Nếu bạn tìm kiếm các thông tin về Password Manager trên Google ở 2024, sẽ thấy 2 thông tin khá quan trọng
- LastPass bị hack
- 1Password và Bitwarden luôn xuất hiện trong rất nhiều bài đánh giá
Bitwarden được đánh giá cao ở rất nhiều bài review, giới thiệu, phần lớn mọi người đều đồng tình Bitwarden là trình quản lý mật khẩu “miễn phí” tốt nhất
Ban đầu mình không quá ấn tượng về các password manager, khi viết bài về Vaultwarden, một ứng dụng server self-hosted cho Bitwarden, cũng đã có những đánh giá, nhận xét, không hẳn là sai, nhưng cũng không hẳn là đúng về các dịch vụ dạng này
Sau 1 thời gian sử dụng, theo mình Bitwarden xứng đáng có 1 bài viết giới thiệu riêng trên bibica.net, do đã có 2 bài viết liên quan tới Bitwarden, bao gồm bảo mật cho tài khoản và quản lý client, khá đầy đủ cho sử dụng thông thường rồi, nên ở bài này mình sẽ đá nhảm sang các thông tin ngoài lề, quan điểm cá nhân nhiều hơn
Bitwarden là 1 trong khá ít các Password Manager mã nguồn mở, rất được các lập trình viên, quản trị mạng …. yêu thích, do có thể đọc được toàn bộ source code, họ biết sản phẩm có theo dõi người dùng không, có thể làm lộ password không … nếu thích, bạn có thể viết các update, cập lỗi cho chính sản phẩm này
Mình không coi vấn đề mã nguồn mở hay đóng trên các password panager là ưu hay khuyết, thực tế sử dụng, chẳng tin được bố con thèng nào, trước khi bị hack banh xác thì dịch vụ nào cũng phét như thần cả, Yahoo, Facebook, Google, Dropbox …. toàn các công ty tầm cỡ thế giới, chẳng đầy phốt, Bitwarden bé như hạt vừng thì trông mong gì
Khi viết bài này mình có thử google, xem thị phần các hãng ra làm sao, khá là sock, khi LastPass liên tục bị hack, mất database người dùng, mất 1 phần source code, nhưng tới 11/2023 vẫn chiếm hơn 23% thị phần, Bitwarden vài năm gần nhất phát triển khá mạnh, cũng chiếm chưa tới 1% thị phần
Theo 1 tính toán sơ bộ, để có thể bypass được Account Fingerprint Phrase
(nôm na là password) trên Bitwarden, trung bình bạn sẽ phải tốn khoảng $3 triệu đô cho mỗi tài khoản và thời gian giải mã thường rất lâu, trung bình cỡ 1000-3000 năm, ý này không nhớ chính xác cụ thể lắm, vì đọc loáng thoáng ở đâu đó, mà đây là tính toán từ thời Bitwarden vẫn dùng các thuật toán cũ …
Một số lập trình viên, quản trị mạng không thích chuyện này, họ không muốn thông tin nhạy cảm như password của mình nằm trong tay người khác, tại sao tôi lại phải chịu rủi ro, vì sử dụng dịch vụ của các ông, tôi tự cài trên máy, chạy local chẳng an toàn hơn à? Bitwarden có vẻ cũng đồng tình với quan điểm này, nên ngoài chuyện công khai source code, cho dùng miễn phí gần như đầy đủ các tính năng quan trọng, Bitwarden còn làm tới 2 phiên bản bản self-hosted dành cho các khách hàng thích tự cài đặt, tự quản lý dữ liệu
Nó sẽ được 1 điểm, trong bất kể tình huống nào, kể cả sau này Bitwarden đóng cửa, bạn vẫn có thể tiếp tục vận hành hệ thống, chứ không lo sập hoàn toàn
Lý do vì sao tôi không/chưa thích Bitwarden
Vấn đề này, ở bài về Vaultwarden mình có nói khá dài, chủ yếu vì cơ chế tự tạo tài khoản và tự cập nhập password hoạt động chập chờn, mà sau 1 thời gian sử dụng, tạm mình sẽ bỏ qua vấn đề này, vì đã thích nghi dần với cách hoạt động như thế
Có điều nếu trước khi sử dụng, mình có kiểm tra lại thông tin về cơ sở hạ tầng từ Bitwarden, khả năng cao mình sẽ không sử dụng Bitwarden
Bitwarden mua domain từ NameCheap và sử dụng DNS, CDN từ …. Cloudflare, server thì theo họ thông báo là dùng Microsoft Azure, email gửi đi thì có vẻ là dùng của Google?
Domain mua từ Namecheap, dù dịch vụ này rất to, nhưng nó gắn liền với chính sách giá rẻ, chủ yếu cá nhân mua, doanh nghiệp mà quản lý domain từ Namecheap, nghe vẫn thấy hơi phèn phèn 😾 nó na ná kiểu bạn liên hệ với đối tác qua email, họ gửi cho cái email đuôi @gmail.com
, dùng thì ngon cả, nhưng cứ thấy gợn gợn
Bitwarden là nơi chứa các thông tin rất quan trọng, nên mình không thích Bitwarden sử dụng thông qua Cloudflare, vì lúc này dữ liệu của mình, lý thuyết có thể bị Cloudflare biết
Bitwarden cấu hình hệ thống, rất gần với cấu hình mình đang dùng trên Vaultwarden, và không ai đánh giá cao 1 dịch vụ liên quan nhiều tới bảo mật lại đi dùng 1 dịch vụ khác (Cloudflare) để bảo vệ cơ sở hạ tầng của chính họ, thế thì cơ sở hạ tầng của họ, yếu kém chẳng khác gì 1 end user thông thường là mấy
Với cách Bitwarden đang vận hành, dữ liệu của bạn, được chia sẽ tới 4 bên (Bitwarden, Microsoft Azure, Google, Cloudflare), bất cứ thời điểm nào, 1 trong 4 bên này có vấn đề, là công việc của bạn sẽ gặp vấn đề theo
Đơn giản nhất Cloudflare vừa trải qua đợt sập server rất nặng, nếu tình cờ ngay thời điểm đó, bạn cài lại Windows, hay điện thoại, coi như khỏi login được vào Bitwarden luôn
Đoạn trên mình cũng nói thêm cho vui là chính, thực tế thì bản thân Apple, cũng có liên thông khá nhiều thứ liên quan tới bảo mật với Cloudflare, chuyện Bitwarden dùng Cloudflare, mình không thích, thuần túy là vấn đề quan điểm, còn hiệu quả sử dụng là rất tốt, mọi dịch vụ mình đang dùng liên quan tới VPS, cụ thể là nếu bạn đọc được dòng này trên bibica.net, thì nó cũng đang sống trên đôi vai của Cloudflare cả đấy thôi 💫
Thông tin cá nhân của bạn, được kiểm soát bởi các công ty siêu to khổng lồ, như Google, Microsoft, Apple, Facebook, Cloudflare ….. vẫn đỡ hãi hơn là từ 1 công ty, dịch vụ vô danh nào đó
Thực tế khi mình online bao năm qua, dữ liệu của mình đã được Google, Microsoft, Apple, Facebook, Paypal, Cloudflare và …. Zalo thu thập cả rồi, có thêm Bitwarden cũng chẳng ảnh hưởng gì
Đáng giận nhất chắc là Zalo, ngày xưa họ bắt mình cập nhập cả CMND, mà công ty mẹ của Zalo là VNG cũng từng bị hack banh xác, chắc các thông tin về CMND cũ của mình cũng đã lộ sạch ra rồi, may sao Việt Nam bắt đổi sang căn cước công dân, nên thông tin này chưa lộ ra thôi
Tiếp tục vấn đề này mình nghĩ câu chuyện cũng sẽ chẳng đi tới đâu, bạn đã không tin tưởng dịch vụ, thì ai nói gì bạn cũng chẳng tin 🤷♂️ Bitwarden ra mắt khoảng 2016 tới giờ là 2024, nghiêm túc thì khá non trẻ, có điều ít nhất, họ vẫn chưa gặp phốt gì
Cá nhân thì như đã nói ở trên, nếu mình tìm hiểu trước các thông tin này, mình sẽ không sử dụng Bitwarden
Tầm vóc của Bitwarden
Đây cũng là thứ ban đầu mình hoàn toàn không quan tâm, mà sau khi dùng 1 thời gian, tìm hiểu, tạm mình thấy Bitwarden khá thiếu nhân lực, thời điểm đầu tiên là dưới danh nghĩa 8bit Solutions, có vẻ công ty này tạo ra, chỉ để đối phó với vấn đề pháp lý, tạm mình võ đoán, tác giả cũng chỉ là 1 end user thông thường, viết 1 ứng dụng, sau đó vứt miễn phí lên github, không hề có ý tưởng kinh doanh gì cả, mà sau sản phẩm phát triển tốt quá, ảnh mới lập thành công ty như hiện tại chăng?
Ban đầu mình đoán Bitwarden nhân lực ít, vì có nhiều tính năng đặc biệt hữu ích, nhưng đề xuất mãi, Bitwarden vẫn không, hoặc chẳng thèm làm
Giao diện hiện tại bạn đang thấy ờ 2024, có vẻ được viết từ thời điểm công ty ra mắt, từ 2016-2018 tới giờ, cá nhân thì mình thấy ổn, không có vấn đề gì về giao diện, có điều thường sau 3-5 năm, đa phần 1 ứng dụng sẽ có cải tổ lớn về về giao diện và tính năng
Mình không nghĩ cơ chế bảo vệ của Bitwarden đủ mạnh, vì khi xem lại các bài viết cũ, thực tế Bitwarden nhái y chang LassPass về các tiêu chuẩn bảo mật, ở hiện tại, có thể bạn gào rú LassPass non, bảo mật kém, bị hack um xùm, thực tế thì tất cả các dịch vụ password manager còn lại, cộng hết vào, mới bằng thị phần LassPass đang sở hữu
Bitwarden trong thời gian phát triển, chưa bị hack, đơn giản là thị phần của họ bé tới nổi người ta chẳng thèm quan tâm, đơn giản thế thôi 🤑 còn tất nhiên, ở hiện tại, thì theo mình là đủ ổn, ít nhất sử dụng thì mình không ngại ở khoản này
Các dịch vụ khác, khi vào trang chủ, bạn sẽ thấy họ giới thiệu các công ty, dịch vụ đang sử dịch vụ của họ, như 1Password còn quảng cáo IBM, Slack, GitLab … dùng dịch vụ của họ luôn mới khiếp
Bitwarden thì không có bất cứ giới thiệu nào, nghiêm túc mà nói, nếu LassPass không phát triển quá mạnh, bị hack đủ kiểu, bị công ty khác thu mua, thay đổi chính sách phát triển, thì các dịch vụ như Bitwarden chắc không có cơ hội mà ngoi lên
Quan trọng như mình có nói ở trên, nhân lực của họ rất ít, gần như chỉ tập trung cập nhập, nâng cấp vào các tính năng thiết yếu, còn lại thường gần như bỏ bê, xem lướt sơ bộ trên Github, thì thấy họ có khoảng hơn 800 các issues chưa giải quyết xong, mà đấy là chỉ các lỗi thông báo lên Github, còn end user thông thường dùng thấy lỗi bỏ qua, hoặc gửi email thì chưa bàn
Các tính năng của họ, nếu bạn thấy đủ dùng, thì không vấn đề gì, nhưng nếu bạn cần 1 tính năng mà bạn đang dùng ở dịch vụ khác, Bitwarden chưa có, thì 1-5 năm nữa, sợ Bitwarden cũng sẽ chẳng có tính năng này
Thời gian bảo trì của Bitwarden, vì lý do nào đó, thường khá dài, cụ thể ngay thời điểm mình đang viết bài này, Bitwarden thông báo bảo trì khoảng 3h để nâng cấp lên phiên bản 2024.1.2, chưa rõ lắm lý do vì sao cần thời gian nhiều tới thế …
Mình tin cơ chế bảo mật của Bitwarden thừa tốt để mật khẩu không thể bị giải mã ở tối thiểu 10 năm tới, nhưng mình đếch có tí lòng tin nào về cái hệ thống server Azure + Cloudflare mà họ đang sử dụng, khi xem lại, khá nhiều user thông báo bị Cloudflare chặn, vì IP trùng các các dãy IP có rủi ro cao, câu trả lời của Bitwarden lại là “bọn teo chịu, mài reset lại router để đổi lại IP đi”
Lý do vì sao tôi thích Bitwarden
Bitwarden là 1 Password Manager rất lạ, mới dùng, bạn sẽ thấy khá chán, mà càng dùng, lại càng phát hiện, hóa ra nó có nhiều ưu điểm như thế
Lý do quan trọng nhất có lẽ là về giá và về gói miễn phí của họ
Gói miễn phí của Bitwarden, không giới hạn ở các thiết bị sử dụng và đầy đủ tất cả tính năng thiết yếu để một người dùng thông thường có thể dùng tốt (dù mình cài riêng Vaultwarden nhưng các tính năng mình sử dụng, cũng chỉ tương tự gói Bitwarden FREE)
Nếu bạn muốn sử dụng các tính năng khác như TOTP, sử dụng khóa cứng YubiKey, Duo thì cần nâng cấp tài khoản lên premium, giá khoảng $10 / 1 năm, khi mình xem bài trên reddit, thấy vài người dùng, họ chỉ sử dụng các tính năng ở gói miễn phí, nhưng thấy Bitwarden tốt quá, họ nâng cấp lên Premium để ủng hộ để dịch vụ tiếp tục phát triển, coi như 1 khoản nhỏ donate
Góc độ cá nhân thì mình vừa thích và vừa không thích chuyện này, 1 sản phẩm nếu miễn phí vì cộng đồng, thì nên miễn phí và nhận donate tài trợ như thông thường, còn đã làm dịch vụ, gói miễn phí chỉ nên để khách hàng trial sản phẩm khoảng 7-14 ngày, hoặc chỉ miễn phí trên 1 thiết bị, để người ta còn lên premium, dịch vụ mới tồn tại và phát triển được
Trong các gói miễn phí, mình chỉ thấy Zoho Vault có đôi chút nổi trội vì hỗ trợ cả TOTP, còn lại hiếm dịch vụ nào, gói miễn phí hào phóng hơn Bitwarden
Các tính năng khác của Bitwarden như quản lý URI, phiên bản client độc lập, custom fields, phím tắt tùy chỉnh …. đều rất dễ sử dụng và quản lý, nếu bạn hoàn toàn không xem hướng dẫn thì mất khoảng vài ngày làm quen là có thể sử dụng thành thạo, còn nếu xem hướng dẫn, thì tầm vài tiếng là ổn 😀
Cơ chế đồng bộ của Bitwarden thực sự ấn tượng, khi 1 thiết bị có cập nhập, tất cả thiết bị khác gần như đồng bộ cùng lúc theo thời gian thực
Ban đầu mình thích Bitwarden, chủ yếu vì miễn phí mà dùng thì rất thích, hiện tại dù đã được 1Password tài trợ license, mình vẫn thấy Bitwarden đáng dùng hơn
Lỗi
Các vấn đề liên quan tới lỗi, thì ở trên mình có nói lướt qua rồi, không đề cập thêm, vì có quá nhiều lý do ngoại cảnh ảnh hưởng tới sử dụng
Mỗi phiên bản khác nhau, mỗi hệ điều hành khác nhau, mỗi thiết bị khác nhau, mỗi cấu hình người dùng khác nhau, mỗi trang web khác nhau, cho kết quả khác nhau …
Kiểu cài vào không thấy chạy, mà reboot lại thiết bị phát chạy ầm ầm, thì nên coi đó là sản phẩm bị lỗi hay do OS bị lỗi?
Sử dụng 1 thời gian, bạn sẽ tự quen và thích nghi dần với từng sản phẩm cụ thể
Tất cả các password manager đang có ngoài thị trường, đều cực kì nhiều lỗi, thích bới ra để nói thì vào forum support của mỗi hãng là thấy bạt ngàn thôi 🙏
Kết luận
Bài này chủ yếu nói nhảm là chính, mọi người đọc cho vui mồm là được, vài thông tin mình cũng chỉ phỏng đoán, vài thông tin thì tự phịa 👀 nếu bạn thấy ý nào sai quá, thì có thể comment bên dưới, mình sẽ kiểm tra và sửa lại cho phù hợp 👨🚀
Bạn nào thích có thể cài Bitwarden, trải nghiệm ít hôm xem thế nào, hài lòng thì có thể nâng lên gói premium, vừa để có thêm tính năng, vừa để ủng hộ dịch vụ, không thích thì đơn giản là xóa tài khoản là được, nó sẽ xóa sạch sẽ mọi dữ liệu cũ của bạn đi, rất đơn giản