PDF Công Cụ
Quay lại Blog
Bảo mật24/04/202612 phút đọc

Bảo mật PDF 2026: đặt/mở mật khẩu, watermark, digital signature

PDF chứa hợp đồng, CV, báo cáo cần bảo mật đúng cách. Bài này cover 4 phương pháp: password AES-128, restrict permissions, watermark, digital signature.

TLDR — 4 level bảo mật PDF

📌 4 cấp độ
  1. 1 Watermark — đánh dấu bản quyền, không chặn copy/print. Level thấp nhất.
  2. 2 Restrict permissions — owner password hạn chế copy/print. Level trung.
  3. 3 User password — bắt nhập pass để mở. Level cao với AES-128.
  4. 4 Digital signature (Adobe Pro, VNPT CA) — chứng thực danh tính + không thể sửa. Cao nhất, có giá trị pháp lý.

Bài này hướng dẫn chọn đúng level + triển khai từng phương pháp. Kèm workflow doanh nghiệp VN và discussion về giá trị pháp lý.

AES-128
Encryption standard 2026
4 levels
Từ watermark đến digital signature
95%
Use case cá nhân/SME dùng user password
1 tỷ năm
Brute-force AES-128 với GPU hiện đại

Level 1 — Watermark: đánh dấu bản quyền

Watermark là text/ảnh chìm trên trang PDF, mục đích chính:

  • Đánh dấu bản quyền (© Company Name 2026).
  • Ngăn copy trái phép (FB/web scraper thấy 'CONFIDENTIAL' → không upload).
  • Đánh dấu status (DRAFT, PREVIEW, INTERNAL).
  • Đánh dấu dated distribution (watermark có ngày gửi → trace leak).

KHÔNG bảo mật thực sự: không chặn copy/print/edit. Ai cũng có thể in ra, scan lại, OCR để extract text. Level prevention thấp nhưng deterrent tốt — đa số người không bỏ công phá.

Dùng Watermark PDF:

  1. 1 Upload PDF.
  2. 2 Nhập text (VD 'CONFIDENTIAL', tên công ty).
  3. 3 Tuỳ chỉnh góc xoay 45° chéo (chống crop), opacity 30-50% (mờ vẫn đọc content được).
  4. 4 Download PDF có watermark.

Template watermark phổ biến:

  • CONFIDENTIAL — tài liệu công ty nội bộ
  • DRAFT — bản nháp chưa finalize
  • © Company 2026 — bản quyền
  • FOR [Tên khách] ONLY — trace distribution
  • PREVIEW - NOT FOR SALE — sample
  • [IP address] - [Date] — forensic watermark

Level 2 — Restrict permissions (owner password)

Owner password hạn chế actions user có thể làm với PDF: không cho copy, print, edit, annotate. File vẫn mở được không cần password.

Use case:

  • Brochure/catalog share public nhưng không muốn competitor copy design.
  • Ebook/course material — không cho student print share lại.
  • Report — readonly cho client, không cho edit change.

Dùng Đặt mật khẩu PDF:

  1. 1 Upload PDF.
  2. 2 Chỉ check 'Restrict permissions' (không user password).
  3. 3 Bỏ tick 'Allow copying', 'Allow printing' tuỳ chọn.
  4. 4 Set owner password (pass để điều chỉnh permissions sau này).
  5. 5 Download.

Limitation:

  • Adobe Acrobat Pro + tool advanced có thể bypass owner password (không phải security thực). Chỉ chặn casual user.
  • Screen capture (snip tool) vẫn copy được content as image.
  • Print to PDF (Ctrl+P) có thể remove restrictions.
⚠️ Security by obscurity

Restrict permissions không phải 'bảo mật thực' — chỉ inconvenience cho attacker. Với content thực sự nhạy cảm, dùng user password (Level 3) hoặc DRM system (enterprise).

Level 3 — User password (AES-128)

User password mã hoá toàn bộ nội dung PDF. Không có password → không thể mở, không thể extract text, content literally không đọc được.

AES-128 (Advanced Encryption Standard 128-bit) là standard của Adobe Acrobat Pro + ISO PDF 2.0. Với GPU hiện đại brute-force cần ~1 tỷ năm. Đủ cho mọi use case cá nhân + doanh nghiệp.

Use case:

  • Hợp đồng, thoả thuận NDA.
  • Báo cáo tài chính, audit, P&L.
  • Hồ sơ nhân sự, bảng lương.
  • CV với thông tin nhạy cảm (salary history).
  • Tài liệu khách hàng (HIPAA, GDPR).

Dùng Đặt mật khẩu PDF:

  1. 1 Upload PDF.
  2. 2 Nhập user password (tối thiểu 8 ký tự, khuyến nghị 12+).
  3. 3 Password strength meter xanh → OK.
  4. 4 Optional: owner password riêng + permissions tuỳ chọn.
  5. 5 Download.

Best practice password:

  • Tối thiểu 12 ký tự.
  • Mix chữ hoa + chữ thường + số + ký tự đặc biệt.
  • Không dùng từ trong dictionary ('password', 'admin', 'company2026').
  • Không dùng cùng password cho nhiều file.
  • Dùng password manager (Bitwarden, 1Password) để store.
  • Share password qua kênh khác với file (VD file qua email, password qua SMS).
💡 Password generator

Dùng OneGen tạo password mạnh random 16 ký tự. Tool free, chạy browser, không lưu password.

Level 4 — Digital signature (có giá trị pháp lý)

Digital signature khác 'drawn signature' ở chỗ: dùng public/private key cryptography để chứng thực:

  • Người ký thực sự là ai (identity verified).
  • File không bị sửa sau khi ký (tamper-proof).
  • Có timestamp chính xác (when signed).

Drawn signature (như Ký PDF của PDF Công Cụ): chỉ ảnh chữ ký embed vào PDF. Không có cryptography. Không chứng thực identity. Có giá trị 'symbolic' cho hợp đồng dân sự đơn giản.

Digital signature cần:

  • Certificate từ CA (Certificate Authority) uy tín. VN: VNPT-CA, FPT-CA, Bkav-CA, Viettel-CA. Giá ~500K-2 triệu VND/năm.
  • Hardware token (USB) hoặc software (e-cert) chứa private key.
  • Tool sign: Adobe Acrobat Pro, VNPT ký số, FPT eInvoice...

Giá trị pháp lý VN:

  • Luật Giao dịch điện tử 2023 công nhận digital signature có giá trị như chữ ký tay.
  • Dùng được cho: hợp đồng, hoá đơn điện tử, khai thuế, báo cáo tài chính nộp chính phủ.
  • Drawn signature chỉ có giá trị khi 2 bên thoả thuận (dân sự), không dùng được với cơ quan nhà nước.
ℹ️ Khi nào cần digital signature

Hợp đồng > 100 triệu, hoá đơn B2B, giao dịch với nhà nước, báo cáo audit. Hợp đồng freelance < 50 triệu + client OK với drawn signature → Ký PDF đủ.

Mở khoá PDF khi quên password

Owner password (restrict permissions): tool như Mở khoá PDF gỡ được — thuật toán không mã hoá content.

User password (encryption): không có cách legal nào bypass. AES-128 = brute-force impossible trong thời gian đời người.

Options nếu quên user password:

  1. 1 Nhớ lại: thử các password bạn hay dùng. Check password manager (Bitwarden, 1Password).
  2. 2 Tác giả file: liên hệ người tạo file cung cấp lại password.
  3. 3 Professional password recovery: services như PDFCrack, Passware cost $50-500, thử brute-force dictionary + common patterns. Success rate 30-60% tuỳ password strength.
  4. 4 Accept loss: password strong + quên = file literally không mở được. Lesson: luôn backup password vào password manager.
⚠️ Không trust 'online PDF password remover'

Tool claim 'unlock any PDF' thường là scam — upload file lên server, log password attempts, có thể sell data. Không dùng với file sensitive. Tool legit chỉ work với owner password (pdfcrack, Mở khoá PDF).

Checklist bảo mật PDF cho SME VN

Cấp độ từ thấp → cao theo context:

Brochure/catalog public → Level 1 (Watermark)

  • Watermark với tên công ty
  • Để upload web, share social, file free download

Báo cáo internal cho nhân viên → Level 2 (Restrict)

  • Restrict permissions — disable copy/print
  • Owner password biết chỉ admin
  • Nhân viên đọc được, không forward + copy

Hợp đồng, NDA → Level 3 (User password)

Hợp đồng > 500 triệu, báo cáo nộp chính phủ → Level 4 (Digital signature)

  • Mua certificate từ VNPT-CA/FPT-CA
  • Ký bằng Adobe Acrobat Pro hoặc VNPT ký số
  • Có giá trị pháp lý theo Luật Giao dịch điện tử 2023

Always do:

  • Backup file gốc trước khi mã hoá.
  • Lưu password vào password manager (Bitwarden/1Password).
  • Document ai có quyền access file (log).
  • Review permissions định kỳ (quarterly).

Câu hỏi thường gặp

AES-128 có đủ mạnh không, có nên dùng AES-256?

AES-128 đủ cho 99% use case. Brute-force AES-128 với GPU modern cần >1 tỷ năm. AES-256 chỉ cần cho nation-state level threat (CIA, KGB). Tool Đặt mật khẩu PDF dùng AES-128 để tương thích Adobe Acrobat Reader 9+ (2008+).

Quên password có cách phục hồi không?

Owner password (restrict permissions): có, dùng Mở khoá PDF. User password (encryption): không — đây là strength của AES. Luôn backup password vào password manager.

Drawn signature có giá trị pháp lý VN không?

Có giá trị cho hợp đồng dân sự nếu 2 bên thoả thuận dùng. Không có giá trị pháp lý như chữ ký số với cơ quan nhà nước + hợp đồng large scale. Với deal > 100 triệu hoặc B2G, dùng digital signature từ VNPT-CA/FPT-CA.

Watermark có chặn được AI crawler OCR content không?

Không hoàn toàn. AI OCR (Tesseract, GPT-4 Vision) vẫn extract text qua watermark mờ. Watermark chính yếu là deterrent + bản quyền, không chặn extraction.

Tool [Đặt mật khẩu PDF](/vi/protect-pdf) có gửi password lên server không?

Không. Dùng fork @cantoo/pdf-lib chạy 100% browser. Password chỉ tồn tại trong RAM browser trong quá trình encryption, auto xoá khi đóng tab. Không log, không cache.

Digital signature giá bao nhiêu ở VN?

Certificate cá nhân VNPT-CA/FPT-CA: 500K-1.5 triệu VND/năm. Doanh nghiệp: 1-3 triệu/năm. Phí gia hạn + hardware token USB ~500K/năm. Adobe Acrobat Pro $240/năm nếu sign bằng Adobe (không cần CA VN cho hợp đồng B2B international).

File AES-128 có mở được trên mobile + Google Drive không?

Có. AES-128 standard — tương thích Adobe Acrobat Reader (iOS/Android), Google Drive, iCloud Files, Samsung Gallery. Nhập password khi mở.

Nguồn tham khảo

Công cụ liên quan

Thử ngay các tool nhắc trong bài

Đặt mật khẩu PDF
Mở khoá PDF
Đóng dấu PDF
Ký PDF

Bài viết khác

Hướng dẫn

Ghép PDF online không cần phần mềm — hướng dẫn đầy đủ 2026

24/04/2026 · 10 phút đọc
Hướng dẫn

Nén PDF giảm dung lượng xuống dưới 1MB — 7 cách thực tế 2026

24/04/2026 · 11 phút đọc
Hướng dẫn

Tách PDF thành nhiều file theo trang — hướng dẫn chi tiết 2026

24/04/2026 · 9 phút đọc