Như bạn đã biết, 24 từ dự phòng được dùng để giữ toàn bộ tài sản điện tử của bạn, trong trường hợp ví lạnh bị mất hoặc bị hỏng thì chỉ cần nhập lại 24 từ này lên ví lạnh mới là khôi phục được toàn bộ tài sản. Tuy nhiên, nếu ai đó có được 24 từ này cũng đồng nghĩa toàn bộ tài sản của bạn có thể bị người khác lấy hết ngay lập tức.
Do quan trọng như vậy nên Digibit.vn luôn nhắn nhủ khách hàng của mình phải giữ an toàn cụm 24 từ này trong két sắt (tốt nhất lưu trữ trên bảng thép SafePal Cypher đề phòng hỏa hoạn, mờ chữ hoặc bị ăn mòn). Tuyệt đối không lưu online, chụp ảnh, lưu lại trong email, máy tính hoặc bất kỳ thiết bị nào có kết nối Internet.
Ngoài ra, ví lạnh Ledger cũng cung cấp một tính năng nâng cao có tên Passphrase, dùng để thêm một từ khóa số 25 vào cụm 24 từ dự phòng để tạo ra tài khoản hoàn toàn khác so với khi sử dụng 24 từ. Điều này đồng nghĩa với việc dù bị lộ 24 từ bạn cũng không phải lo lắng vì kẻ gian không thể nào tiếp cận được tài khoản của bạn nếu không biết được từ số 25.
Lợi ích rõ ràng đó là chúng ta không phải lo về việc bị lộ 24 từ nữa, tuy nhiên vấn đề phát sinh là bạn sẽ phải chủ động nhớ từ số 25. Bạn hãy tưởng tượng 10 năm sau, mở ví lạnh lên mà bị hỏng, 24 từ dự phòng còn mà quên từ số 25 thì đồng nghĩa bạn sẽ không thể lấy lại được tài sản của mình.
Lưu ý: từ khóa số 25 do bạn tự chọn, không phải và không liên quan đến mã PIN gốc 4 – 8 số bạn dùng để mở khóa ví lạnh. Mỗi từ số 25 khác nhau sẽ kết nối với tài khoản khác nhau hoàn toàn.
Bạn có thể sử dụng không giới hạn từ số 25 để kết hợp với cụm 24 từ, tuy nhiên tại một thời điểm ví lạnh chỉ dùng được 1 từ mà thôi. Mỗi từ số 25 sẽ sinh ra những tài khoản mới với địa chỉ ví hoàn toàn mới.
Mẹo bảo mật
Cụm từ khôi phục (Recovery phrase) và từ bảo mật số 25 (Passphrase) cho phép bạn thiết lập nhiều cấp độ bảo mật khác nhau. Bạn có thể sử dụng chúng để xây dựng chiến lược bảo mật phù hợp với hoàn cảnh cá nhân của mình. Xin đừng làm mọi thứ trở nên quá phức tạp; thiết lập bảo mật tốt nhất là thiết lập mà bạn hoàn toàn nắm vững và có thể thực hiện một cách tự tin.
Cách hoạt động của Passphrase
- Passphrase khác với cụm từ khôi phục 24 từ (Recovery phrase). Nó đóng vai trò như một mật khẩu bổ sung, khi kết hợp với Recovery phrase sẽ mở ra một bộ tài khoản bí mật hoàn toàn mới.
- Nếu Recovery phrase bị lộ, Passphrase sẽ là lớp bảo mật bổ sung giúp bảo vệ tài sản.
- Mỗi Passphrase khác nhau sẽ mở ra một tập hợp tài khoản bí mật riêng biệt. Bạn có thể tạo bao nhiêu Passphrase tùy thích.
- Passphrase không bao giờ được lưu trên thiết bị. Nó chỉ được sử dụng để tạo hạt giống phụ (secodary seed) nhằm bảo vệ tài khoản bí mật:
- Nếu gắn Passphrase với một mã PIN phụ, hạt giống phụ và khóa riêng (private key) sẽ được bảo vệ trong chip của thiết bị.
- Nếu dùng Passphrase tạm thời (temporary), tất cả dữ liệu liên quan (Passphrase, tài khoản bí mật, khóa riêng) sẽ bị xóa sau mỗi phiên. Bạn cần nhập lại Passphrase mỗi lần muốn truy cập.
- Sau khi thiết lập, không thể xác minh Passphrase trên thiết bị. Do đó, bạn cần sao lưu bản vật lý của Passphrase. Ứng dụng Recovery Check cũng không thể kiểm tra Passphrase.
Ledger Recover có truy cập Passphrase không?
Không. Ledger Recover (dịch vụ sao lưu seed tùy chọn của Ledger & Coincover) không bao giờ truy cập Passphrase hoặc tài khoản bí mật của bạn, dù bạn dùng Passphrase tạm thời hay gắn với PIN.
Chuẩn bị trước khi bắt đầu
- Đảm bảo thiết bị Ledger của bạn chạy phiên bản OS (firmware) mới nhất. Hướng dẫn cập nhật OS cho ví lạnh Ledger Nano S Plus, Ledger Nano X, Ledger Flex và Legder Stax.
- Chuẩn bị sẵn Recovery Phrase để phòng sự cố.
- Đọc kỹ toàn bộ hướng dẫn trước khi thao tác.
Cách sử dụng từ khóa số 25 trên ví Ledger
Có 2 lựa chọn để sử dụng từ khóa số 25 – passphrase trên ví Ledger, đầu tiên là nhập trên ví lạnh mỗi khi cần, tính năng này có tên “Set temporary passphrase“. Khi tắt ví lạnh, khởi động lại thì cụm từ số 25 cũng sẽ mất đi và bạn sẽ chỉ truy cập được vào những tài khoản thường mà thôi. Muốn xem tài khoản ẩn lại phải nhập lại từ khóa số 25.
Lựa chọn thứ 2 là liên kết từ số 25 với một mã PIN bảo mật thứ 2 do bạn tự chọn, khác với mã PIN gốc chỉ truy cập vào tài khoản thường không có passphrase. Khi kích hoạt, bạn sẽ cần nhập từ số 25 trên ví lạnh, sau đó gắn với mã PIN bảo mật cũng do bạn tự chọn. Sau khi hoàn thành, mỗi khi bạn mở vi lạnh lên, có thể chọn nhập mã PIN gốc hoặc mã PIN bảo mật. Nếu nhập mã PIN bảo mật thì tài khoản ẩn được bảo vệ bởi từ số 25 mới xuất hiện.
Ví dụ:
- Mã PIN gốc: 1653 → Xem tài khoản thường
- Mã PIN bảo mật: 8530 → Xem tài khoản ẩn
Lựa chọn thứ 2 tiện dụng hơn do chỉ dùng mã PIN là vào được tài khoản ẩn, tuy nhiên bạn phải chịu rủi ro có thể quên mất từ khóa số 25, nên cần suy nghĩ phương án có thể xem lại nếu bị quên.
Hướng dẫn cài đặt từ khóa bảo mật số 25
Video hướng dẫn:
Mở ví lạnh lên, nhập mã PIN rồi nhấn và giữ 2 nút trên ví để vào phần Control Center. Chuyển đến menu Settings → Security
Chuyển đến menu Passphrase và chọn một trong 2 lựa chọn:
- Attach to PIN: Tạo mã PIN bảo mật để mở khóa tài khoản ẩn được bảo vệ bởi từ khóa số 25 – passphrase.
- Set temporary: Nhập từ khóa số 25 để truy cập tạm thời vào tài khoản ẩn.
Lựa chọn 1 – Attach to PIN code
Việc đính kèm một cụm mật khẩu (passphrase) vào một mã PIN mới sẽ tạo ra một bộ tài khoản bí mật mới trên thiết bị Ledger của bạn, dựa trên cụm mật khẩu mà bạn đã chọn. Bạn có thể truy cập các tài khoản được bảo vệ bởi cụm mật khẩu này bằng cách nhập một mã PIN phụ. Chỉ có một cụm mật khẩu duy nhất có thể được đính kèm vào một mã PIN. Nếu bạn thêm một cụm mật khẩu khác vào mã PIN, bạn sẽ ghi đè lên mã PIN phụ và cụm mật khẩu hiện tại. Các khóa riêng tư của các tài khoản bí mật của bạn sẽ được lưu trữ trong thiết bị Ledger cho đến khi bạn ghi đè cụm mật khẩu của mình bằng một cụm mật khẩu khác hoặc cho đến khi thiết bị của bạn được đặt lại (reset).
Hãy cất giữ một bản sao lưu vật lý của cụm mật khẩu bí mật ở một nơi an toàn. Thiết bị không thể hiển thị nó sau khi bạn đã thiết lập.
Quy trình:
- Sau khi chọn Attach to PIN ở bước trên, nhấn 2 nút để chọn Set secret passphrase.
- Chọn mã PIN bảo mật và xác nhận lại một lần nữa, tiếp theo bạn sẽ nhập từ khóa bảo mật số 25 (tối đa 100 ký tự) sẽ gắn với mã PIN này.
- Nhập mã PIN gốc để xác nhận thao tác.
- Khởi động lại ví lạnh và nhập mã PIN bảo mật để truy cập được vào tài khoản ẩn.
Lựa chọn 2 – Set temporary passphrase
Sử dụng một cụm mật khẩu tạm thời sẽ cho phép bạn truy cập vào một bộ tài khoản mới trên thiết bị Ledger của bạn trong suốt phiên làm việc đó. Khi khởi động lại ví lạnh từ khóa bảo mật sẽ bị xóa, tài khoản thường sẽ xuất hiện.
Hãy chép lại cụm mật khẩu bí mật này và giấy để sử dụng vì thiết bị sẽ không thể hiển thị nó sau khi bạn đã thiết lập ban đầu.
Quy trình:
- Sau khi chọn Set temporary ở bước trên, nhấn 2 nút để chọn Set secret passphrase.
- Nhập từ khóa bảo mật số 25 (tối đa 100 ký tự) muốn dùng.
- Nhập mã PIN gốc để xác nhận thao tác.
- Ví lạnh bây giờ sẽ chuyển sang hiển thị các tài khoản ẩn được bảo vệ bởi từ khóa bảo mật số 25 này. Khởi động ví lạnh sẽ chuyển sang sử dụng tài khoản thường.
- Một số vấn đề thường gặp
Khôi phục tài khoản có Passphrase
Bạn có thể khôi phục các tài khoản này trên một thiết bị mới hoặc sau khi reset thiết bị bằng cách nhập lại Recovery phrase và Passphrase theo hướng dẫn bài viết này.
Đổi PIN phụ (Passphrase PIN)
Hướng dẫn thay đổi mã PIN đã gắn với từ khóa bảo mật số 25, xem video.
Thực hành bảo mật với Passphrase
Thêm tài khoản vào Ledger Live
Khi bạn thêm một tài khoản, khóa công khai mở rộng (xpub) của nó sẽ được lưu trữ trong thư mục dữ liệu người dùng của Ledger Live. Khóa này được mã hóa bằng mật khẩu của bạn nếu bạn đã thiết lập khóa bằng mật khẩu. Để đảm bảo Ledger Live không lưu trữ thông tin về các tài khoản được bảo vệ bằng cụm mật khẩu, bạn chỉ cần xóa các tài khoản này sau khi đã sử dụng xong trên Ledger Live. Một số người dùng đã yêu cầu tính năng tự động quên các tài khoản này.
Tính năng phủ nhận hợp lý (Plausible deniability)
Để tự bảo vệ mình trong trường hợp bị kẻ xấu đe dọa mở ví lạnh cướp tiền, hãy đảm bảo rằng mã PIN chính của bạn chỉ mở khóa một phần nhỏ tài sản tiền điện tử của bạn. Sau đó, hãy thiết lập một cụm mật khẩu gắn với một mã PIN phụ và lưu trữ một lượng lớn tài sản tiền điện tử hơn trên các tài khoản được bảo vệ bằng cụm mật khẩu này. Nếu bạn bị ép buộc phải mở khóa thiết bị Ledger, bạn có thể đưa mã PIN chính cho kẻ tấn công, trong khi vẫn giấu kín mã PIN mở khóa các tài khoản được bảo vệ bằng cụm mật khẩu của bạn.
Bảo vệ cụm từ khôi phục (Recovery phrase)
Một cách bảo mật tốt là giữ nhiều bản sao của Tờ khôi phục (Recovery sheet) và cất chúng ở các địa điểm địa lý khác nhau. Để giảm thiểu rủi ro mất tài sản tiền điện tử nếu một trong các bản sao cụm từ khôi phục của bạn bị lộ, bạn có thể thiết lập một cụm mật khẩu. Nếu làm như vậy, hãy đảm bảo lưu trữ các bản sao giấy của cụm mật khẩu ở các địa điểm địa lý khác với nơi bạn cất giữ bản sao lưu cụm từ khôi phục.
Xoá Passphrase & Mã PIN
Nếu bạn nhập sai mã PIN ba lần liên tiếp, bất kể đó là mã PIN chính hay mã PIN kèm passphrase, thiết bị Ledger của bạn sẽ bị xoá (wipe), đồng thời xoá luôn Cụm từ khôi phục 24 từ (Secret Recovery Phrase) và passphrase.
Tính năng bảo mật này giúp bảo vệ thiết bị và đảm bảo rằng passphrase, mã PIN bổ sung cũng như toàn bộ thông tin nhạy cảm trên thiết bị Ledger luôn được an toàn, tránh bị truy cập trái phép.
