Công cụ mật khẩu Quay lại trình tạo

Hướng dẫn bảo mật

Thời gian bẻ khóa mật khẩu là gì?

Tìm hiểu ý nghĩa của ước tính thời gian bẻ khóa mật khẩu, tại sao giả định về tốc độ tấn công lại quan trọng và tại sao ước tính không phải là sự đảm bảo.

Tóm tắt

Thời gian bẻ khóa mật khẩu là ước tính về thời gian một cuộc tấn công đoán mật khẩu có thể mất trong một mô hình cụ thể. Mô hình này rất quan trọng. Đoán trực tuyến trên một dịch vụ trực tiếp khác với bẻ khóa ngoại tuyến một hash mật khẩu bị rò rỉ. Một con số “thời gian bẻ khóa” phổ quát là sai lệch nếu không có các giả định.

Sử dụng máy tính thời gian bẻ khóa mật khẩutrình kiểm tra độ mạnh để so sánh các kịch bản cục bộ.

Đoán trực tuyến

Đoán trực tuyến bị giới hạn bởi dịch vụ. Giới hạn tốc độ, khóa tài khoản, giám sát, MFA và phát hiện bất thường có thể làm chậm hoặc ngăn chặn các cuộc tấn công. Một mã PIN ngắn có thể chấp nhận được chỉ vì hệ thống giới hạn số lần thử.

Bẻ khóa ngoại tuyến

Bẻ khóa ngoại tuyến xảy ra khi kẻ tấn công có hash mật khẩu hoặc dữ liệu được mã hóa. Tốc độ phụ thuộc vào thuật toán hash, yếu tố chi phí, muối, phần cứng và chiến lược tấn công. Băm mật khẩu chậm như Argon2id, bcrypt hoặc PBKDF2 nhằm giảm số lần đoán mỗi giây.

Tính ngẫu nhiên và mẫu hình

Phép tính thời gian bẻ khóa chỉ có ý nghĩa khi mật khẩu thực sự ngẫu nhiên. Password123! có thể trông phức tạp, nhưng nó xuất hiện sớm trong các cuộc tấn công dựa trên mẫu hình. Một mật khẩu ngẫu nhiên 20 ký tự thì khác vì nó thiếu cấu trúc con người.

Hướng dẫn chi tiết

Hướng dẫn này tập trung vào việc đọc các ước tính thời gian bẻ khóa mật khẩu một cách có trách nhiệm. Nó được viết cho người dùng thấy các ước tính theo năm và muốn biết chúng thực sự có nghĩa gì, vì vậy mục tiêu thực tế không phải là tạo ra một tuyên bố bảo mật ấn tượng. Mục tiêu là chọn một thói quen mật khẩu có thể tồn tại trong sử dụng hàng ngày: biểu mẫu đăng nhập, trình quản lý mật khẩu, bàn phím di động, khôi phục tài khoản, thiết bị dùng chung và đôi khi là dịch vụ có quy tắc xác thực kỳ lạ. Một khuyến nghị an toàn chỉ hữu ích nếu một người thực sự có thể tuân theo nó một cách nhất quán.

Điểm khởi đầu an toàn nhất là tính ngẫu nhiên cộng với tính duy nhất. Ngẫu nhiên có nghĩa là giá trị được chọn từ một không gian lớn bởi một nguồn ngẫu nhiên phù hợp về mặt mật mã, không phải được phát minh từ ngày sinh, tên thú cưng, mẫu bàn phím hoặc câu nói yêu thích. Duy nhất có nghĩa là cùng một mật khẩu không được sử dụng ở bất kỳ nơi nào khác. Một mật khẩu dài nhưng bị dùng lại có thể bị lộ nhanh chóng sau một vụ vi phạm không liên quan, trong khi một mật khẩu ngẫu nhiên duy nhất giới hạn thiệt hại trong một tài khoản duy nhất nơi nó được sử dụng.

Đối với chủ đề này, một cài đặt trước thực tế là các ước tính dựa trên kịch bản cho giới hạn trực tuyến, hash chậm và đoán ngoại tuyến nhanh. Bạn có thể áp dụng cài đặt trước đó với máy tính thời gian bẻ khóa mật khẩu và sau đó lưu trữ giá trị cuối cùng trong một trình quản lý mật khẩu đáng tin cậy. PwdGen tạo giá trị cục bộ trong trình duyệt với Web Crypto; mật khẩu được tạo không được gửi đến máy chủ PwdGen. Thiết kế cục bộ đó giảm thiểu rủi ro phía máy chủ, nhưng nó không bảo vệ khỏi mọi mối đe dọa. Một tiện ích mở rộng trình duyệt độc hại, thiết bị bị xâm phạm, trang lừa đảo hoặc xử lý clipboard không an toàn vẫn có thể làm lộ bí mật sau khi nó được tạo.

Các vấn đề phổ biến nhất cần tránh là các tuyên bố về thời gian bẻ khóa phổ quát, giả định chỉ dựa trên phần cứng, hash bị rò rỉ, lưu trữ yếu và các mẫu người dùng có thể đoán trước. Những vấn đề này quan trọng vì kẻ tấn công hiếm khi cần brute-force mọi mật khẩu có thể khi thói quen con người cho chúng một lối tắt. Credential stuffing, lừa đảo, danh sách mật khẩu bị rò rỉ và lạm dụng khôi phục tài khoản thường thực tế hơn một tìm kiếm toán học thuần túy. Đó là lý do tại sao lời khuyên tốt nhất kết hợp chất lượng mật khẩu với các biện pháp kiểm soát cấp tài khoản như MFA, passkey, lưu trữ mã khôi phục và thường xuyên kiểm tra cài đặt email hoặc điện thoại khôi phục.

Sử dụng danh sách kiểm tra này khi áp dụng khuyến nghị:

Nếu một trang web từ chối cài đặt lý tưởng, đừng ép mật khẩu vào một mẫu yếu hơn bằng tay. Điều chỉnh một biến số tại một thời điểm. Nếu ký hiệu bị từ chối, giữ chữ hoa, chữ thường và số được bật và tăng độ dài. Nếu độ dài tối đa thấp, sử dụng độ dài được chấp nhận lớn nhất và đảm bảo giá trị là duy nhất. Nếu mật khẩu phải được đọc to, in ra hoặc gõ trên màn hình tivi hoặc bộ định tuyến, hãy cân nhắc loại trừ các ký tự khó phân biệt và tăng độ dài để bù cho bảng chữ cái nhỏ hơn.

Cuối cùng, hãy nhớ ranh giới của lời khuyên về mật khẩu. Một mật khẩu mạnh là một lớp bảo vệ, không phải là sự đảm bảo. Nó không thể làm cho một trang lừa đảo an toàn, sửa phần mềm độc hại hoặc bù đắp cho một dịch vụ lưu trữ thông tin xác thực kém. Thói quen hữu ích là nhàm chán nhưng bền bỉ: tạo một giá trị duy nhất, lưu trữ an toàn, bảo vệ đường dẫn khôi phục và thay thế nhanh chóng nếu bạn nghi ngờ bị lộ.

Một bước tiếp theo an toàn

Sau khi đọc hướng dẫn này, hãy kiểm tra một tài khoản nhỏ thay vì cố gắng sửa mọi thứ cùng một lúc. Chọn tài khoản sẽ gây rắc rối nhất nếu bị chiếm đoạt, xác nhận mật khẩu của nó là duy nhất và kiểm tra email khôi phục, điện thoại khôi phục, phương thức MFA và lưu trữ mã dự phòng. Nếu bất kỳ phần nào trong chuỗi đó yếu, hãy cải thiện phần đó trước khi chuyển sang các tài khoản rủi ro thấp hơn. Thứ tự này giữ cho công việc có thể quản lý được và bảo vệ các tài khoản mà kẻ tấn công có nhiều khả năng sử dụng làm bước đệm. Đối với thời gian bẻ khóa mật khẩu là gì?, kết quả tốt nhất là một thói quen có thể lặp lại: tạo cục bộ, lưu trữ cẩn thận và tránh dùng lại.

Các câu hỏi thường gặp

Tại sao các máy tính thời gian bẻ khóa lại khác nhau?

Chúng sử dụng các giả định khác nhau về tính ngẫu nhiên, loại hash, phần cứng, giới hạn trực tuyến và liệu mật khẩu đã được biết từ các vụ rò rỉ hay chưa.

Bẻ khóa ngoại tuyến có nhanh hơn đoán trực tuyến không?

Thường là có. Kẻ tấn công ngoại tuyến có thể thử đoán mà không bị giới hạn tốc độ, trong khi hệ thống trực tuyến có thể điều tiết, khóa và giám sát các lần thử.

Tôi có nên tin tưởng một kết quả “triệu năm” duy nhất không?

Hãy coi nó như một ước tính dưới các giả định đã nêu, không phải là sự đảm bảo an toàn.

Nguồn