Nên để bao nhiêu số (passcode) trong iPhone, iPad và điện thoại Android? Kẻ trộm mất bao nhiêu thời gian để bẻ khoá?

Nên để passcode : 12 số trở lên trong iphone, iPad và điện thoại Android, Samsung.
Dưới đây là ước tính thời gian bẻ khoá cho mã số thuần (numeric) nếu iPhone/iPad rơi vào tay kẻ xấu — kèm lưu ý rất quan trọng về cơ chế chặn đoán của iOS.

1) Thấp nhất có thể (giả sử kẻ xấu có “đồ nghề” bỏ qua lockout UI, nhưng vẫn phải tính chi phí ~80 ms/1 lần thử do Secure Enclave)
Apple quy định mỗi lần kiểm tra passcode tốn ~80 ms để chống brute-force.
2) Thực tế đời thật: iOS không cho brute-force
* iOS/iPadOS áp dụng thời gian chờ leo thang sau các lần nhập sai: 4 sai → 1 phút, 5 → 5 phút, 6 → 15 phút, 7 → 1 giờ, 8 → 3 giờ, 9 → 8 giờ; từ 10 lần trở lên: thiết bị bị vô hiệu hoá và phải nối máy tính để khôi phục. Các độ trễ này do Secure Enclave cưỡng chế.
* Nếu bật Erase Data after 10 attempts, sau 10 lần sai liên tiếp toàn bộ dữ liệu sẽ bị xoá. (MDM có thể đặt ngưỡng thấp hơn.) support.apple.com
* Về mặt kiến trúc, brute-force phải diễn ra ngay trên thiết bị đã ghép cặp với Secure Enclave; không thể bắn thử đoán từ bên ngoài. support.apple.com
* Apple Platform Security còn mô tả “counter lockbox”: vượt ngưỡng thử tối đa thì xóa sạch dữ liệu bảo vệ bằng passcode. help.apple.com
➡️ Nói ngắn: trong thực tế, không có “thời gian bẻ khoá” khả thi bằng cách đoán dần trên thiết bị hiện đại — hoặc thiết bị sẽ xóa dữ liệu, hoặc bị vô hiệu hóa khiến phải restore (mất dữ liệu).
3) Nên dùng passcode bao nhiêu số?
* Tối thiểu 8–10 số (ngẫu nhiên) cho người dùng phổ thông; 12 số nếu bạn có dữ liệu nhạy cảm/đối tượng rủi ro cao.
* Bật: Settings → Face/Touch/Optic ID & Passcode → Erase Data (sau 10 lần sai). support.apple.com
* Tốt hơn nữa: chuyển sang mật khẩu chữ-số dài (alphanumeric) hoặc passkeys cho Apple ID/iCloud.


Dưới đây là ước tính thời gian bẻ khoá bằng thử-sai trực tiếp trên máy cho mã chỉ toàn số (PIN) của Android/Samsung — dựa trên cơ chế chặn đoán Gatekeeper của Android: sau nhiều lần sai liên tiếp, máy bắt buộc phải chờ (timeout) và càng sai càng phải chờ lâu; đến khoảng 140 lần sai thì mỗi lần thử tiếp theo phải chờ 1 ngày. Vì vậy, brute-force “đoán dần” trên thiết bị gần như bất khả thi.

Gatekeeper chạy trong TEE (phần cứng bảo mật) và cưỡng chế việc đếm số lần sai + thời gian chờ; hệ thống không phục vụ yêu cầu xác thực nếu còn đang timeout. Điều này là mặc định của Android, kể cả trên máy Samsung.
Thuật toán tăng thời gian chờ (exponential backoff) và quy tắc 1 ngày/lần sau khoảng 140 lần sai thể hiện trong mã nguồn AOSP ComputeRetryTimeout( ...).
Nhiều máy Samsung còn có tuỳ chọn Auto factory reset: xoá sạch dữ liệu sau 15–20 lần sai (tùy đời/One UI). Khi bật tuỳ chọn này, kẻ trộm không có cơ hội brute-force nhiều lần. (Đường dẫn: Settings → Lock screen → Secure lock settings → Auto factory reset).

Khuyến nghị nhanh cho Samsung/Android
1. Dùng PIN ≥ 8–10 số (ngẫu nhiên). Với dữ liệu nhạy cảm, 12 số trở lên cho an tâm.
2. Bật Auto factory reset (xoá dữ liệu sau 15–20 lần sai).
3. Cân nhắc đổi sang mật khẩu chữ–số (alphanumeric) dài — mạnh vượt trội so với PIN số.
4. Luôn bật mã hoá (FBE) và cập nhật hệ thống; đây là tiêu chuẩn bắt buộc trên thiết bị mới, khoá giải mã gắn với phần cứng/TEE. Android Open Source Project
Tóm lại: trên thiết bị Android/Samsung hiện đại, brute-force PIN trên máy là không thực tế do cơ chế giới hạn & khoá chờ của Gatekeeper (và có thể xoá dữ liệu tự động). Cách phòng vệ tốt nhất vẫn là PIN đủ dài/ngẫu nhiên + Auto factory reset + (ưu tiên) mật khẩu chữ–số dài.