Công cụ mật khẩu Quay lại trình tạo

Hướng dẫn bảo mật

Mật khẩu nên dài bao nhiêu?

Tìm hiểu khi nào nên chọn 12, 16, 20 hoặc 32 ký tự và tại sao độ dài, tính duy nhất và cách lưu trữ mật khẩu lại quan trọng hơn độ phức tạp trực quan.

Tóm tắt

Đối với hầu hết các tài khoản hiện đại, 16 ký tự ngẫu nhiên là một mức cơ bản thực tế mạnh mẽ. Sử dụng 20 ký tự trở lên cho các tài khoản cá nhân quan trọng, email, ngân hàng, công việc hoặc quản trị. Sử dụng 32 ký tự khi mật khẩu sẽ được lưu trong trình quản lý và bảo vệ quyền truy cập có giá trị cao.

Hãy thử trình tạo 16 ký tự, 20 ký tự hoặc 32 ký tự.

Các mức độ dài

Mật khẩu ngắn dễ bị đoán hơn vì có ít tổ hợp khả thi hơn. Sáu đến chín ký tự thường là quá ngắn để bảo mật tài khoản. Mười đến mười bốn ký tự có thể được nhiều dịch vụ chấp nhận, nhưng không nên coi là lựa chọn ưu tiên cho các tài khoản quan trọng.

Mười sáu ký tự ngẫu nhiên là một mặc định tốt khi trình quản lý mật khẩu lưu trữ giá trị. Hai mươi ký tự tăng thêm biên độ trong khi vẫn tương thích với nhiều trang web. Ba mươi hai ký tự hữu ích cho bảng quản trị, tệp được mã hóa, thông tin đăng nhập cơ sở dữ liệu và bí mật cục bộ.

Độ dài ngẫu nhiên so với độ dài do con người tạo

Mật khẩu 16 ký tự ngẫu nhiên rất khác so với cụm từ 16 ký tự do con người tạo. Lựa chọn của con người thường bao gồm từ ngữ, ngày tháng, tên và các kết thúc có thể đoán trước. Kẻ tấn công kiểm tra các mẫu đó trước khi thử brute force mù.

Khuyến nghị thực tế

Hướng dẫn chi tiết

Hướng dẫn này tập trung vào việc chọn độ dài mật khẩu cho các rủi ro tài khoản khác nhau. Nó được viết cho độc giả so sánh các lựa chọn 12, 16, 20, 24 và 32 ký tự, vì vậy mục tiêu thực tế không phải là tạo ra một tuyên bố bảo mật ấn tượng. Mục tiêu là chọn một thói quen mật khẩu có thể tồn tại trong sử dụng hàng ngày: biểu mẫu đăng nhập, trình quản lý mật khẩu, bàn phím di động, khôi phục tài khoản, thiết bị dùng chung và dịch vụ thỉnh thoảng có quy tắc xác thực kỳ lạ. Một khuyến nghị an toàn chỉ hữu ích nếu một người thực sự có thể tuân theo nó một cách nhất quán.

Điểm khởi đầu an toàn nhất là tính ngẫu nhiên cộng với tính duy nhất. Tính ngẫu nhiên có nghĩa là giá trị được chọn từ một không gian lớn bởi một nguồn ngẫu nhiên phù hợp về mặt mật mã, không phải được phát minh từ ngày sinh, tên thú cưng, mẫu bàn phím hoặc câu trích dẫn yêu thích. Tính duy nhất có nghĩa là cùng một mật khẩu không được sử dụng ở bất kỳ nơi nào khác. Một mật khẩu dài nhưng bị tái sử dụng có thể thất bại nhanh chóng sau một vụ vi phạm không liên quan, trong khi một mật khẩu ngẫu nhiên duy nhất giới hạn thiệt hại cho tài khoản duy nhất nơi nó được sử dụng.

Đối với chủ đề này, một cài đặt trước thực tế là 16 ký tự cho các tài khoản thông thường, 20 ký tự trở lên cho các tài khoản quan trọng và 32 ký tự cho các bí mật được lưu trữ thay vì gõ. Bạn có thể áp dụng cài đặt trước đó với trình tạo mật khẩu 32 ký tự và sau đó lưu trữ giá trị cuối cùng trong một trình quản lý mật khẩu đáng tin cậy. PwdGen tạo giá trị cục bộ trong trình duyệt với Web Crypto; mật khẩu được tạo không được gửi đến máy chủ PwdGen. Thiết kế cục bộ đó làm giảm rủi ro tiếp xúc phía máy chủ, nhưng nó không bảo vệ khỏi mọi mối đe dọa. Một tiện ích mở rộng trình duyệt độc hại, thiết bị bị xâm phạm, trang lừa đảo hoặc xử lý clipboard không an toàn vẫn có thể làm lộ bí mật sau khi nó được tạo.

Các vấn đề phổ biến nhất cần tránh là các giá trị ngẫu nhiên ngắn, giới hạn độ dài tối đa, biểu mẫu kế thừa và giả định rằng một số cố định là an toàn cho mọi hệ thống. Những vấn đề này quan trọng vì kẻ tấn công hiếm khi cần brute-force mọi mật khẩu có thể khi thói quen của con người cho chúng một lối tắt. Credential stuffing, lừa đảo, danh sách mật khẩu bị rò rỉ và lạm dụng khôi phục tài khoản thường thực tế hơn một tìm kiếm toán học thuần túy. Đó là lý do tại sao lời khuyên tốt nhất kết hợp chất lượng mật khẩu với các biện pháp kiểm soát cấp tài khoản như MFA, khóa truy cập (passkeys), lưu trữ mã khôi phục và xem xét thường xuyên cài đặt email hoặc điện thoại khôi phục.

Sử dụng danh sách kiểm tra này khi áp dụng khuyến nghị:

Nếu một trang web từ chối cài đặt lý tưởng, đừng ép mật khẩu vào một mẫu yếu hơn bằng tay. Điều chỉnh một biến tại một thời điểm. Nếu ký hiệu bị từ chối, hãy giữ chữ hoa, chữ thường và số được bật và tăng độ dài. Nếu độ dài tối đa thấp, hãy sử dụng độ dài được chấp nhận lớn nhất và đảm bảo giá trị là duy nhất. Nếu mật khẩu phải được đọc to, in ra hoặc gõ trên màn hình tivi hoặc bộ định tuyến, hãy cân nhắc loại trừ các ký tự khó phân biệt và tăng độ dài để bù đắp cho bảng chữ cái nhỏ hơn.

Cuối cùng, hãy nhớ ranh giới của lời khuyên về mật khẩu. Một mật khẩu mạnh là một lớp bảo vệ, không phải là sự đảm bảo. Nó không thể làm cho một trang lừa đảo an toàn, sửa phần mềm độc hại hoặc bù đắp cho một dịch vụ lưu trữ thông tin đăng nhập kém. Thói quen hữu ích là nhàm chán nhưng bền bỉ: tạo một giá trị duy nhất, lưu trữ an toàn, bảo vệ đường dẫn khôi phục và thay thế nhanh chóng nếu bạn nghi ngờ bị lộ.

Các câu hỏi thường gặp

12 ký tự có đủ không?

Mật khẩu 12 ký tự ngẫu nhiên có thể hữu ích cho khả năng tương thích, nhưng 16 ký tự trở lên là mặc định tốt hơn khi dịch vụ chấp nhận nó.

Khi nào tôi nên sử dụng 20 hoặc 32 ký tự?

Sử dụng 20 ký tự trở lên cho các tài khoản quan trọng và 32 ký tự cho quy trình quản trị, tệp được mã hóa hoặc bí mật nhà phát triển được lưu trữ trong trình quản lý mật khẩu.

Mật khẩu có thể quá dài không?

Một số dịch vụ áp đặt độ dài tối đa hoặc từ chối ký hiệu. Sử dụng giá trị ngẫu nhiên duy nhất dài nhất mà đích đến chấp nhận.

Nguồn