Ngày nay hacker rất nguy hiểm, nên để password ít nhất 14 ký tự trở lên trên máy tính, email, tài khoản forum ...
 

Khuyến nghị chung: Độ dài quan trọng hơn độ “lằng nhằng”. Hãy dùng mật khẩu thật dài và ngẫu nhiên (mỗi dịch vụ một mật khẩu) + 2FA/MFA; nếu có passkeys, hãy dùng passkeys.
Dưới đây là ước tính thời gian bẻ khóa ngoại tuyến (bruteforce) cho mật khẩu chỉ gồm chữ thường + số (36 ký tự), giả sử mật khẩu ngẫu nhiên thật sự:
* Cột “@1e12/s (hash nhanh)”: kẻ xấu dùng cụm GPU và dịch vụ lưu mật khẩu kiểu NTLM/MD5 (rất nguy hiểm).
* Cột “@1e6/s (KDF chậm)”: dịch vụ dùng bcrypt/Argon2 cấu hình vừa (an toàn hơn).
Thời gian là kỳ vọng trung bình (N/2); nhiều máy chạy song song sẽ rút ngắn tuyến tính.


Lưu ý quan trọng
* Con số trên chỉ đúng khi ngẫu nhiên thật sự. Nếu là “từ điển + năm sinh/đuôi 2025/chuỗi bàn phím”, thời gian bẻ sẽ tụt mạnh (tính theo từ điển trước rồi mới bruteforce).
* Dùng thêm ký tự HOA & ký tự đặc biệt sẽ mạnh hơn nữa, nhưng độ dài vẫn là vua.
* Đừng “xài lại” mật khẩu giữa các site.

Khuyến nghị dùng cho email, laptop/PC, iPad, iPhone…
* Email, ngân hàng, quản trị diễn đàn/website:
* ≥16–20 ký tự ngẫu nhiên hoặc passphrase 5–6 từ ngẫu nhiên.
* Bật 2FA/MFA (app tạo mã hoặc khóa bảo mật FIDO2).
* Nếu dịch vụ hỗ trợ passkeys → dùng passkeys (chống phishing, không lộ mật khẩu).
* Laptop/PC (Windows/macOS/Linux):
* Mật khẩu đăng nhập ≥16 ký tự hoặc passphrase dài.
* Bật mã hóa toàn bộ đĩa (BitLocker/FileVault/LUKS).
* iPhone/iPad:
* Đổi sang mã mở khóa chữ–số (alphanumeric) ≥8–10 ký tự thay vì 6 số; bật Erase Data after 10 attempts, Find My.
* Apple ID: 2FA + dùng passkeys khi có.
* Android:
* Khóa màn hình mật khẩu chữ–số (không dùng 4/6 số), bật mã hóa thiết bị, Google account 2FA.
Công thức nhanh
1. Cài trình quản lý mật khẩu (Bitwarden/1Password/…);
2. Mỗi dịch vụ một mật khẩu 18–20 ký tự ngẫu nhiên;
3. Bật 2FA/MFA (ưu tiên app/khóa bảo mật) hoặc passkeys;
4. Không nhập mật khẩu qua link lạ (tránh phishing).

Mỗi dịch vụ một mật khẩu, và mật khẩu nào cũng phải dài ngoằng, thì lời khuyên "hợp-với-lí-lẽ" này, tuy chính xác (càng "zắc zối" thì càng khó bị hacked), nhưng vẫn có phần quá đáng, vì mấy người làm được thế chứ.

Tôi xin mạn phép được góp ý thêm về chuyện cài đặt password này cho các thiết bị điện tử như desktop, laptop, smartphone,... Tuy có rất nhiều cách thức để cài nhưng theo ý kiến riêng của cá nhân tôi (dù không biết có chính xác hay không), tôi tìm thấy có trang web này cho phép cài đặt password tùy ý.
Chúng ta có thể tùy chọn password nào dễ hoặc là khó, có ít nhiều ký tự qua chữ viết thường hoặc chữ viết hoa và kèm theo các ký tự đặc biệt khác như +, -, >, *,... tại đây:
- https://www.sordum.org/passwordgenerator/

Do password dạng này khá dải và có nhiều ký tự khác nhau, rất khó nhớ nổi, nên chúng ta có thể cho lưu lại trong ứng dụng WORD hoặc NOTE cũng được và mỗi lần cần sử dụng đến, cứ vô để lấy xài, cho bôi đen và chuyển vô nơi cần đặt để mở khóa ra. Thật là đơn giản.
Xin có góp ý nhỏ này và cám ơn đã đọc qua.