Đo độ mạnh mật khẩu

// Đo độ mạnh mật khẩu

Mật khẩu của bạn không bao giờ rời khỏi trình duyệt. Phân tích độ mạnh được thực hiện hoàn toàn trên thiết bị của bạn. Kiểm tra rò rỉ chỉ gửi một phần hash — mật khẩu thực sự của bạn không bao giờ được truyền đi.

Mẹo

Sử dụng ít nhất 12 ký tự

Kết hợp chữ hoa, chữ thường, số và ký hiệu

Sử dụng mật khẩu riêng cho mỗi tài khoản

Trình tạo mật khẩu an toàn →

Cách Đo Độ Mạnh Của Mật Khẩu

Độ mạnh của mật khẩu được đo bằng bit entropy — một đại lượng toán học biểu thị mức độ khó đoán của mật khẩu. Công thức tính dựa trên kích thước tập ký tự (chữ thường, chữ hoa, chữ số, ký hiệu) lũy thừa theo độ dài mật khẩu. Entropy càng cao đồng nghĩa với việc kẻ tấn công phải thử càng nhiều tổ hợp hơn.

Ví dụ, một mật khẩu chỉ gồm chữ thường (26 ký tự) có khoảng 4,7 bit entropy mỗi ký tự. Thêm chữ hoa (tổng cộng 52 ký tự) thì được 5,7 bit. Nếu bao gồm cả chữ số và ký hiệu (95+ ký tự), mỗi ký tự đóng góp khoảng 6,6 bit. Một mật khẩu 16 ký tự sử dụng đầy đủ tập ký tự sẽ cho hơn 100 bit entropy — gần như không thể phá vỡ bằng tấn công brute force.

Kiểm Tra Have I Been Pwned

Công cụ này kiểm tra mật khẩu của bạn với cơ sở dữ liệu Have I Been Pwned gồm hơn 700 triệu mật khẩu bị xâm phạm, sử dụng phương pháp k-anonymity. Chỉ 5 ký tự đầu của hàm băm SHA-1 được gửi đi — mật khẩu đầy đủ không bao giờ rời khỏi trình duyệt của bạn. Nếu tìm thấy kết quả trùng khớp, mật khẩu của bạn đã xuất hiện trong một vụ rò rỉ dữ liệu đã biết và cần được thay đổi ngay lập tức.

FAQ

Entropy của mật khẩu là gì?

Entropy đo lường mức độ khó đoán của mật khẩu tính bằng bit. Mỗi bit tăng thêm sẽ nhân đôi số tổ hợp có thể có. Một mật khẩu có 60 bit entropy sẽ có 2^60 (khoảng 1 triệu tỷ tỷ) tổ hợp có thể, khiến các cuộc tấn công brute-force trở nên không khả thi.

Tính năng kiểm tra rò rỉ bảo vệ quyền riêng tư của tôi như thế nào?

Chúng tôi sử dụng k-anonymity: mật khẩu của bạn được băm SHA-1 ngay trên máy, và chỉ 5 ký tự đầu của hàm băm được gửi đến API. Máy chủ trả về tất cả các hàm băm bắt đầu bằng 5 ký tự đó, và việc so sánh diễn ra hoàn toàn trong trình duyệt của bạn.

"Thời gian để bẻ khóa" có chính xác không?

Đây là ước tính dựa trên 10 tỷ lần đoán mỗi giây (tốc độ thực tế của các cụm GPU hiện đại). Thời gian bẻ khóa thực tế phụ thuộc vào phương pháp tấn công, phần cứng, và việc mật khẩu của bạn có khớp với các mẫu phổ biến hay không.

Mật khẩu của tôi không bị tìm thấy trong các vụ rò rỉ — vậy nó có an toàn không?

Không nhất thiết. Không tìm thấy mật khẩu có nghĩa là nó chưa xuất hiện trong các vụ rò rỉ công khai đã biết. Mật khẩu vẫn có thể dễ bị tấn công bằng từ điển, khớp mẫu, hoặc đoán có chủ đích. Hãy luôn hướng tới entropy cao.