Trình quản lý mật khẩu hoạt động như thế nào? 

Trình quản lý mật khẩu hoạt động như thế nào và bạn nên chọn loại nào? Hãy tìm hiểu cùng FUNiX.

• Đơn giản hóa và bảo mật thông tin đăng nhập trực tuyến với YubiKey

Bạn có ba hoặc bốn mật khẩu mà bạn dùng cho tất cả tài khoản của mình? Với tốc độ những vụ rò rỉ dữ liệu xảy ra ngày nay, rất có thể ai đó đã có mật khẩu của bạn.

Ngay cả khi bạn vẫn chưa bị tiết lộ, bạn vẫn nên tăng cường bảo mật của mình. Đã đến lúc sử dụng trình quản lý mật khẩu. Điều này không chỉ giúp các tài khoản trực tuyến của bạn an toàn hơn mà còn giúp quản lý chúng dễ dàng hơn. Câu hỏi đặt ra là bạn nên sử dụng loại nào?

1. Trình quản lý mật khẩu ngoại tuyến (offline)

Một ứng dụng quản lý mật khẩu chạy trên PC của bạn phải lưu mật khẩu của bạn ở đâu đó. Một cách tiếp cận là đặt thông tin đó vào một tệp duy nhất trên máy tính. Vì tệp này chứa dữ liệu rất nhạy cảm, bất kỳ trình quản lý mật khẩu tốt nào sẽ chắc chắn mã hóa nó.

Dữ liệu được mã hóa không phải là không thể mở khóa, nhưng điều đó khá khó đối với hầu hết mọi người và mất rất nhiều thời gian. Hầu hết tin tặc sẽ không muốn bỏ ra nhiều công sức như vậy, trừ phi bạn là một mục tiêu đáng giá. 

Làm cách nào để bạn truy cập dữ liệu của mình? Cách tiếp cận đơn giản nhất là sử dụng một mật khẩu chính (master password). Trình quản lý mật khẩu của bạn sẽ yêu cầu bạn tạo một mật khẩu để giải mã tệp chứa tất cả các mật khẩu khác của bạn.

Bạn có thể làm cho tệp này khó xâm nhập hơn bằng cách yêu cầu một “chìa khóa” để mở. Chìa khóa này có thể là một tệp tồn tại ở đâu đó ẩn trên máy tính của bạn hoặc trên một thiết bị riêng biệt như USB.

Ưu điểm:

• Cung cấp mức độ kiểm soát và linh hoạt cao nhất
• Chỉ bạn mới biết nơi bạn lưu trữ dữ liệu của mình

Nhược điểm:

• Có thể yêu cầu thêm kiến ​​thức kỹ thuật
• Không phù hợp để sử dụng với nhiều thiết bị

Khi bạn giữ tất cả mật khẩu của mình ở một nơi, bạn sẽ tạo ra thứ mà các chuyên gia bảo mật gọi là một điểm lỗi duy nhất (single point of failure). Nếu bạn cất tất cả tiền mặt của mình trong một két, ai đó chỉ cần mở được két đó là sẽ có thể lấy đi toàn bộ tài sản của bạn. Nếu bạn lưu trữ mật khẩu của mình trong nhiều tệp, thì điều đó sẽ làm tăng khối lượng công việc tin tặc cần làm để truy cập vào tất cả dữ liệu của bạn.

Trình quản lý mật khẩu ngoại tuyến thường được sử dụng miễn phí. Một vài trong số đó có thể có các tính năng bổ sung yêu cầu trả phí. 

Tải xuống: Keypass (Miễn phí)

Tải xuống: Mật khẩu An toàn (Miễn phí)

Tải xuống: Enpass (Miễn phí, giao dịch trong ứng dụng)

Tải xuống: Pass (Miễn phí)

2. Trình quản lý mật khẩu trực tuyến

Trình quản lý mật khẩu đã có từ lâu, nhưng cách chúng ta truy cập trực tuyến đã thay đổi trong thập kỷ qua. Nhiều người trong chúng ta sử dụng nhiều thiết bị để truy cập internet. 

Với đối tượng người dùng này, trình quản lý mật khẩu offline có thể không phù hợp. Nếu tất cả các mật khẩu của bạn được lưu trữ trên một máy tính và được tạo ngẫu nhiên, bạn không thể truy cập chúng trên một thiết bị khác cũng như không thể nhớ chúng để nhập thủ công.

Và thế là trình quản lý mật khẩu trực tuyến ra đời. Các dịch vụ này lưu trữ thông tin đăng nhập của bạn trực tuyến, và bạn có thể truy cập chúng từ nhiều thiết bị.

Tuy nhiên, trình quản lý mật khẩu dựa trên Internet có một lỗ hổng lớn. Mật khẩu cho mọi tài khoản của bạn hiện có sẵn online. Nếu ai đó có thể truy cập vào dữ liệu đó, họ có thể mạo danh bạn, kiểm soát tài khoản của bạn và lấy cắp cả tiền và danh tính của bạn. 

Mã hóa mật khẩu

Để giảm rủi ro, các dịch vụ sẽ mã hóa mật khẩu trên thiết bị của bạn trước khi tải dữ liệu trực tuyến. Nhưng không phải tất cả các dịch vụ đều xử lý việc bảo vệ dữ liệu đó theo cùng một cách. Họ có khả năng đặt lại mật khẩu chính của bạn nếu bạn quên không? Họ xử lý các câu hỏi bảo mật như thế nào?

Nếu trang web có thể giúp bạn lấy lại quyền truy cập vào dữ liệu của mình nếu bạn quên mật khẩu, điều này rất tiện lợi. Nhưng nếu những người làm việc tại công ty có thể làm như vậy, tin tặc cũng có thể làm được điều đó. Các công ty này cũng thường có các tính năng bổ sung để lôi kéo người dùng nhưng lại có thể khiến dữ liệu của bạn gặp rủi ro lớn hơn, chẳng hạn như tự động đăng nhập vào các trang web.

Ưu điểm:

• Sử dụng đơn giản
• Đồng bộ hóa tự động
• Hỗ trợ số lượng thiết bị nhiều nhất

Nhược điểm:

• Dữ liệu của bạn được lưu trữ trực tuyến
• Một số tính năng tiện lợi làm giảm độ an toàn
• Nhiều tính năng phải trả phí

Quản lý mật khẩu trực tuyến mang tính thương mại cao nhất. Tuy nhiều dịch vụ được sử dụng miễn phí, chúng thường dành một số tính năng nhất định cho đăng ký trả phí. 

Tải xuống: LastPass  (Miễn phí)

Tải xuống: Bitwarden (Miễn phí)

Tải xuống: Dashlane  (Miễn phí)

Tải xuống: 1Password (Dùng thử miễn phí, yêu cầu đăng ký)

3. Trình quản lý mật khẩu stateless 

*stateless: không lưu dữ liệu của khách hàng trên máy chủ. Có nghĩa là sau khi khách hàng gửi dữ liệu lên máy chủ, máy chủ thực thi xong, trả kết quả thì “quan hệ” giữa khách hàng và máy chủ bị “cắt đứt” – máy chủ không lưu bất cứ dữ liệu gì của khách hàng.

Ngay cả với mã hóa, sử dụng một trong các phương pháp trên đồng nghĩa với việc tạo một bản ghi các mật khẩu của bạn mà trước đó không tồn tại, tạo rủi ro bảo mật. 

Nhưng có những trình quản lý mật khẩu không lưu giữ các bản sao được mã hóa của mật khẩu. Thay vào đó, chúng tạo mật khẩu dựa trên các biến đơn giản, dễ nhớ. Một cách tiếp cận phổ biến là tạo mật khẩu bằng cách sử dụng kết hợp mật khẩu chính của bạn và tên của trang web.

Mỗi khi bạn nhập thông tin này, bạn sẽ nhận được cùng một mật khẩu.

Ngay cả khi tin tặc biết bạn sử dụng chương trình nào và thuật toán đằng sau đó, chúng vẫn cần mật khẩu chính, tên trang web và độ dài của mật khẩu để sao chép khóa bảo mật của bạn. Mặt khác, nếu ai đó xâm nhập một tài khoản và tìm ra mật khẩu chính của bạn, họ có thể tìm ra tất cả các tài khoản khác của bạn mà không cần phải bẻ khóa bất kỳ tệp dữ liệu nào. 

Ưu điểm:

• Không có tệp dữ liệu mật khẩu để bảo vệ
• Không cần đồng bộ hóa dữ liệu

Nhược điểm:

• Không có cách nào để ghi nhận các trang web có yêu cầu mật khẩu bất thường
• Không có cách nào dễ dàng xử lý các trang web có mật khẩu bạn cần thay đổi

Trình quản lý mật khẩu stateless thường là các dự án mã nguồn mở mà bạn có thể tải xuống miễn phí. Không cần đăng ký.

Tải xuống: PwdHash (Miễn phí)

Tải xuống: SuperGenPass (Miễn phí)

Tải xuống: LessPass (Miễn phí)

Tải xuống: HashPass (Miễn phí)

Hệ thống quản lý mật khẩu nào tốt nhất?

Trình quản lý mật khẩu chỉ tồn tại trên máy tính để bàn của bạn thì rất bảo mật, nhưng nếu bạn chụp lại màn hình để đăng nhập từ điện thoại hoặc từ nơi khác, bạn có thể đang tự tạo ra lỗ hổng bảo mật của chính mình. Trình quản lý mật khẩu trực tuyến có thể thuận tiện hơn, nhưng bạn vẫn phải tin tưởng để mật khẩu của mình trong tay người khác. 

Không có cái gọi là bảo mật hoàn hảo. Tuy nhiên, bất kỳ lựa chọn nào trong số này đều an toàn hơn so với việc sử dụng lại cùng một mật khẩu. Hy vọng qua bài viết này, bạn có thể cân nhắc ưu nhược điểm của từng loại trình quản lý mật khẩu và lựa chọn loại thích hợp nhất với mình. 

Dịch từ: https://www.makeuseof.com/tag/how-password-managers-work/

Vân Nguyễn