Độ Entropy Của Mật Khẩu Được Giải Thích — Và Tại Sao Mật Khẩu "Phức Tạp" Của Bạn Yếu Hơn Một Cụm Từ
Entropy là thước đo duy nhất trung thực về độ mạnh của mật khẩu. Đây là cách nó được tính toán, thời gian mà những kẻ tấn công cần để phá vỡ các mức độ khác nhau, và tại sao bốn từ ngẫu nhiên thường vượt trội hơn một mật khẩu "P@ssw0rd!" 12 ký tự.
"Hãy tạo mật khẩu phức tạp" là lời khuyên vô dụng. Nó bảo bạn thêm một ký hiệu và một số như thể điều đó làm cho mật khẩu an toàn. Nó không phải. Thước đo duy nhất trung thực về độ mạnh của mật khẩu là entropy, và hầu hết các mật khẩu "phức tạp" đạt điểm tệ hơn bạn nghĩ.
Entropy Thực Sự Đo Lường Cái Gì
Entropy là số lượng bit ngẫu nhiên trong mật khẩu của bạn — nói cách khác, một kẻ tấn công cần bao nhiêu lần đoán, trung bình, để phá vỡ nó bằng brute force. Nó được tính toán là length × log₂(pool size).
Ví dụ: mật khẩu 10 ký tự chỉ sử dụng các chữ cái thường (pool = 26) có entropy 10 × log₂(26) ≈ 47 bits. Mật khẩu 10 ký tự sử dụng chữ thường, chữ hoa, số và ký hiệu (pool = 88) có 10 × log₂(88) ≈ 64.6 bits. Cùng độ dài, nhưng pool lớn hơn làm cho mỗi ký tự hoạt động nặng hơn.
Bao Nhiêu Bit Là "An Toàn"?
Các ngưỡng hiện đại gần đúng (giả sử mật khẩu được hash tốt tồn tại sau khi rò rỉ cơ sở dữ liệu — nếu trang web sử dụng bcrypt hoặc argon2, điều mà nó nên làm):
- Dưới 40 bits: có thể phá vỡ trong vài phút bởi một GPU duy nhất.
- 40–60 bits: có thể phá vỡ trong vài giờ đến vài tuần bởi một kẻ tấn công nghiêm túc với một trang trại GPU.
- 60–80 bits: an toàn chống lại brute force ngoại tuyến ngày nay. Mục tiêu tốt cho các tài khoản cá nhân.
- 80–100 bits: kháng lại bất kỳ đối thủ hiện tại nào, bao gồm cả các quốc gia, trong suốt vòng đời của phần cứng hiện tại.
- 100+ bits: quá mức cho bất kỳ mô hình mối đe dọa thực tế nào.
Hướng tới 80 bits cho bất cứ điều gì bảo vệ tiền bạc, danh tính hoặc cơ sở hạ tầng. Hướng tới 100+ cho mật khẩu master của trình quản lý mật khẩu của bạn.
Cái Bẫy Mật Khẩu "Phức Tạp"
Những người dùng được yêu cầu tạo mật khẩu "phức tạp" chọn các mô hình dự đoán được: viết hoa chữ cái đầu tiên, thêm một số vào cuối, thay thế a bằng @. Password1! là 10 ký tự và trông phức tạp đối với con người. Đối với một kẻ phá mã, nó là một lần đoán — nó xuất hiện trong mọi từ điển mật khẩu bị rò rỉ.
Entropy thực sự của các mật khẩu được chọn bởi người dùng thấp hơn đáng kể so với kích thước pool mà chúng gợi ý, bởi vì con người không giỏi trong việc ngẫu nhiên. Các nghiên cứu liên tục đặt nó ở khoảng 20–30 bits bất kể độ phức tạp được tuyên bố.
Tại Sao Cụm Từ Thắng Thế
Cụm từ là 4–7 từ ngẫu nhiên được nối với dấu gạch ngang: garden-river-pencil-strong-sunset-bridge. Sáu từ ngẫu nhiên từ danh sách 512 từ có 6 × log₂(512) = 54 bits entropy — nhiều hơn hầu hết mọi người đạt được với mật khẩu "phức tạp" của họ, và dễ nhớ hơn rất nhiều.
Mở rộng thành bảy từ và bạn vượt qua 63 bits. Tám từ từ danh sách 7776 từ (Diceware) cho 103 bits. Tất cả trong khi dễ dàng gõ, dễ nhớ, và miễn dịch với hầu hết các cuộc tấn công từ điển (bởi vì sự kết hợp là ngẫu nhiên ngay cả khi mỗi từ là phổ biến).
Mật Khẩu Phát Âm Được: Lựa Chọn Trung Gian
Đối với các tình huống trong đó mật khẩu phải được đọc qua điện thoại, các mật khẩu phát âm được xen kẽ phụ âm và nguyên âm: baketomiloguno. Mỗi âm tiết (phụ âm + nguyên âm) có log₂(21 × 5) ≈ 6.7 bits entropy, vì vậy sáu âm tiết cho ~40 bits.
Yếu hơn các cụm từ nhưng mạnh hơn các mật khẩu được chọn bởi con người điển hình, và quan trọng hơn là dễ dàng đọc to mà không cần hỏi "điều đó là O hay số 0?".
Tạo Mật Khẩu An Toàn
Không dựa vào tính ngẫu nhiên của con người. Sử dụng một công cụ. Trình Tạo Mật Khẩu aukimi cung cấp ba chế độ — ngẫu nhiên, cụm từ và phát âm được — với bộ đo entropy trực tiếp để bạn có thể thấy chính xác độ mạnh của đầu ra của bạn. Nó sử dụng crypto.getRandomValues (nguồn ngẫu nhiên an toàn mật mã của trình duyệt) và áp dụng lấy mẫu từ chối để loại bỏ sai lệch modulo.
Quan trọng: việc tạo ra xảy ra hoàn toàn trong trình duyệt của bạn. Không có gì được truyền, ghi nhật ký hoặc lưu trữ. Mở tab mạng devtools của bạn trong khi tạo — bạn sẽ thấy không có yêu cầu nào rời khỏi trang.
Quy Tắc Duy Nhất
Sử dụng trình quản lý mật khẩu. Tạo một mật khẩu ngẫu nhiên dài cho mỗi trang web (trình quản lý mật khẩu của bạn không bao giờ quên nó, vì vậy độ dài không quan trọng cho khả năng sử dụng). Sử dụng một cụm từ làm mật khẩu master của trình quản lý mật khẩu của bạn — đó là mật khẩu bạn phải nhớ.
Mọi thứ khác là tối ưu hóa. Làm đúng một mô hình này và bạn sẽ vượt trội hơn 95% người dùng.
Bạn thích bài viết này?
Bài viết liên quan
Ngăn xếp sáng tạo vừa sụp đổ: Một tuần công cụ AI, cuối tháng 4 năm 2026
Giữa ngày 27 tháng 4 và 4 tháng 5 năm 2026, Adobe, Luma, Novi, fal, Figma, Canva, HeyGen và Anthropic đều vượt qua cùng một ngưỡng trong tám ngày. Đây là những gì đã được phát hành, ý nghĩa của nó, và nó để lại cho các bộ sáng tạo dựa trên trình duyệt cố gắng hợp nhất tất cả.
AI Music và SFX trong 2026: Những gì thực sự hoạt động trong âm thanh indie game
Ba năm trước, âm thanh indie game chỉ có hai lựa chọn: cấp phép thư viện royalty-free (rẻ, chung chung, mỗi game nghe như nhau) hoặc thuê nhạc sĩ (hay, đắt tiền). Trong năm 2026, AI tạo ra bản nhạc để phát hành. Dưới đây là những công cụ nào hoạt động — và nơi nhạc sĩ con người vẫn thắng.
Tạo Lưới AI năm 2026: Những Gì Thực Sự Được Triển Khai Trong Quy Trình Game
Image-to-3D đã chuyển từ "demo kỳ lạ" sang "triển khai trong các dự án indie" trong mười tám tháng. Đây là những gì Tripo, Meshy, Rodin và Hyper3D thực sự làm trong sản xuất — và nơi mà nghệ sĩ 3D vẫn vượt qua mô hình mỗi lần.