Hoàng Bảo

Cùng qua điểm, mình giờ đặy mật khẩu theo nguyên tắc riêng, nhìn tên web là nhớ, không cần lưu. 2FA thì cứ dùng số điện thoại

Tự nhớ là Free luôn bác nhé 😇

Chưa nghe bao giờ, ké 😇

Bác lưu trực tiếp trong code -> nhìn phát thấy luôn Bác lưu trong 1 thằng khác -> cần phải biết nó là thằng nào giữa 1 rừng app quản lý mật khẩu? Mật khẩu để mở nó là gì? Để mà đi qua chừng 5 7 bước như này thì ko khéo cả bác cũng lẫn lộn chớ nói gì người ngoài đoán 🤣 còn cái mật khẩu cuối cùng kia thì bác tự nhớ đi, là cụt đường thôi

nếu bỏ qua yếu tố vulnerabilities mà chỉ xét niềm tin giữa con người với nhau, bác làm em nhớ tới cơ chế để mở khóa 1 Secret của Hashi Corp Vault em xem sơ qua thì: khi lưu 1 Secret, nó sẽ được mã hóa và tạo ra 3 (hoặc tùy chọn) key khác nhau và giao cho 3 người khác nhau. Khi có ai đó muốn xem được giá trị thì cả 3 người này đều phải cung cấp key của mình nó mới giải mã được cái Secret đó. e nghĩ việc tạo ra hệ thống để quản lý secret là chuyên môn của các công ty bảo mật, nếu mình không đủ sức xây dựng lên đc hệ thống riêng mà tốt hơn của họ thì không có cách nào khác là sử dụng dịch vụ bên họ và có chính sách bảo mật đi kèm. và người giữ key nên là những người chắc chắn phải chịu trách nhiệm nếu sự cố xảy ra, để họ không có lý do gì để leak key ra ngoài.

Lưu trữ key, iv, salt rất dễ, sau khi mã hóa xong ta được mảng bytes là ciphertext chẳng hạn, iv, key, salt cũng là mảng bytes, dùng 1 thuật toán bí mật chỉ có bạn biết để merge iv, key (hoặc salt) vào ciphertext thành mảng bytes lớn hơn, combined chẳng hạn, sau này khi cần giải mã thì dùng thuật toán ngược lại để tách combined ra để lấy ciphertext, iv, key (hoặc salt).