Những mật khẩu có độ bền hàng tỉ năm bị siêu máy tính AI phá nhanh chóng

Cuộc cách mạng phần cứng thay đổi cuộc chơi

Công ty an ninh mạng Hive Systems có trụ sở tại Richmond, Virginia, vừa công bố phân tích mới nhất cho năm 2025. Những con số họ đưa ra khiến cộng đồng công nghệ không khỏi "giật mình": Thời gian cần thiết để tin tặc phá vỡ mật khẩu đã giảm một cách đáng kể, ngay cả với những mật khẩu được bảo vệ bởi các phương pháp mã hóa hiện đại.

Để thực hiện nghiên cứu, các chuyên gia tại Hive Systems đã mô phỏng một kịch bản sử dụng 12 card đồ họa Nvidia GeForce RTX 5090 - có lẽ là phần cứng mạnh nhất hiện có cho người dùng cuối. Họ lựa chọn thuật toán bcrypt với hệ số chi phí 10 (tương đương 32.768 lần lặp) - một phương pháp thực sự được coi là an toàn nhờ tính bền vững của nó.

Kết quả thu được thật đáng lo ngại: theo phép ngoại suy từ dữ liệu của Hive, một mật khẩu tám ký tự chỉ chứa chữ thường có thể bị phá trong vòng vài tuần khi sử dụng 12 card RTX 5090. Nếu mật khẩu 8 ký tự đó có thêm số, thời gian phá vẫn không thay đổi đáng kể.

Chỉ khi kết hợp chữ hoa và chữ thường, thời gian cần thiết mới tăng lên 15 năm. Với việc bổ sung thêm số, con số này lên tới 62 năm và với độ phức tạp đầy đủ (chữ hoa/thường, số, ký hiệu đặc biệt) thì cần tới 164 năm.

Tuy nhiên, điều đáng sợ khi có sự tham gia của "phần cứng cấp độ AI".

Độ phức tạp không còn là "bất khả xâm phạm"

Những con số trở nên đáng sợ hơn nhiều khi các cụm máy tính được gọi là "phần cứng cấp độ AI" - những hệ thống được sử dụng để huấn luyện các mô hình AI - xuất hiện. Với phần cứng tương tự như được sử dụng trong việc huấn luyện ChatGPT, mật khẩu có thể bị phá nhanh hơn hàng triệu lần so với card đồ họa thương mại. Những khoảng thời gian trước đây cần hàng nghìn tỉ năm giờ có thể co lại thành ít hơn một giờ.

Một ví dụ minh họa: một mật khẩu 18 ký tự chỉ gồm số sẽ mất 284.000 năm để 12 card RTX 5090 giải được. Con số này dựa trên các điểm chuẩn thực tế và được ngoại suy tuyến tính.

Một cụm gồm 20.000 GPU máy chủ Nvidia A100 - cấu hình được báo cáo là đã được sử dụng để huấn luyện ChatGPT-4 - sẽ "chỉ" cần vài trăm năm. Nếu độ dài của mật khẩu thuần số này giảm xuống 16 ký tự, phần cứng AI chỉ cần 4 năm.

Những con số này nhấn mạnh một sự thật mà các chuyên gia đã nhấn mạnh từ lâu: chiều dài của mật khẩu là yếu tố quyết định cho tính bảo mật của nó, thậm chí còn quan trọng hơn cả độ phức tạp thuần túy của các loại ký tự khác nhau. Khuyến nghị của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) về việc sử dụng các cụm mật khẩu dài ít nhất 15 hoặc 16 ký tự do đó trở nên cấp bách hơn bao giờ hết.

"Chu kỳ bán rã" của mật khẩu đang co ngắn

"Chu kỳ bán rã" của mật khẩu đang co ngắn nhanh chóng. Như Hive Systems ghi nhận trong báo cáo, thời gian phá mật khẩu với GPU thương mại đã giảm gần 20% so với năm 2024.

CEO của Hive Alex Nette cảnh báo: "Chúng ta đang trải qua một sự gia tốc thiên văn học trong sức mạnh tính toán. Phần cứng AI ngày nay đã đang biến đổi các rủi ro an ninh mạng. Những mật khẩu an toàn năm ngoái giờ có thể bị phá trong một phần nhỏ thời gian".

Điều đáng lo ngại nhất không phải là những con số khô khan mà là tốc độ thay đổi chóng mặt này. Nếu như trước đây, một mật khẩu phức tạp có thể bảo vệ dữ liệu trong nhiều thập niên, thì giờ đây, khoảng thời gian an toàn đó có thể chỉ tính bằng năm hoặc thậm chí tháng.

Cuộc cách mạng AI không chỉ mang lại những tiến bộ tích cực mà còn tạo ra những công cụ có thể bị lạm dụng. Trong khi các công ty công nghệ đang đầu tư hàng tỷ đô la vào phần cứng AI để phát triển các mô hình ngôn ngữ tiên tiến, những tài nguyên tính toán này cũng có thể được sử dụng cho mục đích không chính đáng.

Tương lai an ninh mạng trong kỷ nguyên AI

Báo cáo của Hive Systems không chỉ là một cảnh báo mà còn là lời kêu gọi hành động. Trong thế giới mà sức mạnh tính toán tăng theo cấp số nhân, các phương pháp bảo mật truyền thống cần được tái định nghĩa.

Chúng ta đang chứng kiến một cuộc đua vũ trang số thực sự. Trong khi tin tặc có quyền truy cập vào phần cứng ngày càng mạnh mẽ, các nhà phát triển an ninh mạng phải liên tục nâng cấp các biện pháp phòng thủ. Đây không phải là cuộc chiến có điểm kết thúc mà là một cuộc cạnh tranh liên tục giữa tấn công và phòng thủ.

Trong bối cảnh này, giáo dục về an ninh mạng trở nên quan trọng hơn bao giờ hết. Mỗi người dùng internet cần hiểu rằng "an toàn" hôm qua có thể hôm nay không còn an toàn nữa.

Nghiên cứu của Hive Systems là một hồi chuông báo động không thể phớt lờ. Trong kỷ nguyên mà AI không chỉ là công cụ sáng tạo mà còn là vũ khí tiềm tàng, việc bảo vệ dữ liệu cá nhân và doanh nghiệp đòi hỏi một cách tiếp cận mới.

"Gia tốc thiên văn học" trong sức mạnh tính toán không phải là viễn tưởng mà là hiện thực đang diễn ra. Câu hỏi không phải là liệu chúng ta có thể ngăn chặn sự phát triển này, mà là liệu chúng ta có thể thích ứng đủ nhanh để không bị bỏ lại phía sau.