Skip to main content
Bảo mậtProductivity

Những phần mềm quản lý mật khẩu tốt nhất mình từng sử dụng

By January 17, 2021September 11th, 20224 Comments

Tựa đề

Các phần mềm quản lý mật khẩu có thể được ví như rau xanh của Internet – chúng ta biết là rất tốt, nhưng chúng ta sẽ vẫn luôn ưu tiên ăn “thịt” nhiều hơn nếu được lựa chọn.

Những mật khẩu dễ đoán kiểu như ngày-tháng-năm-sinh hoặc là tên-của-bạn-kèm-ngày-tháng-sinh thì chắc chắn là “ngon ăn” và dễ nhớ hơn là một đoạn mật khẩu dài loằng ngoằng và khác nhau theo mỗi tài khoản.

Vấn đề nằm ở chỗ: một khi bạn bị hack, dù chỉ là một mật khẩu thôi, thì kẻ gian có thể truy cập được toàn bộ các trang web sử dụng chung mật khẩu đó.

Cũng giống như ăn rau, chúng ta không ăn một hai bữa thì không thấy tác hại, mà phải sau một thời gian mới nhận ra việc thiếu vitamin và chất xơ có ảnh hưởng đến sức khoẻ thế nào.

Vì thế cho nên việc sử dụng một phần mềm quản lý mật khẩu để tạo những mật khẩu mạnh và khác nhau cho mỗi dịch vụ online là điều vô cùng cần thiết.

Nếu bạn thuộc team sử dụng phần mềm quản lý mật khẩu của trình duyệt, hoặc chưa từng sử dụng bất cứ phần mềm quản lý mật khẩu nào bao giờ, bạn có thể ghé qua bài giải thích Password Manager là gì và vì sao bạn cần nó để hiểu vì sao mình tin rằng Password Manager cần thiết đến vậy.

Sau khoảng 3 năm, mình đã có tương đối trải nghiệm với 3 phần mềm quản lý mật khẩu khác nhau: 1Password, Lastpass và Bitwarden.

Trong bài post này, mình sẽ chia sẻ với bạn về điểm nổi bật của 3 phần mềm này, để bạn có thể dễ dàng lựa chọn một phần mềm phù hợp với mình.

Mình đánh giá các phần mềm này dựa trên tiêu chí gì?

Kì thực mà nói rất khó để đánh giá chi tiết từng sản phẩm theo một bộ tiêu chí có sẵn như mình vẫn hay làm (về mặt công năng, thiết kế và nhà phát triển sản phẩm).

Bạn có thể tham khảo bài đánh giá chi tiết các phần mềm theo dõi thói quen tốt nhất để xem cách mình đánh giá một sản phẩm theo tiêu chí kể trên.

Lý do là bởi vì các phần mềm quản lý mật khẩu hiện nay đều được hoàn thiện rất tốt và càng ngày càng giống nhau về mặt tính năng, vì thế nên chắc chắn sẽ có những tiêu chí mà cả 2, thậm chí cả 3 sản phẩm đều giống hệt nhau.

Vì vậy trong bài này, mình sẽ chỉ liệt kê ra điểm nổi bật nhất và những điểm mình thấy ấn tượng/hữu dụng nhất của mỗi sản phẩm mà thôi. Mình tin rằng đây sẽ là những điểm quan trọng nhất ảnh hưởng đến quyết định bạn có sử dụng phần mềm đó hay không.

Bên cạnh đó, mình sẽ chỉ đánh giá các sản phẩm này trên khía cạnh người dùng cá nhân. Các sản phẩm này đều có các gói dành riêng cho doanh nghiệp, và các gói đó được thiết kế và có giá cả khác nên mình sẽ không bàn ở đây.

Đánh giá chi tiết các ứng dụng quản lý mật khẩu

Phần mềm toàn diện nhất: 1Password

Mình đã sử dụng Bitwarden khoảng gần 2 năm, Lastpass khoảng hơn nửa năm và bây giờ mình đã tìm được chân ái của đời mình – 1Password.

1Password là phần mềm quản lý mật khẩu ưu thích của mình vì tính toàn diện của nó. Nó đẹp, bảo mật mạnh mẽ, và cực kì tiện lợi.

1Password có thiết kế đẹp và tối giản

Trong 3 sản phẩm mình từng sử dụng thì 1Password có thiết kế đẹp và tối giản nhất. Ra đời năm 2006, 1Password đã trải qua hơn 15 năm thiết kế và mài giũa, vì vậy dù bạn trải nghiệm 1Password trên nền tảng nào cũng sẽ thấy thiết kế được hoàn thiện cực kì tỉ mỉ. Từ các icon, nút bấm đến font chữ, màu sắc, mọi thứ đều rất hoà hợp và thân thiện với người sử dụng. Chưa kể là 1Password được thiết kế ban đầu hướng đến các thiết bị Apple, thế nên mình lại càng thích =))))

Nguồn ảnh: https://1password.com/teams/

1Password có các tính năng bảo mật mạnh mẽ

Về tính bảo mật, mình rất thích cách tiếp cận của 1Password. Khi bạn mới tạo tài khoản, 1Password sẽ cung cấp cho bạn một đoạn mã bí mật (Secret Key) dài chừng 30 ký tự. Dù bạn muốn truy cập 1Password trên thiết bị nào cũng phải nhập cả đoạn mã này kèm theo Master Password thì mới vào được.

Như vậy kể cả khi Master Password của bạn bị lộ ra (do kẻ gian đoán được tài khoản và mật khẩu dựa trên thông tin cá nhân), thì kẻ gian vẫn không thể vào được 1Password vì đoạn mã bí mật này quá dài và khó nhớ. Mình lưu đoạn mã này ở 1 nơi đủ bí mật để ngay cả khi mật khẩu mình bị lộ thì đoạn mã này cũng không thể bị lộ được.

Trong trường hợp cả 2 đều bị lộ, mình hoàn toàn có thể lên 1Password và thay đổi cả 2 cùng một lúc.

Bạn có thể thấy đoạn Secret Key rất khó nhớ. Nguồn ảnh: https://support.1password.com/emergency-kit/

Bên cạnh đó, 1Password có cung cấp dịch vụ 2-factor Authentication. Một vài dịch vụ như Google, Facebook hay Twitter thường cho phép bạn cài đặt 2-factor authentication (2FA) như 1 bước đăng nhập thứ 2 để đảm bảo rằng người truy cập tài khoản thực sự là chủ sở hữu của nó. 2FA thường là ở dưới dạng 1 đoạn code do chính Google, Facebook gửi cho bạn (qua điện thoại, qua email, qua 1 phần mềm thứ 3) để bạn nhập vào và đăng nhập.

1Password khi này sẽ đóng vai trò là phần mềm thứ 3 để nhận mã 2FA từ các dịch vụ trực tuyến. Giả dụ bạn muốn đăng nhập vào Google (đã bật 2FA bằng 1Password) thì tổng số bước đi qua sẽ là:

  • Nhập mật khẩu Google
  • Nhập mật khẩu 1password để nhận mã 2FA từ Google
  • Nhập mã 2FA vào Google để đăng nhập.

Việc đăng nhập vào các dịch vụ trực tuyến có 2FA trở nên bảo mật hơn vì bạn phải đi qua nhiều bước xác thực hơn.

Ví dụ đây là tài khoản Twitter của mình. Nếu mình đăng nhập Twitter từ 1 thiết bị lạ, mình sẽ phải nhập thêm đoạn one-time password này mới vào được tài khoản.

Với cá nhân mình thì việc cài đặt 2FA trên 1Password thực sự đã thay đổi hành vi sử dụng 2FA của mình. Trước giờ mình rất lười cài 2FA, vì việc xác thực quá phiền phức (vẫn ngần đó bước nhưng rất phiền – mình sẽ chia sẻ về 2FA riêng ở một bài khác). Nhưng kể từ khi có 1Password, mình chăm chỉ tạo 2FA hơn hẳn, mà việc đăng nhập vẫn cực kì dễ dàng (1Password sẽ tự động điền mã 2FA cho mình).

Lấy ví dụ mình muốn cài đặt 2FA cho trang Twitter chẳng hạn, mình chỉ cần bật 1Password lên, vào tài khoản Twitter, chọn 1-time password, và quét đoạn QR mà Twitter cung cấp cho mình. Đặc biệt là bạn không cần sử dụng điện thoại mà có thể sử dụng laptop để quét QR trực tiếp luôn.

Sau đó mình sẽ nhập thử đoạn mã 2FA mà 1Password cung cấp cho mình vào Twitter để xác nhận kết nối 2 ứng dụng này là xong. Chưa đến 10s cho 1 lần cài đặt.

Do lý do bảo mật nên mình không thể chụp minh hoạ tài khoản Twitter của mình được. Nhưng mà đây là phần quét QR để bật 2FA giữa một trang web và 1Password nhé!
Nguồn ảnh: https://rewind.io/blog/how-to-set-up-a-2fa-for-rewind/

1Password có tính năng phát hiện các trang web/mật khẩu yếu

Tính năng Watchtower của 1Password sẽ kiểm tra danh sách mật khẩu của bạn và đưa ra gợi ý về:

  • Những trang web bảo mật kém (để bạn đổi mật khẩu thường xuyên)
  • Những trang web có hỗ trợ 2FA (để bạn cài đặt thêm)
  • Những trang web bảo mật tốt

Đây là tính năng mà Lastpass, Bitwarden hay các phần mềm của trình duyệt như Firefox Monitor và Chrome Password Checkup đều có. Khi dùng 1Password thì mình luôn bật thông báo tự động để nếu Watchtower có phát hiện ra lỗ hổng nào thì sẽ báo ngay cho mình biết.

Báo cáo của Watchtower. Nguồn ảnh: https://support.1password.com/watchtower/
Ví dụ về một trang web có mật khẩu yếu. Nguồn ảnh: https://support.1password.com/watchtower/

1Password tương thích tốt với nhiều ứng dụng, trang web

Mình thấy rằng trải nghiệm đăng nhập hoặc tạo tài khoản bằng 1Password cực kì mượt mà.

Khi mình vào một trang web quen thuộc, ở ô đăng nhập sẽ hiện logo của 1Password để gợi ý cho mình rằng 1Password phát hiện mình đã từng tạo tài khoản trên trang web này.

Chỉ cần nhấn tổ hợp phím Command + “.” (dấu chấm) là mình sẽ mở được 1Password. Sau đó bấm Enter để lựa chọn tài khoản mình muốn sử dụng, vậy là 1Password sẽ tự động điền đúng tài khoản và mật khẩu mà mình đã đăng ký vào.

Ví dụ sử dụng 1Password để đăng nhập vào trang web của công ty mình.

Còn nếu như đây là lần đầu mình tạo tài khoản, mình sẽ nhập tài khoản của mình như bình thường. Đến phần mật khẩu, 1Password sẽ hiện ra và gợi ý mình sử dụng mật khẩu đã được tạo sẵn bởi 1Password, và nhắc mình lưu luôn mật khẩu này vào 1Password để đề phòng quên. Nếu như trang web yêu cầu mình phải gõ lại mật khẩu để xác thực, thì 1Password sẽ điền luôn cho mình. Quá khoẻ!

Nếu đây là lần đầu mình tạo tài khoản thì 1Password sẽ nhắc mình lưu lại mật khẩu. Nguồn ảnh: https://smartprivacy.io/password-managers/1password/

Thực chất đây là tính năng mà bất kì Password Manager nào cũng làm được. Tuy nhiên sau khi trải nghiệm mình thấy rằng 1Password vẫn cho mình trải nghiệm mượt mà nhất trên bất cứ trang web hay ứng dụng nào.

Trong khi đó với Lastpass hay Bitwarden, nhiều khi mình sẽ gặp trường hợp vào một trang web thì không hiện ra logo để mình đăng nhập (mà phải bấm vào phần extension của trình duyệt).

Hoặc sẽ có trường hợp mình đổi mật khẩu của trang web đó thì Lastpass và Bitwarden không tự động lưu lại mật khẩu mới của mình (lần sau đăng nhập cứ thắc mắc là tại sao mật khẩu mình lại sai nhỉ – hoá ra Lastpass và Bitwarden vẫn điền mật khẩu cũ -.-)

Đặc biệt là ở trên điện thoại thì đôi khi Bitwarden còn thậm chí không xuất hiện và gợi ý cho mình các tài khoản để mình lựa chọn nữa. Lúc đó mình lại phải lọ mọ đi mở Bitwarden rồi copy-paste mật khẩu từ chỗ này qua chỗ kia.

Phần mềm có giá “thơm” nhất: Bitwarden

Ngày mình còn là sinh viên, mình rất thích Bitwarden vì thiết kế đơn giản và đặc biệt là vì Bitwarden có cung cấp một bản miễn phí có đầy đủ các tính năng quan trọng nhất của một password manager.

Ở bản miễn phí, bạn có thể tạo mật khẩu, tuỳ biến mật khẩu, lưu mật khẩu và các thông tin cá nhân khác như thẻ ngân hàng, note, ảnh…

Bitwarden, giống như 1Password, có mặt dưới dạng Extension ở trên Firefox, Safari, Chrome, Opera, Edge, Brave, và dưới dạng phần mềm trên Windows, macOS và Linux. Bạn cũng có thể sử dụng Bitwarden trên Android và iOS luôn. Nói chung là được dùng miễn phí mà thiết bị nào cũng dùng được là quá hời!

Toàn bộ nền tảng mà Bitwarden hỗ trợ. Nguồn ảnh: https://bitwarden.com/download/

Nói như vậy nhưng không có nghĩa Bitwarden là một sản phẩm kém chất lượng đâu nhé. Bản thân Bitwarden là một sản phẩm mã nguồn mở, nên khi có lỗ hổng gì thì lập tức sẽ có rất nhiều người trên mạng đóng góp các bản sửa lỗi. Vì vậy về lý thuyết sản phẩm sẽ càng ngày càng hoàn thiện và bảo mật.

Thêm vào đó, Bitwarden đã được kiểm thử bởi những bên thứ ba uy tín về độ bảo mật, vì vậy bạn hoàn toàn có thể an tâm về chất lượng nhé.

Bạn có thể đọc thêm các báo cáo bảo mật của Bitwarden ở đây.

Cá nhân mình tìm hiểu trên các diễn đàn thì thấy Bitwarden chưa gặp Scandal nào về lỗ hổng dữ liệu cả. Ngay cả Lastpass – phần mềm quản lý password rất nổi tiếng ra đời từ 2008 – còn có nhiều scandal hơn cả Bitwarden.

Ngay cả khi bạn muốn trả tiền cho Bitwarden để nhận được những tính năng cao cấp thì giá của Bitwarden vẫn “thơm” hơn rất nhiều so với những đàn anh đàn chị khác.

Nếu bạn mua cá nhân, thì Bitwarden sẽ chỉ tốn đúng $10/năm. Trong khi đó, Lastpass là $36/năm còn 1Password là $35.88/năm.

Nếu bạn mua theo gia đình, bạn sẽ chỉ tốn đúng $6.67/năm cho Bitwarden, $8/năm cho Lastpass (ngạc nhiên chưa từ $36 còn $8!!) và $11.9 cho 1Password.

Nếu bạn mới bắt đầu với các phần mềm password manager thì mình cực kì khuyên bạn nên bắt đầu với Bitwarden trước để trải nghiệm. Khi nào đã quen với cách sử dụng và có nhu cầu lớn hơn về mặt trải nghiệm thì khi đó bạn có thể chuyển sang 1Password hoặc Lastpass.

Phần mềm có tính năng tốt nhất: Lastpass

Thật đáng tiếc là thiết kế của Lastpass vẫn còn chưa được đẹp mắt, và nhiều khi Lastpass cũng chưa được mượt mà trên Firefox, chứ không thì mình đã mua Lastpass từ rất lâu rồi.

Lastpass là sản phẩm cho mình trải nghiệm hoàn thiện gần với 1Password nhất, có lẽ cũng là vì độ lâu đời của sản phẩm này (bản đầu tiên từ năm 2008).

Nhưng nếu so sánh về tính năng thì chắc chắn là 1Password (2006-???) chưa thể được Lastpass (2008-???) gọi bằng anh được.

Lastpass có tính năng tự động điền mật khẩu

Khác với 1Password, khi bạn vào một trang web mà bạn đã lưu sẵn tài khoản và mật khẩu trên Lastpass thì Lastpass sẽ điền sẵn mọi thông tin cho bạn và chỉ cần enter là có thể đăng nhập được.

Trong khi đó 1Password sẽ yêu cầu bạn phải bấm vào icon và chọn tài khoản (kể cả khi chỉ có 1 tài khoản).

Lastpass có tính tuỳ biến mạnh hơn 1Password

Tính năng này mình ít khí sử dụng nhưng mình thấy khá hữu ích trong một vài trường hợp cụ thể.

Khi bạn muốn cài đặt 2FA cho chính phần mềm quản lý mật khẩu của mình, thì Lastpass cung cấp cho bạn 6 ứng dụng để bạn lựa chọn, trong khi đó 1Password chỉ cung cấp cho bạn 2 ứng dụng mà thôi.

Ngoại trừ Google Authenticator ra thì mình thấy có 5 ứng dụng có thể sử dụng để nhập 2FA cho Lastpass.

Lastpass còn có một danh sách những trang web sử dụng cùng một tài khoản để bạn dễ dàng đăng nhập mà không cần phải tạo và lưu lại mật khẩu nhiều lần. Ví dụ, khi bạn đăng nhập trên Google Mail, vì tài khoản Google Mail có thể sử dụng để đăng nhập các dịch vụ khác của Google, nên giả sử bạn vào Youtube, Lastpass sẽ gợi ý cho bạn đúng tài khoản Google Mail vừa rồi.

Một cái nữa của Lastpass mà mình thấy rất hay chính là việc giới hạn chia sẻ mật khẩu. Bạn có thể chia sẻ một mật khẩu cho người khác mà người đó không thể xem, sửa hay xoá mật khẩu đó bằng bất cứ cách nào. Người đó chỉ có thể sử dụng Lastpass để đăng nhập vào trang web có mật khẩu được chia sẻ, chứ không thể biết mật khẩu đó là gì.

Tính năng này sẽ đảm bảo việc password không bị nhân viên công ty hoặc người trong cùng tổ chức để lộ ra ngoài, hoặc cố tình thay đổi mật khẩu để chiếm đoạt tài khoản. Tính năng này thì cả 1Password và Bitwarden đều không có.

Làm đủ mọi kiểu mà không xem được mật khẩu là gì =))

Một vài tính năng tuỳ biến khá hay của Lastpass mà (nếu mình còn dùng Lastpass) chắc chắn mình sẽ sử dụng. Đây mới chính là điểm làm nên thương hiệu Lastpass:

  • Chỉ cho phép đăng nhập từ 1 số đất nước nhất định
  • Tự động đăng xuất tất cả các thiết bị nếu mình đăng nhập Lastpass từ 1 thiết bị mới (hay không! giả sử mình bị mất điện thoại, mình mà đăng nhập trên 1 cái điện thoại mới thì Lastpass trên điện thoại cũ sẽ bị đăng xuất ngay)
  • Hỏi lại mật khẩu nếu bạn xem thông tin mật ở trong Lastpass (tưởng là vào được Lastpass mà ngon à)
  • Nếu bạn đăng nhập vào Lastpass từ thiết bị mới, Lastpass sẽ không cho bạn đăng nhập ngay, mà bắt bạn xác thực qua email. Cái này giống 2FA, nhưng người đăng nhập sẽ không được thông báo là phải xác thực qua email, mà chỉ có người sở hữu email mới biết thôi.
  • Chọn các thiết bị đáng tin cậy: Với các thiết bị tin cậy thì bạn sẽ không phải thực hiện các bước đăng nhập nhiều lần kể trên nữa.
  • Giúp bạn tự động đổi mật khẩu mà không cần bạn phải vào hẳn trang web để làm điều đó. Đỉnh của chóp chưa =)))

Mặc dù rất xịn xò nhưng Lastpass đã từng gặp 2 scandal lớn trong năm 2011 và 2015 (nguồn), chưa kể một vài lỗ hổng trong bảo mật được phát hiện bởi Google (nguồn). Thế nhưng mình rất vui vì Lastpass không hề cố gắng che giấu khuyết điểm của mình. Thậm chí Lastpass còn đăng hẳn một bài post nhắc tới quá khứ lầm lỗi của mình và giải thích cho người dùng về độ an toàn của sản phẩm. Mình thì vẫn yên tâm tin tưởng vào Lastpass 😉

Lastpass có tính năng kiểm tra tài khoản đã bị lộ hay chưa

Tính năng Dark web monitoring của Lastpass có thể quét các cơ sở dữ liệu chứa những tài khoản đã bị lộ danh tính từ các trang web khác nhau, và thông báo cho bạn biết rằng email nào, đến từ trang web nào, đã bị lộ. Tuy nhiên bạn cần trả phí mới có thể sử dụng tính năng này nha 🙂

Lời kết

Mình nghĩ rằng nếu bạn mới bắt đầu sử dụng trình quản lý mật khẩu, thì trước mắt cứ sử dụng Bitwarden đã. Bạn có thể xuất toàn bộ mật khẩu của mình từ Chrome/Safari/Firefox và đưa vào Bitwarden, sau đó thử trải nghiệm để làm quen với việc tạo và lưu trữ mật khẩu bằng một công cụ thứ ba.

Cá nhân mình nghĩ việc sử dụng một trình quản lý mật khẩu đã gia tăng bảo mật online của bạn lên rất, rất nhiều lần. Vì thế, nếu bạn thực sự quan trọng tới sự tiện lợi và thiết kế (như mình :D) thì bạn mới cần upgrade lên những phần mềm trả phí cao hơn như 1Password hay Lastpass.

Và quan trọng là nếu đã xác định trả phí, hãy cố gắng mời bạn bè, người thân trong gia đình mình cùng sử dụng để tiết kiệm chi phí, và dễ dàng chia sẻ mật khẩu với nhau mà không còn phải copy-paste qua messenger nữa.

Quan trọng nhất, đó là giúp cho càng nhiều người nhận thức được tầm quan trọng của các trình quản lý mật khẩu, và trách nhiệm của họ trong việc bảo vệ danh tính cá nhân online đối với bản thân và gia đình.


Nếu bạn cảm thấy bài viết này hay và hữu ích thì đừng quên like và share để mọi người cùng nhận thức được tầm quan trọng của việc bảo mật thông tin online nhé!

Đăng ký nhận Newsletter

Many One Percents là newsletters về công nghệ và năng suất đầu tiên của Việt Nam với mục tiêu giúp các bạn trẻ cải thiện năng suất trong công việc và cuộc sống thông qua công nghệ.

Khi đăng ký Many One Percents (cùng hơn 8000 bạn đọc khác), bạn sẽ nhận được:

  • Đọc các bài blog sớm nhất (3-4 tuần trước khi mình publish lên mạng xã hội)
  • Weekly Discovery (các khám phá công nghệ thú vị nhất tuần)
  • Around the Internet (mấy thứ buồn cười hài hước trên Internet)
  • Những cập nhật và dự định mới nhất về blog và newsletter thuộc hệ sinh thái Many One Percents

4 Comments

Leave a Reply