Vì sao nên sử dụng quản lý mật khẩu bên ngoài thay cho quản lý mật khẩu mặc định trên trình duyệt?

Trước đây mình hoàn toàn không có quan điểm sử dụng các ứng dụng quản lý mật khẩu bên ngoài như 1Password, Dashlane, Enpass, Bitwarden, Keepass ….

Lý do chính nhất là các trình duyệt như Firefox, Chrome, Egde đã có tính năng quản lý mật khẩu, tích hợp sẵn trên trình duyệt, bạn chỉ cần đăng nhập bằng tài khoản Firefox, Google hoặc Microsoft vào là xong, ngoài chuyện tích hợp mật khẩu, còn tự động lưu lại các Extensions, History, Settings, Favorites …. dùng thêm 1 ứng dụng quản lý mật khẩu bên ngoài lại chẳng vẽ vời?

Tiếp theo là lý do liên quan tới bảo mật, mật khẩu, nó là 1 giá trị cố định dạng text, có dùng bất cứ ứng dụng quản lý mật khẩu nào thì cũng thế, bạn bắt buộc phải điền vào form login nếu muốn đăng nhập, nếu máy bạn nhiễm virus, trojan, keylogger …. thì gần như toang, chắc chắn sẽ lộ mật khẩu

Tuy thế sau 1 thời gian trải nghiệm các ứng dụng quản lý mật khẩu bên ngoài, mình thấy nó có hiệu quả thực sự, tính năng, hiệu năng hay bảo mật đều sẽ tốt hơn so với quản lý mật khẩu mặc định trên trình duyệt

1. Bảo mật

Theo thói quen trước đây, khi sử dụng, mình rất hiếm khi dùng 2FA, do mỗi lần đăng nhập sẽ phải lấy code từ 1 thiết bị khác, kể cả dùng ứng dụng 2FA có sẵn trên PC hoặc tích hợp thẳng vào addon trên trình duyệt, cũng mất thời gian để xem tài khoản 2FA đó đang nằm ở đâu, sau đó copy hoặc phải gõ tay vào, khá là mất thời gian, thường thì mình chỉ dùng 2FA trên các tài khoản quan trọng, như email chính, paypal, hay các tài khoản ngân hàng ….

Trên các ứng dụng quản lý mật khẩu bên ngoài, có thể tích hợp thẳng 2FA vào cùng với tài khoản và mật khẩu, bạn không mất thời gian tìm kiếm và nhập thủ công ….  việc login qua 2FA sẽ rất nhanh, thậm chí 1 vài ứng dụng còn tự động điền tất cả mọi thứ vào chính xác các form luôn

Mật khẩu không được bảo vệ khi điền vào các form, nhưng nếu trang đó có hỗ trợ 2FA thì tài khoản của bạn, sẽ được bảo mật tốt hơn, do 2FA là dãy số chỉ tồn tại khoảng 30s, nếu có lộ ra thì sau 30s sẽ mất tác dụng

Tất nhiên, bạn hoàn toàn có thể nhập 2FA thủ công từ 1 thiết bị khác để tăng cường bảo mật, nhưng nó khá bất tiện nên thường chúng ta sẽ rất ngại bật 2FA ở các tài khoản không quá quan trọng

Sử dụng quản lý mật khẩu mặc định, bạn sẽ rất đắn đo, lựa chọn giữa tiện lợi hay bảo mật, còn sử dụng ứng dụng bên ngoài sẽ cân bằng được cả hai, vừa có sự tiện lợi, vừa có sự bảo mật

2. Đa nền tảng

Mặc định thì gần như 99% các ứng dụng quản lý mật khẩu bạn thấy ngoài thị trường, đều hỗ trợ đa nền tảng, từ Windows, Mac, Linux, Android, iOS, iPadOS cho tới trình duyệt như Firefox, Chrome …. chúng tự động đồng bộ với nhau rất tốt, khi 1 nền tảng có sự cập nhập, tất cả tài khoản ở các nền tảng khác sẽ đồng bộ theo

Quản lý mật khẩu có sẵn trên trình duyệt thường sẽ không hỗ trợ đa nền tảng tốt bằng, thường cũng không có sẵn ứng dụng 2FA, nên nếu dùng quản lý mật khẩu có sẵn trên trình duyệt, khi sử dụng trên nhiều nền tảng khác nhau, thường bạn sẽ phải dùng thêm 1-2 ứng dụng bên ngoài

3. Hỗ trợ tạo tài khoản tốt hơn

Các ứng dụng quản lý mật khẩu viết riêng như Bitwarden, tích hợp các tính năng tạo tài khoản rất mạnh, bạn có thể tự tạo 1 số email ảo thông qua các dịch vụ trung gian, giúp tính riêng tư và bảo mật tốt hơn

Mật khẩu mặc định tạo ngẫu nhiên và rất mạnh

Khi dùng các ứng dụng quản lý mật khẩu để tạo tài khoản, ở mỗi trang nó sẽ tự tạo 1 email mới và 1 mật khẩu mới hoàn toàn, hạn chế vấn đề lộ email và mật khẩu của các trang khác

4. Hỗ trợ chia sẽ mật khẩu

Đây là 1 tính năng mà chỉ có các quản lý mật khẩu bên ngoài mới hỗ trợ, bạn có thể chia sẽ 1 số tài khoản cho người khác dùng chung, chẳng hạn như tài khoản login game, netfix … cho cả gia đình cùng dùng, hoặc 1 số tài khoản cho cả công ty cùng sử dụng ….

Mình không đánh giá cao tính năng này, vì thực sự chưa bao giờ dùng tới, ở nhà mình, kiểu bố mẹ U60, tạo cho các cụ cái tài khoản để login vào điện thoại, hay tài khoản Zalo, các cụ còn không nhớ nổi mật khẩu, nói gì phải ấn 1 tấn thao tác để login vào các dịch vụ dùng chung

Phần này mình nói thêm, dành cho bạn nào có nhu cầu thôi

5. Hỗ trợ đăng nhập theo URI riêng biệt

Đây là tính năng khá đặc biệt, hiện tại chỉ duy nhất Bitwarden hỗ trợ, nôm na bạn có thể đăng nhập các tài khoản theo 1 link cụ thể

Ví dụ khi vào https://bibica.net/ sẽ chỉ thấy 1 tài khoản (USER), còn khi vào https://bibica.net/wp-admin/ sẽ chỉ thấy 1 tài khoản khác (ADMIN)

Quản lý mật khẩu trên trình duyệt, khi vào 1 domain sẽ thấy tất cả các tài khoản có trên domain đó, khi có nhiều tài khoản ở 1 trang, đôi khi sử dụng bạn sẽ dễ nhầm lẫn

Nó cũng không hiểu nếu 1 tài khoản dùng trên nhiều domain khác nhau, cụ thể apple.com và icloud.com, dù tài khoản có thể dùng trên 2 domain này, khi tạo tài khoản, bạn tạo trên domain apple.com thì khi sang icloud.com sẽ không thấy, sẽ phải tạo thêm tài khoản theo nhiều domain để có thể hiện ra, vấn đề nảy sinh, khi bạn đổi mật khẩu, phải nhớ để sửa lại rất nhiều chỗ ….

Các ứng dụng quản lý mật khẩu bên ngoài như Bitwarden có thể tạo 1 tài khoản dùng trên nhiều domain, hoặc theo các link cụ thể, hạn chế vấn đề nhầm lẫn này rất tốt

6. Giá

Các ứng dụng miễn phí, thường không đầy đủ các tính năng mình nói ở trên

Để tận dụng tất cả các ưu điểm từ quản lý mật khẩu, gần như bạn sẽ phải dùng các bản trả phí, giá rẻ nhất có Dashlane, Enpass khoảng 50.000 vnđ cho 1 năm sử dụng (thanh toán qua Android), giá trung bình thì có Bitwarden, khoảng $10 cho 1 năm sử dụng, giá cao hơn thì 1Password, 1 năm khoảng $20-$30

Nói chung không ít thì nhiều, để tận dụng hết các tính năng mình nói trong bài, gần như sẽ phải tốn tiền, nếu có sẵn VPS bỏ không, hoặc tận dụng các VPS có sẵn, thì có thể cài đặt Vaultwarden cũng được, về cơ bản lúc này sẽ là miễn phí

Kết luận

Với cá nhân, mình thích nhất ưu điểm 5 khi dùng quản lý mật khẩu, mà vấn đề này chỉ duy nhất Bitwarden hỗ trợ, kèm theo đó ở vấn đề 6 liên quan tới giá cả, do mình đang có khá nhiều VPS để không, nên mình cài đặt Vaultwarden làm server và dùng các bản client từ Bitwarden, có đầy đủ tính năng trả phí nhưng miễn phí

Bạn có thể lựa chọn bất kì ứng dụng quản lý mật khẩu nào bạn thích, có thể vì phù hợp tính năng, giao diện thích mắt, có thể vì rẻ hoặc cũng có thể vì bạn có license miễn phí, chúng đều có nhiều tính năng và bảo mật tốt hơn so với quản lý mật khẩu có sẵn từ trình duyệt

Trong số các ứng dụng quản lý mật khẩu mặc định, mình thấy iCloud Keychain là nhiều tính năng nhất, ít nhất thì nó có hỗ trợ 2FA và được sự bảo vệ từ cơ sở hạ tầng của Apple, dùng cũng tự tin hơn hẳn so với các ứng dụng miễn phí khác

Sau khi dùng 1-2 tuần, khi đã quen thuộc với trình quản lý mật khẩu mới, bạn sẽ thấy sự hiệu quả và tính ưu việt rõ ràng hơn, nhất là khi thường xuyên đổi qua lại giữa nhiều thiết bị khác nhau như máy tính, điện thoại, máy tính bảng

Tất nhiên, bạn hoàn toàn có thể suy nghĩ khác, kiểu “teo thấy các ứng dụng quản lý mật khẩu, toàn lũ đầu buồi, LastPass ngày xưa teo dùng có mấy chục triệu khách hàng, to vãi cả chưởng, mà cũng bị hack banh xác đấy thôi, 1Password, Dashlane, Enpass, Bitwarden, Keepass mài nói trong bài lại bé như hạt é, tin tưởng khỉ gì” 🐝

LastPass trước khi bị hack, lại chẳng được mọi người tung hê như thánh cả đấy thôi, tới ngày nó bị hack thì cả lũ lại thi nhau chửi, tát nước theo mưa cả, 1Password hay Bitwarden  …. giờ có thể ngon, nhưng chắc gì 1 thời gian sau không gặp vấn đề tương tự, ai nói trước được?

Mình khá đồng tình với quan điểm này, tài khoản vớ vẩn thì đúng là dùng sao cũng được, chứ có tài khoản, trong đó có 5-10 tỷ thì tin được ai 🍄 mua cả két sắt chống nước chống lửa về để chứa mật khẩu ấy chứ 🌳