Question 1

Mật khẩu tôi nhập có bị gửi lên máy chủ không?

Accepted Answer

KHÔNG. Mật khẩu được tính SHA-1 hash ngay trên trình duyệt (Web Crypto API). Chỉ 5 ký tự đầu của hash (5/40 ký tự) được gửi tới api.pwnedpasswords.com - máy chủ HIBP nhận về 500-1000 hash khớp prefix rồi gửi xuống, trình duyệt tự so phần đuôi. Đây là chuẩn k-anonymity của Troy Hunt. Cả HIBP lẫn VietLex đều không biết anh/chị kiểm tra mật khẩu nào.

Question 2

Cơ sở dữ liệu 800 triệu mật khẩu này lấy từ đâu?

Accepted Answer

Từ các vụ rò rỉ dữ liệu công khai trên toàn thế giới: Adobe 2013, LinkedIn 2012, Yahoo 2013-2014, Equifax 2017, Facebook 2019/2021 (533 triệu), Twitter 2022 (200 triệu), Marriott, T-Mobile, và 700+ vụ khác. Mỗi mật khẩu được hash SHA-1 và đếm số lần xuất hiện. Troy Hunt (Microsoft Regional Director) duy trì cơ sở dữ liệu này từ 2017, hiện cập nhật v8 với hơn 850 triệu hash.

Question 3

Mật khẩu lộ X lần có ý nghĩa gì?

Accepted Answer

Số lần mật khẩu này xuất hiện trong các bộ dữ liệu rò rỉ. "12345" lộ hơn 4 triệu lần. Mật khẩu lộ > 100 lần là rất nguy hiểm - hacker chắc chắn có trong "wordlist" tấn công brute-force và credential stuffing. Phải đổi ngay nếu trùng với mật khẩu của bất kỳ tài khoản nào.

Question 4

Mật khẩu KHÔNG lộ trong HIBP có an toàn tuyệt đối không?

Accepted Answer

Không tuyệt đối. HIBP chỉ phủ những vụ rò rỉ công khai đã được công bố. Các vụ rò rỉ private hoặc chưa lộ ra ánh sáng vẫn có thể có. Khuyến nghị: dùng trình quản lý mật khẩu (Bitwarden, 1Password), bật 2FA, mật khẩu duy nhất cho mỗi tài khoản, độ dài ≥ 16 ký tự.

Kiểm tra mật khẩu

Kiểm tra mật khẩu đã bị rò rỉ chưa

Cơ chế bảo vệ mật khẩu của anh/chị

Khuyến nghị bảo mật chung