Thói quen nguy hiểm khi đặt mật khẩu: Cảnh báo từ thực tiễn và khuyến nghị dành cho CB–CNV SAWACO
Trong thời đại chuyển đổi số mạnh mẽ, từ việc sử dụng ứng dụng nội bộ, văn phòng điện tử, đến các dịch vụ email công vụ, mật khẩu đã trở thành “chìa khóa” quan trọng bảo vệ dữ liệu và hệ thống của mỗi cá nhân, mỗi tổ chức. Tuy nhiên, ngay tại Việt Nam, tình trạng người dùng tùy tiện trong việc đặt mật khẩu vẫn rất phổ biến và đang trở thành một trong những lỗ hổng bảo mật lớn nhất hiện nay.

 

    Theo thống kê từ nhiều tổ chức an ninh mạng quốc tế và trong nước, hơn 60% sự cố an toàn thông tin bắt nguồn từ yếu tố con người, trong đó mật khẩu yếu hoặc trùng lặp là nguyên nhân hàng đầu. Với các cơ quan, doanh nghiệp nhà nước, nơi quản lý lượng lớn dữ liệu quan trọng, nguy cơ càng nghiêm trọng hơn. Tổng Công ty Cấp nước Sài Gòn (SAWACO) cũng không nằm ngoài bối cảnh này khi thời gian qua, Phòng Công nghệ Thông tin (CNTT) Tổng Công ty đã ghi nhận không ít trường hợp các tài khoản cá nhân không đảm bảo an toàn bảo mật thông tin, có nguy cơ bị xâm nhập và đánh cắp dữ liệu.

    1. Thói quen đặt mật khẩu “cho có” của người dùng: Dễ nhớ – và cũng dễ đoán

    Các thống kê cho thấy người dùng rất chuộng các kiểu mật khẩu đơn giản như:

  • 123456, 12345678, 123123
  • ngày sinh: 01011990, 15091985…
  • họ tên + năm sinh: tuan1990, thanh2000
  • số điện thoại hoặc vài số cuối điện thoại
  • Các từ quen thuộc như password, admin, welcome, abcd1234

    Theo danh sách “Top 20 mật khẩu yếu nhất” do Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) công bố các năm gần đây, các mật khẩu này luôn nằm trong nhóm được sử dụng nhiều nhất tại Việt Nam.

    Điều đáng nói là nhiều người dùng thậm chí dùng chung một mật khẩu cho tất cả hệ thống, từ mạng xã hội, tài khoản ngân hàng đến tài khoản công vụ hay hệ thống nội bộ của cơ quan. Chỉ cần một dịch vụ bị lộ dữ liệu, toàn bộ tài khoản còn lại có nguy cơ bị đánh cắp.

    Dễ nhớ luôn đi kèm với rủi ro

    Tâm lý phổ biến của người Việt là “để dễ nhớ, khỏi phiền”, nhất là khi phải sử dụng nhiều hệ thống CNTT khác nhau. Tuy nhiên, kẻ tấn công cũng hiểu rõ thói quen này, và chỉ mất vài giây để dò ra mật khẩu dạng đơn giản.

    Nhiều phần mềm quét mật khẩu (password cracking tools) hiện nay có khả năng thử hàng trăm ngàn tổ hợp mỗi giây. Với mật khẩu 6 số hoặc dạng tên + năm sinh, thời gian dò chỉ tính bằng… một cái chớp mắt.

    2. Liên quan trực tiếp đến SAWACO: Rủi ro từ thói quen dùng mật khẩu yếu

    Trong quá trình vận hành các hệ thống của Tổng Công ty như:

  • Hệ thống Văn phòng điện tử (E-Office)
  • Hệ thống Quản lý điều hành nội bộ
  • Ứng dụng Truyền thông nội bộ SAWACO
  • Hệ thống SSO xác thực tập trung
  • Hệ thống quản lý dữ liệu sản xuất kinh doanh
  • Email công vụ theo miền sawaco.com.vn

    Phòng CNTT đã ghi nhận nhiều trường hợp đáng chú ý:

    • Dùng chung 1 mật khẩu cho cả ứng dụng nội bộ lẫn các ứng dụng cá nhân.

    • Mật khẩu dạng “sawaco123”, “tennguoidung@123”, “123456a”

    Đây là dạng mật khẩu Phòng CNTT nhiều lần cảnh báo nhưng vẫn xuất hiện, nhất là khi người dùng buộc phải đổi mật khẩu định kỳ.

    • Tài khoản dùng chung giữa nhiều người

    Một số đơn vị bộ phận trước đây có thói quen dùng chung một tài khoản nội bộ để “tiện thao tác”. Hành động này không chỉ vi phạm quy định an toàn bảo mật thông tin đã ban hành mà còn khiến việc truy vết log sự cố trở nên khó khăn, tiềm ẩn nguy cơ bị khai thác.

    • Bị khóa tài khoản do nghi ngờ tấn công dò mật khẩu

    Không ít tài khoản nội bộ bị hệ thống khóa tự động vì có dấu hiệu bị tấn công Brute Force — tức hacker liên tục thử nhiều mật khẩu để dò ra mật khẩu đúng. Các tài khoản dùng mật khẩu yếu thường là mục tiêu đầu tiên.

    3. Các vụ việc điển hình trong và ngoài nước – Bài học cảnh tỉnh

    Nhiều sự cố trong thế giới mạng chứng minh rằng một mật khẩu yếu có thể kéo theo cả hệ thống bị đánh sập:

  • Năm 2023, một doanh nghiệp lớn tại Hà Nội bị hacker chiếm email kế toán chỉ vì mật khẩu là Ketoan2020. Kẻ gian từ đó làm giả công văn thanh toán và chiếm đoạt hàng tỷ đồng.
  • Một tỉnh phía Bắc bị tấn công ransomware vào hệ thống dữ liệu dân cư do quản trị viên sử dụng mật khẩu dạng admin@123.
  • Nhiều trường hợp tại cơ quan nhà nước bị đánh cắp tài khoản E-Office khiến văn bản, hồ sơ nội bộ bị lộ.

    Đối với SAWACO – đơn vị quản lý dữ liệu hệ thống cấp nước toàn thành phố HCM, từ hồ sơ khách hàng, dữ liệu doanh thu, dữ liệu mạng lưới đến thông tin nhân sự – chỉ cần một tài khoản nội bộ bị chiếm quyền, hậu quả sẽ rất nghiêm trọng, ảnh hưởng đến:

  • Hoạt động điều hành
  • Bảo mật dữ liệu khách hàng
  • Uy tín Tổng Công ty
  • Tính liên tục của hệ thống CNTT

    4. Vì sao người dùng tại SAWACO thường đặt mật khẩu yếu?

    Có nhiều nguyên nhân, nhưng phổ biến nhất gồm:

    • Tâm lý ngại phức tạp, thích nhanh gọn

    Người dùng thường nghĩ “không ai quan tâm tài khoản của mình đâu”, hoặc cho rằng mật khẩu mạnh quá gây khó nhớ.

    • Thiếu kiến thức về an toàn thông tin

    Không hiểu về cách hacker tấn công, không biết hậu quả của lộ mật khẩu.

    • Cho rằng dữ liệu cơ quan “không quan trọng”

    Một số CB–CNV nghĩ rằng “dữ liệu đơn vị không phải bí mật quốc gia”, nên không cẩn trọng khi đặt mật khẩu.

    • Thiếu kỷ luật trong quản lý tài khoản

    Việc ghi mật khẩu ra sổ tay, giấy nhớ, hoặc chia sẻ cho đồng nghiệp vẫn tồn tại.

    5. Khuyến nghị cho CB–CNV SAWACO: Hãy tự bảo vệ mình trước khi bảo vệ hệ thống

    Phòng CNTT khuyến nghị mỗi cán bộ – công nhân viên cần tuân thủ các nguyên tắc sau:

    a. Đặt mật khẩu mạnh theo tiêu chuẩn

    Mật khẩu tốt tối thiểu nên có:

  • 12 ký tự trở lên
  • Gồm chữ hoa + chữ thường + số + ký tự đặc biệt
  • Không chứa tên, ngày sinh, mã nhân viên
  • Không được dùng lại các mật khẩu cũ

    Ví dụ mật khẩu mạnh (dễ nhớ):

    SaWAco#2025! (chỉ là ví dụ, không nên dùng đúng mẫu này)

    b. TUYỆT ĐỐI không dùng chung mật khẩu giữa hệ thống công vụ và mạng xã hội

    Facebook, TikTok, Instagram… thường xuyên bị rò rỉ. Nếu trùng mật khẩu, tài khoản công vụ sẽ bị nguy hiểm ngay lập tức.

    c . Kích hoạt xác thực hai lớp (2FA) trên email và ứng dụng nội bộ nếu có hỗ trợ

    2FA giúp ngăn chặn hacker ngay cả khi biết mật khẩu, dù 2FA có khiến người dùng thêm thao tác mỗi khi đăng nhập.

    d. Định kỳ đổi mật khẩu theo đúng quy định của Tổng Công ty

    SAWACO đang triển khai hệ thống xác thực tập trung (SSO) – việc đổi mật khẩu mạnh và định kỳ là bắt buộc để đảm bảo an toàn.

    e. Tuyệt đối không chia sẻ mật khẩu cho bất kỳ ai

    Phòng CNTT không bao giờ yêu cầu cung cấp mật khẩu. Mọi email hay tin nhắn yêu cầu khai báo mật khẩu đều là lừa đảo.

    f. Không ghi mật khẩu ra giấy, không lưu trong file không mã hóa

    Nếu cần quản lý nhiều mật khẩu, nên sử dụng trình quản lý mật khẩu (Password Manager).

    g. Cảnh giác với email lạ, đường link lạ, file đính kèm lạ

    Rất nhiều cuộc tấn công nhằm đánh cắp mật khẩu bắt đầu bằng một email giả mạo.

    h. Kết luận: Mật khẩu mạnh – Bức tường đầu tiên bảo vệ hệ thống SAWACO

    Trong bối cảnh SAWACO đang triển khai mạnh mẽ chuyển đổi số, xây dựng hệ thống SSO và ứng dụng Truyền thông nội bộ, bảo vệ mật khẩu không chỉ là trách nhiệm cá nhân mà còn là nghĩa vụ bảo vệ tài sản thông tin của Tổng Công ty.

    Một mật khẩu yếu có thể phá vỡ cả hệ thống. Nhưng một mật khẩu mạnh có thể là lá chắn đầu tiên và quan trọng nhất giúp mỗi CB–CNV giữ an toàn cho dữ liệu của mình, cho đơn vị và cho toàn Tổng Công ty./.

A.T