Công cụ tạo mật khẩu miễn phí trực tuyến

Điều Gì Thực Sự Tạo Nên Một Mật Khẩu Mạnh

Sức mạnh mật khẩu đến từ entropy: số bit ngẫu nhiên mà kẻ tấn công phải đoán. Entropy được tính theo công thức log₂(charset_size ^ length): một mật khẩu 12 ký tự lấy đồng đều từ 94 ký tự ASCII có thể in được có khoảng 79 bit entropy; một mật khẩu 16 ký tự có khoảng 105 bit. Hướng dẫn bảo mật hiện đại coi mọi giá trị trên 80 bit là chống được các cuộc tấn công brute-force ngoại tuyến trong tương lai có thể thấy được, ngay cả với phần cứng chuyên dụng. NIST SP 800-63B (hướng dẫn nhận dạng số liên bang Hoa Kỳ hiện hành, ban đầu xuất bản 2017 với các bản sửa đổi đến 2024) khuyến nghị rõ ràng điều tương tự: tối thiểu 8 ký tự, cho phép tối đa 64, cho phép tất cả Unicode có thể in được bao gồm cả khoảng trắng. Quan trọng hơn, cùng hướng dẫn này đảo ngược hàng thập kỷ lời khuyên mật khẩu sai lầm: nó yêu cầu quản trị viên ngừng bắt buộc xoay vòng mật khẩu định kỳ, ngừng yêu cầu các quy tắc tổ hợp như "phải chứa một ký hiệu", và bắt đầu kiểm tra mật khẩu mới so với các kho dữ liệu rò rỉ (API Have I Been Pwned Pwned Passwords, Troy Hunt 2018, là triển khai chuẩn). Lời khuyên thực tế năm 2026: dài, ngẫu nhiên, duy nhất cho mỗi tài khoản, lưu trữ trong trình quản lý mật khẩu.

Cụm Từ Mật Khẩu: Truyền Thống Diceware

Cụm từ mật khẩu là một mật khẩu được tạo từ các từ ngẫu nhiên thay vì các ký tự ngẫu nhiên. Kỹ thuật này được chính thức hóa bởi Diceware của Arnold G. Reinhold năm 1995: một danh sách 7.776 từ tiếng Anh ngắn, thông dụng, mỗi từ có địa chỉ 5 chữ số xúc xắc (5⁵ = 7.776). Tung năm con xúc xắc, tra từ, lặp lại nhiều lần tùy ý. Sáu từ Diceware cho khoảng 77 bit entropy: tương đương với một mật khẩu ASCII ngẫu nhiên 12 ký tự nhưng dễ gõ và ghi nhớ hơn nhiều đối với con người. Truyện tranh XKCD #936 ("correcthorsebatterystaple", tháng 9/2011) đã làm cho khái niệm này được biết đến rộng rãi và thay đổi văn hóa bảo mật; các trình quản lý mật khẩu và các dự án mặc định-an toàn như Bitwarden, 1Password, KeePassXC và danh sách từ cập nhật của EFF đều hỗ trợ tạo cụm từ mật khẩu. Lợi thế không phải là bảo mật: mật khẩu dựa trên ký tự và dựa trên từ với entropy tương đương đều mạnh như nhau chống lại brute force, mà là khả năng đánh máy. Cụm từ mật khẩu là định dạng đúng khi bạn thực sự cần gõ mật khẩu (mật khẩu chính cho trình quản lý mật khẩu, mật khẩu mã hóa toàn ổ đĩa, bất cứ thứ gì trước khi trình quản lý mật khẩu tự động điền hoạt động).

Tại Sao Tính Ngẫu Nhiên Quan Trọng: Câu Hỏi CSPRNG

Sức mạnh mật khẩu giả định mật khẩu là hoàn toàn ngẫu nhiên. Các mẫu mà kẻ tấn công có thể dự đoán (đi bộ bàn phím qwerty, ngày tháng, từ điển, thay thế l33t) phá hủy entropy nhanh hơn nhiều so với số ký tự gợi ý. Hashcat và John the Ripper, các công cụ bẻ khóa mật khẩu chuẩn, thử hàng triệu mẫu phổ biến trước; một mật khẩu 8 ký tự sử dụng một trong các mẫu đó rơi xuống trong vài giây. Trình tạo này sử dụng Web Crypto API của trình duyệt, cụ thể là crypto.getRandomValues(): một trình tạo số ngẫu nhiên an toàn về mặt mật mã (CSPRNG) lấy từ nguồn entropy của hệ điều hành. Không giống như Math.random() (nhanh nhưng có thể dự đoán và không bao giờ được sử dụng cho bảo mật), crypto.getRandomValues() là cùng một nguyên thủy mà trình duyệt sử dụng để tạo khóa phiên TLS. Tính ngẫu nhiên phù hợp cho bất kỳ mục đích mật mã nào, bao gồm cả mật khẩu.

Người Bạn Đồng Hành Quan Trọng: Sử Dụng Trình Quản Lý Mật Khẩu

Tạo mật khẩu mạnh duy nhất chỉ hữu ích nếu bạn có nơi để lưu trữ chúng. Bối cảnh trình quản lý mật khẩu năm 2026: Bitwarden (Kyle Spearrin, 2016, mã nguồn mở, miễn phí với tùy chọn nâng cấp trả phí) là lựa chọn mã nguồn mở chiếm ưu thế. 1Password (AgileBits, thành lập 2006) là lựa chọn thương mại được trau chuốt. KeePassXC (fork cộng đồng của KeePass, hoàn toàn ngoại tuyến, kho dựa trên tệp) là lựa chọn cho những người không tin tưởng đồng bộ đám mây. iCloud Keychain của Apple, Google Password Manager, và trình quản lý mật khẩu của Microsoft Edge là các mặc định không-ma-sát được tích hợp vào mỗi nền tảng. Proton Pass (2023) là lựa chọn mới hơn ưu tiên-quyền-riêng-tư từ những người Proton/ProtonMail. Các trình quản lý gốc trình duyệt là con đường ít ma sát nhất; các trình quản lý chuyên dụng cung cấp đồng bộ hóa đa nền tảng tốt hơn và các tính năng bổ sung. Khuyến nghị định dạng-2026: bất kỳ trình quản lý mật khẩu uy tín nào + mật khẩu được tạo duy nhất cho mỗi tài khoản + một mật khẩu chính mạnh duy nhất (mật khẩu duy nhất bạn thực sự phải ghi nhớ) + một khóa bảo mật phần cứng (YubiKey hoặc tương tự) cho các tài khoản giá trị cao.

Mật khẩu của bạn mạnh đến mức nào?

Độ mạnh của mật khẩu phụ thuộc vào độ dài và sự đa dạng của ký tự. Một mật khẩu 12 ký tự với chữ hoa chữ thường, số và ký hiệu hỗn hợp có hơn 475 nghìn tỷ kết hợp có thể, khiến nó gần như không thể bị bẻ khóa bằng phương pháp vét cạn. Mỗi ký tự bổ sung nhân lên độ khó theo cấp số nhân. Thước đo độ mạnh của chúng tôi cho bạn biết chính xác mật khẩu của bạn an toàn đến mức nào.

Câu hỏi thường gặp

Trình tạo mật khẩu này có an toàn không?

Có. Chúng tôi sử dụng Web Crypto API (crypto.getRandomValues) cung cấp các số ngẫu nhiên an toàn về mặt mật mã. Không có mật khẩu nào được lưu trữ, truyền đi hoặc ghi lại. Mọi thứ chạy trong trình duyệt của bạn.

Tôi nên sử dụng độ dài mật khẩu nào?

Chúng tôi khuyến nghị ít nhất 16 ký tự cho các tài khoản quan trọng. Để có bảo mật tối đa (mật khẩu chính, khóa mã hóa), hãy sử dụng 20-32 ký tự. Mật khẩu càng dài, càng khó bị bẻ khóa.

Tôi có nên bao gồm ký hiệu không?

Có, khi có thể. Ký hiệu làm tăng đáng kể số lượng kết hợp có thể. Tuy nhiên, một số trang web hạn chế ký tự bạn có thể sử dụng. Nếu một trang web từ chối ký hiệu, hãy bỏ chọn tùy chọn đó và tăng độ dài để bù lại.

Tại sao tôi không bao giờ nên sử dụng lại mật khẩu?

Nếu một trang web bị xâm phạm, kẻ tấn công sẽ thử cùng một kết hợp email/mật khẩu trên các trang khác (credential stuffing). Sử dụng mật khẩu độc nhất cho mỗi tài khoản có nghĩa là một vụ xâm phạm không thể ảnh hưởng đến các tài khoản khác của bạn.

Công cụ liên quan