Khuyến nghị chung: Độ dài quan trọng hơn độ “lằng nhằng”. Hãy dùng mật khẩu thật dài và ngẫu nhiên (mỗi dịch vụ một mật khẩu) + 2FA/MFA; nếu có passkeys, hãy dùng passkeys.
Dưới đây là ước tính thời gian bẻ khóa ngoại tuyến (bruteforce) cho mật khẩu chỉ gồm chữ thường + số (36 ký tự), giả sử mật khẩu ngẫu nhiên thật sự:
* Cột “@1e12/s (hash nhanh)”: kẻ xấu dùng cụm GPU và dịch vụ lưu mật khẩu kiểu NTLM/MD5 (rất nguy hiểm).
* Cột “@1e6/s (KDF chậm)”: dịch vụ dùng bcrypt/Argon2 cấu hình vừa (an toàn hơn).
Thời gian là kỳ vọng trung bình (N/2); nhiều máy chạy song song sẽ rút ngắn tuyến tính.


Lưu ý quan trọng
* Con số trên chỉ đúng khi ngẫu nhiên thật sự. Nếu là “từ điển + năm sinh/đuôi 2025/chuỗi bàn phím”, thời gian bẻ sẽ tụt mạnh (tính theo từ điển trước rồi mới bruteforce).
* Dùng thêm ký tự HOA & ký tự đặc biệt sẽ mạnh hơn nữa, nhưng độ dài vẫn là vua.
* Đừng “xài lại” mật khẩu giữa các site.

Khuyến nghị dùng cho email, laptop/PC, iPad, iPhone…
* Email, ngân hàng, quản trị diễn đàn/website:
* ≥16–20 ký tự ngẫu nhiên hoặc passphrase 5–6 từ ngẫu nhiên.
* Bật 2FA/MFA (app tạo mã hoặc khóa bảo mật FIDO2).
* Nếu dịch vụ hỗ trợ passkeys → dùng passkeys (chống phishing, không lộ mật khẩu).
* Laptop/PC (Windows/macOS/Linux):
* Mật khẩu đăng nhập ≥16 ký tự hoặc passphrase dài.
* Bật mã hóa toàn bộ đĩa (BitLocker/FileVault/LUKS).
* iPhone/iPad:
* Đổi sang mã mở khóa chữ–số (alphanumeric) ≥8–10 ký tự thay vì 6 số; bật Erase Data after 10 attempts, Find My.
* Apple ID: 2FA + dùng passkeys khi có.
* Android:
* Khóa màn hình mật khẩu chữ–số (không dùng 4/6 số), bật mã hóa thiết bị, Google account 2FA.
Công thức nhanh
1. Cài trình quản lý mật khẩu (Bitwarden/1Password/…);
2. Mỗi dịch vụ một mật khẩu 18–20 ký tự ngẫu nhiên;
3. Bật 2FA/MFA (ưu tiên app/khóa bảo mật) hoặc passkeys;
4. Không nhập mật khẩu qua link lạ (tránh phishing).