Quay lại blog
Bảo mật
7 phút

Tại sao không nên gửi mật khẩu qua Zalo — Sự thật về bảo mật tin nhắn

Gửi mật khẩu qua Zalo, Messenger hay Telegram có nguy hiểm không? Tìm hiểu giới hạn bảo mật của ứng dụng nhắn tin và cách chia sẻ mật khẩu an toàn.

LOCK.PUB
2026-02-21

Tại sao không nên gửi mật khẩu qua Zalo

"Gửi mật khẩu qua Zalo cho anh/chị nhé" — ai cũng từng nghe câu này ít nhất một lần.

Mật khẩu Wi-Fi, tài khoản dùng chung, thông tin đăng nhập máy chủ… Khi đang vội, gửi qua ứng dụng nhắn tin là hành động rất tự nhiên. Nhưng hầu hết mọi người không nhận ra thói quen này nguy hiểm đến mức nào.

Điều gì xảy ra khi bạn gửi mật khẩu qua ứng dụng nhắn tin

Ngay khi bạn gửi mật khẩu qua Zalo, Messenger hay bất kỳ ứng dụng nhắn tin nào, những điều sau sẽ xảy ra:

1. Mật khẩu được lưu vĩnh viễn trong lịch sử trò chuyện
2. Bản sao tồn tại ở ít nhất 3 nơi — thiết bị bạn + thiết bị đối phương + máy chủ
3. Bất kỳ ai cũng có thể tìm thấy bằng chức năng tìm kiếm
4. Dù bạn xóa, tin nhắn vẫn còn trên thiết bị của đối phương

Một khi tin nhắn đã gửi đi, bạn hoàn toàn mất quyền kiểm soát nó.

Những tình huống thực tế xảy ra hàng ngày

Tình huống 1: Mất thiết bị

9:00 sáng — Bạn gửi mật khẩu tài khoản chung qua Zalo cho đồng nghiệp
13:00 — Đồng nghiệp làm rơi điện thoại ở quán cà phê
15:00 — Người nhặt được mở Zalo xem tin nhắn
15:05 — Tìm kiếm "mật khẩu" → toàn bộ mật khẩu bị lộ

Dù điện thoại có khóa màn hình, thời gian từ lúc mất đến lúc khóa từ xa là rất hạn chế. Nếu mật khẩu nằm dưới dạng văn bản thuần trong lịch sử trò chuyện, chỉ một lần mất điện thoại là đủ để lộ mọi thứ.

Tình huống 2: Bị chiếm tài khoản

Hacker chiếm đoạt tài khoản Zalo
→ Truy cập toàn bộ lịch sử trò chuyện
→ Tìm kiếm "mật khẩu", "MK", "password", "PW"
→ Thu thập tất cả mật khẩu đã chia sẻ trong nhiều tháng, thậm chí nhiều năm

Mỗi năm có hàng chục nghìn vụ chiếm đoạt tài khoản mạng xã hội và ứng dụng nhắn tin tại Việt Nam. Điều đầu tiên hacker làm là tìm kiếm thông tin nhạy cảm trong lịch sử trò chuyện.

Tình huống 3: Gửi nhầm nhóm Zalo

Tin nhắn định gửi cho nhóm dự án:
"Trưa nay ăn gì nhỉ?"

Tin nhắn thực sự gửi đi:
"Mật khẩu database: Prod2026!@# đã thay đổi"
→ 12 thành viên nhóm + 3 người đã nghỉ việc nhưng chưa rời nhóm đều nhìn thấy

Trong nhóm Zalo, chỉ một sai lầm nhỏ là đủ để lộ thông tin cho những người không nên biết.

"Zalo không được mã hóa sao?"

Nhiều người nghĩ rằng tin nhắn Zalo đã an toàn vì được mã hóa. Đúng, Zalo sử dụng mã hóa trong quá trình truyền tải (TLS). Nhưng chỉ như vậy là chưa đủ.

Mã hóa truyền tải vs Mã hóa đầu cuối

Mã hóa truyền tải (TLS) Mã hóa đầu cuối (E2EE)
Zalo ✅ Có ❌ Không
Facebook Messenger ✅ Có ✅ Có (mặc định từ 2023)
Telegram (chat thường) ✅ Có ❌ Không
Telegram (chat bí mật) ✅ Có ✅ Có
WhatsApp ✅ Có ✅ Có

Sự khác biệt cốt lõi:

  • Mã hóa truyền tải: Chỉ bảo vệ dữ liệu khi di chuyển từ điện thoại bạn → máy chủ → điện thoại đối phương. Máy chủ có thể đọc được nội dung
  • Mã hóa đầu cuối: Mã hóa hoàn toàn từ điện thoại bạn → điện thoại đối phương. Ngay cả máy chủ cũng không thể đọc được nội dung

Zalo không hỗ trợ mã hóa đầu cuối. Điều này có nghĩa tin nhắn có thể được lưu dưới dạng văn bản thuần trên máy chủ, và nếu máy chủ bị tấn công hoặc xảy ra rò rỉ nội bộ, toàn bộ nội dung trò chuyện có thể bị lộ.

"Vậy dùng Messenger hay WhatsApp thì an toàn hơn?"

Ngay cả với mã hóa đầu cuối, vẫn còn những hạn chế nghiêm trọng:

  • ❌ Lịch sử trò chuyện lưu dưới dạng văn bản thuần trên thiết bị
  • ❌ Không thể ngăn chụp ảnh màn hình
  • ❌ Không thể ép đối phương xóa tin nhắn trên thiết bị của họ
  • ❌ Mất thiết bị là lộ toàn bộ lịch sử trò chuyện
  • ❌ Mật khẩu không có hạn sử dụng → lưu trữ vĩnh viễn

Tóm lại, mật khẩu gửi dưới dạng tin nhắn sẽ luôn ở trạng thái có thể xem được bất cứ lúc nào.

So sánh mức độ bảo mật giữa các ứng dụng nhắn tin

Ứng dụng E2EE mặc định Chat bí mật Tự động xóa Lưu trên máy chủ
Zalo ✅ Có lưu
Facebook Messenger ✅ (Vanish mode) ✅ Có lưu
Telegram ✅ (Hẹn giờ) ✅ Có lưu (chat thường)
WhatsApp ✅ (Tin nhắn biến mất) ✅ Khi sao lưu
Signal ✅ (Hẹn giờ) ❌ Không lưu

Chỉ Signal không lưu tin nhắn trên máy chủ. Các ứng dụng còn lại, dù ở mức độ khác nhau, đều lưu lịch sử trò chuyện ở đâu đó.

Vậy nên gửi mật khẩu bằng cách nào?

Nguyên tắc: Tách riêng liên kết và mật khẩu

Cách an toàn nhất là đảm bảo mật khẩu không bao giờ xuất hiện trong lịch sử trò chuyện.

❌ Cách nguy hiểm:
Zalo: "Mật khẩu máy chủ là Prod2026!@# nha"

✅ Cách an toàn:
Zalo: "Anh gửi link mật khẩu máy chủ nè → https://lock.pub/abc123"
SMS/Gọi điện: "Mật khẩu mở link là 1234 nha"

Với cách này:

  • Zalo bị hack → chỉ thấy liên kết, không biết mật khẩu
  • SMS bị lộ → chỉ thấy mật khẩu, không biết dùng ở đâu
  • Cả hai kênh đều phải bị lộ thì mới truy cập được

Chia sẻ an toàn với LOCK.PUB

Bước 1: Tạo ghi chú bí mật

Nội dung cần truyền: Thông tin truy cập máy chủ
- Host: prod-server.company.com
- ID: admin
- PW: Str0ng!Pass#2026

Bước 2: Đặt mật khẩu

Mật khẩu: Đơn giản nhưng không thể đoán được
Hết hạn: Tùy nhu cầu (1 giờ ~ 7 ngày)

Bước 3: Gửi qua kênh riêng biệt

Zalo → Chỉ gửi liên kết
Gọi điện/SMS → Chỉ nói mật khẩu

Kết quả:

  • Lịch sử trò chuyện không có mật khẩu
  • Tự động xóa sau khi hết hạn
  • Có thể kiểm tra xem đối phương đã xem chưa

Gửi trực tiếp qua ứng dụng nhắn tin vs LOCK.PUB

Gửi trực tiếp qua tin nhắn LOCK.PUB
Lưu trong lịch sử trò chuyện ✅ Lưu vĩnh viễn ❌ Chỉ còn liên kết
Khi mất thiết bị ✅ Mật khẩu bị lộ ❌ Cần nhập mật khẩu
Có thể xóa Chỉ trên thiết bị mình ✅ Xóa hoàn toàn trên máy chủ
Tự động hết hạn ✅ Giới hạn thời gian/số lần
Theo dõi lượt xem ✅ Nhật ký truy cập
Tìm kiếm được ✅ Có thể tìm ❌ Lưu trữ mã hóa

5 việc bạn có thể làm ngay bây giờ

Những thói quen bảo mật bạn có thể bắt đầu từ hôm nay:

1. Kiểm tra lịch sử trò chuyện Zalo

Mở Zalo và tìm kiếm "mật khẩu", "MK", "password", "PW" trong lịch sử trò chuyện. Bạn sẽ ngạc nhiên vì có rất nhiều thông tin nhạy cảm nằm sẵn ở đó. Nếu phát hiện, hãy thay đổi những mật khẩu đó ngay lập tức.

2. Không gửi mật khẩu trực tiếp qua tin nhắn nữa

Hãy thay đổi thói quen. Khi cần chia sẻ mật khẩu, sử dụng công cụ an toàn như LOCK.PUB thay vì gõ trực tiếp vào ô chat.

3. Gửi liên kết và mật khẩu qua kênh khác nhau

Đừng gửi cả liên kết và mật khẩu trong cùng một cuộc trò chuyện. Gửi liên kết qua Zalo, mật khẩu qua SMS — chỉ việc này thôi đã nâng cao bảo mật rất nhiều.

4. Đặt thời gian hết hạn

Hãy cho mật khẩu một "hạn sử dụng". Trong hầu hết trường hợp, 1 giờ là quá đủ.

5. Thay đổi mật khẩu định kỳ

Bất kỳ mật khẩu nào bạn từng gửi qua ứng dụng nhắn tin đều đã có nguy cơ bị lộ. Hãy tạo thói quen thay đổi mật khẩu định kỳ.

Kết luận

Ứng dụng nhắn tin được thiết kế để trò chuyện, không phải để lưu trữ bí mật.

Zalo, Messenger, Telegram — dù dùng ứng dụng nào, ngay khi mật khẩu xuất hiện trong lịch sử trò chuyện, nó không còn an toàn nữa. Mất thiết bị, bị hack tài khoản, rò rỉ từ máy chủ — chỉ một sự cố là đủ để lộ mọi thứ.

Nếu cần chia sẻ mật khẩu, hãy dùng cách không để mật khẩu nằm lại trong lịch sử trò chuyện.

Chia sẻ mật khẩu an toàn →

Từ khóa

bảo mật Zalo
chia sẻ mật khẩu
Zalo bảo mật
gửi mật khẩu an toàn
rò rỉ thông tin
bảo mật tin nhắn
an toàn mật khẩu

Tạo liên kết được bảo vệ bằng mật khẩu ngay

Chia sẻ thông tin an toàn miễn phí. Không cần đăng ký.

Bắt Đầu Miễn Phí
Tại sao không nên gửi mật khẩu qua Zalo — Sự thật về bảo mật tin nhắn | LOCK.PUB Blog