1 điểm bởi GN⁺ 2023-09-26 | 1 bình luận | Chia sẻ qua WhatsApp
  • Bitwarden là một nền tảng bảo mật thông tin xác thực, bảo vệ mật khẩu, passkey và secret mà cá nhân lẫn doanh nghiệp sử dụng bằng mã hóa đầu cuối mã nguồn mở
  • Cung cấp trong cùng một bộ sản phẩm các tính năng tạo, lưu trữ và tự động điền mật khẩu, vault doanh nghiệp tập trung, công cụ quản trị, đồng bộ thiết bị không giới hạn, chia sẻ và cả tự lưu trữ
  • Phạm vi bảo vệ không chỉ dừng ở tài khoản con người mà còn mở rộng tới AI agent và máy móc; với quyền truy cập của agent, áp dụng cơ chế truy cập mã hóa đúng lúc, yêu cầu phê duyệt của con người mỗi lần
  • Bitwarden nêu các cơ sở tạo niềm tin gồm hơn 80.000 tổ chức và hàng triệu cá nhân sử dụng, hơn 100.000 thành viên cộng đồng, kiểm toán bên thứ ba và mã hóa zero-knowledge
  • Ngoài tài khoản cơ bản miễn phí, Bitwarden cung cấp các gói Premium giá $1,65/tháng, Families $3,99/tháng, Teams $4/người dùng/tháng, Enterprise $6/người dùng/tháng; giá hiển thị tính bằng USD, thanh toán theo năm và chưa gồm thuế

Bảo vệ mật khẩu, passkey và secret ở một nơi

  • Bitwarden là nền tảng bảo vệ mật khẩu, passkey và secret mà con người, AI agent và máy móc phụ thuộc vào
  • Các trụ cột cơ bản của sản phẩm là mã nguồn mở, mã hóa đầu cuối và kiến trúc có thể mở rộng
  • Người dùng có thể tạo và lưu trữ mật khẩu mạnh, rồi tự động điền trên nhiều tài khoản
  • Trong môi trường doanh nghiệp, vault tập trung và công cụ quản trị giúp sắp xếp, quản lý thông tin xác thực
  • Tính minh bạch mã nguồn mở, kiểm toán bên thứ ba và đánh giá của cộng đồng củng cố niềm tin về bảo mật

Cách tiếp cận theo từng đối tượng: con người, AI agent và máy móc

  • Tính năng dành cho con người chỉ cấp cho nhân viên những thông tin xác thực cần thiết, đồng thời hỗ trợ tạo, lưu trữ và tự động điền mật khẩu
  • Với AI agent, hệ thống cung cấp quyền truy cập mã hóa đầu cuối vào thời điểm cần thiết và yêu cầu phê duyệt của con người mỗi lần
  • Tính năng dành cho máy móc giới hạn phạm vi truy cập vào secret của nhà phát triển như API key, mật khẩu cơ sở dữ liệu và access token

Cơ sở niềm tin và quy mô sử dụng

  • Bitwarden cho biết hơn 80.000 tổ chức và hàng triệu cá nhân sử dụng nền tảng này để bảo vệ thông tin xác thực
  • Các yếu tố bảo mật và niềm tin gồm:
    • Đáp ứng hoặc vượt các tiêu chuẩn tuân thủ quốc tế
    • Với mã hóa zero-knowledge, chỉ người dùng mới có thể truy cập thông tin
    • Có hơn 100.000 thành viên cộng đồng trên GitHub, diễn đàn Bitwarden và Reddit
  • Bitwarden cho biết họ đã đứng số 1 trong hạng mục Enterprise User Satisfaction của G2 Enterprise Grid Report trong 11 quý liên tiếp

Các tính năng chính cho doanh nghiệp và cá nhân

  • Doanh nghiệp có thể dùng SSO, SCIM và tự lưu trữ làm các tùy chọn triển khai
  • Đội ngũ IT kiểm tra tình trạng sử dụng thông tin xác thực bằng nhật ký sự kiện và kiểm soát truy cập
  • Cung cấp các tính năng giúp giảm rủi ro thông tin xác thực trên toàn bộ nhân viên và thiết bị
  • Người dùng cá nhân giảm gánh nặng phải ghi nhớ mật khẩu và có thể dùng tính năng tự động điền đăng nhập trên nhiều thiết bị và trình duyệt
  • Bảo vệ tài khoản cá nhân bao gồm cảnh báo rò rỉ

Nhóm tính năng của trình quản lý mật khẩu

  • Tạo, lưu trữ và tự động điền

    • Bảo vệ mật khẩu và passkey mạnh, duy nhất cho từng tài khoản
    • Có thể lưu trữ an toàn và tự động điền tức thì trên thiết bị không giới hạn
  • Quản lý tập trung

    • Quản lý ở một nơi các kiểm soát truy cập, chính sách, quyền sở hữu mục tập trung và báo cáo bảo mật
  • Tích hợp công cụ

    • Có thể tích hợp với nhà cung cấp SSO, dịch vụ thư mục, công cụ SIEM, AI agent và các công cụ mà doanh nghiệp phụ thuộc vào
  • Nhập dữ liệu

    • Có thể chuyển mật khẩu từ trình duyệt hoặc trình quản lý mật khẩu khác trong vài phút
  • Chia sẻ

    • Có thể chia sẻ với thành viên nhóm thông qua bộ sưu tập của tổ chức, hoặc gửi văn bản và tệp đã mã hóa bằng Bitwarden Send
  • Tự lưu trữ

    • Có thể lưu trữ Bitwarden on-premises hoặc trên private cloud để đảm bảo chủ quyền dữ liệu
    • Thêm tính năng: Bitwarden Features

Access Intelligence và phòng chống phishing

  • Access Intelligence là tính năng xác định các ứng dụng AI đang được dùng trong tổ chức và giảm rủi ro thông tin xác thực
  • Mật khẩu yếu hoặc được tái sử dụng có thể trở thành đường dẫn tới xâm phạm tài khoản
  • Bitwarden hỗ trợ tạo mật khẩu mạnh và duy nhất cho từng website và ứng dụng
  • Trên các website giả mạo độc hại, Bitwarden không tự động điền, nhờ đó hỗ trợ phòng chống phishing

Gói giá

  • Gói cá nhân
    • Premium: $1,65/tháng, thanh toán $19,80/năm
      • Cung cấp trình xác thực tích hợp, tệp đính kèm, truy cập khẩn cấp, báo cáo bảo mật, v.v.
      • Có thể chia sẻ các mục trong vault với 1 người dùng khác
    • Families: $3,99/tháng, tối đa 6 người, thanh toán $47,88/năm
      • Cung cấp 6 tài khoản premium, chia sẻ không giới hạn, bộ sưu tập không giới hạn và kho lưu trữ của tổ chức
    • Quản lý mật khẩu cơ bản luôn được cung cấp miễn phí
  • Gói doanh nghiệp
    • Teams: $4/người dùng/tháng, thanh toán theo năm
      • Ngoài các tính năng Premium, còn cung cấp chia sẻ thông tin xác thực, kiểm toán hoạt động dựa trên nhật ký sự kiện, đồng bộ thư mục hiện có và tự động hóa cấp phát SCIM
    • Enterprise: $6/người dùng/tháng, thanh toán theo năm
      • Ngoài các tính năng Premium và Teams, còn cung cấp kiểm soát truy cập chi tiết, tích hợp Passwordless SSO, khôi phục tài khoản, linh hoạt tự lưu trữ, giảm thiểu rủi ro bằng Access Intelligence và gói Families miễn phí cho mọi người dùng
    • Các tổ chức quy mô lớn có thể trao đổi với bộ phận bán hàng để thảo luận gói tùy chỉnh
  • Giá hiển thị là gói đăng ký hằng năm tính bằng USD và chưa bao gồm thuế

1 bình luận

 
GN⁺ 2023-09-26
Ý kiến trên Hacker News
  • Tôi đã muốn thích Bitwarden vì nó là mã nguồn mở, nhưng 1Password vẫn vượt xa
    Điều trớ trêu là dù 1Password 8 đã được tái cấu trúc lớn sang UI nền Node mà nhiều người ghét, nó vẫn tốt hơn rất nhiều
    Tôi từng thử hướng dẫn cha mình dùng Bitwarden vì có bản dịch sang tiếng mẹ đẻ của ông, nhưng khi dùng thực tế, những lỗi nhỏ tích tụ lại khiến nó gần như không dùng được: tự động điền thất bại, không phát hiện lưu đăng nhập, tài khoản bị đăng xuất, xác thực sinh trắc học trên trình duyệt thất bại do ứng dụng nền bị tắt, UI quản trị tệ hại
    Gói cá nhân thì rẻ nhưng gói gia đình lại đắt, và dù có thể tự host nhưng vẫn tốn chi phí
    Khi mọi người nói tự host, thường họ đang nói đến vaultwarden được viết lại bằng Rust, nhưng theo tôi biết thì nó chưa từng được audit, nên tôi không hiểu làm sao có thể tin vào khả năng không có lỗ hổng từ xa
    Bitwarden cũng đã nhận vốn VC, và tôi hiểu là họ cần tăng trưởng, nhưng tôi nhớ những dự án thuộc sở hữu của một doanh nghiệp bền vững mà không bị áp lực tăng trưởng. 1Password cũng vậy, nhưng tôi vẫn lo liệu một startup đã nhận vốn VC có còn đáng tin sau 1 năm nữa hay không

    • Khi 1Password công bố chuyển sang một ứng dụng Electron tệ hại, tôi đã đánh giá các trình quản lý mật khẩu lớn và cả những sản phẩm ít nổi tiếng hơn như Strongbox, nhưng dù UX của 1Password 8 có đi xuống, nó vẫn vượt trội đến mức không thể so sánh
      Tôi cố bám lại V7 cho đến vài tuần trước, rồi vì hoàn cảnh phải nâng cấp nên đã xem xét lại, bao gồm cả Bitwarden, nhưng UX dường như không khá hơn; quan trọng hơn là nó từ chối toàn bộ quá trình nhập chỉ vì một ghi chú bảo mật lớn
      Nó không chỉ bỏ qua ghi chú đó mà không nhập gì cả, cũng không có tùy chọn bỏ qua, khiến tôi phải làm rất nhiều việc thủ công; cuối cùng nó còn không đáp ứng được nhu cầu đưa ghi chú cần thiết đó vào vault
    • Tôi dùng với tư cách người dùng trả phí vì nghĩ mức 1 euro mỗi tháng là đúng tầm cho một trình quản lý mật khẩu, nhưng nói rằng nó có lỗi là đúng
      LastPass mà tôi từng dùng trước đây phát hiện trường biểu mẫu tốt hơn nhiều, và tôi cho rằng UI được dựng trên popup tạm thời là một lựa chọn tệ vì sau nhiều năm vẫn không được chuyển hẳn sang kiểu tab mới. Lẽ ra nên làm như LastPass, uBlock Origin, TreeStyleTabs
    • Tôi tò mò không biết lần cuối bạn dùng là khi nào. Gần đây đã có thay đổi UI và nó tốt hơn trước
      Tài khoản cá nhân và gia đình rẻ hơn 1Password, và trong thời gian dài làm khách hàng trả phí của Bitwarden, tôi chưa từng gặp các vấn đề như vậy
      Nhân tiện, 1Password đã nhận gần 1 tỷ USD vốn VC, nên áp lực tăng trưởng hẳn sẽ rất lớn
    • Nói rằng “Bitwarden cũng đã nhận vốn VC. Không sao đâu” thì hoàn toàn không ổn
      Vốn VC nghĩa là đến một lúc nào đó họ sẽ tìm cách thu hồi tiền, và dịch vụ quản lý mật khẩu quá quan trọng để đặt dưới áp lực như vậy
      Nhìn vào tiền lệ nhiều dịch vụ nhận vốn VC khác đã hỏng nặng, tôi thấy hoàn toàn có khả năng một ngày nào đó họ sẽ giữ mật khẩu làm con tin nếu không trả tiền, hoặc có hành động cực đoan tương tự
    • Hosting ở trung tâm dữ liệu thì đắt, nhưng host tại nhà thì không đắt. Nếu dù sao bạn cũng đang trả tiền Internet, hãy tận dụng nó
      Máy chủ tại nhà của tôi tốn khoảng 3 euro tiền điện mỗi tháng, và ngoài Vaultwarden còn chạy nhiều dịch vụ như Home Assistant, Nextcloud, Jellyfin, Immich
      Việc bảo trì cũng đơn giản với Docker và Compose; tôi chạy trên mạng riêng và chỉ giới hạn truy cập bên ngoài qua VPN khi cần
      Nếu chỉ host một dịch vụ thì đắt, nhưng chạy nhiều dịch vụ cùng nhau thì rẻ hơn nhiều
  • Cũng có vaultwarden, một bản triển khai máy chủ mã nguồn mở bằng Rust: https://github.com/dani-garcia/vaultwarden

    • Máy chủ Bitwarden chính thức cũng là phần mềm tự do mã nguồn mở dựa trên AGPL: https://github.com/bitwarden/server
    • Thứ duy nhất Vaultwarden còn thiếu là SSO/OAuth. PR liên quan đã mở suốt vài năm, và giờ tôi đã mất hy vọng nó sẽ được merge
    • Tôi dùng Vaultwarden cho mật khẩu của nhóm và Password Store cho cá nhân
      Ngoài lần ban đầu không nhận được cơ sở dữ liệu từ Docker volume đã khôi phục khi chuyển sang máy chủ khác, thì không có vấn đề gì; việc đó cũng có khả năng là lỗi Docker hoặc do tôi làm sai gì đó ngang nhau
    • Tôi dùng vaultwarden cho cá nhân và nó rất tuyệt
  • Tôi khá bất ngờ vì có nhiều phản ứng tiêu cực hơn mình nghĩ. Trong đầu tôi, Bitwarden vẫn là một sản phẩm được HN yêu thích
    Tôi đang trả 10 đô la/năm cho gói Premium để dùng; thật ra cũng không rõ mình đang tận dụng những tính năng nào, nhưng tôi thích bản thân sản phẩm này
    Tuy vậy tôi cũng chưa tìm hiểu nhiều sản phẩm cạnh tranh, nên tò mò không biết các trình quản lý khác có ưu điểm lớn nào không

    • Tôi cũng thật sự ngạc nhiên
      Có nhiều câu kiểu “đi trước rất xa”, nhưng không thấy rõ cụ thể điều đó nghĩa là gì
      Các công ty gần đây tôi làm dùng LastPass và 1Password, còn cá nhân tôi dùng Bitwarden, và tôi thấy Bitwarden tốt hơn nhiều
      Plugin trình duyệt nhận biết việc nhập/đổi mật khẩu ổn định hơn và đề xuất lưu/cập nhật; phiên bản iOS cũng tích hợp mượt hơn với tính năng tự động điền mật khẩu của các ứng dụng native khác
      Có thể nó thua ở tính năng chia sẻ cho nhóm, nhưng với dùng cá nhân thì không liên quan
      Phần lớn Bitwarden là mã nguồn mở, nhưng có vẻ có kiểu phẫn nộ rất HN vì nó không phải 100% do có một số thành phần độc quyền; tôi khó hiểu thái độ cho rằng phần mềm phải từ trên trời rơi xuống như manna và không được duy trì bằng một mô hình kinh doanh
      Cũng lạ là VS Code theo cùng cách lại ít bị oán trách như vậy; có lẽ nếu Bitwarden làm một giao diện dark mode trông thuyết phục hơn thì mọi chuyện sẽ khá hơn
    • Trong giới phần mềm có một hiện tượng kỳ lạ là giải pháp mã nguồn mở thường bị đòi hỏi tiêu chuẩn cao hơn các phần mềm khác cùng lĩnh vực
      Tôi cũng dùng Bitwarden Premium và thích nó. Tổ chức của chúng tôi dùng một trình quản lý mật khẩu cấp doanh nghiệp khác, phức tạp hơn nhiều và giao diện cũng chậm
      Tôi có nguyên tắc rằng nếu có thể có được 80% tính năng tương tự bằng mã nguồn mở, thì dù nó không phải “tốt nhất” tôi vẫn sẽ dùng
    • Thành thật mà nói, cảm giác như một nỗ lực có tổ chức nhằm kéo đối thủ cạnh tranh xuống
      Trước đây trên HN hầu như chỉ có bài khen Bitwarden, và khi tự dùng tôi gần như không gặp các vấn đề mọi người phàn nàn ở đây
      Phàn nàn duy nhất của tôi là đăng nhập bằng sinh trắc học trong ứng dụng desktop hơi vụng về, nhưng đó không phải vấn đề mang tính quyết định
    • Tôi đã dùng Bitwarden một thời gian và với tôi nó hoạt động hoàn toàn tốt. Nó làm được việc tôi cần mà không có phàn nàn gì đặc biệt
  • Nhân tiện, năm ngoái Bitwarden đã nhận 100 triệu đô la vốn VC
    Rất có khả năng một lúc nào đó họ sẽ chịu áp lực phải kiếm tiền mạnh tay hơn
    https://techcrunch.com/2022/09/06/open-source-password-manag...

    • Các lựa chọn thay thế chính là LastPass và 1Password; LastPass đang sụp vì các lỗ hổng bảo mật, còn 1Password đã nhận khoảng 1 tỷ đô la vốn VC: https://techcrunch.com/2022/01/19/1password-series-c-funding...
      Đến một lúc nào đó thì chỉ còn cách chấp nhận và sống chung với nó. Sản phẩm bạn dùng có thể thay đổi trong tương lai, và sau này bạn có thể phải chuyển sang thứ khác
      Phương án thay thế là để thứ như KeePass trong USB và từ bỏ đồng bộ đám mây, tích hợp tự động điền trên trình duyệt và ứng dụng native; nhưng thật ra chính những tính năng đó mới là cốt lõi của các sản phẩm này
      Nếu không có chúng, có khi ghi mật khẩu ra giấy để trong ngăn bàn còn tốt hơn
    • Nguyên tắc sống của tôi là hễ có nhà đầu tư VC hoặc quỹ đầu tư tư nhân bước vào một sản phẩm nào đó thì tôi nhanh chóng rời khỏi sản phẩm đó
    • Rốt cuộc vì sao một dịch vụ quản lý mật khẩu lại cần nhiều tiền đến thế
      Tệ hơn nữa, họ định làm gì trong tương lai mà có thể thuyết phục VC rằng sẽ thu hồi được nhiều hơn số tiền đó
    • Với tư cách người thích doanh nghiệp bootstrap hơn nhiều, việc gọi vốn ở quy mô này trông điên rồ
      Nếu đã có một sản phẩm tăng trưởng và phổ biến như vậy, tôi thật sự tò mò lý do vì sao họ nhất thiết phải nhận chừng ấy tiền
    • Cảm ơn thông tin. Một dịch vụ rẻ và dễ di chuyển như thế mà lại có số tiền lớn như vậy đổ vào thì đúng là rất nhiều
      Hơi đáng lo
  • Bitwarden tốt. Tôi dùng ở mọi nơi và nó quản lý mật khẩu rất ổn
    Với tôi, tính năng cốt lõi là tính năng tổ chức dễ dùng, nhờ đó tôi có thể chia sẻ mật khẩu với vợ một cách dễ dàng
    Các tài khoản liên quan đến tài chính hoặc con cái thường cần được chia sẻ, nên cả hai đều cần mật khẩu; Bitwarden làm việc này rất đơn giản

    • Tôi cũng từng dùng như vậy, rồi nhận ra vợ chồng tôi chỉ cần dùng chung một tài khoản Bitwarden là được
    • Tôi cũng dùng tính năng chia sẻ, tức tính năng tổ chức, nhưng không biết có phải tôi quá thiếu hiểu biết không mà sau khi chia sẻ thì dường như không thể xem hoặc sao chép mật khẩu
      Các mục do chính tôi chia sẻ cũng vậy. Khi dùng được tự động điền thì không sao, nhưng không phải lúc nào nó cũng hoạt động hoặc khả dụng
  • Tiêu đề dễ gây hiểu nhầm. Cái này không hoàn toàn là “miễn phí nguồn mở”
    Máy chủ Bitwarden có cấu trúc giấy phép kép
    Một phần là nguồn mở AGPL, còn một số tính năng dùng giấy phép Bitwarden dạng công khai mã nguồn
    Hơn nữa, ngay cả phần lõi nguồn mở cũng cần đăng ký để tự host; họ nói việc này là để cung cấp các dịch vụ bổ trợ như cập nhật bảo mật, máy chủ relay push, kiểm tra giấy phép
    Tài liệu không nói, nhưng việc họ yêu cầu không chia sẻ khóa giấy phép giữa các lần cài đặt khiến có vẻ còn để cải thiện telemetry nữa
    Tôi hiểu vì sao cần giấy phép dạng công khai mã nguồn, nhưng nếu sản phẩm cuối cùng không miễn phí như bia cũng không tự do như tự do ngôn luận, thì tôi không hiểu tại sao lại cấp phép một phần dưới dạng nguồn mở
    Tôi thật sự tò mò các công ty được lợi gì khi marketing những sản phẩm hầu như không phải nguồn mở là nguồn mở
    https://github.com/bitwarden/server/blob/master/LICENSE_FAQ....
    https://bitwarden.com/help/hosting-faqs/#q-what-are-my-insta...

    • Nội dung là “Commercial.Core và tích hợp SSO: một số mã mô-đun mới được thiết kế và phát triển cho các tổ chức lớn và môi trường doanh nghiệp được phân phối theo Bitwarden License, một giấy phép dạng công khai mã nguồn”
      Phần còn lại của Bitwarden là phần mềm miễn phí/tự do cả về chi phí lẫn quyền tự do. Không hiểu vì sao lại nghĩ khác
      Vaultwarden tồn tại và tương thích với các client Bitwarden
    • Tôi không hiểu vì sao mọi người cứ mặc định rằng thứ gì nguồn mở thì nhất thiết phải miễn phí và phải dùng giấy phép rộng rãi cho phép làm mọi thứ
      Nhìn qua website thì có vẻ việc công khai mã nguồn thiên về tính minh bạch hơn là tinh thần nguồn mở tự do
    • Chắc không nhiều người thật sự quan tâm, nhưng theo câu chữ trong FAQ về giấy phép thì có vẻ có thể host máy chủ ở chế độ chỉ FOSS
      api có bao gồm Commercial Core theo Bitwarden License, nhưng tài liệu nói có thể vô hiệu hóa khi build mô-đun bằng cách truyền tham số /p:DefineConstants="OSS" cho dotnet
    • Như chính bạn đã nói, đó là marketing
  • Khá ngạc nhiên là Padloc vẫn chưa được nhắc đến
    Có mã hóa đầu cuối, nguồn mở, tự host dễ, UI và UX tốt
    Tôi đã cho cả gia đình dùng, dùng hơn một năm rồi cuối cùng còn trở thành người đóng góp tích cực
    Cũng có ứng dụng desktop dựa trên Tauri
    Công khai xung đột lợi ích: tôi có quyền đóng góp nhưng không nhận doanh thu bán hàng hay khoản tương tự
    https://padloc.app

    • Trên Google Play với Android 13 Pixel 7, nó báo “ứng dụng này được tạo cho phiên bản Android cũ nên không dùng được trên thiết bị của bạn” và không cài được
      Nhìn thêm cả điểm đánh giá thì không thấy đáng tin
    • Lần đầu thấy, nhưng branding và thiết kế như đang hét lên “đây là dự án sinh viên, hãy tránh xa”
      Đó hoàn toàn không phải ấn tượng tôi muốn có ở một trình quản lý mật khẩu. Nói thêm là tôi là designer UI/UX
    • Tôi tò mò liệu có đồng bộ qua Wi-Fi không
      Có vẻ các hãng lớn đều muốn bỏ tính năng đó, trong khi điều duy nhất tôi muốn ở trình quản lý mật khẩu là không lưu toàn bộ mật khẩu của mình trên cloud
  • Bitwarden không hoàn hảo, nhưng gọi pass là “dễ” thì buồn cười
    Nhất là khi phải chia sẻ mật khẩu với gia đình ít rành công nghệ hơn nhiều; còn 1Password thì UI quá cố chấp nên nhiều khi lại cản trở
    Tôi thấy Bitwarden đạt được cân bằng tốt giữa bảo mật, giá cả và thiết kế
    Tuy vậy, tôi đồng cảm với lo ngại về việc gọi vốn và thay đổi trong ban lãnh đạo

  • Tôi dùng khá hài lòng và thấy tiện, nhưng cũng tự hỏi việc gom mọi thứ quan trọng, kể cả 2FA, vào một nơi trên cloud thật sự an toàn đến mức nào
    Trông nó như một mục tiêu quá giá trị
    Mặt khác, đồng bộ mọi thứ thủ công thì phiền phức, và cuối cùng tôi vẫn mã hóa trên máy tính rồi đồng bộ qua cloud, nên cũng tự hỏi khác biệt là gì

    • Với mỗi dịch vụ bạn dùng, bạn cần tạo được mật khẩu riêng biệt và đủ mạnh. Trong quản lý tài khoản, đây tuyệt đối là bước đầu tiên quan trọng nhất
      Ở quy mô lớn, những người không dùng trình quản lý mật khẩu sẽ tái sử dụng mật khẩu. Hết chuyện
      Cách thực tế cải thiện bảo mật tài khoản cho công chúng nhiều nhất là khiến họ dùng trình quản lý mật khẩu, ngay cả khi tính đến rủi ro két mật khẩu bị đánh cắp và giải mã
      Với đa số người, quản lý mật khẩu trên cloud gần như không thể thỏa hiệp. Chuyện “két nằm trên máy tính, rồi làm rơi máy khiến ổ đĩa hỏng” sẽ tiếp tục xảy ra, và việc khiến mọi người sao lưu đúng cách là không khả thi ở quy mô lớn
      Nếu bản thân bạn có thể tạo mật khẩu riêng biệt và đủ mạnh cho mọi tài khoản, bạn có thể tránh trình quản lý mật khẩu để giảm một rủi ro nhỏ
    • Tôi cũng cho gần như mọi mật khẩu vào Bitwarden, nhưng không cho token 2FA vào để tránh đặt tất cả trứng vào một giỏ
      Nếu tập trung cả hai bí mật vào một chỗ thì về thực chất không còn là xác thực hai bước nữa
      Trên di động tôi dùng Aegis, trên máy tính dùng pass cùng tiện ích mở rộng OTP, với một mật khẩu hoàn toàn khác Bitwarden
      Nếu lo về két Bitwarden trên cloud, bạn có thể chạy một instance vaultwarden, triển khai máy chủ tự do nguồn mở dựa trên Rust, rồi kết nối client vào. Tôi chưa tự thử nhưng nghe nói hoạt động tốt
    • Tôi dùng KeePass và việc đồng bộ không phiền phức
      File nằm trên Dropbox, và trước khi mở ứng dụng trên thiết bị khác thì nó luôn đã được đồng bộ
      Sao lưu database cũng dễ như copy-paste file
    • Nếu dữ liệu đủ giá trị hoặc bạn có năng lực xử lý một cách tốt hơn thì đây có thể không phải giải pháp tốt nhất
      Với người dùng trung bình, dùng trình quản lý mật khẩu vẫn tốt hơn áp đảo so với dùng hunter42 cho mọi tài khoản
    • Tôi tự host vaultwarden, một triển khai máy chủ Bitwarden, trên Raspberry Pi ở nhà cho mục đích này: https://github.com/dani-garcia/vaultwarden
      Tôi cũng thường xuyên sao lưu database. Với tôi như vậy hoạt động đủ tốt, và tôi không cần lưu dữ liệu của mình trên cloud của một công ty
  • Mã nguồn mở và dễ dùng: https://www.passwordstore.org/

    • Tôi đã tạo prs để giải quyết nhiều bất tiện từng gặp với pass và các client khác
      Tương thích với pass và dùng cùng kho lưu trữ
      https://github.com/timvisee/prs
    • Cái này hơi khác. Thay vì là một ứng dụng quản lý mật khẩu, nó gần giống một chuẩn và bản triển khai CLI tham chiếu để lưu mật khẩu được mã hóa bằng GPG trong ~/.password-store
      Cũng có nhiều GUI client xử lý mật khẩu và các công cụ nhập từ những trình quản lý khác
      Nghe có vẻ là ý tưởng hay, nhưng tôi lo rằng client có thể bị phơi nhiễm trước các cuộc tấn công chuỗi cung ứng phần mềm. Có lẽ tôi không đủ chuyên môn để đánh giá từng phiên bản mới mỗi lần
    • Với chuyên gia máy tính thì có thể dễ dùng
      Hãy thử giới thiệu pass cho gia đình bạn. Với người dùng phổ thông, ngay cả 1Password cũng không dễ thiết lập
      Còn một chặng đường dài trước khi mọi người đều dùng trình quản lý mật khẩu, và phương án thực tế hơn có lẽ là passkey
    • Theo thiết kế, pass làm lộ toàn bộ metadata lịch sử của các website đã thiết lập và từng bản ghi
      Điều đó có thể phù hợp hoặc không phù hợp với threat model của bạn
    • Có thể tham khảo https://github.com/passff/passff