Cách kiểm tra độ mạnh mật khẩu

Là công dân trong thời đại công nghệ thông tin, ai cũng có một hoặc nhiều "chìa khoá" mật khẩu để giữ "két sắt" là những tài khoản quý giá của mình. Bạn có nghĩ rằng chìa khoá của bạn đủ phức tạp để an toàn trước mọi kẻ xâm nhập? Chúng sẽ phản ứng như thế nào trước các cuộc tấn công ác ý và bao lâu thì chúng bị bẻ gãy?

Rất nhiều công cụ có thể giúp bạn hình dung được thế nào là một mật khẩu thực sự mạnh mẽ. Xin giới thiệu ba trong số đó, nhỏ gọn nhưng đầy sức mạnh. 

1. The Password Meter

Rất đơn giản để sử dụng, The Password Meter sẽ chấm điểm độ mạnh mật khẩu của bạn bằng một điểm số phần trăm cuối cùng. Ngoài ra nó còn giải thích chi tiết lý do vì sao mật khẩu thấp điểm và gợi ý cách đặt mật khẩu để có được điểm số cao hơn. Chỉ cần gõ mật khẩu vào ô Password, ngay lập tức website sẽ tính điểm cho bạn theo thời gian thực.

Phía bên dưới bạn sẽ nhìn thấy hai bảng Additions (điểm cộng) và Deductions (điểm trừ). Nhìn vào bảng bạn sẽ biết rõ ràng rằng mình được cộng hay trừ điểm vì lý do gì tuỳ thuộc vào việc mật khẩu của bạn thoả mãn tiêu chí nào trong hai bảng.

Dấu X có nghĩa là mật khẩu không đạt yêu cầu, dấu chấm than biểu thị rằng mật khẩu ổn nhưng không thực sự tốt, dấu tick màu xanh lá cây nói lên mật khẩu thoả mãn tiêu chí ở mức tối thiếu, còn ký hiệu màu xanh da trời hiện ra khi mật khẩu vượt qua được chuẩn "an toàn".

Trong ví dụ bạn có thể thấy rằng mật khẩu "abc123" là không an toàn vì chỉ đạt 32% điểm. Nào, bây giờ hãy thử gõ những mật khẩu "khủng" dạng như "H$Lf!7%3@8M(d*&C". Nó siêu an toàn vì toàn được chấm với các ký hiệu màu xanh và đạt điểm số cuối cùng 100% tròn trĩnh. Nhưng cũng thực sự điên đầu để nhớ được nó. Mật khẩu được chấm điểm từ 80% đã quá đủ để bạn an tâm rồi!

Một cách tổng quát The Password Meter phân tích những yêu cầu cơ bản cho mật khẩu như chứa ký tự, viết hoa, viết thường, ký hiệu đặc biệt, chữ số và những yêu cầu khác như ký tự liên tục, ký tự lặp lại, thuần tuý chữ cái, thuần tuý chữ số...

2. Hackosis Brute Force Calculator

Sử dụng Hackosis Brute Force Calculator bạn có thể nhanh chóng biết được rằng một máy tính thử được 137.438.953.472 mật khẩu mỗi giờ sẽ mất thời gian bao lâu để khám phá ra mật khẩu của bạn. Con số 137.438.953.472 là kết quả tính toán trên một máy tính điển hình vào năm 2008 dùng 10% bộ vi xử lý cho quá trình "phá bĩnh". Hầu hết tin tặc đều sử dụng những máy tính mạnh hơn rất nhiều để phá vỡ mật khẩu của bạn bằng thuật toán kiểm thử với số phép thử trong một giờ gấp hơn nhiều lần 137 tỉ. Website không yêu cầu bạn gõ trực tiếp mật khẩu, chỉ cần gõ số lượng chữ in hoa, chữ thường, chữ số hay ký tự đặc biệt vào các ô tương ứng.

Lại lấy ví dụ bởi mật khẩu "abc123" có 3 chữ thường (Lower Case Letters) và 3 chữ số (Numbers).

Kết quả hiện ra cho thấy thậm chí không cần đến 1 giờ để bẻ khoá mật khẩu đơn giản này.

3. Rumkin

Mật khẩu Entropy là gì?

Entropy là mức độ không thể đoán trước được của mật khẩu, hay nói cách khác, nếu mật khẩu có mức entropy cao hơn có nghĩa là cơ hội đoán ra mật khẩu càng thấp.

Có một công thức đơn giản để hiểu được những điều cơ bản về việc thời gian bẻ khóa một mật khẩu với số lượng entropy cụ thể.  

  • 2^(mức entropy) = số lần đoán cần thiết để bẻ khóa mật khẩu
  • Bất kỳ ai cũng có thể cài đặt phần mềm bẻ khóa mật khẩu và thực hiện khoảng 1000 lần đoán mỗi giây.
  • Chia số lần dự đoán mỗi giây và bạn sẽ có thời gian cần thiết để mở khóa mật khẩu, chỉ cần phân chia theo ngày/giờ/phút.
  • Tuy nhiên, nếu tăng tốc độ lên đến mức siêu máy tính (như người xây dựng máy tính 25-GPU có thể thực hiện được 350 tỷ lần đoán mỗi giây) thì nó có thể nhanh hơn rất nhiều. Tuy nhiên, tốc độ đoán giảm đáng kể phụ thuộc vào thuật toán mã hóa được sử dụng. Các trang web điển hình sử dụng SHA1, mà một siêu máy tính có thể bẻ khóa với tốc độ 63 tỷ lần đoán/giây.

Lưu ý rằng mặc dù các mật khẩu này được lưu trữ trên máy chủ web, chúng thường được bảo vệ bởi một số lượng mật khẩu tối đa trong một khoảng thời gian nhất định. Tuy nhiên, nếu trang web bị tấn công thì mật khẩu có thể dễ dàng chạy qua bất kỳ hệ thống bẻ khóa offline mà các hacker đã thiết lập.

Trong số các công cụ sẵn có, Rumkin là một trong những công cụ kiểm tra độ mạnh mật khẩu được yêu thích nhất. Công cụ này chỉ là một hộp đơn giản và khi gõ mật khẩu, nó sẽ hiển thị kết quả độ mạnh, bộ ký tự và mức độ entropy của nó.

Công cụ Rumkin

Ví dụ:

  • "Tr0G0d4r" = 35,5 bit entropy

35,5 bit entropy = 398 ngày cho một người bình thường có thể hack mật khẩu, nhưng chỉ 0,5 giây cho một siêu máy tính. Điều đó có nghĩa là ít hơn một phút cho hầu hết các chuyên gia để xâm nhập vào thiết bị của bạn. 

  • "Mygmailpassword" = 58,9 bit entropy

58,9 bit entropy = 18,267,344 năm cho một người bình thường và khoảng 105 ngày, theo lý thuyết cho một siêu máy tính.

  • "i have a very strong password” = 107,4 bit entropy

107,4 bit entropy = 5,141,800,300,000,000,000 thiên niên kỷ cho người bình thường và trên siêu máy tính, sẽ mất 81.615.877.245 thiên niên kỷ.

Nếu giật mình vì mật khẩu của bạn không đủ độ tin cậy, hãy thay thế nó ngay nhé, muộn còn hơn không!

Thứ Sáu, 19/04/2019 14:59
54 👨 3.157