About
Đang xem bằng Tiếng Việt Chuyển sang tiếng Anh

Trình tạo Mật khẩu

Tạo mật khẩu ngẫu nhiên mạnh mẽ. Sử dụng Web Crypto API — cùng nguồn ngẫu nhiên mà trình duyệt sử dụng cho các khóa TLS.

  1. Kéo thanh trượt Độ dài để chọn số lượng ký tự bạn muốn (4 đến 128).
  2. Đánh dấu các lớp ký tự bạn muốn bao gồm — chữ hoa, chữ thường, chữ số, ký hiệu.
  3. Tùy chọn đánh dấu Tránh giống nhau để bỏ qua I l 1 O 0.
  4. Nhấn Tạo nếu bạn muốn một cái mới (mỗi thay đổi cũng tự động tạo lại).
  5. Nhấn Sao chép để đặt nó vào clipboard, sau đó dán vào trình quản lý mật khẩu của bạn.
Công cụ này làm gì?

Trình tạo này xây dựng mật khẩu bằng cách rút từng ký tự một cách độc lập từ bảng chữ cái bạn đã chọn, sử dụng Web Crypto API của trình duyệt để ngẫu nhiên hóa. Đó là cùng nguồn an toàn về mặt mật mã mà trình duyệt sử dụng để tạo khóa phiên TLS — không phải Math.random() thiên lệch mà hầu hết các trình tạo tạm thời dựa vào. Một vòng lặp lấy mẫu từ chối đảm bảo rằng mọi ký hiệu trong bảng chữ cái có xác suất bằng nhau, do đó các ước tính entropy thực sự đúng.

Ví dụ

Độ dài 20, tất cả bốn lớp, cho phép giống nhau:

G7#vQ2xP!mK9nR4sT&bL

Độ dài 24, chỉ chữ cái và chữ số (cho các trang web từ chối ký hiệu):

k3Hq8RmZ5nPv2WyTb6JsXfLd

Các cạm bẫy phổ biến khi sử dụng mật khẩu được tạo

  • Trang web từ chối một số ký hiệu nhất định. Một số trang web âm thầm loại bỏ hoặc từ chối <, >, dấu ngoặc kép hoặc khoảng trắng. Nếu trang web không chấp nhận mật khẩu, tắt lớp Ký hiệu và tăng độ dài lên 24+ để bù đắp.
  • Sao chép-dán thêm khoảng trắng cuối. Chọn bằng cách nhấp đúp trên một số hệ điều hành lấy thêm khoảng trắng. Nếu đăng nhập thất bại, hãy dán vào trường văn bản thuần trước và xác minh độ dài khớp.
  • Quá ngắn "vì tiện lợi". Mật khẩu 8 ký tự có khoảng 50 bit entropy — có thể bị crack ngoại tuyến trong vài giờ trên GPU hiện đại. Sử dụng 16+ cho tài khoản thông thường, 20+ cho bất cứ điều gì mã hóa dữ liệu ở trạng thái nghỉ.
  • Sử dụng một mật khẩu cho nhiều tài khoản. Một mật khẩu mạnh được tái sử dụng trên một trang web bị xâm phạm vẫn bị xâm phạm. Tạo một mật khẩu duy nhất cho mỗi tài khoản và lưu chúng trong trình quản lý mật khẩu.
  • Quên chính sách xoay vòng mật khẩu. Một số hệ thống doanh nghiệp bắt buộc thay đổi mỗi 90 ngày. Lưu mật khẩu được tạo trong trình quản lý của bạn để có thể xác nhận nó khớp chính xác nếu trang web yêu cầu bạn nhập lại.
  • Ảnh chụp màn hình hoặc lịch sử clipboard. macOS, Windows, và một số trình quản lý clipboard giữ lịch sử. Xóa clipboard hoặc dán thứ gì đó khác sau khi bạn đã lưu mật khẩu.
Câu hỏi thường gặp

Trình tạo mật khẩu này có an toàn về mặt mật mã không?

Có. Sự ngẫu nhiên đến từ crypto.getRandomValues(), Web Crypto API của trình duyệt hỗ trợ các khóa phiên TLS. Không phải Math.random(), một trình tạo giả ngẫu nhiên có thể dự đoán không phù hợp cho các bí mật. Mỗi ký tự được rút bằng cách lấy mẫu từ chối để mọi ký hiệu trong bảng chữ cái có xác suất bằng nhau.

Mật khẩu của tôi nên dài bao nhiêu?

Đối với các tài khoản trực tuyến có giới hạn tốc độ, 16 ký tự từ các lớp hỗn hợp là đủ. Đối với bất cứ điều gì bảo vệ dữ liệu được mã hóa ngoại tuyến (trình quản lý mật khẩu, mã hóa đĩa, sao lưu), hãy sử dụng 20 trở lên. Một mật khẩu 20 ký tự từ cả bốn lớp có khoảng 130 bit entropy, nằm ngoài phạm vi brute-force.

Bạn có lưu các mật khẩu mà công cụ này tạo ra không?

Không. Chúng tôi không lưu các mật khẩu bạn tạo ở đây. Mỗi mật khẩu được hiển thị một lần, chỉ được giữ trong trường đầu vào bạn thấy, và biến mất khi bạn làm mới hoặc đóng tab. Không có gì được ghi vào bộ nhớ hoặc ghi log ở phía chúng tôi. Bạn có thể xác minh trong công cụ nhà phát triển của trình duyệt nếu muốn có thêm sự đảm bảo.

Entropy là gì và tôi cần bao nhiêu bit?

Entropy đo tính không thể đoán trước bằng bit. Mỗi bit nhân đôi số lần đoán mà kẻ tấn công phải thử. 60 bit chống lại các cuộc tấn công ngoại tuyến thông thường, 80 chống lại các cuộc tấn công quyết tâm, và 128 là tiêu chuẩn hiện đại cho các khóa mạnh. Mật khẩu 20 ký tự từ bảng chữ cái 90 ký hiệu có khoảng 130 bit.

Tôi có nên sử dụng cụm từ mật khẩu thay vì mật khẩu ngẫu nhiên không?

Một cụm từ mật khẩu gồm 5 hoặc 6 từ từ điển ngẫu nhiên dễ gõ và ghi nhớ hơn, và có thể đạt entropy tương tự (khoảng 65 đến 80 bit). Nhưng đối với các mật khẩu bạn lưu trong trình quản lý và không bao giờ gõ, mật khẩu ký tự ngẫu nhiên ngắn hơn với cùng sức mạnh. Công cụ này tạo ra loại sau.

Tại sao một trang web từ chối các ký hiệu trong mật khẩu được tạo của tôi?

Một số trang web từ chối một số ký hiệu nhất định như <, >, dấu ngoặc kép hoặc khoảng trắng do xử lý đầu vào kém ở phía họ. Nếu mật khẩu bị từ chối, hãy bỏ chọn Ký hiệu và tạo mật khẩu chữ cái cộng chữ số dài hơn. Độ dài bù đắp cho bảng chữ cái nhỏ hơn về mặt entropy.