Làm sao để mật khẩu của bạn vẫn còn lại sau khi bạn ra đi

Vì sao mật khẩu là phần thầm lặng của một di sản số

Khi nghĩ về những gì để lại, hầu hết chúng ta hình dung những lá thư, những bức ảnh, có thể là một bản di chúc tại văn phòng công chứng. Chúng ta hiếm khi hình dung hai mươi hay ba mươi tài khoản đăng nhập đang lặng lẽ vận hành cả cuộc sống trưởng thành của mình: tài khoản email nhận mọi yêu cầu đặt lại mật khẩu, kho lưu trữ đám mây giữ hai mươi năm hình ảnh, ứng dụng ngân hàng, cổng thuế, hồ sơ y tế, các gói thuê bao.

Nếu người bạn yêu thương không thể vào được email của bạn, họ gần như không thể vào được bất kỳ thứ gì khác. Tài khoản duy nhất ấy là chìa khóa chính mở ra một nửa cuộc sống hiện đại, và nó thường được bảo vệ bằng một mật khẩu không ai khác biết cùng một yếu tố thứ hai trên một chiếc điện thoại không ai khác có thể mở khóa.

Bước 1. Hãy dùng một trình quản lý mật khẩu, và chỉ một thôi

Nếu bạn chưa dùng trình quản lý mật khẩu, hãy ngừng đọc và cài đặt một cái. 1Password, Bitwarden, Proton Pass và Dashlane đều là những lựa chọn hợp lý. Chi tiết không quan trọng bằng quyết định: bạn cần một kho duy nhất, được mã hóa, chứa mọi thứ, với một mật khẩu chính mà bạn không bao giờ tái sử dụng ở nơi khác.

Điều kỳ diệu không nằm ở phần mềm. Điều kỳ diệu là từ giờ trở đi, việc trao lại một mật khẩu chính sẽ cho đúng người quyền truy cập vào mọi thứ trong một danh sách rõ ràng, dễ xem.

Bước 2. Viết ra những điều bạn muốn họ biết

Một kho mật khẩu không có ngữ cảnh sẽ rất choáng ngợp. Người thừa kế của bạn sẽ mở nó ra, thấy bốn trăm mục và không biết cái nào là quan trọng. Vì vậy hãy viết một tài liệu ngắn, một trang là đủ, trả lời những câu hỏi sau:

• Tài khoản email nào là chính (tài khoản nhận các yêu cầu đặt lại mật khẩu)
• Tài khoản nào họ nên đóng, tài khoản nào nên giữ chạy, tài khoản nào nên chuyển sang chế độ tưởng niệm
• Các khoản thanh toán định kỳ nằm ở đâu, để họ có thể dừng những khoản không còn ý nghĩa
• Bất kỳ tài khoản nào chứa giá trị thực (không chỉ là tiền, mà còn là kỷ niệm): ảnh trên đám mây, bản nháp, thư mục lưu trữ

Bước 3. Xử lý xác thực hai yếu tố từ sớm

2FA của hầu hết mọi người sống trên một chiếc điện thoại duy nhất, được bảo vệ bởi một khuôn mặt hoặc dấu vân tay duy nhất. Nếu chiếc điện thoại đó bị khóa vĩnh viễn, mật khẩu chính thôi là chưa đủ. Bạn phải hoặc:

• Lưu các mã khôi phục 2FA ngay trong trình quản lý mật khẩu (hầu hết dịch vụ cấp cho bạn 8 đến 10 mã sử dụng một lần khi bạn bật 2FA; hãy in ra và lưu vào kho của bạn)
• Hoặc dùng một trình xác thực đồng bộ với trình quản lý mật khẩu (1Password, Bitwarden và Proton Pass đều có thể tự tạo mã TOTP)

Trường hợp tệ nhất không phải là một mật khẩu bị quên. Trường hợp tệ nhất là một trình quản lý mật khẩu đã được mở khóa thành công, và mọi tài khoản quan trọng bên trong lại đòi một mã sáu chữ số từ một chiếc điện thoại không ai có thể chạm tới.

Bước 4. Trao lại mật khẩu chính một cách an toàn

Đây là phần khó. Bạn không thể viết mật khẩu chính lên một mảnh giấy nhét trong ngăn kéo, vì nếu ai đó tìm thấy quá sớm, toàn bộ kho của bạn sẽ bị xâm phạm. Bạn không thể đưa nó vào di chúc, vì di chúc trở nên công khai khi qua thủ tục thừa kế, và thủ tục đó có thể kéo dài hàng tháng. Bạn không thể tự gửi email cho mình, vì email chính là thứ bạn đang cố mở khóa.

Điều hiệu quả là một phương thức trao gửi có hẹn giờ, có rào chắn xác minh và được mã hóa AES-256-GCM: nội dung của bạn được mã hóa trước khi chạm vào cơ sở dữ liệu của chúng tôi, lưu trữ ở dạng không thể đọc được trên máy chủ của chúng tôi, và chỉ được giải phóng sau khi hệ thống xác nhận qua nhiều tín hiệu độc lập rằng bạn không còn khả năng truy cập nữa.

Đây chính xác là điều Final Capsule làm. Bạn ghi mật khẩu chính của mình vào một capsule (ở dạng rõ, vì mã hóa mới là điều quan trọng), chỉ định một hoặc hai Confidant đáng tin cùng một SafeGuard (một người có nhiệm vụ duy nhất là xác nhận, trong tình huống xấu nhất, rằng việc trao gửi nên diễn ra), và hệ thống lo phần còn lại. Capsule được mã hóa đầu cuối; nó chỉ được giải phóng cho người thừa kế bạn chỉ định khi xác minh thành công, không bao giờ trước đó, không bao giờ cho ai khác.

Trường hợp đặc biệt: ví cứng và cụm từ khôi phục

Ngày càng có nhiều độc giả của hướng dẫn này có một loại 'mật khẩu' không nằm trong bất kỳ kho nào: cụm từ hạt giống của một ví cứng, gồm 12 hoặc 24 từ, khi ghép lại sẽ tái tạo toàn bộ ví tiền điện tử từ đầu. Những từ này không được lưu bởi bất kỳ công ty nào. Chúng chỉ tồn tại trên mảnh giấy hoặc tấm kim loại bạn đã viết. Nếu gia đình bạn không biết nó ở đâu, ví coi như bị thiêu rụi.

Hầu hết các hướng dẫn bảo bạn 'giấu tờ giấy ở nơi an toàn nào đó'. Trên thực tế, đó chính là chỗ vấn đề bắt đầu: giấy có thể bị đánh cắp, cháy trong hỏa hoạn, hỏng vì lụt, hoặc đơn giản là bị nhầm người tìm thấy quá sớm. Một tấm thép sống sót qua lửa nhưng không qua được một vị khách tò mò. Việc tách các từ ra nhiều nơi nghe có vẻ thông minh, cho đến khi người thừa kế của bạn không hề biết rằng còn có một mảnh thứ hai tồn tại.

Phương pháp gọn gàng nhất hiện nay là đưa chính cụm từ ấy vào một capsule mã hóa AES-256-GCM. 12 hoặc 24 từ được nhập vào một lần, mã hóa trước khi lưu, giữ ở dạng không đọc được trên máy chủ của chúng tôi, và chỉ giải phóng cho người thừa kế bạn đã chỉ định, chỉ sau khi quá trình xác minh nhiều giai đoạn xác nhận bạn không còn khả năng truy cập ví. Không có giấy để mất. Không có ngăn kéo để quên. Không có người thân nào lục lọi nhà bạn trước thời điểm thích hợp.

• Ba nguyên tắc cho một thiết lập an toàn:
• Đặt chính các từ vào trong capsule, ở dạng rõ. Gõ trực tiếp 12 hoặc 24 từ. Mã hóa mới là thứ bảo vệ chúng, không phải sự che đậy, không phải gợi ý nửa vời. Một gợi ý nửa vời vô dụng với người thừa kế của bạn và cũng không khiến công việc của kẻ trộm khó hơn chút nào.
• Viết hướng dẫn bằng ngôn ngữ đơn giản bên cạnh các từ. 'Mở ứng dụng Ledger Live, cắm thiết bị có nhãn Main BTC, chọn Restore from recovery phrase, và nhập 24 từ bên dưới từng từ một' có giá trị hơn bất kỳ sơ đồ nào. Một người thừa kế không rành công nghệ cần những câu văn, không phải một bài hướng dẫn kỹ thuật.
• Giữ thiết bị và capsule trên hai đường tin cậy riêng biệt. Ví cứng sống trong thế giới vật lý (một ngăn kéo, một két sắt). Cụm từ sống bên trong một capsule mã hóa, gửi tới người thừa kế. Một mình thứ nào cũng không đủ để chuyển tiền, nhưng cùng nhau, trong tay đúng người, việc khôi phục chỉ mất mười phút.

Nếu bạn nắm giữ một lượng tiền điện tử đáng kể, hãy cân nhắc tách cụm từ thành các phần Shamir hoặc dùng thiết lập multisig, nhưng chỉ khi người thừa kế của bạn thực sự có thể tái tạo lại được. Một kế hoạch khôi phục quá phức tạp với một người thừa kế không rành công nghệ thì không còn là kế hoạch khôi phục. Với hầu hết người nắm giữ, một capsule mã hóa duy nhất chứa toàn bộ cụm từ kèm hướng dẫn rõ ràng là độ tin cậy cao nhất bạn có thể có được.

Một danh sách kiểm tra ngắn bạn có thể sao chép ngay hôm nay

1. Cài đặt một trình quản lý mật khẩu nếu bạn chưa có
2. Rà soát các tài khoản, xóa những cái bạn không dùng
3. Lưu các mã khôi phục 2FA bên trong kho
4. Viết một bản đồ một trang giải thích tài khoản nào quan trọng và vì sao
5. Với bất kỳ cụm từ hạt giống hay tài liệu khôi phục nào: gõ thẳng các từ vào một capsule mã hóa đầu cuối kèm hướng dẫn bằng ngôn ngữ đơn giản. Không giấy, không ngăn kéo, không bản đồ phải vẽ
6. Đặt mật khẩu chính (và bất kỳ cụm từ hạt giống nào) vào một capsule gửi đến đúng người thừa kế
7. Cho ít nhất một Confidant biết capsule đó tồn tại