Khi bạn tạo tài khoản trong một dịch vụ nhắn tin riêng tư, bạn thường chọn một mật khẩu. Cho đến lúc đó, mọi thứ đều bình thường. Điều không bình thường là những gì xảy ra bên dưới.
Trong hầu hết các dịch vụ, mật khẩu là chìa khóa cho mọi thứ. Nếu bạn mất nó, bạn mất quyền truy cập. Nếu nó bị đánh cắp, bạn mất tất cả. Danh tính, tin nhắn, tệp của bạn. Mọi thứ phụ thuộc vào một thứ mà bạn đã viết bằng bàn phím vào một buổi chiều thứ Ba nào đó.
24 từ đó hoạt động theo cách khác. Nó không phải là một mật khẩu bạn chọn. Nó là một chiếc chìa khóa được hệ thống tạo ra một cách ngẫu nhiên, với 256 bit entropy thực. Để bạn dễ hình dung: việc phá vỡ chiếc chìa khóa đó thông qua tấn công brute-force sẽ cần nhiều năng lượng hơn mức mặt trời sẽ tạo ra trong suốt cuộc đời của nó. Đó không phải là một phép ẩn dụ. Đó là một tính toán toán học.
Hai chiếc chìa khóa cho hai cánh cửa
Mật khẩu kết nối bạn với dịch vụ. Đó là chìa khóa cửa ra vào. Nếu bạn quên nó, bạn có thể vào qua cửa sau bằng 24 từ của mình. Nếu mật khẩu bị đánh cắp, bạn có thể thay đổi nó trong tích tắc mà không làm thay đổi bất kỳ điều gì khác.
24 từ là một thứ khác. Đó là đại diện cho khóa chính của bạn. Chiếc chìa khóa mà từ đó danh tính mật mã của bạn được tạo ra, chiếc chìa khóa bảo vệ dữ liệu của bạn, chiếc chìa khóa định danh bạn với các liên hệ của mình. Nếu bạn mất cả 24 từ và mật khẩu đó, dữ liệu của bạn sẽ không thể khôi phục được. Giống như trong Bitcoin. Và điều đó, dù nghe có vẻ khắc nghiệt, lại chính xác là những gì bạn muốn ở một hệ thống an toàn.
Vì phương án thay thế là có ai đó có thể khôi phục dữ liệu cho bạn. Và nếu ai đó có thể khôi phục dữ liệu của bạn, họ cũng có thể truy cập chúng.
Giấy là quan trọng
Hãy chép 24 từ của bạn ra một tờ giấy. Một tờ giấy thật, loại truyền thống. Cất nó ở một nơi an toàn. Đừng để trong điện thoại, đừng để trong ghi chú kỹ thuật số, đừng gửi email cho chính mình. Một tờ giấy trong ngăn kéo, trong két sắt, hoặc nơi bạn cất giữ những thứ quan trọng.
Nó có vẻ lỗi thời. Nhưng một tờ giấy không thể bị hack từ xa, không thể bị đánh chặn qua internet, và không cần pin. Đôi khi công nghệ cũ nhất lại là công nghệ an toàn nhất.
Dành cho những ai muốn tìm hiểu sâu hơn
24 từ này tuân theo tiêu chuẩn BIP39, tiêu chuẩn được sử dụng bởi các ví Bitcoin. Chúng đại diện cho 256 bit entropy được tạo ra bởi CSPRNG của hệ điều hành (crypto.getRandomValues). Từ 256 bit đó, các khóa danh tính được tạo ra (Ed25519 cho chữ ký + X25519 cho trao đổi) thông qua HKDF-SHA256 với phân tách miền (domain separation). Mật khẩu bao bọc khóa này bằng Argon2id + AES-256-GCM trước khi gửi đến máy chủ. Máy chủ lưu trữ khối dữ liệu mã hóa đó nhưng không thể đọc được nó.