ĐỪNG BAO GIỜ GỬI FILE ZIP ĐÃ MÃ HÓA CHO NGƯỜI YÊU CŨ — BÀI HỌC ĐẮT GIÁ CỦA TÔI
Chào các bạn, mình là Linh — dân IT nhưng không phải dân bảo mật. Mình vừa bị một trận cười ra nước mắt vì… chính cái file Excel tên "Chi tiêu 2025" mà mình từng gửi cho người yêu cũ hồi tháng 3.
Lúc ấy mình nghĩ: "Ơ, mình đã đặt mật khẩu rồi mà! ZIP + mật khẩu 8 ký tự, có cả chữ hoa, số, ký hiệu — an toàn như pháo đài!". Không ai ngờ, anh ấy (một anh bạn coder nghiệp dư) chỉ cần 47 phút trên máy Mac cũ để bẻ khóa — không phải nhờ phần mềm gì cao siêu, mà nhờ… tính năng gợi ý mật khẩu tự động của macOS khi mở file ZIP. Hóa ra, mình đã chọn mật khẩu dựa trên ngày sinh của cả hai. Và macOS thì nhớ rất rõ những gì bạn từng gõ vào ô tìm kiếm trên Spotlight.
Khi 'bảo mật cảm tính' va phải thực tế kỹ thuật
Mình đã ngồi đó, nhìn màn hình Terminal cuộn dòng log như phim hacker: hashcat -m 13600 ... → cracked! → 19980315. Không hề kịch tính. Không hề hào quang. Chỉ là một cú nhấp chuột, một câu lệnh copy-paste từ diễn đàn Reddit, và một chút… thiếu hiểu biết.
Mình từng nghĩ: "Forget file password? Just reset it!" — nhưng Excel thì không cho reset. ZIP thì không cho bypass. Còn các trang online password recovery mà mình lướt qua? Toàn yêu cầu upload file gốc. Một cái ZIP 23MB chứa ảnh gia đình, hợp đồng thuê nhà, bảng lương… gửi đi như thế à? Như đưa cả ổ cứng cho người lạ xem trong lúc mình ngủ.
Rồi một buổi chiều, mình gọi điện cho anh Huy — người từng làm DevSecOps ở FPT Software.
Không phải hỏi cách hack lại. Mà là hỏi: "Anh ơi, nếu em đã biết mật khẩu sai, nhưng không nhớ đúng 7 ký tự cuối thì sao? Có công cụ nào… không cần gửi file đi không?"
Anh ấy cười: "Em thử Catpasswd đi. Không phải kiểu upload file đâu. Nó chỉ đọc vài KB đặc trưng từ file — kiểu như dấu vân tay của mật khẩu, chứ không chạm vào dữ liệu bên trong. Em cứ tưởng tượng: nó không mang chiếc két sắt của em đi đâu cả — chỉ chụp lại lỗ khóa dưới dạng bản vẽ kỹ thuật, rồi nhờ đám GPU ở云端 chạy hàng triệu tổ hợp trên bản vẽ đó thôi."
Và thế là mình thử — với tinh thần chết cũng chết sạch.
Mình tải về tool, chọn file Excel, nhấn "Analyze". Nó xuất ra một chuỗi hash ngắn — chưa tới 100 ký tự — rồi gửi lên mạng lưới xử lý của Catpasswd. Không có file ảnh. Không có bảng lương. Chỉ có… dấu vân tay.
Rồi mình ngồi đợi. Không phải đợi 3 tiếng. Không phải đợi cả đêm. Mà là 2 phút 17 giây, trên màn hình hiện ra: Password found: LinhYeuHuy2025!
Không phải do may mắn. Mà vì Catpasswd dùng cơ chế so sánh hash cục bộ trước — loại bỏ 92% tổ hợp vô nghĩa ngay từ đầu. Còn lại? Đám GPU chuyên dụng kia làm nốt phần còn lại — nhanh, im lặng, và không bao giờ thấy nội dung thật của bạn.
Giờ thì mình đã xóa hết mọi file gửi cho người cũ. Nhưng điều mình giữ lại là bài học: forget file password không phải là thất bại — mà là lời nhắc: bảo mật không nằm ở độ dài mật khẩu, mà ở cách bạn cho phép người khác tiếp cận thông tin của mình.
Nếu bạn đang tìm cách ZIP password decrypt, hay cần Excel password recovery, hãy thử một công cụ không yêu cầu bạn trao niềm tin bằng cách gửi cả kho báu.
👉 Catpasswd — mạng lưới mật khẩu không bao giờ thấy file của bạn.
(P/s: Mật khẩu mới của mình là CatpasswdVietnam2026# — và lần này, mình đã kiểm tra hash của nó trước khi lưu.)