Kiểm tra độ mạnh mật khẩu (entropy + thời gian bẻ khóa)

'Entropy' có nghĩa gì với mật khẩu

Entropy đo tính không thể đoán trước bằng bit. Mật khẩu với 30 bit entropy cần trung bình ~2³⁰ ≈ 1 tỷ lần đoán để bẻ khóa. Trên 70 bit thường được coi là mạnh; trên 80 bit là xuất sắc.

Công thức: entropy = độ_dài × log₂(kích_thước_bộ_ký_tự). 'abcdefgh' (8 ký tự, chỉ chữ thường) = 8 × log₂(26) ≈ 37,6 bit. 'aA1!aaaa' (8 ký tự, tất cả bộ ký tự) = 8 × log₂(95) ≈ 52,6 bit — nhưng thời gian bẻ khóa tệ hơn nhiều so với 52 bit vì 'aaaa' là mẫu phổ biến.

Tại sao thời gian bẻ khóa biến đổi rất nhiều

GPU ngoại tuyến: hash mật khẩu bị rò rỉ đang bị tấn công ngoại tuyến. GPU hiện đại có thể đoán 10⁹+ hash MD5 mỗi giây; hash bcrypt chỉ 10⁴-10⁵/giây. Ước tính ở đây dùng giả định hash nhanh GPU.

Trực tuyến nhanh: kẻ tấn công tấn công API đăng nhập trực tiếp. Hầu hết API có giới hạn tốc độ; 1.000 lần thử/giây là ước tính cao đối với endpoint kém bảo vệ.

Trực tuyến chậm: endpoint được bảo vệ đúng cách với giới hạn tốc độ nghiêm ngặt, khóa tài khoản và CAPTCHA. 100 lần thử/giây là hào phóng; nhiều hệ thống chỉ cho phép 5-10 lần/phút.

Các ước tính này bỏ qua các yếu tố thực tế như tấn công từ điển (tìm mật khẩu phổ biến nhanh hơn nhiều so với brute force) và tái sử dụng mật khẩu (bẻ rò rỉ của một trang giúp bẻ các trang khác).

Điều gì tạo nên mật khẩu mạnh

Độ dài hơn độ phức tạp: cụm 16 ký tự kiểu 'mèo trèo cây cao nhìn xa' mạnh hơn kiểu tra tấn 8 ký tự như 'P@ssw0rd!'. Hiểu biết từ XKCD năm 2011 vẫn còn hiệu lực: 4 từ ngẫu nhiên cho ~44 bit entropy.

Tránh mẫu: ngày tháng, tên, '123', 'qwer', ký tự lặp đều làm giảm entropy thực tế xuống dưới giá trị công thức. Công cụ tấn công bao gồm 'biến đổi theo quy tắc' mở rộng (ví dụ 'password' → 'P@ssw0rd!').

Dùng trình quản lý mật khẩu: con người chọn mẫu; trình quản lý thì không. Bitwarden, 1Password, KeePass tạo mật khẩu thực sự ngẫu nhiên cho mỗi trang, với 16+ ký tự trên tất cả bộ ký tự. Mật khẩu duy nhất bạn cần nhớ là mật khẩu chính — và mật khẩu đó nên là cụm dài dễ nhớ.