Tấn Công Active Online Là Gì? Các Dạng Tấn Công Mật Khẩu Phổ Biến
Thịnh Văn Hạnh
06/07/2026
2853 Lượt xem
Chia sẻ bài viết
Tấn công active online là một trong những hình thức tấn công mật khẩu phổ biến hiện nay, thường xảy ra khi kẻ tấn công thử đăng nhập trực tiếp vào hệ thống bằng các mật khẩu đoán được, danh sách mật khẩu phổ biến hoặc thông tin đăng nhập đã bị rò rỉ. Nếu website, email, VPS hoặc tài khoản quản trị không có cơ chế bảo vệ phù hợp, hacker có thể lợi dụng brute force, dictionary attack, password spraying hoặc credential stuffing để chiếm quyền truy cập.
Vậy tấn công active online là dạng tấn công mật khẩu nào, khác gì với tấn công offline hay passive attack, và làm sao để phòng chống hiệu quả? Bài viết dưới đây BKNS sẽ giúp bạn hiểu rõ bản chất của active online attack, các dạng tấn công thường gặp và những biện pháp bảo mật cần áp dụng để bảo vệ tài khoản, website và hệ thống máy chủ.
Tóm Tắt Bài Viết
Tấn công mật khẩu là gì
Tấn công mật khẩu là nhóm kỹ thuật được kẻ tấn công sử dụng để đoán, dò, đánh cắp hoặc sử dụng lại thông tin đăng nhập nhằm chiếm quyền truy cập vào tài khoản, website, email, máy chủ hoặc hệ thống quản trị. Mục tiêu của hình thức tấn công này là vượt qua lớp xác thực bằng username và password, từ đó truy cập trái phép vào dữ liệu hoặc thực hiện các hành vi gây hại.
Trong thực tế, tấn công mật khẩu không chỉ đơn giản là “đoán mật khẩu” thủ công. Kẻ tấn công có thể dùng công cụ tự động, danh sách mật khẩu phổ biến, dữ liệu đăng nhập bị rò rỉ hoặc mã độc để lấy cắp thông tin xác thực. Vì vậy, nếu người dùng đặt mật khẩu yếu, dùng lại mật khẩu trên nhiều nền tảng hoặc không bật xác thực hai yếu tố, nguy cơ bị chiếm quyền tài khoản sẽ cao hơn.
Tấn công mật khẩu là gì
Về cơ bản, tấn công mật khẩu có thể được chia thành 3 nhóm chính: online password attack, offline password attack và credential theft.
| Nhóm tấn công | Cách hoạt động | Ví dụ thường gặp |
| Online password attack | Kẻ tấn công thử đăng nhập trực tiếp trên hệ thống thật như form login, email server, SSH, CMS hoặc API đăng nhập. | Brute force, dictionary attack, password spraying, credential stuffing |
| Offline password attack | Kẻ tấn công có được file hash, database mật khẩu hoặc dữ liệu xác thực đã bị đánh cắp, sau đó dò mật khẩu trên môi trường riêng mà không cần tương tác với hệ thống thật. | Crack hash mật khẩu, tấn công database bị rò rỉ |
| Credential theft | Kẻ tấn công đánh cắp thông tin đăng nhập bằng cách lừa đảo, cài mã độc hoặc ghi lại thao tác người dùng. | Phishing, malware, keylogger, website giả mạo |
Trong đó, active online attack thuộc nhóm online password attack. Đây là dạng tấn công diễn ra trực tiếp trên hệ thống xác thực thật. Kẻ tấn công sẽ thử username và password trên form đăng nhập hoặc dịch vụ xác thực để kiểm tra xem thông tin đó có đúng hay không.
Ví dụ, nếu một website WordPress sử dụng tài khoản quản trị là admin, kẻ tấn công có thể dùng công cụ tự động để thử hàng nghìn mật khẩu phổ biến trên trang đăng nhập. Nếu hệ thống không giới hạn số lần đăng nhập sai, không có CAPTCHA, không bật xác thực hai yếu tố hoặc không giám sát IP bất thường, tài khoản có thể bị chiếm quyền.
Ngược lại, với offline password attack, kẻ tấn công không cần thử đăng nhập trực tiếp vào website. Thay vào đó, chúng có thể lấy được file hash mật khẩu từ một database bị rò rỉ, sau đó dùng phần mềm chuyên dụng để dò mật khẩu trên máy tính riêng. Vì quá trình này không tương tác với hệ thống thật nên quản trị viên khó phát hiện qua log đăng nhập thông thường.
Còn với credential theft, trọng tâm không nằm ở việc đoán mật khẩu mà là đánh cắp mật khẩu từ người dùng. Chẳng hạn, hacker có thể gửi email giả mạo ngân hàng, nhà cung cấp hosting hoặc hệ thống quản trị để lừa người dùng nhập tài khoản và mật khẩu vào một trang giả. Sau khi có được thông tin đăng nhập, chúng có thể dùng dữ liệu đó để truy cập vào hệ thống thật.
Các kiểu tấn công mật khẩu phổ biến
Tấn công mật khẩu có nhiều hình thức khác nhau, từ việc dò mật khẩu trực tiếp trên hệ thống đăng nhập cho đến đánh cắp thông tin xác thực qua website giả mạo hoặc phần mềm độc hại. Mỗi kiểu tấn công sẽ có cách hoạt động, mức độ nguy hiểm và dấu hiệu nhận biết riêng. Việc hiểu rõ các hình thức này giúp người dùng và quản trị viên chủ động hơn trong việc bảo vệ tài khoản, website, email, VPS và các hệ thống quan trọng.
Brute force attack
Đây là hình thức kẻ tấn công thử nhiều mật khẩu khác nhau trên một hoặc nhiều tài khoản cho đến khi tìm được mật khẩu đúng. Quá trình này thường được thực hiện bằng công cụ tự động, có thể thử hàng nghìn hoặc hàng triệu tổ hợp mật khẩu trong thời gian ngắn. Brute force thường nhắm vào các trang đăng nhập quản trị website, email, SSH, CMS hoặc API đăng nhập.
Ví dụ: attacker thử lần lượt các mật khẩu như 123456, admin123, password, Admin@123 với tài khoản quản trị admin.
Dictionary attack
Dictionary attack là hình thức thử mật khẩu dựa trên danh sách từ điển hoặc danh sách mật khẩu phổ biến. Thay vì thử ngẫu nhiên mọi tổ hợp ký tự, kẻ tấn công dùng các mật khẩu dễ đoán như tên riêng, ngày sinh, tên công ty, số điện thoại hoặc các chuỗi thường gặp.
Hình thức này nguy hiểm vì nhiều người vẫn có thói quen đặt mật khẩu đơn giản, dễ nhớ hoặc liên quan đến thông tin cá nhân. Ví dụ: 123456, qwerty, iloveyou, tencongty@123, Welcome@2026.
Password spraying
Password spraying là kỹ thuật thử một hoặc một vài mật khẩu phổ biến trên nhiều tài khoản khác nhau. Khác với brute force tập trung thử nhiều mật khẩu trên một tài khoản, password spraying phân tán số lần thử trên nhiều username để tránh bị hệ thống khóa tài khoản.
Ví dụ: attacker có danh sách 1.000 email nhân viên và thử mật khẩu Company@2026 trên toàn bộ danh sách đó. Sau một thời gian, chúng tiếp tục thử mật khẩu khác như Welcome@2026. Hình thức này thường nhắm vào email doanh nghiệp, VPN, hệ thống nội bộ hoặc cổng đăng nhập nhân viên.
Credential stuffing
Credential stuffing là hình thức dùng username và password đã bị rò rỉ từ hệ thống khác để thử đăng nhập vào hệ thống mục tiêu. Kiểu tấn công này lợi dụng thói quen dùng lại một mật khẩu cho nhiều tài khoản khác nhau.
Ví dụ: một người dùng từng đăng ký tài khoản ở diễn đàn A bằng email công ty và mật khẩu quen thuộc. Khi diễn đàn A bị lộ dữ liệu, attacker lấy cặp email/mật khẩu đó để thử đăng nhập vào email doanh nghiệp, hosting, website hoặc các nền tảng quan trọng khác.
Phishing đánh cắp mật khẩu
Phishing là hình thức lừa người dùng tự nhập tài khoản, mật khẩu hoặc mã OTP vào website/email/tin nhắn giả mạo. Thay vì dò mật khẩu, attacker tạo ra một giao diện giống trang đăng nhập thật để đánh lừa người dùng.
Ví dụ: người dùng nhận được email giả mạo nhà cung cấp hosting với nội dung “tài khoản sắp bị khóa” và được yêu cầu đăng nhập để xác minh. Khi người dùng nhập thông tin vào trang giả mạo, username và password sẽ bị gửi về cho attacker.
Keylogger/malware đánh cắp mật khẩu
Keylogger và malware là các phần mềm độc hại có khả năng ghi lại thao tác bàn phím, đánh cắp mật khẩu đã lưu trên trình duyệt, cookie đăng nhập hoặc token phiên. Đây là hình thức đặc biệt nguy hiểm vì người dùng có thể bị lộ mật khẩu ngay cả khi mật khẩu đủ mạnh.
Ví dụ: người dùng tải một phần mềm không rõ nguồn gốc về máy tính. Sau khi cài đặt, phần mềm này âm thầm ghi lại thông tin đăng nhập email, website quản trị hoặc tài khoản quan trọng và gửi dữ liệu cho kẻ tấn công.
Theo OWASP, brute force là hình thức thử nhiều mật khẩu với một tài khoản, credential stuffing là việc thử các cặp username/password đã bị rò rỉ, còn password spraying là kỹ thuật thử một mật khẩu yếu trên nhiều tài khoản. Vì vậy, khi phân tích tấn công mật khẩu, cần phân biệt rõ giữa tấn công dò mật khẩu, tấn công dùng dữ liệu rò rỉ và tấn công đánh cắp thông tin đăng nhập.
Xem thêm: Chứng chỉ SSL là gì? Tại sao cần sử dụng SSL?
Tấn công active online là gì
Tấn công active online là hình thức kẻ tấn công thử đăng nhập trực tiếp vào hệ thống thật để dò hoặc kiểm tra thông tin tài khoản. Mục tiêu là tìm ra username và password đúng để chiếm quyền truy cập.
Kẻ tấn công có thể dùng bot, script, danh sách mật khẩu phổ biến hoặc các cặp username/password đã bị rò rỉ để thử đăng nhập vào form login, API đăng nhập, email server, SSH, website hoặc hệ thống quản trị.
Tấn công active online là gì
Một số dạng tấn công active online phổ biến gồm:
- Brute force: thử nhiều mật khẩu trên một tài khoản.
- Dictionary attack: thử mật khẩu từ danh sách phổ biến.
- Password spraying: thử một mật khẩu trên nhiều tài khoản.
- Credential stuffing: dùng tài khoản/mật khẩu bị rò rỉ để đăng nhập.
Vì diễn ra trực tiếp trên hệ thống thật, active online attack thường để lại dấu hiệu như nhiều lần đăng nhập thất bại, IP lạ, request bất thường hoặc nhiều tài khoản bị thử cùng lúc.
Xem thêm: Tiêu chí của một website chuẩn SEO là gì?
Tấn công active online là dạng tấn công mật khẩu nào?
Tấn công active online thuộc nhóm tấn công mật khẩu trực tuyến chủ động. Các dạng phổ biến nhất gồm brute force, dictionary attack, password spraying và credential stuffing. Một số kỹ thuật như phishing, malware hoặc hijacking có thể liên quan đến việc đánh cắp thông tin đăng nhập, nhưng không phải lúc nào cũng được xem là active online password attack.
Tấn công thụ động – Passive active
Tấn công thụ động hay passive active là một kiểu tấn công chặn đường truyền mạng và thu thập thông tin người dùng. Tin tặc tạo ra các trang web, tin nhắn và email để người dùng truy cập và nhập thông tin. Từ đó, các dữ liệu liên quan đến tài khoản và mật khẩu đều bị hacker lấy được mà người dùng không hề hay biết.
Tấn công phishing
Một cách khác mà tin tặc thực hiện các cuộc tấn công bằng mật khẩu là các cuộc tấn công lừa đảo (phishing). Tin tặc tạo ra các trang web giả giống hệt như thật, từ hình thức, nội dung đến tiếp thị.
Khi người dùng truy cập Internet, họ phải đăng nhập vào tài khoản của mình giống như trên một trang web thực. Từ đó, tất cả thông tin tài khoản bao gồm cả mật khẩu đều bị thu thập và đánh cắp.

Tấn công phishing
Tấn công rải rác – Distributed attack
Các cuộc tấn công bằng mật khẩu này cho phép tin tặc tạo ra các ứng dụng và phần mềm có chứa mã độc. Khi bạn sử dụng phần mềm này, chúng thu thập tất cả thông tin được lưu trữ trên thiết bị của bạn. Bao gồm các chức năng, tên người dùng và mật khẩu cho các ứng dụng khác. Các cuộc tấn công active online do đó cũng có thể là các cuộc tấn công mật khẩu distributed attack
Tấn công phá mã khóa (Compromised-Key Attack)
Tấn công phá khóa là hình thức tấn công trực tuyến phức tạp nhất. Tin tặc có được mật khẩu và phá vỡ các lớp bảo mật để truy cập vào hệ thống. Loại bỏ các thuật toán mã hóa phức tạp. Tin tặc thường sử dụng hình thức tấn công này vào những tài khoản an toàn nhất.
Tấn công khai thác lỗ hổng (Exploit attack)
Các cuộc tấn công lỗ hổng tương tự như các cuộc tấn công bẻ khóa. Tin tặc không cần phải bẻ khóa toàn bộ hệ thống bảo mật của bạn. Tất cả những gì các hacker cần làm là tìm ra lỗ hổng và truy cập vào hệ thống. Thông tin, bao gồm cả mật khẩu, cũng có thể dễ dàng bị đánh cắp từ đó.
Tấn công không tặc – Hijack attack
Đây được gọi là một cuộc tấn công chiếm quyền điều khiển vì tin tặc có toàn quyền kiểm soát tài khoản của bạn. Hacker có thể thực hiện bất kỳ hành động nào trên tài khoản của bạn, bao gồm cả việc ngắt kết nối với mọi thứ xung quanh bạn.

Tấn công không tặc – Hijack attack
Các cuộc tấn công chiếm quyền điều khiển thường được thực hiện bằng cách đánh cắp các DNS, TCP, ID, mã cookie, v.v.
Tấn công bộ nhớ đệm – Buffer overflow
Đây là một kiểu tấn công trực tuyến chủ động cố tình gây tràn bộ đệm. Tin tặc gửi một lượng lớn thông tin đến ứng dụng mà chúng đang cố gắng hack, gây tràn bộ nhớ và lỗi hệ thống. Sau đó sử dụng lỗ hổng này để hack mật khẩu và truy cập tài khoản.
Dấu Hiệu Hệ Thống Đang Bị Tấn Công Active Online
Dấu hiệu phổ biến của active online attack là số lần đăng nhập thất bại tăng bất thường, nhiều IP cùng thử đăng nhập, nhiều tài khoản bị thử cùng một mật khẩu hoặc có đăng nhập thành công ngay sau chuỗi đăng nhập sai. Vì hình thức tấn công này diễn ra trực tiếp trên hệ thống thật, quản trị viên có thể phát hiện thông qua log đăng nhập, log server hoặc hệ thống cảnh báo bảo mật.
- Nhiều lần đăng nhập thất bại trong thời gian ngắn: Đây là dấu hiệu điển hình của brute force attack. Attacker có thể đang dùng bot hoặc script để thử nhiều mật khẩu liên tục trên một tài khoản.
- Nhiều IP lạ cùng thử đăng nhập: Nếu hệ thống ghi nhận nhiều IP khác nhau cùng gửi yêu cầu đăng nhập, có thể attacker đang dùng proxy, botnet hoặc mạng IP phân tán để tránh bị chặn.
- Một IP thử nhiều tài khoản khác nhau: Dấu hiệu này thường liên quan đến password spraying. Attacker có thể đang dùng một vài mật khẩu phổ biến để thử trên nhiều username.
- Một tài khoản bị thử nhiều mật khẩu liên tục: Đây là dấu hiệu rõ của brute force hoặc dictionary attack, đặc biệt khi số lần đăng nhập sai tăng nhanh trong vài phút.
- Login bất thường từ quốc gia hoặc khu vực lạ: Nếu tài khoản thường đăng nhập tại Việt Nam nhưng đột nhiên có yêu cầu đăng nhập từ quốc gia khác, hệ thống cần cảnh báo hoặc yêu cầu xác thực bổ sung.
- Tăng request vào các endpoint đăng nhập: Với website, các URL như /login, /admin, /wp-login.php, /xmlrpc.php thường là mục tiêu bị dò mật khẩu. Nếu lượng request vào các endpoint này tăng đột biến, có thể website đang bị active online attack.
- Nhiều tài khoản bị khóa cùng lúc: Khi hệ thống tự động khóa nhiều tài khoản do đăng nhập sai quá số lần cho phép, đây có thể là dấu hiệu attacker đang thử mật khẩu hàng loạt.
- Có đăng nhập thành công ngay sau nhiều lần thất bại: Đây là dấu hiệu rủi ro cao. Nếu một tài khoản đăng nhập thành công sau nhiều lần sai mật khẩu, cần kiểm tra ngay IP, thiết bị, vị trí đăng nhập và hành vi sau khi đăng nhập.
Với website WordPress, các endpoint như /wp-login.php hoặc /xmlrpc.php thường là mục tiêu bị brute force. Quản trị viên nên thường xuyên kiểm tra log đăng nhập, giới hạn số lần login sai, bật xác thực hai yếu tố và chặn các IP có hành vi bất thường.
Cách Phòng Chống Tấn Công Mật Khẩu Active Online
Để phòng chống tấn công active online, cần kết hợp bảo vệ từ cả phía người dùng và hệ thống. Mục tiêu là khiến attacker khó đoán mật khẩu, khó thử đăng nhập hàng loạt và dễ bị phát hiện khi có hành vi bất thường.
Với người dùng
- Dùng mật khẩu dài, khó đoán: tránh các mật khẩu phổ biến như 123456, admin123, password.
- Không dùng lại mật khẩu: mỗi website, email hoặc tài khoản quan trọng nên có một mật khẩu riêng.
- Bật MFA/2FA: thêm lớp xác thực để bảo vệ tài khoản ngay cả khi mật khẩu bị lộ.
- Không nhập mật khẩu vào link lạ: kiểm tra kỹ tên miền trước khi đăng nhập.
- Dùng trình quản lý mật khẩu: giúp tạo và lưu mật khẩu mạnh, riêng biệt.
- Đổi mật khẩu khi nghi bị lộ: đặc biệt khi có cảnh báo đăng nhập bất thường.
Với quản trị viên website/server
- Bật rate limiting: giới hạn số lần request vào form đăng nhập.
- Giới hạn đăng nhập sai: tạm khóa hoặc yêu cầu xác minh khi nhập sai quá nhiều lần.
- Bật MFA cho tài khoản admin: ưu tiên tài khoản quản trị website, hosting, VPS, email.
- Chặn mật khẩu yếu: không cho dùng các mật khẩu phổ biến, dễ đoán.
- Theo dõi login log: kiểm tra IP lạ, login fail tăng bất thường, nhiều tài khoản bị thử cùng lúc.
- Cảnh báo đăng nhập bất thường: gửi thông báo khi có login từ thiết bị, vị trí hoặc quốc gia lạ.
- Chặn IP/bot đáng ngờ: dùng firewall, WAF, CDN hoặc plugin bảo mật.
- Bảo vệ endpoint WordPress: giới hạn truy cập /wp-login.php, /wp-admin, /xmlrpc.php.
- Không dùng username mặc định admin: đổi sang tên khó đoán và phân quyền hợp lý.
Theo OWASP, các biện pháp như MFA, kiểm tra mật khẩu yếu hoặc đã bị rò rỉ, rate limiting, CAPTCHA theo rủi ro và giám sát hành vi đăng nhập có thể giúp giảm rủi ro từ brute force, password spraying và credential stuffing.
Lời kết
Như vậy, qua bài viết của BKNS, hy vọng bạn đã có thêm những kiến thức thú vị về tấn công active online. Từ đó biết cách nâng cao các lớp bảo mật thông tin quan trọng, tránh sự tấn công của hacker. Chúc các bạn thành công!
Cảm ơn bạn đã đón đọc bài viết. Có thể bạn cũng quan tâm đến:
Cách Lấy Cookie Facebook Đơn Giản Nhất
FTP Server Là Gì? Kiến Thức Để Sử Dụng FTP Server Thành Thục Nhất




































