📖 Arpass — Hướng dẫn sử dụng
→ Mở vault

Hướng dẫn sử dụng

Cách sử dụng Arpass, theo tình huống.

Mục lục

📚 Learn more: How to choose a YubiKey or passkey is covered in our guide articles.

🆕 Lần đầu sử dụng

Quy trình ban đầu để tạo vault an toàn của bạn.

Truy cập arpass.io. Màn hình "Tạo ổ bảo mật" xuất hiện.
Nhập mật khẩu chính hai lần. Đây là mật khẩu đăng nhập Arpass của bạn — đừng bao giờ chia sẻ và hãy ghi nhớ nó.
Nhấp "Tạo ổ bảo mật". Sau đó đăng ký Passkey (xác thực thiết bị) bằng Touch ID / Face ID.
Mã khôi phục chỉ hiển thị một lần (định dạng: RS1-XXXX-XXXX-…). Lưu ở nơi an toàn.
Nhấp "Tôi đã hiểu" để vào ổ bảo mật.
🔑 Bảo vệ khóa (Passkey) và Mã khôi phục của bạn
Cách dễ nhất để mở ổ bảo mật trên thiết bị mới là dùng passkey đã đồng bộ (iCloud Keychain / Google Password Manager) hoặc khóa bảo mật như YubiKey. Khi có một trong số đó, thiết bị mới mở chỉ với "mật khẩu chính + passkey" (không cần Mã khôi phục).

🔓 Sử dụng hàng ngày

Lấy mật khẩu

Truy cập arpass.io → màn hình khóa
Nhập mật khẩu chính → xác thực bằng Touch ID / Face ID
Danh sách mật khẩu xuất hiện. Dùng ô tìm kiếm để lọc theo tên trang web.
Nhấp vào một mục → xem chi tiết. Dùng "👁 Hiển thị" để xem mật khẩu, "📋 Sao chép" để chép vào bộ nhớ tạm.

Lưu mật khẩu mới

Nhấp "+ Thêm mới"
Nhập tên trang web, URL, tên đăng nhập và mật khẩu. Dùng "🎲 Tạo ngẫu nhiên" để tạo mật khẩu mạnh.
Nhấp "Lưu" để ghi lên Arweave (tiêu tốn 1 credit)

📄 Lưu trữ tệp

Lưu PDF, ảnh và mọi tệp được mã hóa vĩnh viễn. Lý tưởng cho chứng từ kế toán (biên lai / hóa đơn / hợp đồng / báo cáo y tế). Tuân thủ yêu cầu tìm kiếm của luật sổ sách điện tử Nhật Bản (ngày / số tiền / đối tác).

Thêm tệp

Mở tab «📄 Tệp» ở đầu ứng dụng
Bấm «+ Thêm tệp»
Chọn tệp (PDF / ảnh / văn bản / Word / Excel v.v., tối đa 30 MB)
Hiển thị xem trước. Với ảnh lớn, dùng «🗜️ Nén» để thu nhỏ (~200-500 KB)
Nhập Đối tác hoặc Tiêu đề (cần ít nhất một); ngày / số tiền / tiền tệ là tùy chọn
Bấm «Lưu» để mã hóa + ghi lên Arweave

💡 Tệp dưới 100 KiB giá $0 (chuyển từ Free Tier của Turbo). Ảnh 1 MB giá ~$0.13. Nếu chi phí thực tế thấp hơn ước tính, phần chênh lệch hoàn ngay.

Tự động điền OCR (tùy chọn)

Tự động trích xuất ngày / số tiền / đối tác / mô tả / thẻ từ ảnh biên lai hoặc hóa đơn / PDF. Yêu cầu OpenAI API key của riêng bạn (ảnh gửi trực tiếp đến OpenAI; máy chủ Arpass không tham gia).

Lấy API key tại platform.openai.com/api-keys
Trong Cài đặt Arpass (⚙️) → phần dưới cùng "📷 OCR Hóa đơn (tùy chọn)" → nhập key → "Lưu & Xác minh"
Khi bạn chọn ảnh / PDF, nút "📷 Tự động điền từ ảnh (OpenAI)" sẽ xuất hiện
Nhấn để trích xuất; ~\$0.005 mỗi ảnh sẽ được tính vào tài khoản OpenAI của bạn
Các trường trống sẽ được điền tự động (luôn ghi đè — hãy kiểm tra và chỉnh sửa nếu cần)

Tìm kiếm tệp

Hộp tìm kiếm trên cùng: lọc theo ngày / số tiền / đối tác / tiêu đề — tức thì
Bấm «🎛️» để mở bộ lọc nâng cao: phạm vi ngày, phạm vi số tiền, đối tác/tiêu đề, loại, thẻ — kết hợp AND
Tìm kiếm đối tác tiếng Nhật dùng chuẩn hóa NFKC + hiragana⇄katakana («セブン» khớp với «せぶん»)

Sửa và xóa tệp

Bấm hàng trong danh sách → modal chi tiết
Nút «✏️ Edit» để sửa (lý do bắt buộc, ghi append-only)
Nút «🗑️ Delete» để xóa logic (lý do bắt buộc, dữ liệu gốc và Arweave được giữ)
Nút «📜 History» hiển thị nhật ký kiểm toán (tạo/sửa/xóa tất cả đều thấy)

📋 Lịch sử sửa / xóa là append-only, do đó có thể dùng làm bằng chứng cho kiểm toán thuế (tuân thủ luật sổ sách điện tử). Không thể xóa vật lý, nhưng đây cũng là ưu thế pháp lý "dấu vết được giữ".

Tải dưới dạng CSV

Bấm nút «📥 CSV» trên header tab Tệp
Tất cả metadata được tải dưới dạng arpass-files-YYYY-MM-DD.csv
UTF-8 BOM đảm bảo tiếng Nhật không bị lỗi trong Excel / Numbers / Google Sheets
Cột: id / type / date / counterparty / title / amount / currency / description / tags / createdAt / version / txId / sha256 / arweave_url

📱 Đổi máy (mở cùng vault trên thiết bị mới)

Khi bạn mua iPhone hoặc Mac mới và muốn mở ổ bảo mật hiện có. Nếu bạn có passkey đã đồng bộ hoặc khóa bảo mật (YubiKey), bạn có thể mở nó chỉ bằng mật khẩu chính và passkey — không cần Recovery.

Mở arpass.io trên thiết bị mới → nhấp "📲 Khôi phục két được tạo trên thiết bị khác"
Nếu bạn có passkey đã đồng bộ (iCloud Keychain / Google Password Manager) hoặc YubiKey: nhấp "🔑 Khôi phục bằng passkey + Mật khẩu chính (không cần Recovery)", nhập mật khẩu chính → xác thực bằng passkey. Không cần nhập Recovery.
Nếu không có passkey trong tay: nhập mật khẩu chính + Mã khôi phục từ giấy (📷 quét QR cũng được).
Khi mở khóa thành công, một Passkey riêng sẽ tự động được đăng ký trên thiết bị mới này.
Từ nay, thiết bị này mở khóa chỉ bằng "mật khẩu chính + Touch ID / Face ID".

🔑 Quên mật khẩu chính

Bạn quên mật khẩu đã ghi nhớ, hoặc có thể đã đổi nhầm.

Trên màn hình khóa, nhấp "🔑 Quên mật khẩu chính → Đặt lại bằng Passkey + Mã khôi phục"
Nhập Mã khôi phục từ giấy (📷 quét QR cũng được)
Xác thực qua Passkey bằng Touch ID / Face ID
Hộp thoại "Đặt mật khẩu chính mới" xuất hiện → nhập mật khẩu mới
Ổ bảo mật mở ra + mật khẩu mới được tự động áp dụng cho từng wrap
💡 Đặt hoặc thay đổi mật khẩu chính sẽ tạo một Passkey mới trên thiết bị này (Passkey cũ sẽ không còn mở khóa được nữa, bạn có thể xóa nó trong "Quản lý thiết bị đã đăng ký" nếu không cần). Nếu bạn dùng passkey đồng bộ, trên các thiết bị khác lần sau bạn chỉ cần chọn Passkey mới và nhập mật khẩu mới. Nếu mỗi thiết bị có Passkey riêng, hãy mở khóa lại các thiết bị đó bằng "mật khẩu mới + Recovery Secret".

🔐 How to save the Recovery Secret

When you create a vault, the Recovery Secret is shown only once. Pick the right method from the 4-tier picker in the app based on your environment.

🏆 BEST — Print on paper

Click "🖨 Print now" → browser print dialog → print on paper
Keep in a safe or locked drawer, physically secure
Store it in a different place than your master password

💡 Print later is also available. But you must print before proceeding (= it's shown only once).

🥈 GREAT — Switch to YubiKey-only mode

A mode where the Recovery Secret itself doesn't exist. For physical-security-focused users. See 🔐 YubiKey-only mode.

🥉 OK (mobile / PC compatible) — Save image

The "📸 Save image" button creates a PNG (= Recovery Secret + QR code). On mobile, save via the share sheet to iCloud Photos / Google Photos. On PC, it's downloaded to your Downloads folder.

⚠ Requirement: E2E encryption ON
You need iCloud Photos Advanced Data Protection, or Google One Backup E2E encryption ON before saving. Without this, Apple / Google still have technical access.

iCloud ADP check: Settings → [Apple ID name] → iCloud → "Advanced Data Protection" ON.
Google E2E backup check: Google account → Backup → "End-to-end encryption" ON (Android 13+ partial support).

🚫 Avoid

📲 How to restore later

To restore on a new device:

Open arpass.io on the new device → "📲 Restore a drive created on another device"
Enter master password → tap the 📷 QR scan icon
In the QR scanner, tap "🖼 Scan image" (= NEW)
Select the saved PNG image → Recovery Secret is read and filled in
Drive unlocks

🆘 Passkey của thiết bị này biến mất

Bạn đổi profile trình duyệt, hoặc dùng thiết bị mới với Touch ID mới.

Trên màn hình khóa: "📱 Mất Passkey → Mở khóa bằng Mật khẩu chính + Mã khôi phục"
Nhập mật khẩu chính + Mã khôi phục từ giấy (quét QR cũng được)
Mở khóa thành công → Cài đặt → "🔐 Đăng ký Passkey trên thiết bị này" để tạo Passkey mới
Từ nay thiết bị này có thể mở khóa lại bằng "mật khẩu chính + Touch ID"

🔐 Chế độ chỉ YubiKey

Chế độ mở ổ của bạn chỉ bằng một khóa bảo mật như YubiKey — không cần mật khẩu chính và không cần Recovery Secret. Không có gì phải ghi nhớ: chỉ cần chạm vào bất kỳ YubiKey nào đã đăng ký để mở khóa. Đây là tùy chọn nâng cao dành cho người muốn hoàn toàn dựa vào khóa vật lý.

💡 More on YubiKey itself: YubiKey: what & how to choose / Price tiers / Using with Arpass

⚠️ Vui lòng đọc trước khi tạo
Chế độ chỉ YubiKey không có cứu hộ bằng mật khẩu chính và không có Recovery Secret. Nếu bạn mất tất cả YubiKey đã đăng ký, ổ sẽ không bao giờ mở lại được (chúng tôi cũng không thể khôi phục).

Tạo ổ chỉ YubiKey

Mở arpass.io → trên màn hình «Tạo ổ an toàn» chọn «🔑 Chỉ dùng YubiKey»
Chọn số lượng YubiKey cần đăng ký (hai chiếc trở lên)
Đánh dấu ô xác nhận rằng bạn hiểu ổ không thể khôi phục nếu mất tất cả YubiKey
Nhấn «Tạo ở chế độ YubiKey» và, theo hướng dẫn, cắm (hoặc chạm qua NFC) và chạm vào YubiKey đầu tiên của bạn
Đăng ký các YubiKey còn lại lần lượt từng chiếc (sẽ có nhắc đổi khóa)
Sau khi đăng ký xong tất cả, ổ được tạo và mở ngay

Mở trên thiết bị khác

Trên thiết bị kia mở arpass.io → nhấp «📲 Khôi phục ổ an toàn đã tạo trên thiết bị khác»
Chọn «🔑 Mở ổ của bạn bằng YubiKey từ thiết bị khác»
Cắm (hoặc chạm qua NFC) và chạm vào bất kỳ YubiKey nào đã đăng ký của bạn
Ổ mở ra — không cần mật khẩu chính và không cần Recovery

Thêm một YubiKey

Khi ổ đang mở, vào Cài đặt (⚙) → mở phần «🔑 YubiKey đã đăng ký»
Nhấn «+ Thêm YubiKey»
Trước tiên chạm vào một YubiKey đã đăng ký của bạn để xác nhận đó là bạn
Sau đó đổi sang YubiKey mới bạn muốn thêm và chạm vào nó
YubiKey mới được đăng ký và từ đó cũng có thể mở ổ

📲 Thiết lập thiết bị khác nhanh bằng mã thêm thiết bị

Từ thiết bị đã có thể mở khóa, chuyển <strong>credentialId và thẻ chỉ mục Arweave</strong> sang thiết bị khác (= thiết bị cũng cần mở khóa bằng cùng YubiKey). Cách này nhanh hơn và đáng tin cậy hơn so với «Mở bằng YubiKey của thiết bị khác». Trên Android Chrome, đây thực tế là con đường bắt buộc do một lỗi của Chrome khiến picker thông thường không hoạt động.

💡 Bảo mật: Mã chỉ chứa thông tin công khai (credentialId + thẻ Arweave). Không bao gồm PRF / khóa mã hóa / Recovery / Master, nên dù bị lộ thì không ai có thể mở khóa khi không có YubiKey vật lý. Nên dùng tạm thời (xóa sau khi dán) cho gọn gàng.
Bên hiển thị (= thiết bị đã mở khóa): Khi ổ đã mở, Cài đặt (⚙) → mục «🔑 YubiKey đã đăng ký»
Nhấn «📲 Hiển thị mã cho thiết bị khác»
Một chuỗi bắt đầu bằng «AP1....» cùng mã QR sẽ hiện ra
Bên nhập (= thiết bị mới): Trên màn hình tạo của arpass.io, nhấn liên kết «📲 Mở bằng mã thêm thiết bị (AP1....)» ở dưới cùng
Ô nhập hiện ra: dán mã từ bên hiển thị hoặc dùng nút «📷» để quét QR qua camera
Nhấn «Áp dụng mã → Mở bằng YubiKey» và chạm YubiKey
Việc mở khóa hoàn tất và từ đó thiết bị này có thể mở bình thường
💡 Trường hợp sử dụng: ① Cho Android Chrome có thể mở (đường bắt buộc), ② Trên Mac / Win / iPhone cũng bỏ qua bước chạm picker để tăng tốc thiết lập, ③ Đường tiêu chuẩn khi triển khai một YubiKey trên nhiều thiết bị. Hoạt động bất kỳ thiết bị → bất kỳ thiết bị.
💡 Về Safari trên Mac: Safari trên Mac triển khai WebAuthn khác với các trình duyệt khác, nên ổ YubiKey được tạo hoặc dùng trong Safari trên Mac sẽ chỉ dùng được trong Safari trên Mac và không thể mở trong Chrome, Edge, iPhone hay Android (và ngược lại). Để chia sẻ cùng một ổ giữa nhiều môi trường, hãy dùng trình duyệt khác Safari (Chrome / Edge) trên máy Mac của bạn.

🏢 Sign up as an employee (Business mode)

If your company has deployed Arpass, you receive an invite code from the admin to join. Employees don't hold Recovery themselves — the admin manages it centrally (password loss / device loss recovery is performed via admin approval).

Get the invite code from admin (e.g., ARPASS-XXXX-XXXX) — in person / Slack DM preferred, share only the code, not a URL
Open arpass.io → click '📲 Employees: join with a code'
Enter the invite code in the prompt → moves to create view + yellow banner '🏢 Employee mode signup'
Set your master password (memorize it — admin does not know it)
'Create the company vault' → Touch ID to create Passkey
Lands on vault view. Recovery is auto-sent to admin (never shown on screen)
💡 The admin must have opened the app at least once (so their public key is registered on server). If you see 'Failed to join company or send Recovery', ask the admin.

📲 Employee device-add / total lockout recovery

If an employee wants to add a new device or has lost all their devices, the admin issues a <strong>device-add code</strong> (8 chars, valid 5 min). It's bound to the employee + single-use + IP rate-limited.

Employee contacts admin to 'add a new device'
Admin tab → employee row → '📲 Device-add code' → 'Auto-approve?' (recommended: Cancel = manual approval required)
Admin sees the 8-char code → relays to employee in person / Slack DM (code only)
Employee opens arpass.io on new device → '📲 Employees: join with a code' (or the same button on the 'Get started' view if picker is empty)
Enter code → device name → master password (the one set at signup) → 'Redeem code'
Progress view (big spinner + 10:00 countdown) shows the wait for admin approval
Admin tab's inbox shows '📲 Device-add' request → '✅ Approve' (auto-approve mode handles automatically)
Employee device auto-unlocks the vault + registers Passkey → vault view + toast '✅ This device is registered'
💡 Even if the device-add code is stolen, with auto-approve OFF the admin must approve, providing one defense layer. Admin can also see the requesting IP in the inbox.

💳 Phí & thanh toán

Tính phí trả sau. Mỗi thao tác lưu (thêm, sửa, xóa) cộng tỷ giá hôm đó vào mức dùng; thanh toán gộp lúc nào tùy bạn. Xem & sao chép miễn phí.

Khi ổ bảo mật đã mở, nhấp "💳 Số dư" ở góc trên bên phải
Cửa sổ chọn gói mở ra (Starter / Standard / Heavy / Business / Family)
Nhấp vào một gói → trang thanh toán Stripe mở trong tab mới
Nhập thông tin thẻ tín dụng → hoàn tất thanh toán
Tab mới tự đóng và bạn quay lại ổ bảo mật → thông báo: "✅ +N credits đã được cộng"
💡 Trạng thái đã mở khóa được giữ. Không cần đăng nhập lại khi thanh toán.

🔄 Phát hành lại Recovery Secret

Nếu bạn mất giấy hoặc nghi ngờ rò rỉ. Recovery Secret cũ là cần thiết.

Màn hình ổ bảo mật → Cài đặt (biểu tượng ⚙) → mục "Cấp lại Mã khôi phục"
Nhập mật khẩu chính hiện tại của bạn
Chọn một trong hai chế độ:
  • A. Nhẹ (khuyên dùng): Dùng khi giấy bị mất nhưng bạn không nghi ngờ bị đánh cắp. Nhanh nhất, không cần thao tác trên máy chủ.
  • B. Toàn diện (nghi bị đánh cắp): Dùng khi Mã khôi phục cũ có thể đã bị lộ. Mã hóa lại toàn bộ dữ liệu và chuyển sang định danh tài khoản mới.
Nhấp "Cấp Mã khôi phục mới"
Mã khôi phục mới hiển thị trên màn hình → luôn in ra và lưu trữ an toàn
Sự khác biệt giữa Trường hợp A và B (quan trọng):

🔐 Quản lý thiết bị đã đăng ký

Kiểm tra thiết bị nào đã đăng ký Passkey, đổi tên hoặc xóa chúng.

Màn hình ổ bảo mật → Cài đặt → mục "🔐 Thiết bị đã đăng ký"
Danh sách các thiết bị đã đăng ký hiển thị (thiết bị hiện tại được tô vàng)
Nút "Đổi tên": đặt tên dễ nhận biết (ví dụ: "Mac Studio", "iPhone 15")
Nút "Xóa" (với các thiết bị khác): hủy liên kết Passkey của thiết bị đó khỏi ổ bảo mật
Giới hạn của việc xóa: nếu bản sao MEK vẫn còn trên thiết bị đã xóa, dữ liệu Arweave cũ vẫn có thể bị giải mã. Để vô hiệu hóa hoàn toàn, cần cấp lại Mã khôi phục (Trường hợp B, xoay vòng MEK).

❓ Câu hỏi thường gặp

Nếu tôi mất cả ba: mật khẩu chính, Passkey và Recovery thì sao?

Bạn không thể khôi phục được. Arpass không lưu giữ bất cứ thứ gì, vì vậy chúng tôi không thể giúp được. Đây là cái giá của thiết kế zero-knowledge — chúng tôi không thể xem mật khẩu của bất kỳ ai, nhưng mất cả 3 yếu tố đồng nghĩa với mất hoàn toàn.

Mất 2 yếu tố vẫn có thể khôi phục (1 yếu tố còn lại có thể phục hồi). Trước khi mất cả 3, hãy sao chép Mã khôi phục ra nhiều nơi.

Người vận hành có thể thấy mật khẩu của tôi không?

Không. Toàn bộ quá trình mã hóa diễn ra trong trình duyệt của bạn, và dữ liệu lưu trên Arweave được mã hóa hai lớp trước khi đi qua máy chủ Cloudflare.

  • Lớp trong: AES-256-GCM (khóa = MEK, được tạo ngẫu nhiên, không bao giờ gửi lên máy chủ)
  • Lớp ngoài: AES-256-GCM (khóa = HKDF(vault-id), vault-id cũng không bao giờ gửi lên máy chủ)
  • Những gì máy chủ thấy: các byte ngẫu nhiên đã mã hóa (không thể giải mã) + thông tin số dư

Chi tiết có thể kiểm chứng ở cấp độ mã nguồn tại bản sao công khai arpass-spec (AGPL-3.0).

Dữ liệu được mã hóa trên Arweave có lưu vĩnh viễn không?

Đúng — Arweave là lưu trữ vĩnh viễn, vì vậy dữ liệu đã ghi sẽ không biến mất. Đây vừa là ưu điểm ("mật khẩu của bạn vẫn tồn tại sau 200 năm") vừa là nhược điểm ("dữ liệu quá khứ tồn tại mãi mãi").

Dù bạn đổi mật khẩu, bản mã cũ vẫn còn trên Arweave. Nhưng bản mã cũ chỉ có thể giải mã bằng MEK cũ, mà chỉ bạn mới biết. Sau khi cấp lại Mã khôi phục (Trường hợp B), các lần ghi tiếp theo được mã hóa bằng khóa mới, không liên quan đến khóa cũ.

Chi phí bao nhiêu?

Mỗi lần thêm, sửa hoặc xóa mật khẩu tiêu tốn 1 credit. Lưu 10 mật khẩu ≈ 10 credit. Gói "Starter 100" ($2) là đủ cho sử dụng hàng ngày. Hầu hết người dùng chỉ cần mua gói một hoặc hai lần mỗi năm.

Is it OK to save the QR code as a photo?

OK under conditions. Save via the in-app 「Save image」 button, then ensure your iCloud Photos has Advanced Data Protection ON, or Google One Backup has E2E encryption ON. This makes the photo unreadable even to Apple / Google.

Without these E2E settings, regular cloud sync leaves the provider with technical access — paper printing is strongly preferred.

For maximum safety, switch to YubiKey-only mode — no Recovery Secret needed at all.

Điều gì xảy ra nếu tôi chỉnh sửa trên nhiều thiết bị cùng lúc?

Arpass sử dụng kiểm soát đồng thời lạc quan, vì vậy thiết bị lưu sau sẽ nhận lỗi "Đã được cập nhật trên thiết bị khác". Mở khóa lại để tải phiên bản mới nhất, sau đó chỉnh sửa lại.

🛡️ Thực hành bảo mật tốt nhất

Arpass sử dụng giải mã 2-trong-3 (bất kỳ 2 trong số: mật khẩu chính + Passkey + Mã khôi phục đều có thể giải mã). Theo thiết kế, rò rỉ chỉ 1 yếu tố sẽ không giải mã được ổ bảo mật. Tuy nhiên, rò rỉ đồng thời nhiều yếu tố rất nguy hiểm. Hãy tuân theo các hướng dẫn sau.

✅ Khuyến nghị

❌ Tránh

⚠️ Trường hợp không phù hợp

Dịch vụ này là trình quản lý mật khẩu đa năng dành cho cá nhân và doanh nghiệp nhỏ. Không phù hợp để sử dụng cho:

Chúng tôi không chịu trách nhiệm về bất kỳ thiệt hại nào phát sinh từ việc sử dụng dịch vụ này trong các tình huống trên. Xem Điều khoản dịch vụ để biết thêm chi tiết.

🚨 Nếu nghi ngờ rò rỉ

Nếu mật khẩu chính hoặc Mã khôi phục có thể đã bị lộ, hãy hành động ngay lập tức:

  1. Chỉ mật khẩu chính: Cài đặt → "Đổi mật khẩu chính"
  2. Chỉ Mã khôi phục: Cài đặt → "Ứng phó sự cố bảo mật" → Cấp lại Mã khôi phục (Trường hợp A, nhẹ)
  3. Cả hai, hoặc thiết bị bị đánh cắp: Cài đặt → "Ứng phó sự cố bảo mật" → Cấp lại Mã khôi phục (Trường hợp B, xoay vòng MEK vô hiệu hóa các wrap trên thiết bị bị mất và Mã khôi phục cũ)

Xem mục Ứng phó sự cố bảo mật trong Cài đặt của màn hình ứng dụng để biết thêm chi tiết.

🔬 Tổng quan thiết kế mật mã (nâng cao)

Thiết kế mật mã của Arpass là giải mã 2-trong-3. Bất kỳ 2 trong 3 yếu tố đều có thể giải mã ổ bảo mật.

Đường dẫn giải mã

Mã hóa thân và mã hóa ngoài

Mã hóa hai lớp:

Các byte trên Arweave trông hoàn toàn ngẫu nhiên; cấu trúc JSON và tên thuật toán không thể phân biệt từ bên ngoài. Ngay cả tên thẻ Arweave gắn vào mỗi lần ghi cũng được ngẫu nhiên hóa theo từng người dùng, nên người quan sát bên ngoài không thể xác định giao dịch nào thuộc về Arpass.

Với envelope v7, khóa lớp ngoài này cũng được lưu bên trong Passkey (WebAuthn user.id). Khóa được bảo vệ bởi phần cứng Passkey và không bao giờ xuất hiện trong dữ liệu công khai trên Arweave, nên một thiết bị mới có thể giải mã lớp ngoài mà không cần nhập Mã khôi phục.

Có gì trên máy chủ

Phía máy chủ (Cloudflare KV) chỉ lưu bản ghi mức dùng của bạn. Tài khoản được nhận diện bằng hash khóa công khai (ECDSA P-256); khóa ngoài, mật khẩu chính và Recovery Secret không bao giờ đến máy chủ.

Đặc tả đầy đủ: