hơi là một ví dụ điển hình của việc ưu tiên sự tiện lợi hơn là bảo mật. Ai mà lại không muốn biến chiếc hộp kim loại nặng hàng tấn đang lao đi trên đường cao tốc thành văn phòng di động của mình chứ? Giả sử bạn có một chiếc xe hơi có Wi-Fi, vì mọi thứ ngày nay đều cần Wi-Fi, bạn đã thay đổi mật khẩu mặc định của nó chưa? Bạn có biết kẻ trộm có thể dễ dàng lấy được thông tin đăng nhập của bạn đến mức nào không?
Nếu xe của bạn có hệ thống như OnStar, tất cả những gì kẻ trộm cần làm là nhấn nút Lệnh thoại OnStar và nói “Wi-Fi settings”, trợ lý giọng nói hữu ích sẽ đọc ra thông tin chi tiết. Điều này thậm chí còn dễ hơn cả hệ thống WPS (Wi-Fi Protected Setup) một nút bấm, vốn cũng nên được tắt đi. Và mật khẩu Wi-Fi mặc định thường nằm ở những vị trí dễ tìm thấy, như trong sách hướng dẫn của xe, trên một nhãn dán trong hộp đựng đồ, hoặc thậm chí trên chính thiết bị phát Wi-Fi nếu nó hiển thị. Hệ thống thông tin giải trí của xe cũng sẽ hiển thị mật khẩu Wi-Fi, nhưng xe phải đang chạy mới làm được điều đó, điều này lại càng dễ dàng cho việc tìm ra mật khẩu bạn đã thay đổi.
Cận cảnh màn hình iPhone hiển thị tùy chọn điểm phát sóng cá nhân Wi-Fi.
2. Hệ Thống Báo Động Gia Đình (Home Alarm Systems)
Bạn có biết rằng một trong những tính năng của hệ thống báo động gia đình bạn bao gồm một mã mặc định có thể vô hiệu hóa báo động không? Tôi chắc chắn là không, nhưng giờ tôi đã biết, và đây là một mật khẩu mặc định nữa cần được thay đổi ngay khi tôi lắp đặt hệ thống báo động mới. Nhờ KrebsonSecurity, chúng ta biết rằng ADT có một mã khẩn cấp (duress code) trên bàn phím của họ, đây là một tính năng tiện lợi giúp vô hiệu hóa báo động nhưng đồng thời gửi một tín hiệu báo động im lặng đến ADT để họ có thể gửi trợ giúp.
Nhưng chúng ta cũng phát hiện ra rằng bàn phím thường được cài đặt mặc định với mã 2-5-8-0. Vâng, một đường thẳng duy nhất, dọc theo giữa bàn phím, là cách tốt nhất mà họ có thể nghĩ ra cho một mã mặc định. Tôi đoán điều đó có lý một phần, vì bạn sẽ muốn một thứ gì đó dễ nhớ trong trường hợp khẩn cấp, nhưng nó phải là một cài đặt mà người dùng có thể thay đổi, chứ không phải là mặc định. Việc nó phổ biến trong các hệ thống báo động đồng nghĩa với việc kẻ trộm có thể vô hiệu hóa báo động đủ lâu để đột nhập và tẩu thoát trước khi cảnh sát đến.
Bàn phím điều khiển hệ thống báo động gia đình Ring đã được cài đặt.
1. Thiết Bị Y Tế (Medical Devices)
Bạn có thể nghĩ rằng các thiết bị hình ảnh y tế trị giá hàng triệu đô la sẽ được bảo mật tốt hơn là chỉ bằng một mật khẩu mặc định, nhưng hãy suy nghĩ lại. TechCrunch cho biết hàng chục máy chụp hình ảnh do General Electric sản xuất có “mật khẩu mặc định được mã hóa cứng không thể thay đổi”, và những thiết bị này được kết nối mạng trong bệnh viện, vì vậy bạn có thể thấy vấn đề nghiêm trọng ở đây liên quan đến quyền riêng tư của bệnh nhân. Không chỉ là các thiết bị hình ảnh; thông tin đăng nhập được mã hóa cứng còn bảo vệ cả máy tạo nhịp tim và các thiết bị bệnh nhân khác. Điều này giúp các bác sĩ điều trị cho bạn làm việc dễ dàng hơn, nhưng lại mở ra khả năng bạn bị tấn công vào sức khỏe của mình.
Hình ảnh máy quét CT trong môi trường bệnh viện.
Mật Khẩu Mặc Định: Mối Đe Dọa Lớn, Nhưng Đổi Thay Đang Đến
Các thiết bị sử dụng mật khẩu mặc định là dấu hiệu của những thực hành bảo mật cẩu thả từ phía nhà sản xuất. Thực tế là những mật khẩu này thường được sử dụng trên các thiết bị do các công ty bảo mật hàng đầu thiết kế, như bộ định tuyến Cisco, camera kết nối internet, bộ định tuyến Wi-Fi hoặc hệ thống báo động gia đình của bạn, là một thất bại nghiêm trọng đối với cộng đồng an ninh. Một số mật khẩu mặc định này thậm chí còn được mã hóa cứng, khiến người dùng cuối không thể xóa bỏ, và tin tặc có thể dễ dàng chiếm quyền kiểm soát thiết bị.
Tuy nhiên, không phải tất cả đều là tin xấu. California đã thông qua luật cấm các mật khẩu mặc định yếu, tương tự như Vương quốc Anh. Cả hai quốc gia đều khuyến khích người dùng tự chọn mật khẩu trong quá trình cài đặt thiết bị là cách xử lý ưu tiên. Có lẽ một ngày nào đó, mật khẩu mặc định sẽ hoàn toàn biến mất, và khi đó, việc duy nhất còn lại là người dùng phải nhớ mật khẩu của chính mình sau khi thiết lập xong.
Bạn nghĩ sao về vấn đề mật khẩu mặc định? Bạn đã từng gặp rủi ro nào do chúng chưa? Hãy để lại bình luận bên dưới để chia sẻ kinh nghiệm của bạn!
Tài liệu tham khảo:
- https://www.xda-developers.com/tried-dozens-of-password-managers-keep-coming-back-to-open-source-tool/
- https://www.xda-developers.com/how-to-use-2fa-code-generator-ios/
- https://www.xda-developers.com/how-to-use-your-yubikey-for-totp-codes/
- https://cirt.net/passwords
- https://www.xda-developers.com/finally-threw-out-my-isp-router-like-the-trash-it-was/
- https://www.ibm.com/think/insights/router-reality-check-86-percent-default-passwords-have-never-been-changed
- https://www.xda-developers.com/nordpass-report-awful-secure-passwords/
- https://www.xda-developers.com/tips-securely-adding-iot-devices-home-network/
- https://www.xda-developers.com/why-having-wi-fi-protected-setup-wps-enabled-is-bad/
- https://krebsonsecurity.com/2013/01/does-your-alarm-have-a-default-duress-code/
- https://techcrunch.com/2020/12/08/researchers-say-hardcoded-passwords-in-ge-medical-imaging-devices-could-put-patient-data-at-risk/
- https://www.schneier.com/blog/archives/2023/10/cisco-cant-stop-using-hard-coded-passwords.html
- https://www.welivesecurity.com/2018/10/10/california-outlaws-poor-default-passwords-connected-devices/
- https://therecord.media/united-kingdom-bans-defalt-passwords-iot-devices