Kiểm Tra Độ Mạnh Mật Khẩu — Password Strength Tester Miễn Phí

Kiểm Tra Độ Mạnh Mật Khẩu Là Gì?

Kiểm tra độ mạnh mật khẩu (password strength tester) là công cụ phân tích mật khẩu hiện có của bạn và cung cấp điểm bảo mật dựa trên nhiều yếu tố: độ dài, đa dạng ký tự, entropy (tính không thể đoán trước), phát hiện mẫu lặp phổ biến và kiểm tra rò rỉ dữ liệu.

Khác với công cụ tạo mật khẩu (tạo mật khẩu mới), công cụ kiểm tra đánh giá mật khẩu bạn đang sử dụng để xác định liệu chúng có đủ an toàn hay không. Công cụ cũng kiểm tra liệu mật khẩu đã bị rò rỉ trong các vụ vi phạm dữ liệu qua Have I Been Pwned.

Toàn bộ phân tích diễn ra 100% trên trình duyệt — mật khẩu không bao giờ gửi đến máy chủ. Cho kiểm tra rò rỉ, chúng tôi sử dụng k-anonymity: chỉ 5 ký tự đầu của hash SHA-1 được gửi, khiến việc xác định mật khẩu thực sự là bất khả thi.

Mật Khẩu Của Bạn An Toàn Đến Mức Nào?

Để kiểm tra mức độ an toàn của mật khẩu, hãy nhập mật khẩu vào công cụ. Phân tích bao gồm tính toán entropy (tính không thể đoán trước theo bit), ước tính thời gian bẻ khóa và phát hiện các mẫu yếu.

Entropy mật khẩu đo tính ngẫu nhiên bằng công thức: E = L × log₂(N), trong đó L là độ dài và N là kích thước bộ ký tự. Ví dụ: mật khẩu 16 ký tự sử dụng tất cả 95 ký tự ASCII có khoảng 105 bit entropy — cần hàng tỷ năm để bẻ khóa bằng brute-force.

Công cụ cũng ước tính thời gian bẻ khóa giả định tốc độ 10 tỷ lần thử mỗi giây (tấn công offline bằng GPU hiện đại). Mật khẩu 6 ký tự chữ thường bị bẻ ngay lập tức. Mật khẩu 12 ký tự hỗn hợp cần khoảng 3 triệu năm.

Kiểm Tra Rò Rỉ Dữ Liệu — Have I Been Pwned

Công cụ kiểm tra liệu mật khẩu của bạn đã bị rò rỉ trong các vụ vi phạm dữ liệu qua dịch vụ Have I Been Pwned (HIBP), chứa hơn 900 triệu mật khẩu duy nhất từ các vụ rò rỉ như LinkedIn, Adobe, Dropbox và nhiều hơn nữa.

Để bảo vệ quyền riêng tư, chúng tôi sử dụng kỹ thuật k-anonymity: mật khẩu được hash bằng SHA-1 trên trình duyệt qua Web Crypto API. Chỉ 5 ký tự đầu (trong 40) của hash được gửi đến API, API trả về tất cả hậu tố khớp. Trình duyệt sau đó kiểm tra cục bộ xem hash đầy đủ có khớp với bất kỳ mục nào.

Điều này có nghĩa là mật khẩu không bao giờ rời trình duyệt — chỉ một tiền tố hash mơ hồ được truyền, khiến API hoặc bất kỳ ai theo dõi mạng không thể xác định mật khẩu thực của bạn.

Sai Lầm Phổ Biến Về Mật Khẩu Cần Tránh

Tránh các sai lầm làm suy yếu bảo mật mật khẩu của bạn:

• Mật khẩu ngắn — Dưới 12 ký tự dễ bị tấn công brute-force với phần cứng hiện đại

• Mẫu bàn phím — 'qwerty', '123456', 'asdfgh' là những thử đầu tiên trong các cuộc tấn công

• Thông tin cá nhân — Tên, ngày sinh, tên thú cưng dễ tìm thấy trên mạng xã hội

• Thay thế dễ đoán — 'P@ssw0rd' (@ thay a, 0 thay o) là mẫu mà kẻ tấn công biết rõ

• Sử dụng lại mật khẩu — Nếu một trang bị xâm phạm, cùng mật khẩu sẽ bị thử trên các dịch vụ khác

• Từ trong từ điển — Tấn công từ điển thử hàng triệu từ chỉ trong vài giây

Cách Công Cụ Đảm Bảo Quyền Riêng Tư

Bảo mật và quyền riêng tư là ưu tiên hàng đầu của công cụ kiểm tra mật khẩu. Toàn bộ phân tích độ mạnh — bao gồm tính entropy, phát hiện mẫu và phân tích ký tự — diễn ra hoàn toàn trên trình duyệt bằng JavaScript.

Cho kiểm tra rò rỉ, mật khẩu được hash bằng SHA-1 qua Web Crypto API (cùng API bảo mật mà trình duyệt dùng cho TLS/SSL). Chỉ 5 ký tự đầu của hash 40 ký tự được gửi — API trả về hàng trăm hash có cùng tiền tố và trình duyệt kiểm tra cục bộ.

Bạn có thể kiểm chứng bằng cách mở DevTools (tab Network) — không có request nào chứa mật khẩu của bạn. Chúng tôi không lưu, ghi lại hoặc theo dõi bất kỳ dữ liệu nào.

Công Cụ Bảo Mật Liên Quan

Khám phá các công cụ bảo mật miễn phí khác của DNS Robot: