Mật khẩu nên được lưu trữ và xử lý an toàn như thế nào?

Question

Accepted Answer

Mật khẩu phải được lưu trữ an toàn — **không bao giờ ở dạng plaintext**, mà được **hash** bằng một thuật toán password-hashing mạnh, chậm, có salt (bcrypt, Argon2, scrypt). Xử lý mật khẩu đúng cách là then chốt vì các vụ vi phạm mật khẩu cực kỳ gây hại và phổ biến.

## Không bao giờ lưu plaintext; hash đúng cách

```text
❌ KHÔNG BAO GIỜ lưu mật khẩu ở dạng plaintext (một vụ vi phạm sẽ lộ tất cả mật khẩu trực tiếp)
❌ Đừng dùng hash nhanh/đa dụng (MD5, SHA-256) đơn thuần — quá nhanh → dễ bị brute-force
✅ HASH bằng một thuật toán PASSWORD HASHING chuyên dụng: BCRYPT, ARGON2, hoặc scrypt:
  → CHẬM theo thiết kế (chống brute-force/GPU cracking)
  → CÓ SALT (một salt ngẫu nhiên duy nhất cho mỗi mật khẩu) → ngăn tấn công rainbow-table và
    việc các mật khẩu giống nhau hash ra giống nhau
```

```js
// hashing với bcrypt (tự động xử lý salting)
const hash = await bcrypt.hash(password, 12);   // lưu hash (kèm salt + cost)
// xác minh khi đăng nhập
const valid = await bcrypt.compare(inputPassword, storedHash);   // so sánh an toàn
```

## Tại sao các thuật toán này

```text
SALT → giá trị ngẫu nhiên duy nhất cho mỗi mật khẩu → các mật khẩu giống nhau cho hash KHÁC nhau;
  vô hiệu hóa tấn công precomputed (rainbow table)
CHẬM (work factor) → cố ý tốn kém để tính toán → brute-force hàng triệu lần đoán trở nên
  bất khả thi (cost factor có thể điều chỉnh khi phần cứng cải thiện)
→ bcrypt/Argon2/scrypt được thiết kế cho mật khẩu; hash đa dụng (SHA) thì KHÔNG.
```

## Các thực hành mật khẩu khác

```text
✓ Áp dụng độ mạnh hợp lý (độ dài hơn độ phức tạp); kiểm tra với danh sách mật khẩu đã bị lộ
✓ Multi-factor authentication (MFA) → bảo vệ mạnh ngay cả khi mật khẩu bị lộ
✓ HTTPS khi truyền; rate-limit / khóa các nỗ lực đăng nhập brute-force
✓ RESET mật khẩu an toàn (token có thời hạn); không bao giờ email mật khẩu; không bao giờ log chúng
```

## Tại sao điều này quan trọng

Hiểu việc lưu trữ và xử lý mật khẩu an toàn là thiết yếu vì **các vụ vi phạm mật khẩu cực kỳ phổ biến và gây hại**, và lưu trữ mật khẩu không đúng cách là một lỗ hổng nghiêm trọng, thường xuyên, nên đó là kiến thức bảo mật phải biết.

Các quy tắc cơ bản là then chốt: **không bao giờ lưu mật khẩu ở dạng plaintext** (một vụ vi phạm sẽ lộ trực tiếp mật khẩu của mọi người dùng — thảm họa), và **đừng dựa vào hash đa dụng nhanh** (MD5, SHA-256) vốn quá nhanh và dễ bị brute-force.

Thay vào đó, **hash bằng các thuật toán password-hashing chuyên dụng** (bcrypt, Argon2, scrypt) vốn **chậm theo thiết kế** (chống brute-force và GPU cracking) và **có salt** (một salt ngẫu nhiên duy nhất cho mỗi mật khẩu, ngăn tấn công rainbow-table và đảm bảo các mật khẩu giống nhau cho hash khác nhau).

Hiểu **tại sao các thuật toán này** — salting (vô hiệu hóa tấn công precomputed, khiến các mật khẩu giống nhau hash khác nhau) và sự chậm/work factor (khiến brute-force hàng loạt trở nên bất khả thi, với cost có thể điều chỉnh khi phần cứng cải thiện) — giải thích cách tiếp cận đúng so với các sai lầm phổ biến (plaintext, hash nhanh, không salt).

Hiểu **các thực hành khác** — áp dụng độ mạnh hợp lý (độ dài hơn độ phức tạp, kiểm tra danh sách mật khẩu đã bị lộ), **MFA** (bảo vệ mạnh ngay cả khi mật khẩu bị lộ), HTTPS khi truyền, rate-limit các nỗ lực đăng nhập, reset mật khẩu an toàn (token có thời hạn), và không bao giờ log hay email mật khẩu — phản ánh bảo mật mật khẩu toàn diện.

Xử lý mật khẩu là một lĩnh vực rủi ro cao nơi các sai lầm (lưu plaintext, hash yếu) trực tiếp gây ra các vụ vi phạm lớn, trong khi xử lý đúng cách (hash mạnh có salt, MFA) bảo vệ người dùng đáng kể.

Vì các vụ vi phạm mật khẩu phổ biến và gây hại còn lưu trữ không đúng cách là một lỗ hổng nghiêm trọng, thường xuyên, và vì hiểu lưu trữ an toàn (không bao giờ plaintext, hash mạnh có salt và chậm với bcrypt/Argon2) cùng các thực hành tốt (MFA, rate-limit) là thiết yếu để bảo vệ người dùng, nên hiểu việc lưu trữ và xử lý mật khẩu an toàn là kiến thức bảo mật thiết yếu, phải biết — một lĩnh vực then chốt, rủi ro cao nơi cách tiếp cận đúng (password hashing chuyên dụng, salting, MFA) ngăn chặn các vụ vi phạm mật khẩu thảm khốc do xử lý sai gây ra, là kiến thức cơ bản cho bất kỳ lập trình viên nào xử lý authentication.