Công cụ mật khẩu Quay lại trình tạo

Hướng dẫn bảo mật

Cách Tạo Mật Khẩu Mạnh

Hướng dẫn thực tế để tạo mật khẩu mạnh, duy nhất với tính năng tạo cục bộ, trình quản lý mật khẩu, MFA và thói quen khôi phục an toàn.

Tóm tắt

Mật khẩu mạnh không chỉ là một chuỗi “trông có vẻ phức tạp”. Nó phải đủ dài cho trường hợp sử dụng, được tạo ngẫu nhiên, duy nhất cho một tài khoản và được lưu trữ an toàn. Quy trình làm việc hàng ngày đáng tin cậy nhất rất đơn giản: tạo một giá trị ngẫu nhiên duy nhất, lưu vào trình quản lý mật khẩu và bật MFA hoặc passkey bất cứ khi nào dịch vụ hỗ trợ.

Sử dụng trình tạo mật khẩu ngẫu nhiên miễn phí hoặc trình tạo mật khẩu 16 ký tự khi bạn cần mật khẩu cho tài khoản mới.

Điều gì làm nên mật khẩu mạnh

Các mật khẩu mạnh nhất trong thực tế được chọn bằng quy trình ngẫu nhiên, không phải do con người nghĩ ra. Mật khẩu do con người tạo thường chứa tên, ngày tháng, đường đi trên bàn phím, thương hiệu, lời bài hát hoặc các thay thế quen thuộc. Kẻ tấn công biết những mẫu đó và thử chúng trước.

Tạo ngẫu nhiên thay đổi tình hình. Một mật khẩu được tạo như giá trị 16, 20 hoặc 32 ký tự không có câu chuyện cá nhân, không có ngày tháng và không có cấu trúc từ điển thuận tiện. Nó chỉ hữu ích nếu vẫn duy nhất và riêng tư.

Khuyến nghị thực tế

  1. Tạo mật khẩu mới cho mỗi tài khoản.
  2. Ưu tiên ít nhất 15–16 ký tự ngẫu nhiên cho các tài khoản thông thường.
  3. Sử dụng 20 ký tự trở lên cho email, ngân hàng, công việc và quyền truy cập quản trị khi được chấp nhận.
  4. Bao gồm ký hiệu khi đích đến chấp nhận chúng.
  5. Lưu trữ mật khẩu trong trình quản lý mật khẩu đáng tin cậy.
  6. Bật MFA hoặc passkey.
  7. Xem xét cài đặt khôi phục tài khoản, vì kẻ tấn công thường nhắm vào các đường dẫn khôi phục.

Tính năng tạo cục bộ giải quyết và không giải quyết vấn đề gì

PwdGen tạo giá trị cục bộ bằng Web Crypto và không tải lên mật khẩu đã tạo. Điều đó bảo vệ khỏi việc trang web cố tình thu thập giá trị đã tạo. Nó không bảo vệ khỏi tiện ích mở rộng trình duyệt bị xâm phạm, trình quản lý clipboard không an toàn, phần mềm độc hại, trang lừa đảo hoặc dịch vụ xử lý lưu trữ mật khẩu không đúng cách.

Hướng dẫn chi tiết

Hướng dẫn này tập trung vào việc tạo mật khẩu mạnh từ đầu. Nó được viết cho những người đang thay thế mật khẩu tài khoản yếu hoặc bị tái sử dụng, vì vậy mục tiêu thực tế không phải là tạo ra một tuyên bố bảo mật ấn tượng. Mục tiêu là chọn một thói quen mật khẩu có thể tồn tại trong sử dụng hàng ngày: biểu mẫu đăng nhập, trình quản lý mật khẩu, bàn phím di động, khôi phục tài khoản, thiết bị dùng chung và dịch vụ thỉnh thoảng có quy tắc xác thực kỳ lạ. Một khuyến nghị an toàn chỉ hữu ích nếu một người thực sự có thể tuân theo nó một cách nhất quán.

Điểm khởi đầu an toàn nhất là tính ngẫu nhiên cộng với tính duy nhất. Ngẫu nhiên có nghĩa là giá trị được chọn từ một không gian lớn bởi một nguồn ngẫu nhiên phù hợp về mặt mật mã, không phải được phát minh từ ngày sinh, tên thú cưng, mẫu bàn phím hoặc câu trích dẫn yêu thích. Duy nhất có nghĩa là cùng một mật khẩu không được sử dụng ở bất kỳ nơi nào khác. Một mật khẩu dài nhưng bị tái sử dụng có thể nhanh chóng thất bại sau một vụ vi phạm không liên quan, trong khi một mật khẩu ngẫu nhiên duy nhất giới hạn thiệt hại cho tài khoản duy nhất nơi nó được sử dụng.

Đối với chủ đề này, một cài đặt trước thực tế là 20 ký tự, chữ hoa, chữ thường, số và ký hiệu khi được chấp nhận. Bạn có thể áp dụng cài đặt trước đó với trình tạo mật khẩu 20 ký tự và sau đó lưu trữ giá trị cuối cùng trong trình quản lý mật khẩu đáng tin cậy. PwdGen tạo giá trị cục bộ trong trình duyệt bằng Web Crypto; mật khẩu đã tạo không được gửi đến máy chủ PwdGen. Thiết kế cục bộ đó giảm thiểu rủi ro tiếp xúc phía máy chủ, nhưng nó không bảo vệ khỏi mọi mối đe dọa. Một tiện ích mở rộng trình duyệt độc hại, thiết bị bị xâm phạm, trang lừa đảo hoặc xử lý clipboard không an toàn vẫn có thể làm lộ bí mật sau khi nó được tạo.

Các vấn đề phổ biến nhất cần tránh là tên cá nhân, ngày sinh, đường đi trên bàn phím, kết thúc bị tái sử dụng và các thay thế có thể đoán trước như thay a bằng @. Những vấn đề này quan trọng vì kẻ tấn công hiếm khi cần brute-force mọi mật khẩu có thể khi thói quen của con người cho chúng một lối tắt. Credential stuffing, lừa đảo, danh sách mật khẩu bị rò rỉ và lạm dụng khôi phục tài khoản thường thực tế hơn là một tìm kiếm toán học thuần túy. Đó là lý do tại sao lời khuyên tốt nhất kết hợp chất lượng mật khẩu với các biện pháp kiểm soát cấp tài khoản như MFA, passkey, lưu trữ mã khôi phục và xem xét thường xuyên cài đặt email hoặc điện thoại khôi phục.

Sử dụng danh sách kiểm tra này khi áp dụng khuyến nghị:

Nếu một trang web từ chối cài đặt lý tưởng, đừng ép mật khẩu vào một mẫu yếu hơn bằng tay. Điều chỉnh một biến tại một thời điểm. Nếu ký hiệu bị từ chối, giữ chữ hoa, chữ thường và số được bật và tăng độ dài. Nếu độ dài tối đa thấp, sử dụng độ dài lớn nhất được chấp nhận và đảm bảo giá trị là duy nhất. Nếu mật khẩu phải được đọc to, in ra hoặc gõ trên màn hình TV hoặc bộ định tuyến, hãy cân nhắc loại trừ các ký tự khó phân biệt và tăng độ dài để bù đắp cho bảng chữ cái nhỏ hơn.

Cuối cùng, hãy nhớ ranh giới của lời khuyên về mật khẩu. Mật khẩu mạnh là một lớp bảo vệ, không phải là sự đảm bảo. Nó không thể làm cho trang lừa đảo an toàn, sửa phần mềm độc hại hoặc bù đắp cho dịch vụ lưu trữ thông tin xác thực kém. Thói quen hữu ích là nhàm chán nhưng bền vững: tạo một giá trị duy nhất, lưu trữ an toàn, bảo vệ đường dẫn khôi phục và thay thế nhanh chóng nếu bạn nghi ngờ bị lộ.

Các câu hỏi thường gặp

Quy tắc mật khẩu mạnh đơn giản nhất là gì?

Sử dụng mật khẩu dài, ngẫu nhiên, duy nhất cho mỗi tài khoản và lưu trữ trong trình quản lý mật khẩu đáng tin cậy.

Mật khẩu ngắn phức tạp có tốt hơn mật khẩu dài ngẫu nhiên không?

Thường là không. Độ dài và tính không thể đoán trước quan trọng hơn các thay thế quen thuộc như thay chữ cái bằng ký hiệu.

Tôi có nên sử dụng MFA với mật khẩu mạnh không?

Có. MFA hoặc passkey thêm lớp bảo vệ khi mật khẩu bị lừa đảo, được sử dụng lại ở nơi khác hoặc bị lộ do vi phạm dịch vụ.

Nguồn