BÀI TẬP LỚN MÔN CƠ SỞ AN TOÀN THÔNG TIN ĐỀ TÀI: TÌM HIỂU VÀ ĐÁNH GIÁ CÁC CÔNG CỤ QUẢN LÍ MẬT KHẨU

Chúng đơn giản là một ứng dụng giúp người dùng không chỉ lưu trữ mật khẩu, màcòn tạo ra những mật khẩu phức tạp, cho phép người dùng lưu trữ cục bộ trên thiết bịhoặc lưu trữ cục bộ hoặc

BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN

-🙠🕮🙠 -BÀI TẬP LỚN MÔN CƠ SỞ AN TOÀN THÔNG TIN

ĐỀ TÀI: TÌM HIỂU VÀ ĐÁNH GIÁ CÁC CÔNG CỤ QUẢN LÍ MẬT KHẨU

Ngành: An toàn thông tin

Sinh viên thực hiện: Vũ Hoàng Long (AT150431)

Lê Thị Ngọc Hà (AT150414)

Người hướng dẫn: Nguyễn Mạnh Thắng

Hà Nội, 2021

bổ sung và hoàn thiện them kiến thức cho mình.

Chúng em rất mong nhận được ý kiến đóng góp của thầy cô giáo và bạn bè đểchúng em có thêm kinh nghiệm và tiếp tục hoàn thiện đồ án của mình

Chúng em xin chân thành cảm ơn!

3 Tại Sao Không Nên Sử Dụng Trình Lưu Mật Khẩu Có Sẵn Trên Web browser? 7CHƯƠNG II CƠ CHẾ HOẠT ĐỘNG CỦA CÔNG CỤ QUẢN LÝ MẬT KHẨU 8

1 Loại 1: Công cụ quản lí mật khẩu offline (cục bộ) 8

3 Loại 3: Lưu trữ mật khẩu dựa trên token hay stateless 11CHƯƠNG III CÁC CÔNG CỤ QUẢN LÝ MẬT KHẨU MÃ HÓA DỮ KIỆU NHƯ THẾ NÀO? 12

3 Khóa dẫn xuất cặp (Two-secret Key Derivation - 2SKD) 14CHƯƠNG IV ĐIỂM MẠNH VÀ ĐIỂM YẾU CHUNG CỦA CÁC LOẠI CÔNG CỤ QUẢN LÝ

2 Ưu và nhược của các loại công cụ quản lí mật khẩu 15

4.2.3 Công cụ quản lí mật khẩu stateless hay token 16CHƯƠNG V TIÊU CHÍ ĐÁNH GIÁ MỘT CÔNG CỤ QUẢN LÝ MẬT KHẨU TỐT 16

1 Ưu và nhược điểm: Mọi công cụ quản lí mật khẩu đều có ưu và nhược điểm riêng, nhưng

một số nhược điểm không thành vấn đề nếu chung không quá ảnh hưởng tới trải nghiệm của

2 Giá: Giá cả hợp lí là một điều người dùng quan tâm nhất khi lựa chọn cho mình một dịch

3 Khả năng bảo mật và riêng tư: Ngoài tính năng bảo mật tốt thì người dùng cũng quan

tâm tới vấn đề riêng tư của họ khi sử dụng Tránh bị bên thứ 3 thu thập hành vi người dùng và

4 Khả năng đa nền tảng: Một dịch vụ cung cấp tính đa nền tảng cho sản phẩm của mình sẽ

CHƯƠNG VI ĐÁNH GIÁ CHI TIẾT CÁC PHẦN MỀM QUẢN LÍ MẬT KHẨU NỔI TIẾNG 17

CHƯƠNG VII Phân tích sâu về phương thức bảo mật của 1Password và Keepass 25

7.1.2 Đi sâu về các Khóa và cách user truy cập vào vault 277.1.3 Cách kho lưu trữ mật khẩu (Vault) được bảo mật 31

DANH SÁCH HÌNH ẢNH

CHƯƠNG I TỔNG QUÁT

1. Thực Trạng

Ngày nay phần lớn mọi người đều sử dụng rất nhiều các dịch vụ trực tuyến, mạng

xã hội,… Nên không tránh khỏi việc đặt lặp lại liên tục các mật khẩu giống nhau cho cácdịch vụ khác nhau, hay phải nhớ quá nhiều mật khẩu cùng một lúc gây khó khăn chongười dùng Và việc sử dụng lặp lại các mật khẩu cho mỗi tài khoản như vậy rất dễ xảy rarủi ro bị lộ mật khẩu, điều đó dẫn tới việc tất cả các tài khoản của bạn đều bị truy cập mộtcách trái phép và dẫn đến việc bạn bị đánh cắp thông tin tệ hơn là bị ăn cắp thông tin tàikhoản ngân hàng Vì vậy mà công cụ quản lí mật khẩu ra đời để đáp ứng những nhu cầuthiết yếu của người dùng

2. Công Cụ Quản Lí Mật Khẩu Là Gì?

Chúng đơn giản là một ứng dụng giúp người dùng không chỉ lưu trữ mật khẩu, màcòn tạo ra những mật khẩu phức tạp, cho phép người dùng lưu trữ cục bộ trên thiết bịhoặc lưu trữ cục bộ hoặc trực tuyến trên điện toán đám mây của bên cung cấp dịch vụ.Ngoài việc lưu và tạo mật khẩu chúng còn cho phép người dùng lưu trữ các thông tin mậtkhác như số tài khoản banking, chứng minh thư, ghi chú,… Và chúng cũng giúp ngườidùng truy cập vào tài khoản một cách tự động Đồng thời chúng mã hóa toàn bộ mật khẩungười dùng để tránh những rủi ro như bị mất cắp hay truy cập trái phép Và người dùngtruy cập vào ứng dụng bằng một master password (mật khẩu chính) duy nhất

3. Tại Sao Không Nên Sử Dụng Trình Lưu Mật Khẩu Có Sẵn Trên Web browser?

Thời gian mấy năm trở lại đây thì hầu như tất cả các trình duyệt web nổi tiếng nhưFirefox, Chrome, Brave,… đều tích hợp tính năng lưu trữ mật khẩu trên chính nó Nhưngchúng đều không được mã hóa, và bất cứ ai sử dụng máy tính của bạn có thể đánh cắpthông tin tài khoản của bạn Trên trình duyệt Firefox có mã hóa mật khẩu cho bạn vàcũng cung cấp cho bạn một master password, tuy nhiên thì chúng không đảm bảo tuyệtđối an toàn cho tài khoản của bạn, hơn nữa nó còn thiếu rất nhiều tính năng cần thiếtkhác Ngoài ra thì gần đây Firefox hay Chrome cũng phải vá lỗi cho các lỗ hổng Zero-day trong trình quản lí mật khẩu trên trình duyệt web của họ Nhìn chung thì trình lưu trữ

mật khẩu trên trình duyệt web không thể so sánh đối với một công cụ quản lí mật khẩuchính thống.

CHƯƠNG II CƠ CHẾ HOẠT ĐỘNG CỦA CÔNG CỤ QUẢN LÝ

MẬT KHẨU

Để đi sâu vào cách mà các công cụ quản lí mật khẩu thì ta chia ra làm 3 loại:

1 Loại 1: Công cụ quản lí mật khẩu offline (cục bộ)

Như tên gọi thì công cụ quản lí mật khẩu cục bộ cho phép ta lưu trữ mật khẩu trênchính thiết bị mà ta cài ứng dụng Nó có thể là điện thoại, máy tính, máy tính bảng v vBạn sẽ tìm thấy tất cả thông tin tài khoản của mình trong một 1 đã được mã hóa, tách biệtvới ứng dụng quản lí mật khẩu Một số ứng dụng còn cho phép lưu mỗi thông tin tàikhoản (bao gồm 1 tên tài khoản – 1 mật khẩu) thành một file riêng biệt, điều đó giúp tăngtính an toàn cho bạn

Hình 0.1 Phần mền quản lí mật khẩu offline KeePass

Bạn vẫn cần một master password để có thể truy cập vào trong kho lưu trữ mậtkhẩu Và chắc chắn master password phải đủ mạnh (mật khẩu dài, chứ ký tự số, ký tự đặcbiệt), điều này giảm tối đa khả năng người khác có cơ hội ăn cắp mật khẩu của bạn hoặc

bị tấn công brute-force thì cũng cần khá nhiều thời gian mới có thể bẻ khóa được masterpassword của bạn Để có thể ăn cắp mật khẩu của bạn thì không còn cách nào khác là

Hình 0.2 Lưu trữ mật khẩu offline

Việc lưu trữ mật khẩu offline cũng đi kèm với một số điểm yếu sau Đó là việcphải đồng bộ mật khẩu Việc bạn chọn thiết bị nào thì bạn chỉ lưu trữ thông tin tài khoảncủa bạn trên thiết bị đó, và để đồng bộ sang thiết bị khác thì rất mất thời gian Ví dụ, khibạn lưu một mật khẩu mới trên điện thoại của bạn, và bạn muốn truy cập nhanh mật khẩu

đó trên laptop, thì bạn lại phải đồng bộ mật khẩu đó từ điện thoại qua laptop Và để đồng

bộ mật khẩu thì chúng bắt buộc phải dùng qua mạng Để cẩn thận hơn, bạn có thể táchcác mật khẩu ra thành các files đã được mã hóa rồi cấp cho chúng một khóa riêng biệt

2. Loại 2: Lưu trữ mật khẩu trực tuyến (online)

Hình 0.3 Lưu trữ Mật Khẩu Trực Tuyến

Loại lưu trữ mật khẩu trực tuyến là loại phổ biến nhất hiện giờ Lưu trữ mật khẩutrực tuyến tức là bạn sẽ lưu các thông tin tài khoản – mật khẩu của bạn trên server củabên cung cấp dịch vụ cho bạn Ví dụ, bạn dùng công cụ quản lí mật khẩu của công ty Athì công ty A sẽ giúp bạn lưu trữ dữ liệu của bạn trên server của họ Và điều đó đồngnghĩa với việc bạn có thể truy cập và quản lí mật khẩu của mình ở mọi nơi, mọi thiết bị.Ngoài việc phải đăng nhập vào website quản lí mật khẩu, thì họ còn cung cấp cả các ứngdụng trên laptop, điện thoại, và tích hợp cả extension (add-on) trên trình duyệt web

Và để đảm bảo dữ liệu của bạn được an toàn, thì các công ty dịch vụ uy tín luônđược đặt lên hàng đầu Hiện nay, các công ty đều dùng công nghệ zero-knowledge (tức làkhi bạn thực hiện xong một phép toán thì không cần người khác phải thực hiện lại phéptoàn đó nữa, và từ đó bạn có thể khẳng định mệnh đề đó 100% đúng và không tiết lộ cho

ai khác biết nữa), điều đó có nghĩa là dữ liệu của bạn được mã hóa trước khi chúng đượcgửi lên server, và đồng nghĩa với việc bên cung cấp dịch vụ phải chắc chắn rằng dịch vụluôn trực tuyến 24/7 để người dùng có thể truy cập vào dữ liệu của họ bất cứ lúc nào Mọithứ sẽ bằng con số không nếu thiết bị dính keylogger (một chương trình máy tính đượcviết nhằm mục đích theo dõi và ghi lại mọi thao tác thực hiện trên bàn phím) hoặc bạnkhông dùng 2FA (bảo mật 2 lớp)

Hình 0.4 Đồng bộ dữ liệu các thiết bị

Đi kèm với những tiện lợi như vậy, bạn sẽ phải trả phí cho những tiện tích mà họcung cấp Tất nhiên, có những dịch vụ quản lí mật khẩu online miễn phí, nhưng chúng sẽthiếu nhiều tính năng và có thể giới hạn số mật khẩu có thể lưu

Việc quản lí mật khẩu online đồng nghĩa với việc đồng bộ dữ liệu với các thiết bịrất tốt Miễn là bạn giữ master password mà không cần cài ứng dụng Trên laptop bạn chỉcần extension cho trình duyệt web là đủ, bạn cũng có thể truy cập vào ứng dụng web củabên dịch vụ đó

3. Loại 3: Lưu trữ mật khẩu dựa trên token hay stateless

Onlykey được phát triển một đội ngũ những hacker mũ trắng, họ đều là nhữngchuyên gia bảo mật Một điều mà hacker và malware không thể gây tổn hại tới bạn là vềmặt vật lý Vì vậy họ đã cùng nhau phát triển công cụ là Onlykey.

Trước khi sử dụng bạn cần cài mã PIN cho key Điều này sẽ bảo mật thứ nhất là vềmặt vật lý (tức là khi bạn bị mất key thì người khác không truy cập được nếu không có

mã PIN của bạn Thứ 2 là nếu bạn sử dụng key với máy tính nào đó không an toàn Điềunày đơn giản hơn nhiều khi bạn chỉ cần nhớ 1 mã PIN duy nhất

Sau khi nhập mã PIN, Onlykey sẽ tự động đăng nhập vào trang web dịch vụ màbạn lưu trên key, tự động điền username, mật khẩu, và sẽ tự động xác thực 2 yếu tố OTPhay cả FIDO2/U2F

Lưu trữ mật khẩu stateless (là design không lưu dữ liệu của client trên server Cónghĩa là sau khi client gửi dữ liệu lên server, server thực thi xong, trả kết quả thì “quanhệ” giữa client và server bị “cắt đứt” – server không lưu bất cứ dữ liệu gì của client)không cần đồng bộ dữ liệu, vì ngay từ đầu đã không có bất kì một dữ liệu nào được tạo

ra Và nó cũng an toàn hơn bởi vì hacker không biết bạn lưu trữ dữ liệu tài khoản của bạn

ở đâu để đánh cắp Nhưng họ vẫn có thể đánh cắp dữ liệu của bạn nếu họ biết masterpassword của bạn

Và thường những dạng lưu trữ kiểu này dành cho những người có kiến thức vềmáy tính và cần có công cụ như ổ USB hay đầu đọc thẻ nhớ để tạo token

CHƯƠNG III.CÁC CÔNG CỤ QUẢN LÝ MẬT KHẨU MÃ HÓA

DỮ KIỆU NHƯ THẾ NÀO?

Tiêu chuẩn mã hóa hiện giờ là 256-bit AES (Advanced Encryption Standard) làmột thuật toán mã hóa khối được chính phủ Hoa Kỳ và các tập đoàn áp dụng làm tiêuchuẩn mã hóa vào 2005 Và giờ đây chúng cũng là tiêu chuẩn mã hóa cho nhiều lĩnh vựcnhư dịch vụ VPN, firewall,…

Trong đó 256-bit ở đây chính là độ dài của key(khóa) của công nghệ mã hóa đốixứng (Symetric), có nghĩa rằng khóa được tạo bởi 256 con số nhị phân (gồm 0 và 1) và

có 2256 cách có thể kết hợp Giả sử có một khóa 2 bit Vì vậy, nó sẽ có 22 = (4) giá trị –

00, 01, 10 & 11 Như vậy, một khóa 256-bit có thể có 2 256 cách kết hợp để tạo ra 1 con

số chung giữa 2 bên

Hình 0.6 Mã hóa

Công nghệ mã hóa đối xứng tức là 1 khóa sẽ sử dụng cho cả 2 việc mã hóa và giải

mã, và cả 2 bên đều phải có khóa đó Trái lại, mã hóa bất đối xứng sử dụng 2 key riêngbiệt, 1 public key cho mã hóa và 1 private key cho giải mã Private key không được tiết lộ

ra ngoài, nhằm tăng tính bảo mật

Không phải tất các công cụ quản lí mật khẩu đều sử dụng tiêu chuẩn mã hóa AES256-bit Một số các công cụ sử dụng chuẩn mã hóa kém bảo mật hơn chút là AES 128-bit, thường là những công cụ miễn phí, mã nguồn mở và ít khi được update Mặc dù AES128-bit vẫn gây không ít khó khăn để có thể phá được nó

Mới đây nhất, Nordpass – công cụ quản lí mật khẩu mới gần đây cũng ra mắt mộtloại mã hóa mới tốt hơn AES 256-bit có tên là XChaCha2 XchaCha2 sử dụng thuật toánArgon2 để dẫn xuất khóa trong khi đó XchaCha làm nhiệm vụ mã hóa toàn bộ dữ liệucủa bạn

1. Dẫn xuất khóa (Key Derivation Function - KDF)

Thường viết tắt là KDF, chúng chứa thông tin mật (master password) với một số

dữ liệu thường của người dùng và sử dụng hàm băm để tạo ra một khóa mã hóa (KeyEncryption Key – KEK) KEK được sử dụng để mã hóa key chính – cái key mà được sử

dụng để mã hóa dữ liệu của bạn Key chính này được tạo ngẫu nhiên theo một thuật toánkhi bạn chạy phần mềm quản lí mật khẩu trên thiết của mình.

2. Băm chậm (Slow hashing)

Giả sử là khi hacker có được bản copy dữ liệu đã được mã hóa của bạn thì họ cóthể chạy chương trình phá khóa mật khẩu (cracker password – một phần mềm tự động cóthể dò master password và kiểm tra chúng có thể giải mã dữ liệu của bạn hay không) Tùythuộc vào độ khủng của thiết bị hacker sử dụng, chúng có thể dò được hàng trăm nghìnmật khẩu mỗi giây

Với những công cụ quản lí mật khẩu được trang bị hệ thống bảo mật tốt hơn sẽ sửdụng chiến thuật “slow hashing” như việc sử dụng thuật toán băm PBKDF2, scrypt hayArgon2 Điều này đòi hỏi phải tính toán rất nhiều để có thể lấy được input hay output.Nên điều này sẽ gây khó khăn cho hacker vì chương trình họ phải mất nhiều thời giangian hơn để có thể phá vỡ mật khẩu

3. Khóa dẫn xuất cặp (Two-secret Key Derivation - 2SKD)

Việc sử dụng các kỹ thuật slow hashing cũng có những hạn chế Mục đích duynhất đó là mã hóa dữ liệu người dùng ngay khi chúng tới hệ thống Và để đảm bảo rằngkhông có bất cứ ai có thể lấy được dữ liệu của bạn, người ta đã thêm một số tham số ngẫunhiên vào trong KDF Khi bạn lập một tài khoản mới, ngoài master passwod ứng dụngtạo thêm một dãy số ngẫu nhiên có tên “Secret Key” Khóa này lưu trữ duy nhất trên thiết

bị của bạn Với khóa này hacker không những không bẻ khóa được dữ liệu của bạn màchúng thậm chí còn chẳng lấy được dữ liệu của bạn

An toàn trên hết vẫn là việc bạn tạo cho mình một master password đủ mạnh Bởi

vì có bảo mật đến mấy nhưng master password của bạn không đủ mạnh và khi dữ liệu bịbắt từ thiết bị của bạn thì hacker chỉ cần chút thời gian có thể dò ra master password củabạn

CHƯƠNG IV.ĐIỂM MẠNH VÀ ĐIỂM YẾU CHUNG CỦA CÁC

LOẠI CÔNG CỤ QUẢN LÝ MẬT KHẨU

1 Ưu Điểm Chung Của Các Loại Công Cụ Quản Lí Mật Khẩu

● Tạo mật khẩu ngẫu nhiên: Chúng có thể giúp bạn tạo mật khẩu mạnh với

độ phức tạp cap ngẫu nhiên chỉ với 1 nút bấm Tiết kiệm thời gian phải ngồinghĩ ra mật khẩu mới và nâng cao bảo mật tài khoản của bạn

● Tiết kiệm thời gian: Phần lớn các công cụ quản lí mật khẩu hiện giờ đều

tích hợp tính năng tự động điền không chỉ tên tài khoản và mật khẩu, chúngcòn bao gồm địa chỉ, tên, số thẻ ngân hàng,… giúp bạn tiết kiệm thời giankhi phải mất công ngồi nhớ và nhập từng dữ liệu một

● Chia sẻ mật khẩu một cách bảo mật: Phần lớn người dùng thường sử

dụng phương pháp chia sẻ password thủ công bằng cách copy-paste vàokhung chat và gửi cho bạn bè, điều này đi kèm với nhiều rủi ro Và các công

cụ quản lí mật khẩu giúp bạn chia sẻ mật khẩu tài khoản cho bạn bè, giađình một cách bí mật

● Hỗ trợ đa nền tảng: Các nhà cung cấp công cụ quản lí mật khẩu hiện nay

đều phát triển ứng dụng của mình một cách đa nền tảng, hỗ trợ trên rất nhiềuthiết bị, hệ điều hành như trên nền tảng ứng dụng web, ứng dụng windows,IOS,… Với bất kì phương thức kết nào bạn cũng có thể truy cập vào kho dữliệu của mình

● Xác thực đa lớp: Ngay cả khi thiết bị của bạn có bị dính Keylogger thì

hacker vẫn còn phải qua một bước xác thực thứ 2 nếu muốn truy cập vàokho dữ liệu của bạn Nếu không có mã xác thực thứ 2 này, thì việc hacker cótrong tay master password cũng trở nên vô nghĩa và kho dữ liệu của bạn vẫnđược khóa an toàn

2 Ưu và nhược của các loại công cụ quản lí mật khẩu

4.2.1.Công cụ quản lí mật khẩu offline

● Ưu:

o Giảm thiểu tối đa cơ hội có kẻ ăn cắp dữ liệu

o Các công cụ quản lí mật khẩu thường là miễn phí, mã nguồn mở

o Cần có kết nối Internet để xác thực đăng nhập và đồng bộ

o Dữ liệu có thể bị đánh cắp nếu sử dụng nếu chọn lựa chọn dịch

o Đòi hỏi thiết bị phần cứng và phần mềm riêng biệt

o Chưa hỗ trợ quá nhiều dịch vụ

CHƯƠNG V TIÊU CHÍ ĐÁNH GIÁ MỘT CÔNG CỤ QUẢN LÝ

4 Khả năng đa nền tảng: Một dịch vụ cung cấp tính đa nền tảng cho sản phẩm của mình

sẽ được ưu tiên hàng đầu

CHƯƠNG VI.ĐÁNH GIÁ CHI TIẾT CÁC PHẦN MỀM QUẢN LÍ

MẬT KHẨU NỔI TIẾNG

Hiện nay có rất nhiều công cụ quản lí mật khẩu ra đời, sau đây là những phần mềmnổi tiếng nhất về độ bảo mật

1 1Password - online (thuộc AgileBits)

1Password là một trong những trình quản lý mật khẩu toàn diện nhất hiện nay, vớicác gói dành cho cá nhân, gia đình và doanh nghiệp Bạn có thể dùng thử miễn phí trong

30 ngày, nhưng hầu hết người dùng sẽ cần nâng cấp lên gói trả phí sau đó Tùy chọn lưutrữ dữ liệu cục bộ miễn phí chỉ khả dụng trên một số thiết bị và yêu cầu phí cấp phép mộtlần

Sử dụng chuẩn mã hóa AES-256 bit, 1Password cung cấp một số tính năng độcđáo, bao gồm Chế độ du lịch (Travel mode), cho phép bạn xóa mật khẩu đã chọn trướckhi đi du lịch hay ra nước ngoài và khôi phục chúng khi bạn tới nơi Bạn cũng nhận đượcmột kho lưu trữ kỹ thuật số để lưu trữ thẻ tín dụng và tài khoản ngân hàng trực tuyến.Thêm nữa tính năng 1Password Watchtower, cho bạn biết liệu có bất kỳ trang web nàobạn sử dụng bị xâm phạm hay không

1Password hoạt động trên tất cả các hệ điều hành và trình duyệt chính và bạn cóthể thiết lập tùy chọn đăng nhập sinh trắc học (biometrics) để dễ dàng truy cập trên điệnthoại thông minh hay bất kì thiết bị thông minh nào khá của bạn.

Lý do nên chọn: 1Password là sự lựa chọn thông minh dành cho gói gia đình,

1Password cung cấp tính năng bảo mật cực cao và nhiều tính năng đi kèm với gói giađình, tối đa hóa khả năng quản lí cho người dùng

6.1.1.Ưu và nhược điểm:

● Ưu:

o Mật khẩu được mã hóa cục bộ

o Mật khẩu được lưu trữ trên đám mây và trên thiết bị của bạn

o Dữ liệu được mã hóa bằng AES-256 và Khóa bí mật 128-bit

o Dữ liệu được mã hóa khi chuyển tiếp và ở trạng thái nghỉ

o Lưu trữ tệp được mã hóa

o Giám sát rò rỉ và xâm phạm dữ liệu

o Hỗ trợ 2FA, xác thực đa yếu tố và TOTP

o Tuân thủ GDPR

o Bộ công cụ khẩn cấp để khôi phục tài khoản

o Chia sẻ mật khẩu an toàn cho các tài khoản nhiều người dùng

o Không cung cấp bản miễn phí

o Có thể thu thập và chia sẻ dữ liệu người dùng

o Có thể buộc phải tiết lộ dữ liệu người dùng

6.1.3.Khả năng bảo mật và riêng tư:

SecureData (Bảo mật dữ liệu) là dữ liệu bạn lưu trữ trong 1Password: mật khẩu,ghi chú, v.v Dữ liệu này được mã hóa / giải mã trên chính thiết bị của bạn 1Passwordkhông bao giờ có thể thấy được mật khẩu của bạn, có nghĩa là họ không có cách nào đểgiải mã dữ liệu của bạn được Hơn nữa, dữ liệu của bạn được mã hóa bằng thuật toán mãhóa chuẩn AES-256

Ngoài ra, 1Password sử dụng hàm dẫn xuất khóa dựa trên mật khẩu Based Key Derivation Function 2 - PBKDF2), điều này khiến hacker khó phát hiện ramật khẩu của bạn hơn nhiều khi tấn công brute-force tài khoản của bạn Nói cách khác,khả năng kẻ tấn công bẻ khóa mã hóa trên dữ liệu của bạn là gần như bằng không

(Password-Tùy thuộc vào nơi bạn tạo tài khoản của mình, Dữ liệu bảo mật của bạn có thểđược lưu trữ ở một trong ba khu vực: Hoa Kỳ, Canada, Liên minh Châu Âu Điều nàyđược xác định bởi tên miền 1Password mà bạn sử dụng, như được hiển thị ở đây:

Hình 0.7 Khu vực lưu trữ mật khẩu

Cho dù dữ liệu của bạn đến khu vực nào, hãy nhớ rằng dữ liệu của bạn được mãhóa mạnh mẽ Ngay cả khi 1Password giao dữ liệu bảo mật của bạn cho chính phủ hoặc

cơ quan tình báo, hầu như không có cơ hội nào để họ có thể giải mã nó

6.1.4.Đa nền tảng:

● Thiết bị: MacOS, Windows, Linux

● Trình duyệt: Chrome, Firefox, Safari, IE, Edge, Opera

● Điện thoại: IOS, Android

6.1.5.Tổng kết:

1Password là một trình quản lý mật khẩu cực kì bảo mật và trực quan vớigiao diện thân thiện, dễ sử dụng và một loạt các tính năng hữu ích.1Password đi kèm với nhiều tính năng bảo mật hơn hầu hết các đối thủcạnh tranh - nó có tính năng quét darkweb xem thông tin của bạn có bị lộkhông, đăng nhập bằng sinh trắc học, kho lưu trữ ẩn, cục bộ và trình xácthực được tích hợp sẵn - và tất cả các tính năng đều dễ dàng truy cập, dễhiểu và dễ sử dụng 1Password cũng có một trong những gói dành cho giađình tốt nhất về tính khả dụng và bạn có thể thêm số lượng người dùngkhông giới hạn vào một tài khoản duy nhất với một khoản phí tiết kiệm

2 Keepass XC – offline

Trình quản lý mật khẩu nguồn mở này khác với nhiều đối thủ cạnh tranh ở chỗ nókhông cung cấp bộ nhớ đám mây hoặc ứng dụng di động của riêng mình Điều này cónghĩa là người dùng phải lưu trữ tệp mật khẩu được mã hóa của họ trên dịch vụ đám mâycủa bên thứ ba như DropBox và cài đặt các ứng dụng điện thoại thông minh đa nền tảng,

mã nguồn mở do người khác tạo Do đó, những người mới sử dụng trình quản lý mậtkhẩu có thể thấy những công cụ quản lí mật khẩu khác dễ sử dụng hơn Nhưng đối vớinhững người dùng có kinh nghiệm, KeePassXC có ưu điểm là hoàn toàn miễn phí và bảođảm bảo an toàn

6.2.1.Ưu và nhược điểm:

o Mã nguồn mở

o Tự động điền biểu mẫu

o Tích hợp trình duyệt (thông qua plugin)

● Nhược:

o Khả năng đồng bộ kém

o Ít được cập nhật thường xuyên

o Chưa được hỗ trợ trên điện thoại

6.2.2.Giá: Miễn phí hoàn toàn

6.2.3.Khả năng bảo mật và riêng tư:

đó và do đó là điều duy nhất mà phần mềm có thể được tin cậy

Vào năm 2016, dự án Kiểm toán phần mềm nguồn mở và tự do của Ủy ban Châu

Âu (EU-FOSSA) đã kiểm toán KeePass 1.31, kết luận rằng “mã hóa ở mức độ tốt theoquan điểm bảo mật, chỉ có một số phát hiện, nhưng không có phát hiện nào là nghiêmtrọng hoặc có tính chất rủi ro cao”

Mã hóa đầu cuối (E2E Encryption)

Các file chứa mật khẩu có đuôi kbdx được mã hóa bởi KeePassXC trên máy tính

của bạn và chỉ có thể được giải mã bằng mật khẩu chính xác (master password) (kèmtheo keyfile nếu được sử dụng)

Như đã lưu ý, những file này độc lập và do đó có thể được lưu trữ an toàn ở bất cứđâu Ngay cả khi ai đó có thể truy cập tệp kbdx mà không có mật khẩu chính xác (và tệpkhóa nếu được sử dụng), họ sẽ không thể truy cập mật khẩu đã lưu trữ của bạn.

Mật mã

Các file kbdx được tạo trong KeePassXC luôn được mã hóa bằng AES-256 vàbăm SHA256 Các tệp khóa được băm bằng cách sử dụng hàm dẫn xuất khóa Argon2

Hỗ trợ 2FA

Như với tất cả các phiên bản của KeePass, bạn có thể cung cấp bảo mật bổ sung

cho mật khẩu của bạn bằng cách tạo tệp khóa khi bạn tạo vùng chứa kbdx mới.

Ngoài mật khẩu, điều này cung cấp xác thực hai yếu tố (2FA) yêu cầu một bản sao

của tệp khóa phải có trên thiết bị của bạn trước khi bạn có thể mở cơ sở dữ liệu kbdx.

KeePassXC cũng hỗ trợ 2FA thông qua Onlykey

Chúng tôi đề xuất KeePassXC như một công cụ dành cho những người dùng thànhthạo muốn xử lý mọi khía cạnh của việc quản lý dữ liệu cá nhân an toàn của riêng họ, đặcbiệt là những người làm việc trên Linux, nhưng hầu hết mọi người sẽ thấy KeePassXCbất tiện so với các trình quản lý mật khẩu dựa trên đám mây.

3 Onlykey

Sử dụng xác thực đa yếu tố là điều tốt nhất bạn có thể làm để ngăn những kẻ tấncông chiếm đoạt tài khoản trực tuyến của bạn Các khóa cứng đa năng như Onlykey cungcấp tất cả sự bảo mật của các đối thủ cạnh tranh, nhưng chúng làm như vậy mà không cầnthiết bị chuyển đổi, pin hay kết nối internet Onlykey cũng có nhiều khả năng xác thực và

sẽ hoạt động với mọi thiết bị gần đây mà bạn sở hữu Với giá 55 đô la, đây tuy khôngphải là lựa chọn rẻ nhất, nhưng tính linh hoạt tuyệt đối giúp bạn mảo mật tuyệt đối dữliệu của bạn

6.3.1 Ưu và nhược điểm:

● Ưu:

o Hỗ trợ cả USB-C và NFC

o Không cần pin hoặc thiết bị chuyển đổi

o Chống nước và va đập

o Hỗ trợ chuẩn FIDO2 và U2F

o Nhiều tính năng nâng cao

o Tương thích với nhiều dịch vụ quan trọng nhất

● Nhược:

o Đắt

o Không thể đăng nhập nếu thiếu key, hoặc phương pháp sao lưu

6.3.2 Giá:

Hình 0.8 Onlykey

6.3.3 Khả năng bảo mật và riêng tư:

Khóa Onlykey được bổ sung thêm một lớp xác thực, bảo vệ quyền riêng tư khi truycập vào máy tính, mạng và các dịch vụ trực tuyến Tất cả các chức năng bảo mật đã được

“nén” vào trong trong Trước khi dùng chỉ cần tạo 1 mã PIN duy nhất

Giả sử khi bạn đăng nhập vào Google, sau khi đã nhập Tên đăng nhập và Mật khẩuchính xác, Google sẽ bắt bạn kết nối Onlykey với thiết bị và sau đó trình duyệt vàOnlykey giao tiếp để thực hiện việc xác thực đăng nhập mà không cần phải nhập mã xácnhận gì cả Điều này tránh việc các trang web giả mạo google đánh cắp thông tin của bạn

vì khi chạm vào Onlykey là bạn đang xác thực bằng biometrics (sinh trắc học), và vìkhông phải nhập mã OTP gửi về, đồng nghĩa với việc bạn cũng tránh được việc hackerbắt được tin nhắn của bạn hay cả trường hợp hacker lấy được điện thoại của bạn Và đógọi là xác thực đa nhân tố

Xác thực đa nhân tố là phương pháp cho phép các dịch vụ máy tính và người dùng

sử dụng nhiều phương pháp xác thực để định danh cũng như bảo vệ tài khoản