❓ LastPass là gì
LastPass là dịch vụ lưu trữ mật khẩu và các thông tin cần bảo mật cao. Dữ liệu của bạn được mã hóa và lưu trữ trên điện toán đám mây. Vì vậy bạn có thể truy cập LastPass để lấy thông tin mọi lúc, mọi nơi có kết nối internet. Khi dùng LastPass bạn chỉ còn cần nhớ tên người dùng và mật khẩu truy cập LastPass (master password), còn thông tin truy cập các hệ thống khác đã dược lưu ở LastPass thì bạn không cần nhớ nữa.
Một số tính năng của LastPass:
- Tự động diền tên đăng nhập và mật khẩu cho trang web đã được lưu mật khẩu.
- Hỏi lưu mật khẩu cho trang web mới chưa dược lưu mật khẩu.
- Có thể tự tạo tên đăng nhập hoặc mật khẩu.
- Xác thực 2 lớp: phiên bản miễn phí dùng LastPass Authenticator/Google Authenticator/Yubico Authenticator để lấy OTP, phiên bản có phí mới dùng được 🔑 khóa bảo mật.
- Chạy được trên đa nền tảng: Windows, Mac, iOS, Android.
- Hỗ trợ đăng nhập và dùng LastPass ở chế độ offline khi không có kết nối internet.
LastPass đạt được chứng chỉ SOC 2 Type II (được xem như là tiêu chuẩn vàng về bảo mật)
SOC 2 Type II
Các phần mềm tương tự như LastPass gồm có (tương tự về chức năng, còn cách thức xử lý và lưu trữ thì mình không biết): 1Password (có phí), Bitwarden (miễn phí và có phí), Dashlane (có phí), KeePass Password Safe (miễn phí), NordPass (có phí và miễn phí) và v.v..
💾 Cách LastPass lưu trữ và xử lý dữ liệu
Khi đem tên đăng nhập và mật khẩu lưu trữ ở đâu đó (ngoại trừ trong trí nhớ của bạn) thì đều đi ngược lại với lời khuyên về bảo mật thông tin đăng nhập. Các chuyên gia bảo mật đều khuyên là chỉ nhớ mật khẩu trong trí nhớ, KHÔNG ghi ra giấy, KHÔNG lưu trữ ở bất cứ đâu. Mình lựa chọn làm theo lời khuyên cực tốt này chỉ cho thông tin đăng nhập LastPass. Còn các thông tin đăng nhập khác thì mình lưu trữ ở LastPass. Nếu bạn có thể nhớ tất cả các thông tin đăng nhập của bạn thì bạn không cần dùng LastPass. Phần này mình chia sẽ cách LastPass lưu trữ và xử lý dữ liệu của người dùng, hòng cung cấp thêm thông tin cho bạn để bạn ra quyết định có dùng LastPass hay không.
LastPass Zero-Knowledge Security Model
Theo hình trên, phần nằm trong "SERVER SIDE" là ở server của LastPass. Phần "CLIENT SIDE" là ở phía thiết bị của người dùng.
LastPass không biết và không luu mật khẩu của bạn dùng để truy cập LastPass (master password). LastPass chỉ lưu thông tin đã mã hóa của master password.
Dữ liệu của bạn được mã hóa theo thuật toán AES 256 ở dưới thiết bị của bạn (local device) sau đó dữ liệu mã hóa mới được lưu lên server của LastPass. Khóa dùng để giải mã nằm tại thiết bị của bạn. Khóa không được lưu trên server nên LastPass không thể đọc được nội dung dữ liệu của bạn. Bí mật của bạn chỉ có bạn biết.
LastPass lưu dữ liệu trên điện toán đám mây tại các nước và khu vực sau: 🇺 Mỹ, 🇪 Châu Âu, 🇦 Úc, 🇸 Singapore.
💰 Giá tiền khi dùng LastPass
LastPass cung cấp 2: gói miễn phí hoặc gói trả phí, cho người dùng cá nhân. Còn gói cho doanh nghiệp thì luôn có phí. Nếu có điều kiện tài chính thì bạn có thể mua gói trả phí. Ở thời điểm viết bài này là 3$/tháng/người hoặc $4/tháng/gia đình (tối đa 6 thành viên).
🆓 Gói miễn phí bị một số hạn chế sau:
Chỉ được sử dụng trên một loại thiết bị: máy tính để bàn (pc), máy tính xách tay (laptop) hoặc điện thoại (phone), máy tính bảng (tablet).
Chỉ chia sẽ được mật khẩu với 1 ngươi.
Không hỗ trợ Recovery Account khi bị quên master password.
Không hỗ trợ xác thực với khóa bảo mật theo giao thức U2F. Chỉ hỗ trợ giao thức OATH. Có thể dùng các ứng dụng sau để xác thực 2 lớp cho gói dùng LastPass miễn phí: LastPass MFA, Google Authenticator, Yubico Authenticator, Okta Verify, Microsoft Authenticator, Toopher, Duo Security, Grid.
Quan điểm cá nhân của mình thì nên sử dụng gói miễn phí trước xem có hợp với LastPass không? Gói miễn phí cũng đáp ứng được tất cả các nhu cầu căn bản của một cá nhân. Tại thời điểm viết bài này thì mình đã dùng LastPass được hơn 30 ngày từ gói Premium Free Trial chuyển xuống gói Free. Với gói Free, mình vẫn thấy ổn và tốt.
⚙ Cài đặt LastPass
Do chỉ dùng gói miễn phí nên mình chỉ cài đặc LastPass lên một loại thiết bị là 🖥 máy tính để bàn (pc) và 💻 máy tính xách tay (laptop). Vì đây là loại thiết bị mình hay sử dụng nhất so với thiết bị là 📱 điện thoại (phone) và máy tính bảng (tablet). Và mình cũng chỉ cài trên trình duyệt web chứ không cài đặt phần mềm độc lập trên máy.
Link download chương trình cho các nền tảng khác nhau: https://lastpass.com/misc_download2.php
Trong bài viết này mình sẽ minh họa cài đặt LastPass extension trên trình duyệt Chrome. Bạn nên dùng file cài đặt LastPass Universal Installer để cài LastPass lên tất cả các trình duyệt web mà nó hỗ trợ. Nên dùng file cài đặt này để cài 1 lần cho tất cả các trình duyệt.
Nếu cài đặc riêng lẻ trên từng trình duyệt thì rất có thể chức năng Native Messaging bị vô hiệu. Khiến không thể chia sẽ session LastPass trên các trình duyệt Chrome, Firefox, Safari, và Opera: nghĩa là bạn login/logout trên 1 trình duyệt thì ở trình duyệt khác bạn cũng có trạng thái như vậy. Bạn không cần phải login/logout trên từng trình duyệt đang dùng. Một tiện ích rất hữu dụng cho những ai dùng nhiều trình duyệt cùng một lúc.
🧑 Tạo tài khoản LastPass
Sau khi hoàn tất cài đặt LastPass extension trên trình duyệt Chrome. Bạn nên đặt cố định biểu tượng LastPass ra gần thanh nhập địa chỉ web trên trình duyệt. Cách làm như hình bên dưới.
Bạn mở LastPass trên trình duyệt Chrome bằng cách click vào biểu tượng hình chữ nhật màu xám đen có 3 chắm trắng ở giữa hình chữ nhật. Chọn "CREATE AN ACCOUNT".
Chấp nhận các điều khoản của LastPass. Nhập địa chỉ email vào để tạo tên người dùng. Nhấn "CREATE AN ACCOUNT"..
Tạo mật khẩu (master password) cho tài khoản như hình bên dưới. Mật khẩu phải thỏa các điều kiện ở 1. Nhập mật khẩu vào 2 và lập lại ở 3. Sau đó nhấn nút "NEXT".
LastPass tạo tài khoản xong thì báo thành công như hình bên dưới.
Sau khi tạo xong tài khoản. Để kiểm tra và bật chức năng Native Messaging ta làm như sau:
Đăng nhập vào LastPass. Nhấp chọn vào nút 3 chấm (...). Chọn "Account". Chọn "About Lastpass".
Nếu mục "Binary Component: false" thì chưa bật share session.
Để bật share session:
Trên trình duyệt Chrome. Nhấn nút "Enable Native Messaging". Tắt và khởi động lại trình duyệt. Vào lại "Abount Lastpass" như trên. Nhấn nút "Enable Binary Component". Chương trình sẽ tải về phần Binary Component. Bạn kích chạy file tải về. Rồi khởi động lại trình duyệt.
Hoặc trên trình duyệt firefox: Nhấn nút "Enable Binary Component". Rôi làm tương tự như ở trên.
Bật share session thành công thì "Abount Lastpass" sẽ thông tin "Binary Component: true"
🔐 Xác thực 2 lớp với LastPass để tăng độ an toàn bảo mật
Bỏ tất cả mật khẩu vào "két sắt" LastPass nên cần phải gia cố cho nó thêm một lớp cửa thứ 2 nữa là việc rất nên làm. Trong phần này mình chia sẽ cách bật xác thực 2 lớp của LastPass dùng ứng dụng Google Authenticator trên điện thoại để lấy OTP khi đăng nhập LastPass.
Để bật xác thực 2 lớp bạn thực hiện các bước sau:
Cài ứng dụng Google Authenticator vào điện thoại (nếu đã cài rồi thì bỏ qua bước này).
Trên giao diện LastPass, chọn menu "Account Settings" bên cạnh trái của mành hình hay menu xổ xuống ở góc trên bên phải của màn hình.
Chọn menu tab "Multifactor Options". Nhấp vào cây viết ở cột "Action", hàng "Google Authenticator".
Mục "Enabled": chọn giá trị Yes.
Mục Barcode. Click vào "View". Nhập mật khẩu LastPass.
LastPass sẽ hiện lên mã QR Code.
Mở ứng dụng Google Authenticator. Nhấn vào dấu + bên phải phía dưới màn hình điện thoại. Quét mã QR Code do LastPass hiện lên trên màn hình của bạn khi bạn thực hiện bật xác thực 2 lớp (còn QR Code ở hình bên trên chỉ là ví dụ thôi).
Tùy chọn: có thể quét mã QR Code trên nhiều điện thoại lưu vào Google Authenticator hoặc lưu lại ảnh QR Code (phải bảo mật ảnh này) để quét trên điện thoại mới khi đổi điện thoại. Việc này phòng ngừa điện thoại bị hư hoặc thất lạc khiến bạn không thể lấy OTP và bị khóa bên ngoài tài khoản LastPass của bạn vĩnh viễn.
Nhấn nút "OK" để bật xác thực 2 lớp. LastPass yêu cầu nhập vào số OTP hiển thị trên chương trình Google Authenticator vào và nhấn "OK".
LastPass thông báo: xác thực 2 lớp đã được bật thành công.
| Ghi chú: |
|---|
 |
🚚 Import dữ liệu mật khẩu từ các nguồn khác
Khi đến với LastPass thì bạn đã có một số lượng kha khá mật khẩu rồi. Nếu nhập tay từng cái một thì rất mất thời gian và có thể có sai sót. Vì vậy nên dùng chức năng import để nhập hàng loạt mật khẩu vào LastPass từ nguồn dữ liệu có sẳn của mình.
LastPass hỗ trợ import dữ liệu từ 3 nguồn sau:
Mật khẩu lưu ở các trình duyệt.
Mật khẩu lưu ở các chương trình quản lý mật khẩu.
Mật khẩu lưu ở các nơi khác.
Để import dữ liệu mật khẩu vào LastPass, ta chon "Advanced Options". Chọn "Import".
Tùy vào nguồn dữ liệu được chọn import vào LastPass, mà LastPass sẽ có hướng dẫn tương ứng cách làm cho từng nguồn khác nhau. Nguyên tắc chung của cách làm là export dữ liệu nguồn ra file csv. Sau đó dùng file csv vừa export ra từ nguồn, import vào LastPass.
Đối với mật khẩu từ các nguồn khác, thì ta phải export ra file csv. Sau đó điều chỉnh file csv về đúng như định dạng mà LastPass yêu cầu: tên cột, thứ tự các cột. Rồi mới import file đó vào LastPass được.
🗒 Lời kết
Trước khi sử dụng LastPass để lưu trữ dữ liệu mật khẩu. Mình cũng đã nghe nói đến nó nhưng vẫn còn ngần ngại không dùng vì sợ bị lộ thông tin. Cho đến một hôm, máy tính để bàn của mình gặp sự cố không thể mở lên hoạt động gần một ngày. Mình phải chuyển qua làm việc với máy tính xách tay. Nhưng kẹt một nổi là dữ liệu mật khẩu để đăng nhập các hệ thống khác mình lại lưu trên máy tính để bàn của mình. Nên mình cũng không thể làm gì với máy tính xách tay đang hoạt động được. Sau sự cố này, mình quyết định tìm hiểu thêm về LastPass để luu trữ mật khẩu lên điện toán đám mây.
Bài viết này là tất cả những gì mình đã tìm hiểu được về LastPass và sau một thời gian sử dụng nó. Mình hy vọng, những thông tin mình chia sẽ trong bài sẽ giúp bạn mạnh dạn thay đổi cách lưu trữ dữ liệu mật khẩu hiện tại của bạn.
Cám ơn bạn đã dành thời gian cho bài viết này.
