trình quản lý mật khẩu – TRAINGHIEMSO.VN

Tại sao bạn nên cân nhắc trước khi sử dụng SSO?

An Nhiên — Tue, 15 Oct 2024 09:46:24 +0000

Khi bạn tạo một tài khoản mới trên các nền tảng trực tuyến hiện nay, bạn có thể thấy có tùy chọn để đăng ký nhanh chóng bằng cách sử dụng tài khoản Google, Facebook hoặc các dịch vụ tương tự. Dù sự thuận tiện từ những tùy chọn này có vẻ hấp dẫn, nhưng bạn nên cân nhắc kỹ và lý do hóa việc sử dụng địa chỉ email hoặc tên người dùng của chính mình cho các tài khoản này. Để giúp bạn hiểu rõ hơn về vấn đề này, hãy cùng tìm hiểu một công nghệ được gọi là đăng nhập một lần (SSO).

SSO là gì?

Đăng nhập một lần (Single sign-on, viết tắt là SSO) là một công nghệ giúp bạn đăng nhập vào nhiều dịch vụ trực tuyến bằng chỉ một bộ thông tin đăng nhập. Cách thức hoạt động của SSO có đôi chút phức tạp, nhưng để đơn giản hóa, khi bạn tạo tài khoản trên một dịch vụ không phải của Google thông qua tài khoản Google, thay vì nhận thông tin đăng nhập chuẩn, một mã thông báo (token) sẽ được tạo ra.

Mã thông báo này là một tệp nhỏ do Google quản lý, cho phép bạn dễ dàng đăng nhập vào tài khoản mới của mình. Chừng nào bạn còn giữ trạng thái đăng nhập vào Google, bạn sẽ có thể truy cập vào tất cả các trang web mà mã thông báo đó đại diện.

Tại sao bạn nên tránh sử dụng SSO

Mặc dù SSO mang lại sự tiện lợi đáng kể, nhưng điều này đi kèm với một cái giá không hề nhỏ, và có thể bạn sẽ không muốn trả giá cho điều này. Một mật khẩu mạnh thực sự là một công cụ bảo mật quan trọng nhằm ngăn chặn những kẻ tấn công và quyền truy cập trái phép. Việc sử dụng mật khẩu mạnh giữa các tài khoản là một cách bảo vệ hiệu quả, vì nó giúp tránh tình trạng nếu một tài khoản bị xâm nhập, những tài khoản còn lại vẫn được an toàn.
Tuy nhiên, khi sử dụng SSO, bạn đã giảm thiểu khả năng bảo vệ thành một điểm thất bại duy nhất. Điều này có nghĩa là, nếu tài khoản chính của bạn bị xâm nhập, tất cả các mã thông báo này sẽ rơi vào tay kẻ tấn công, và bạn sẽ gặp rất nhiều khó khăn khi khôi phục điều này. Kẻ tấn công sẽ nắm quyền kiểm soát tất cả các tài khoản liên kết với tài khoản chính đó. Đây thực sự là một cơn ác mộng đáng lo ngại về bảo mật.

Về vấn đề kiểm soát, bạn cũng nên cân nhắc về việc gửi quyền kiểm soát tài khoản của mình cho các công ty công nghệ lớn. Nếu bạn cho phép Big Tech giữ quyền truy cập vào tài khoản của mình, điều này có thể dẫn đến những hệ lụy không mấy dễ chịu. Bạn có thể sẽ mất quyền truy cập vào những tài khoản khác nếu tài khoản chính của bạn bị khóa.

Big Tech có thể theo dõi bạn qua SSO như thế nào

Một lý do khác để tránh sử dụng SSO đó là bạn nên suy nghĩ kỹ về việc các tập đoàn công nghệ lớn này có thực sự cần biết tất cả các tài khoản khác mà bạn sử dụng hay không. Thật không may, công việc chính của họ chủ yếu là thu thập dữ liệu phục vụ cho quảng cáo, và việc bạn sử dụng họ để đăng nhập vào tài khoản của mình dường như chỉ càng tăng cường khả năng thu thập thông tin của họ.
Chẳng hạn, Google kiểm soát những kết quả mà bạn thấy trực tuyến, trong khi theo WIRED, Facebook lại có thể theo dõi hoạt động duyệt web của bạn. Việc để cho họ nắm rõ bạn truy cập vào những dịch vụ trực tuyến nào chỉ là thêm một dữ liệu khác mà họ có thể bán được. Nếu bạn quan tâm đến quyền riêng tư của bản thân, có nhiều lựa chọn khác mà vẫn dễ sử dụng không kém.

Đừng yếu đi bảo mật của bạn

Nhưng việc từ bỏ SSO không có nghĩa là bạn phải từ bỏ sự tiện lợi. Bạn hoàn toàn có thể sử dụng một trình quản lý mật khẩu thay thế, một công cụ giúp lưu trữ và tự động điền mật khẩu cho bạn. Những trình quản lý mật khẩu như vậy không chỉ dễ sử dụng như SSO, mà còn không có những món nợ tiêu cực về bảo mật. Ngay cả khi trình quản lý mật khẩu của bạn gặp sự cố, bạn vẫn có thể tự làm mới lại tài khoản của mình, bởi vì bạn vẫn nắm quyền kiểm soát tình hình.

Các ứng dụng quản lý mật khẩu có đọc được mật khẩu của bạn không?

An Nhiên — Tue, 15 Oct 2024 03:58:44 +0000

Trình quản lý mật khẩu (Password managers) hiện đóng vai trò rất quan trọng trong việc bảo vệ an ninh thông tin không chỉ cho cá nhân mà còn cho doanh nghiệp. Những công cụ này giúp người dùng tạo ra và lưu trữ những mật khẩu mạnh mẽ, ngẫu nhiên cho mỗi tài khoản trực tuyến. Điều này giúp giảm thiểu đáng kể rủi ro liên quan đến việc lộ mật khẩu do các vụ rò rỉ từ những trang web không đảm bảo các tiêu chuẩn mã hóa chặt chẽ. Hơn nữa, một số trình quản lý mật khẩu tiên tiến ngày nay còn tích hợp thêm tính năng tự động đăng nhập, lưu trữ mã xác thực 2FA (TOTP), và đặc biệt là khả năng đồng bộ hóa mật khẩu giữa các thiết bị khác nhau, giúp người dùng dễ dàng truy cập tài khoản của mình mọi lúc mọi nơi.

Nếu bạn nghĩ việc lưu trữ mật khẩu trong một kho lưu trữ đã là điều gì đó quen thuộc, thì bạn không sai. Các phần mềm nổi tiếng như KeePass đã hiện diện trên thị trường từ nhiều năm trước. Tuy nhiên, việc đồng bộ hóa mật khẩu giữa các thiết bị chỉ thực sự trở nên phổ biến trong thời gian gần đây. Đây chính là yếu tố quyết định giúp các trình quản lý mật khẩu dựa trên đám mây trở thành những lựa chọn hấp dẫn cho người dùng. Liệu bạn có muốn áp dụng một trình quản lý mật khẩu mà yêu cầu bạn phải sao chép thủ công từng mật khẩu vào các thiết bị khác mỗi khi có thay đổi hay không?

Tuy nhiên, vấn đề đặt ra là nếu mật khẩu của bạn được đồng bộ hóa thông qua một nhà cung cấp đám mây, liệu rằng mật khẩu của bạn có thể bị lộ cho nhà cung cấp đó hay không?

Nhà cung cấp không thể đọc mật khẩu của bạn

Không ai muốn gánh nặng bảo mật mật khẩu của mọi người

Câu trả lời chính xác là không, nhà cung cấp dịch vụ đám mây không thể xem được mật khẩu đã được đồng bộ hóa của bạn. Điều này nghe có vẻ hiển nhiên, nhưng thực tế lại chứng minh rằng việc cung cấp mật khẩu dưới dạng văn bản rõ ràng cho một dịch vụ đám mây là một hành động rất không an toàn. Hệ thống hoạt động bằng cách mã hóa mật khẩu trên thiết bị của bạn trước khi gửi chúng đến nhà cung cấp, nhờ vậy mà chỉ có những mật khẩu đã được mã hóa được gửi đi. Những mật khẩu này sử dụng một khóa mã hóa được tạo ra từ mật khẩu chính của bạn, có nghĩa rằng nếu không có quyền truy cập vào mật khẩu chính, ngay cả nhà cung cấp cũng không thể giải mã dữ liệu của bạn.

Yếu tố cốt lõi ở đây là các ứng dụng và chương trình mà bạn sử dụng trên thiết bị của mình cần phải được bảo mật kỹ lưỡng. Điều này thường được thực hiện bởi các nhà cung cấp hàng đầu, khi họ đưa sản phẩm của mình để kiểm tra định kỳ bởi các công ty an ninh uy tín, hay thậm chí là công khai mã nguồn của sản phẩm thông qua hình thức mã nguồn mở. Khi bạn đăng nhập trên một thiết bị mới, bản sao mật khẩu đã được mã hóa của bạn sẽ được tải về thiết bị địa phương và sau đó được giải mã bằng khóa được tạo ra từ mật khẩu chính của bạn.

Đặc điểm hấp dẫn là điều này thể hiện kiến trúc zero knowledge, trong đó nhà cung cấp hoàn toàn không có bất kỳ thông tin nào về dữ liệu được lưu trữ trong hệ thống của họ. Họ chỉ chịu trách nhiệm về việc lưu trữ và truyền tải thông tin, nhưng không thể tiếp cận thông tin đó.

Nếu bạn theo dõi, có thể bạn đã nhận ra một vấn đề cần lưu ý. Khi bạn đăng nhập vào một thiết bị mới, người dùng cần phải xác thực với nhà cung cấp để có quyền tải về kho mật khẩu. Một khi đã xác thực thành công, ứng dụng sẽ tải về kho mật khẩu và giải mã nó bằng các khóa được tạo ra từ mật khẩu chính của bạn. Tuy nhiên, nếu người dùng xác thực bằng cách cung cấp mật khẩu cho nhà cung cấp, có lẽ nhà cung cấp cũng cần thấy một phần nào đó của mật khẩu để có thể thực hiện việc xác thực người dùng? Liệu có cách nào mà nhà cung cấp không thấy mật khẩu thì họ vẫn có thể giải mã kho mật khẩu hay không?

Thủ thuật ở đây diễn ra tại bước người dùng đăng ký. Thay vì gửi một mật khẩu dưới dạng văn bản rõ ràng đến máy chủ (một mật khẩu rõ ràng sẽ chỉ được bảo mật qua HTTPS/SSL), khách hàng sẽ tự mã hóa mật khẩu và sau đó gửi đến nhà cung cấp. Khác với thông lệ của một số nhà cung cấp thực hiện ở phía máy chủ, việc mã hóa này sẽ tăng độ phức tạp cho nhiều tình huống, đặc biệt là khi bạn thay đổi mật khẩu. Lúc này nhà cung cấp chỉ thấy một phiên bản “băm” của mật khẩu chứ không nhìn thấy mật khẩu thực tế.

Khách hàng chỉ truyền tải mật khẩu đã được mã hoá

Mã băm là một hàm một chiều, tức là nó nhận đầu vào là mật khẩu gốc và tạo ra một giá trị băm tương ứng. Giá trị băm này có thể tái tạo bằng mật khẩu gốc, nhưng không thể phục hồi nguyên văn mật khẩu từ giá trị băm đã được tạo ra, chính vì lý do đó mà nó được gọi là hàm một chiều. Điều này là cần thiết với hầu hết các dịch vụ trực tuyến vì nó cho phép các nhà cung cấp lưu trữ mật khẩu theo cách mà mật khẩu chỉ có thể được xác thực mà không bị lộ.

Đối với các trình quản lý mật khẩu, hàm mã băm này diễn ra ngay trên thiết bị cục bộ khi bạn thực hiện quá trình đăng ký. Điều này có nghĩa là ứng dụng không bao giờ truyền tải mật khẩu chính của bạn trực tiếp đến nhà cung cấp, cho phép họ chỉ lưu trữ giá trị băm. Khi bạn đăng nhập từ một thiết bị mới, mỗi thiết bị sẽ tiến hành băm mật khẩu chính và gửi nó đến máy chủ của nhà cung cấp mà không bao giờ làm lộ mật khẩu gốc.

Các phương thức triển khai giữa các nhà cung cấp có thể có sự khác biệt, nhưng đây chính là một cái nhìn tổng quan về cách hoạt động của những trình quản lý mật khẩu “không tin cậy”.

Thay đổi mật khẩu của bạn thì sao?

Khi bạn thay đổi mật khẩu, toàn bộ quy trình lại diễn ra tương tự trên thiết bị cục bộ. Trình quản lý mật khẩu của bạn sẽ xác thực với nhà cung cấp, tải về và giải mã kho mật khẩu, sau đó mã hóa lại kho mật khẩu bằng mật khẩu mới mà bạn đã đặt. Cuối cùng, ứng dụng sẽ gửi giá trị băm của mật khẩu về nhà cung cấp cùng với kho mật khẩu đã mã hóa để lưu trữ.

Quên việc thiết lập lại mật khẩu của bạn

Khó khăn với kiến trúc này là bạn dễ dàng quên khả năng thiết lập lại mật khẩu. Bởi vì kho mật khẩu được bảo vệ bằng mật khẩu chính của bạn, mà nhà cung cấp dịch vụ không có khả năng truy cập vào mật khẩu chính gốc của bạn, do đó họ không thể giải mã kho mật khẩu của bạn cho bạn được. Điều này có thể gây ra nguy hiểm nghiêm trọng nếu bạn quên mật khẩu của trình quản lý mật khẩu.

Tuy nhiên, vẫn có một giải pháp giúp giải quyết vấn đề này. Khi bạn thực hiện quá trình thiết lập ban đầu, bạn sẽ được cấp một mã phục hồi. Những mã này thường hoạt động khác nhau tùy thuộc vào dịch vụ nhưng thường là những mã sử dụng một lần giúp bạn khôi phục tài khoản nếu bạn đã mất mật khẩu của mình. Quá trình mã hóa trở nên phức tạp hơn ở đây. Thông thường, điều này hoạt động bằng cách a) mã hóa kho mật khẩu gốc của bạn bằng một thuật toán sử dụng nhiều khóa, giúp bạn có thể sử dụng nhiều khóa mới cùng với các khóa được tạo ra từ mật khẩu chính của mình, hoặc b) mã hóa một bản sao thứ hai của khóa dùng để giải mã kho mật khẩu cùng với các mã phục hồi của bạn, giúp các khóa gốc có thể được khôi phục với sự giúp đỡ của mã phục hồi. Mặc dù khá phức tạp, một số trình quản lý mật khẩu lớn đã gần đây thêm tính năng này (chẳng hạn như 1Password chỉ mới thêm hỗ trợ vào tháng 6 năm nay).