Cách tạo mật khẩu mạnh — Hướng dẫn đầy đủ 2026

Năm nào cũng vậy, những mật khẩu xuất hiện nhiều nhất trong các vụ rò rỉ dữ liệu vẫn là "123456", "password" và "qwerty". Nếu bất kỳ tài khoản nào của bạn đang dùng mật khẩu tương tự, bài viết này dành cho bạn.

Mật khẩu mạnh là hàng rào đầu tiên bảo vệ thông tin cá nhân trước kẻ tấn công. Bài viết này sẽ giải thích điều gì khiến mật khẩu trở nên mạnh, cách tạo mật khẩu vừa dễ nhớ vừa khó bẻ, và những sai lầm phổ biến cần tránh.

Điều gì quyết định "độ mạnh" của mật khẩu?

Cốt lõi của độ mạnh mật khẩu là entropy. Entropy đo lường mức độ khó đoán của mật khẩu, tính bằng bit. Entropy càng cao, kẻ tấn công càng cần nhiều lần thử.

Mật khẩu	Entropy ước tính	Thời gian bẻ khóa (offline)
123456	~10 bit	Tức thì
password1	~20 bit	Vài giây
Tr0ub4dor&3	~28 bit	Vài phút đến vài giờ
correct-horse-battery-staple	~44 bit	Hàng trăm năm
dG#9kL!mP2$vQ8nR	~80 bit	Hàng triệu năm

Điểm mấu chốt: độ dài quan trọng hơn độ phức tạp. Một cụm mật khẩu dài khó bẻ khóa hơn rất nhiều so với một chuỗi ký tự ngắn đầy biểu tượng.

5 nguyên tắc tạo mật khẩu mạnh

1. Tối thiểu 12 ký tự

Mỗi ký tự thêm vào sẽ nhân số tổ hợp khả dĩ lên theo cấp số nhân. GPU hiện đại có thể thử hàng tỷ hash mỗi giây, nên 8 ký tự không còn đủ nữa.

• Tối thiểu: 12 ký tự
• Khuyến nghị: 16 ký tự trở lên
• Tài khoản quan trọng (email, ngân hàng): 20 ký tự trở lên

2. Dùng cụm mật khẩu thay vì mật khẩu truyền thống

Cụm mật khẩu (passphrase) là một dãy các từ ngẫu nhiên, không liên quan. Nó dễ nhớ hơn và khó bẻ khóa hơn mật khẩu truyền thống.

Cụm mật khẩu tốt:

• ô-violin-sao-thủy-kệ-sách
• tủ-lạnh+hoa-tulip+radar+phong
• tím.tàu-hỏa.xương-rồng.chìa-khóa

Cụm mật khẩu không tốt:

• tôi-yêu-con-chó (quá dễ đoán)
• trời-xanh-mây-trắng (cụm từ quen thuộc)
• thứ-hai-thứ-ba-thứ-tư (mẫu tuần tự)

Chọn 4-6 từ ngẫu nhiên. Thêm số hoặc ký hiệu giữa các từ sẽ tăng thêm độ mạnh.

3. Không dùng lại mật khẩu

Khi một dịch vụ bị rò rỉ dữ liệu, kẻ tấn công sẽ ngay lập tức thử các thông tin đăng nhập đó trên các trang web khác. Kỹ thuật này gọi là credential stuffing và là một trong những phương pháp tấn công phổ biến nhất. Dùng lại mật khẩu nghĩa là một lần rò rỉ có thể ảnh hưởng tất cả tài khoản.

4. Không dùng thông tin cá nhân

Kẻ tấn công có thể đã biết tên, ngày sinh, tên thú cưng và quê quán của bạn. Mạng xã hội khiến những thông tin này rất dễ tìm. Tuyệt đối không bao gồm:

• Tên bạn hoặc người thân
• Ngày sinh, ngày kỷ niệm
• Số điện thoại, địa chỉ
• Đội thể thao hoặc nghệ sĩ yêu thích
• Bất kỳ thông tin nào có thể tìm thấy trên mạng xã hội

5. Không chỉ dựa vào thay thế ký tự đơn giản

Thay "a" bằng "@" hay "o" bằng "0" có vẻ thông minh, nhưng công cụ bẻ khóa đã bao gồm các mẫu thay thế này từ hơn một thập kỷ trước. P@ssw0rd hầu như không mạnh hơn Password.

Thay thế ký tự chỉ nên dùng như phần bổ sung cho mật khẩu đã đủ dài.

Những sai lầm phổ biến

Sai lầm	Tại sao nguy hiểm
Dùng 123456 hoặc password	Mục đầu tiên trong mọi từ điển bẻ khóa
Chỉ thêm 1 hoặc ! ở cuối	Công cụ bẻ khóa mặc định thử các mẫu này
Dùng cùng mật khẩu ở mọi nơi	Một lần rò rỉ, tất cả tài khoản bị lộ
Viết mật khẩu trên giấy nhớ	Ai tiếp cận được giấy = chiếm tài khoản
Gửi mật khẩu qua Zalo dạng văn bản	Lịch sử trò chuyện lưu vĩnh viễn, người khác có thể xem

Điểm cuối cùng đặc biệt đáng lưu ý. Nhiều người gửi mật khẩu qua Zalo mà không nghĩ văn bản đó sẽ nằm ở đâu. Khi cần chia sẻ mật khẩu, hãy dùng LOCK.PUB để tạo ghi chú bí mật có thời hạn. Mật khẩu sẽ không nằm mãi trong lịch sử trò chuyện.

Cách ghi nhớ mật khẩu mạnh

Phương pháp liên tưởng câu chuyện

Tạo một hình ảnh sống động cho cụm mật khẩu. Với ô-violin-sao-thủy-kệ-sách, hãy tưởng tượng một chiếc ô tựa vào cây violin, đặt trên kệ sách màu sao Thủy. Hình ảnh càng sống động, càng dễ nhớ.

Mật khẩu gốc + biến thể

Tạo một cụm mật khẩu gốc và biến đổi cho từng dịch vụ:

1. Gốc: tủ-lạnh+hoa-tulip+radar
2. Thêm nhãn dịch vụ: tủ-lạnh+hoa-tulip+radar+NH (ngân hàng)
3. Thêm số vị trí: tủ-lạnh+hoa-tulip+radar+NH3

Cách này tốt hơn dùng lại một mật khẩu, nhưng trình quản lý mật khẩu vẫn là an toàn nhất.

Dùng trình quản lý mật khẩu

Trình quản lý mật khẩu tạo, lưu và tự động điền mật khẩu duy nhất cho mỗi tài khoản. Bạn chỉ cần nhớ một mật khẩu chính.

Các lựa chọn phổ biến gồm 1Password, Bitwarden, và trình quản lý mật khẩu tích hợp trong Chrome, Safari, Firefox.

Kiểm tra độ mạnh mật khẩu

Các công cụ uy tín để ước tính độ mạnh:

• Bitwarden Password Strength Tester — Ước tính thời gian bẻ khóa bằng thuật toán zxcvbn
• Security.org How Secure Is My Password — Ước tính entropy nhanh
• 1Password Password Generator — Tạo mật khẩu mạnh và hiển thị độ mạnh

Không bao giờ nhập mật khẩu thật vào công cụ trực tuyến. Thử với một mẫu tương tự, rồi tạo mật khẩu thật khi offline.

Khi cần chia sẻ mật khẩu

Tài khoản xem phim chung, Wi-Fi nhóm, thông tin đăng nhập dự án — đôi khi chia sẻ mật khẩu là không tránh khỏi. Khi đó:

1. Không dán mật khẩu trực tiếp vào tin nhắn
2. Dùng liên kết có bảo mật và thời hạn — LOCK.PUB cho phép tạo ghi chú bí mật tự hủy sau thời gian nhất định
3. Đổi mật khẩu sau khi không còn cần

Danh sách kiểm tra nhanh

Kiểm tra mỗi khi tạo mật khẩu mới:

• Tối thiểu 12 ký tự (khuyến nghị 16+)
• Không chứa thông tin cá nhân
• Không trùng với tài khoản khác
• Không phải từ hoặc cụm từ phổ biến
• Đã lưu vào trình quản lý hoặc ghi nhớ bằng phương pháp
• Chỉ chia sẻ qua kênh an toàn có thời hạn

Bắt đầu bảo vệ tài khoản ngay

Tạo mật khẩu mạnh chỉ mất chưa đến một phút nhưng có thể ngăn ngừa thiệt hại hàng tháng. Nếu cần chia sẻ thông tin đăng nhập an toàn, hãy tạo ghi chú bí mật trên LOCK.PUB với thời hạn hết hạn.

Tạo ghi chú bí mật -->