Công ty an ninh mạng, Hive Systems, vừa công bố Bảng mật khẩu năm 2025 như một phần tiếp theo của quá trình phân tích hằng năm về mức độ khó bẻ khóa mật khẩu. Kết quả đã có, và mặc dù không thực sự đẹp mắt, nhưng tin tốt là trừ khi bạn chống lại sức mạnh tính toán của một công ty AI toàn cầu trị giá hàng tỷ đô la, bạn có thể an toàn chỉ cần thêm một số ký tự vào mật khẩu của mình.
Đó là nếu bạn chưa thực hành bảo mật mật khẩu tốt ngay từ đầu, về cơ bản chỉ bao gồm: có một mật khẩu rất dài (một mật khẩu khác nhau cho mỗi tài khoản/dịch vụ). Tốt nhất là kết hợp số, chữ thường, chữ hoa và ký hiệu.
Hive Systems giải thích: "Nvidia cuối cùng đã phát hành một card đồ họa dành cho người tiêu dùng mới, RTX 5090. Để mô phỏng một tin tặc khá thành công, chúng tôi một lần nữa giả định không phải một mà là mười hai RTX 5090."
Mười hai GPU có vẻ là con số quan trọng vì đây là "cấu hình phần cứng tốt nhất mà người tiêu dùng có thể truy cập mà không chặn bạn chạy các công cụ được sử dụng để tấn công mật khẩu bằng cách dùng vũ lực." Dù sao thì đó cũng là những gì công ty đã nói về phân tích 12 x RTX 4090 trước đây của mình và có lẽ điều tương tự cũng đúng đối với GPU dành cho người tiêu dùng cao cấp thế hệ tiếp theo.
Bcrypt là thuật toán mà hầu hết các trang web và dịch vụ hiện nay sử dụng để 'băm' mật khẩu dạng văn bản thuần túy của bạn và là thứ mà công ty đang phân tích để bẻ khóa GPU. Băm là quá trình biến mật khẩu dạng văn bản thuần túy của bạn thành thứ gì đó khác, ví dụ, nếu ai đó hack máy chủ lưu trữ băm của bạn, họ sẽ không thể nhìn thấy mật khẩu của bạn mà chỉ có băm của nó. Điều này cũng không thể được thiết kế ngược. Như Hive Systems giải thích: "Theo thiết kế, phần mềm băm là con đường một chiều."
Vì vậy, bảng năm 2025 cho thấy thời gian cần thiết để 12 card đồ họa Nvidia GeForce RTX 5090 có thể dùng phương pháp tấn công bằng vũ lực để đoán đúng hàm băm để đăng nhập vào tài khoản của bạn—nói cách khác là để bẻ khóa mật khẩu của bạn.
Nói tóm lại, như dự kiến, nếu bạn sử dụng mật khẩu dài tám ký tự và chỉ sử dụng chữ thường và số, bạn sẽ gặp rắc rối. GPU RTX 5090 chỉ mất ba tuần để bẻ khóa. Thêm một số chữ cái viết hoa (nhưng giữ nguyên tám ký tự) sẽ kéo dài khung thời gian đó lên tới 15 năm. Thêm số sẽ kéo dài tới 62 năm và thêm ký hiệu sẽ kéo dài tới 164 năm.
Rõ ràng là một cách để đa dạng hóa bộ ký tự của mật khẩu. Nhưng thêm các ký tự bổ sung cũng vậy. Nếu bạn có 18 ký tự, ngay cả khi đó chỉ là số, thì 12 card đồ họa hàng đầu này sẽ mất 284.000 năm để bẻ khóa. Sự khác biệt cũng có thể theo cấp số nhân. Ví dụ, mật khẩu gồm 13 chữ số sẽ mất 3 năm để card đồ họa bẻ khóa, nhưng chỉ cần thêm một chữ số nữa là mất 28 năm, rồi thêm một chữ số nữa là mất 284 năm.
Giải thích về AI
Trí tuệ nhân tạo tổng quát là gì?: Chúng ta cùng tìm hiểu thuật ngữ AI và ý nghĩa thực sự của các thuật ngữ.
NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia) vẫn khuyến nghị số lượng ký tự tối thiểu là 15 cho mật khẩu. Điều này có lý, vì đây là con số làm tăng thời gian bẻ khóa vượt quá thời gian tồn tại khi sử dụng thiết lập khả thi nhất của tin tặc tấn công bằng vũ lực thông thường.
Nếu bạn muốn bảo vệ bản thân khỏi những tác nhân có sức mạnh tính toán lớn hơn nhiều (ai đang nhắm đến bạn?), Hive Systems đã phân tích thời gian cần thiết để phần cứng được sử dụng để đào tạo ChatGPT-4 (20.000 GPU máy chủ Nvidia A100). Ngay cả khi sử dụng phần cứng này, sẽ mất 388 năm để bẻ khóa một mật khẩu chỉ toàn số có 18 ký tự—nhưng sẽ mất 39 năm cho 17 ký tự và 4 năm cho 16 ký tự, một lần nữa chứng minh quy tắc rằng việc thêm nhiều ký tự hơn hầu như luôn là một ý tưởng hay nếu bạn ở trong phạm vi này.
Vì vậy, nếu bạn đang sử dụng một mật khẩu yếu, thì đúng, chúng ta hiện đang ở trong kỷ nguyên máy tính mà rất nhiều kẻ xấu sẽ có thể bẻ khóa thành công mật khẩu của bạn bằng một số sức mạnh tính toán khá chuẩn (mặc dù đắt tiền). Nhưng nếu bạn sử dụng mật khẩu dài với chữ thường, chữ hoa, số và ký hiệu, bạn vẫn không có gì phải lo lắng... ít nhất là không phải về mặt bẻ khóa bằng vũ lực. Có lẽ bây giờ là lúc tải xuống trình quản lý mật khẩu mà bạn đã định dùng thử.
Đó là nếu bạn chưa thực hành bảo mật mật khẩu tốt ngay từ đầu, về cơ bản chỉ bao gồm: có một mật khẩu rất dài (một mật khẩu khác nhau cho mỗi tài khoản/dịch vụ). Tốt nhất là kết hợp số, chữ thường, chữ hoa và ký hiệu.
Hive Systems giải thích: "Nvidia cuối cùng đã phát hành một card đồ họa dành cho người tiêu dùng mới, RTX 5090. Để mô phỏng một tin tặc khá thành công, chúng tôi một lần nữa giả định không phải một mà là mười hai RTX 5090."
Mười hai GPU có vẻ là con số quan trọng vì đây là "cấu hình phần cứng tốt nhất mà người tiêu dùng có thể truy cập mà không chặn bạn chạy các công cụ được sử dụng để tấn công mật khẩu bằng cách dùng vũ lực." Dù sao thì đó cũng là những gì công ty đã nói về phân tích 12 x RTX 4090 trước đây của mình và có lẽ điều tương tự cũng đúng đối với GPU dành cho người tiêu dùng cao cấp thế hệ tiếp theo.
Bcrypt là thuật toán mà hầu hết các trang web và dịch vụ hiện nay sử dụng để 'băm' mật khẩu dạng văn bản thuần túy của bạn và là thứ mà công ty đang phân tích để bẻ khóa GPU. Băm là quá trình biến mật khẩu dạng văn bản thuần túy của bạn thành thứ gì đó khác, ví dụ, nếu ai đó hack máy chủ lưu trữ băm của bạn, họ sẽ không thể nhìn thấy mật khẩu của bạn mà chỉ có băm của nó. Điều này cũng không thể được thiết kế ngược. Như Hive Systems giải thích: "Theo thiết kế, phần mềm băm là con đường một chiều."
Vì vậy, bảng năm 2025 cho thấy thời gian cần thiết để 12 card đồ họa Nvidia GeForce RTX 5090 có thể dùng phương pháp tấn công bằng vũ lực để đoán đúng hàm băm để đăng nhập vào tài khoản của bạn—nói cách khác là để bẻ khóa mật khẩu của bạn.
Nói tóm lại, như dự kiến, nếu bạn sử dụng mật khẩu dài tám ký tự và chỉ sử dụng chữ thường và số, bạn sẽ gặp rắc rối. GPU RTX 5090 chỉ mất ba tuần để bẻ khóa. Thêm một số chữ cái viết hoa (nhưng giữ nguyên tám ký tự) sẽ kéo dài khung thời gian đó lên tới 15 năm. Thêm số sẽ kéo dài tới 62 năm và thêm ký hiệu sẽ kéo dài tới 164 năm.
Rõ ràng là một cách để đa dạng hóa bộ ký tự của mật khẩu. Nhưng thêm các ký tự bổ sung cũng vậy. Nếu bạn có 18 ký tự, ngay cả khi đó chỉ là số, thì 12 card đồ họa hàng đầu này sẽ mất 284.000 năm để bẻ khóa. Sự khác biệt cũng có thể theo cấp số nhân. Ví dụ, mật khẩu gồm 13 chữ số sẽ mất 3 năm để card đồ họa bẻ khóa, nhưng chỉ cần thêm một chữ số nữa là mất 28 năm, rồi thêm một chữ số nữa là mất 284 năm.
Giải thích về AI
Trí tuệ nhân tạo tổng quát là gì?: Chúng ta cùng tìm hiểu thuật ngữ AI và ý nghĩa thực sự của các thuật ngữ.
NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia) vẫn khuyến nghị số lượng ký tự tối thiểu là 15 cho mật khẩu. Điều này có lý, vì đây là con số làm tăng thời gian bẻ khóa vượt quá thời gian tồn tại khi sử dụng thiết lập khả thi nhất của tin tặc tấn công bằng vũ lực thông thường.
Nếu bạn muốn bảo vệ bản thân khỏi những tác nhân có sức mạnh tính toán lớn hơn nhiều (ai đang nhắm đến bạn?), Hive Systems đã phân tích thời gian cần thiết để phần cứng được sử dụng để đào tạo ChatGPT-4 (20.000 GPU máy chủ Nvidia A100). Ngay cả khi sử dụng phần cứng này, sẽ mất 388 năm để bẻ khóa một mật khẩu chỉ toàn số có 18 ký tự—nhưng sẽ mất 39 năm cho 17 ký tự và 4 năm cho 16 ký tự, một lần nữa chứng minh quy tắc rằng việc thêm nhiều ký tự hơn hầu như luôn là một ý tưởng hay nếu bạn ở trong phạm vi này.
Vì vậy, nếu bạn đang sử dụng một mật khẩu yếu, thì đúng, chúng ta hiện đang ở trong kỷ nguyên máy tính mà rất nhiều kẻ xấu sẽ có thể bẻ khóa thành công mật khẩu của bạn bằng một số sức mạnh tính toán khá chuẩn (mặc dù đắt tiền). Nhưng nếu bạn sử dụng mật khẩu dài với chữ thường, chữ hoa, số và ký hiệu, bạn vẫn không có gì phải lo lắng... ít nhất là không phải về mặt bẻ khóa bằng vũ lực. Có lẽ bây giờ là lúc tải xuống trình quản lý mật khẩu mà bạn đã định dùng thử.
