Tạo Mật Khẩu

Tạo mật khẩu an toàn bằng CSPRNG, hiển thị độ ngẫu nhiên thực (bit) và thời gian bẻ khóa offline. Tùy chỉnh độ dài, ký tự, tạo hàng loạt, chuẩn NIST.

Có góp ý? Báo lỗi, đề xuất tính năng, hoặc chia sẻ suy nghĩ — chúng tôi đọc tất cả

Tạo Password - Tạo mật khẩu ngẫu nhiên mạnh

Công cụ tạo password mạnh mẽ tạo ra mật khẩu ngẫu nhiên bảo mật mã hóa. Tùy chỉnh độ dài, loại ký tự và tạo nhiều mật khẩu cùng lúc. Bao gồm đồng hồ đo độ mạnh password để đảm bảo mật khẩu của bạn an toàn.

Điều gì làm mật khẩu mạnh trong năm 2026?

Độ mạnh mật khẩu hiện đại bị chi phối bởi entropy — logarit của không gian tìm kiếm mà kẻ tấn công phải bao phủ. NIST SP 800-63B (bản sửa 2024) khuyến nghị tối thiểu 8 ký tự nhưng khuyến khích 15 trở lên cho bất kỳ tài khoản nào bảo vệ dữ liệu giá trị. Độ dài quan trọng hơn độ phức tạp: mật khẩu 20 ký tự chỉ chữ thường có khoảng 94 bit entropy, mạnh hơn nhiều so với mật khẩu 8 ký tự hỗn hợp chữ hoa-thường-số-ký hiệu (~52 bit). Yếu tố lớn hơn là tính duy nhất — mỗi tài khoản nên có mật khẩu khác nhau, vì rò rỉ trung bình lộ một chứng thực mà 65% người dùng tái sử dụng. Dùng trình quản lý mật khẩu (1Password, Bitwarden, KeePass) để tạo và lưu mật khẩu ngẫu nhiên cho từng trang, và bảo vệ vault bằng cụm từ dài cộng xác thực đa yếu tố phần cứng. Tránh xoay vòng định kỳ bắt buộc (NIST đã bỏ yêu cầu đó) — nó đẩy người dùng đến biến thể dễ đoán.

Mật khẩu ngẫu nhiên so với cụm từ (diceware) thế nào?

Cả hai đều có thể mạnh nếu tạo đúng cách. Mật khẩu ngẫu nhiên N ký tự từ bảng chữ K ký hiệu có N·log2(K) bit entropy: 16 ký tự ngẫu nhiên từ bảng 95-ASCII in được cho khoảng 105 bit — vượt mọi vét cạn khả thi. Cụm từ diceware dùng xúc xắc vật lý hoặc mật mã để chọn từ một danh sách công khai (danh sách dài EFF có 7,776 = 6^5 từ), cho log2(7776) ≈ 12.9 bit mỗi từ: 5 từ cho 64 bit (khá), 7 từ cho 90 bit (tuyệt), 10 từ cho 129 bit (quá mức). Cụm từ dễ ghi nhớ hơn, dễ gõ lại trên điện thoại, và dễ đọc to, lý tưởng cho mật khẩu chính của vault. Mật khẩu ký tự ngẫu nhiên đậm đặc hơn và tốt hơn cho trang có giới hạn độ dài. Quan trọng, không bao giờ tự nghĩ ra từ — dùng nguồn ngẫu nhiên đã được xác minh.

Entropy là gì và tính thế nào?

Entropy thông tin (Shannon, 1948) đo độ không thể đoán theo bit. Cho mật khẩu ngẫu nhiên đều độ dài L chọn từ bảng kích thước N, entropy = L × log2(N). Mật khẩu 12 ký tự từ [a-zA-Z0-9] (62 ký tự) có 12 × log2(62) ≈ 71 bit. Mỗi bit thêm gấp đôi công việc cho kẻ vét cạn. GPU hiện đại có thể tính ~100 tỷ (~37 bit) hash MD5 mỗi giây mỗi GPU, nên mật khẩu 50 bit hash MD5 không muối rơi trong khoảng một ngày trên rig 8 GPU. bcrypt có muối đúng cách làm chậm xuống ~10,000 mỗi giây, đẩy 70 bit lên hàng nghìn năm. NIST khuyến nghị ≥80 bit cho khóa đối xứng và độ mạnh tương đương cho mật khẩu bảo vệ tài khoản giá trị. Các "đồng hồ độ mạnh" trực tuyến chấm điểm bằng heuristic trực quan ("thêm ký hiệu!") phần lớn là kịch — entropy từ CSPRNG thật mới quan trọng.

Vì sao nên tránh mẫu phổ biến như P@ssw0rd! hoặc Mua2026?

Kẻ tấn công không đoán ngẫu nhiên — chúng dùng tấn công từ điển biến hóa dựa trên kho rò rỉ (RockYou chứa 14 triệu mật khẩu duy nhất; HaveIBeenPwned phơi bày hơn 800 triệu). Công cụ như Hashcat hỗ trợ tệp quy tắc thực hiện mọi thay thế phổ biến: P@ssw0rd, P@$$w0rd, Pa55w0rd, Pa$$word, v.v., tất cả đều trúng trong vài triệu lần đoán đầu. "Mua2026!" xuất hiện trong gần như mọi danh sách từ hiện đại với hoán vị năm tích hợp sẵn. Tên người thân, đội thể thao, tên thú cưng, ngày sinh đều tầm thường tương tự vì kẻ tấn công đối chiếu OSINT từ mạng xã hội. Phòng thủ là tính ngẫu nhiên từ CSPRNG (crypto.getRandomValues trong trình duyệt, mô-đun secrets trong Python, /dev/urandom trên Linux) — không bao giờ là mẫu do não người chọn. Mật khẩu thật sự ngẫu nhiên trông không thể nhớ một cách có chủ ý: vì vậy ta dùng trình quản lý mật khẩu.

Tạo Mật Khẩu — Tạo mật khẩu an toàn bằng CSPRNG, hiển thị độ ngẫu nhiên thực (bit) và thời gian bẻ khóa offline. Tùy chỉnh độ dài, ký t — **Tạo Mật Khẩu**

Mật khẩu nên lưu dưới dạng băm hay mã hóa trên máy chủ?

Luôn dạng băm, không bao giờ mã hóa hay lưu văn bản thuần. Mã hóa có thể đảo ngược — bất kỳ ai có khóa đều giải được mọi mật khẩu, nên một lần rò rỉ khóa hủy hoại mọi tài khoản. Băm là một chiều: ngay cả máy chủ cũng không khôi phục được mật khẩu từ hash đã lưu. Dùng hàm băm mật khẩu thích ứng hiện đại: Argon2id là khuyến nghị của OWASP và IETF (RFC 9106) từ 2015 với tư cách người thắng Cuộc thi Băm Mật khẩu, với bcrypt và scrypt là lựa chọn legacy chấp nhận được. PBKDF2-HMAC-SHA256 với ≥600,000 vòng lặp là bắt buộc cho hệ thống tuân thủ FIPS. Mỗi mật khẩu phải dùng muối ngẫu nhiên duy nhất 16 byte để đánh bại bảng cầu vồng. SHA-256 hay MD5 thuần KHÔNG chấp nhận được — chúng nhanh hơn nhiều bậc. Vụ rò rỉ LinkedIn năm 2012 phơi bày 117 triệu hash SHA-1 không muối; hầu hết bị bẻ trong vài ngày.

Tôi có cần 2FA nếu đã có mật khẩu mạnh?

Có — xác thực đa yếu tố (MFA) bảo vệ trước các cuộc tấn công mà không độ dài mật khẩu nào ngăn được: phishing, keylogger malware, rò rỉ phía máy chủ, và nhồi chứng thực. NIST SP 800-63B phân loại bộ xác thực thành ba yếu tố: cái bạn biết (mật khẩu), cái bạn có (khóa bảo mật, điện thoại), cái bạn là (vân tay, khuôn mặt). MFA thật cần ít nhất hai yếu tố khác biệt. Thứ tự ưu tiên: khóa bảo mật phần cứng dùng FIDO2/WebAuthn (YubiKey, Titan) kháng phishing vì gắn với tên miền nguồn; ứng dụng TOTP (Authy, Google Authenticator) tốt nhưng dễ bị proxy phishing thời gian thực (Evilginx); mã SMS yếu nhất (tấn công SIM-swap) và bị NIST khuyến không dùng từ 2017. MFA dựa push (Microsoft Authenticator) đang chịu tấn công "mệt mỏi MFA" nơi kẻ tấn công spam lời nhắc phê duyệt. Dùng khóa phần cứng ở đâu hỗ trợ.

Nên bao gồm ký tự nào và tránh ký tự nào?

Tối đa bảng chữ để tối đa entropy. Hệ thống hiện đại nên chấp nhận đủ 95 ký tự ASCII in được (0x20-0x7E): chữ cái, chữ số, và các ký hiệu !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~ cộng dấu cách. NIST SP 800-63B yêu cầu rõ ràng chấp nhận toàn bộ ASCII in được và lý tưởng là Unicode. Tuy nhiên, hệ thống thực tế thường hành xử sai: một số bỏ < > để ngăn XSS (dấu hiệu vệ sinh hỏng phía máy chủ), một số hỏng ở dấu nháy hoặc xuyệc ngược do lỗi escape SQL, một số cắt ngắn ở 8 hoặc 16 ký tự (dấu hiệu chúng dùng crypt(3)). Cho khả năng tương thích tối đa, tạo mật khẩu từ [A-Za-z0-9!@#$%^&*()-_=+?]. Tránh ký tự giống nhau (O vs 0, l vs 1 vs I) chỉ khi người phải gõ mật khẩu từ thị giác; ngoài ra mất entropy là không cần thiết. Trang cấm bất kỳ ký tự nào đang tạo ra mất an toàn, không phải phòng ngừa.

Việc bẻ mật khẩu thực sự hoạt động ra sao?

Kẻ tấn công hiện đại không đoán mật khẩu trên form đăng nhập trực tiếp — điều đó kích hoạt giới hạn tốc độ và khóa tài khoản. Thay vào đó chúng đánh cắp cơ sở dữ liệu hash (qua SQL injection, người trong, rò rỉ sao lưu), rồi bẻ ngoại tuyến trên rig chuyên dụng. Hashcat và John the Ripper là công cụ chính, được tăng tốc bằng GPU (một RTX 4090 đạt ~200 GH/s trên MD5, ~16 KH/s trên bcrypt cost=10). Đường ống tấn công: (1) tấn công danh sách từ với rockyou.txt và kho rò rỉ, (2) đột biến theo quy tắc (thêm 1, viết hoa, đổi a→@), (3) tấn công mặt nạ trên mẫu phổ biến (?u?l?l?l?l?l?l?d?d cho từ viết hoa 6 chữ + 2 số), (4) tấn công lai kết hợp danh sách + mặt nạ, (5) vét cạn thuần chỉ cho mật khẩu ngắn. Mật khẩu bcrypt có muối với 12+ bit entropy ngoài cơ sở từ điển kháng tất cả các giai đoạn. Độ dài cộng tính ngẫu nhiên thắng; quy tắc phức tạp thì không.