Biên tập viên kỹ thuật đánh giá sản phẩm một cách độc lập. Để giúp hỗ trợ sứ mệnh của chúng tôi, chúng tôi có thể kiếm hoa hồng liên kết từ các liên kết có trên trang này.
Hầu hết chúng ta đều biết các quy tắc để bảo vệ mật khẩu tốt – làm cho chúng phức tạp, không sử dụng lại và thay đổi chúng thường xuyên. Nhưng với hầu hết mọi trang web và ứng dụng đều yêu cầu người dùng đăng ký tài khoản, việc ghi nhớ một lượng mật khẩu phức tạp ngày càng phát triển ngày càng tăng trở thành một nhiệm vụ cực kỳ nghiêm trọng.
Nhập các trình quản lý mật khẩu, không chỉ ghi nhớ mà còn có thể tạo các chuỗi ngẫu nhiên gồm chữ thường và chữ hoa, số và ký hiệu cần thiết để bảo vệ tài khoản trực tuyến của bạn khỏi tin tặc và kẻ lừa đảo. Mật khẩu được lưu vào ‘kho tiền’ được bảo vệ bằng mật khẩu chính do người dùng nghĩ ra.
Nhưng điều gì sẽ xảy ra khi tài khoản bị tấn công là chính trình quản lý mật khẩu – như đã xảy ra với các trình quản lý mật khẩu phổ biến như LastPass và 1Login? Có thể thực sự an toàn khi lưu tất cả mật khẩu của bạn vào một nơi trực tuyến duy nhất không?
Các chuyên gia bảo mật đồng ý rằng sử dụng trình quản lý mật khẩu an toàn hơn nhiều so với việc sử dụng lại mật khẩu hoặc viết chúng ra, nhưng có những lỗ hổng bảo mật cần lưu ý.
Nội dung bài viết
Trình quản lý mật khẩu 101
Chỉ 1/10 người Mỹ sử dụng trình quản lý mật khẩu và chỉ ba phần trăm được coi là phương tiện nhập mật khẩu thường xuyên nhất của họ. Trong một nghiên cứu gần đây được công bố trên Khoa học máy tính và thông tin lấy con người làm trung tâm, các nhà nghiên cứu phát hiện ra rằng những người sử dụng trình quản lý mật khẩu chủ yếu làm như vậy vì sự thuận tiện, trong khi những người không sử dụng chúng đề cao các vấn đề bảo mật.
Sandor Palfy, LastPass CTO cho biết: “Các lựa chọn thay thế điển hình cho trình quản lý mật khẩu là sử dụng cùng một mật khẩu ở mọi nơi hoặc lưu trữ chúng trong một bảng tính. “Một số người có thể do dự khi sử dụng trình quản lý mật khẩu vì họ sợ ‘bỏ tất cả trứng vào một giỏ’, nhưng đó là một giỏ rất, rất an toàn.”
Các trình quản lý mật khẩu dựa trên đám mây phổ biến như Dashlane, LastPass và Sticky Password sử dụng các giao thức bảo mật zero-knowledge để mã hóa mật khẩu chính của người dùng bằng khóa mã hóa chỉ được lưu trữ trên thiết bị của người dùng (để các công ty không có kiến thức về người dùng ‘mật khẩu). Mã hóa này bao gồm hàng nghìn vòng băm xác thực, trong đó một thuật toán chuyển đổi một chuỗi văn bản thành một chuỗi dài hơn, khiến tin tặc khó bẻ khóa văn bản đã băm hơn.
Mã hóa mạnh có nghĩa là trong trường hợp vi phạm, ngay cả mật khẩu chính bị lộ cũng không bị xâm phạm – nhưng thông tin nhạy cảm khác cho phép kẻ tấn công xâm phạm tài khoản khác của người dùng có thể bị lộ.
Ví dụ, khi LastPass đã bị vi phạm vào năm 2015, không có bằng chứng nào cho thấy mật khẩu chính và kho mật khẩu được mã hóa của người dùng đã bị xâm phạm – nhưng địa chỉ email và lời nhắc mật khẩu của người dùng đã bị đánh cắp. Những chi tiết này có thể cho phép các cuộc tấn công có chủ đích như lừa đảo, trong đó những kẻ tấn công có thể gửi một màn hình đăng nhập giả mạo đến địa chỉ email của người dùng, sử dụng lời nhắc mật khẩu để thu hút người dùng nhập mật khẩu chính của họ. Truy cập vào địa chỉ email của người dùng cũng có thể mở ra cánh cửa cho tin tặc xâm nhập tài khoản của người dùng tại các trang web khác.
Trình quản lý mật khẩu có thể là mục tiêu của hacker
Vì trình quản lý mật khẩu chứa rất nhiều dữ liệu có giá trị đối với tội phạm mạng – cùng với mật khẩu, các trình quản lý như Dashlane và LastPass cũng có thể lưu thông tin cá nhân cho các biểu mẫu tự động điền, thẻ tín dụng và thông tin chi tiết về khách hàng thường xuyên – chúng thường là mục tiêu của tin tặc.
Kurt Baumgartner, một nhà nghiên cứu bảo mật chính tại Kaspersky Lab cho biết: “Các lỗ hổng trong trình quản lý mật khẩu đã bị khai thác trong quá khứ bao gồm các lỗi thiết kế đầy đủ, các cuộc tấn công giả mạo, xác thực đầu vào tiện ích mở rộng trình duyệt bị lỗi và hơn thế nữa”.
Tính năng tiện lợi nhất của trình quản lý mật khẩu cũng là một trong những liên kết yếu nhất trong bảo mật của nó.
Gần như tất cả các trình quản lý mật khẩu đều bao gồm một tiện ích mở rộng trình duyệt có thể tự động điền thông tin đăng nhập và tạo mật khẩu tại các trang web mới – nhưng tính năng này cũng cung cấp một “vào” khác, kém an toàn hơn để những kẻ tấn công có thể vuốt vào kho mật khẩu của bạn. Nhà nghiên cứu bảo mật đã phát hiện ra một số lỗi lớn trong các trình quản lý mật khẩu phổ biến để họ dễ bị tổn thương các cuộc tấn công như vậy.
Do đó, việc truy cập trang web có chứa phần mềm độc hại trong khi sử dụng tiện ích mở rộng trình quản lý mật khẩu có thể dẫn đến việc mật khẩu của bạn bị đánh cắp mà bạn không biết về nó.
Trình quản lý mật khẩu trình duyệt có an toàn không?
Nhiều trình duyệt cũng có thể lưu mật khẩu của bạn và tự động đăng nhập cho bạn. Mặc dù trình quản lý mật khẩu trình duyệt không có danh tiếng để bảo mật mạnh mẽ, mức độ bảo mật đã tăng lên trong những năm gần đây.
Trên Chrome, mật khẩu được mã hóa theo mặc định và để xem chúng, người dùng phải đăng nhập vào tài khoản Google và xác thực thêm vào thiết bị của họ – ví dụ: mật khẩu người dùng cho máy tính hoặc mã PIN cho điện thoại thông minh.
Safari và Edge cũng mã hóa mật khẩu, chỉ có thể xem được sau khi xác thực bổ sung – ít nhất là nếu bạn đã đặt mật khẩu đăng nhập cho máy tính và / hoặc mã PIN trên điện thoại thông minh của mình!
Trình duyệt Firefox là trình duyệt duy nhất bảo vệ kho mật khẩu được mã hóa của nó bằng mật khẩu chính, bổ sung thêm một lớp bảo vệ cần phải bẻ khóa. Tuy nhiên, Google đã đăng rằng lý do Chrome không có mật khẩu chính là vì nó mang lại cảm giác an toàn sai lầm, nêu rõ rằng nó không bảo vệ khỏi những rủi ro như ai đó có quyền truy cập vào máy tính – hoặc cài đặt keylogger – bẻ khóa mật khẩu chính đó để truy cập vào kho tiền.
Tuy nhiên, bất chấp các biện pháp an toàn này, trình quản lý mật khẩu của trình duyệt dễ bị rủi ro bảo mật hơn trình quản lý mật khẩu của bên thứ ba.
Thứ nhất, mặc dù trình quản lý mật khẩu trình duyệt là một cách đơn giản để bạn lưu thông tin đăng nhập hiện có, nhưng chúng không cung cấp phương tiện để tạo mật khẩu ngẫu nhiên, duy nhất cho mỗi tài khoản. Điều này bao gồm các trình duyệt Edge, Firefox, Safari và Chrome. Palfy lưu ý: “Một số cách phổ biến nhất mà mọi người tự để mình dễ bị tấn công khi trực tuyến là sử dụng mật khẩu yếu, dễ đoán và sau đó sử dụng lại những mật khẩu đó trên nhiều tài khoản trực tuyến khác.
Mật khẩu đã lưu cũng có thể bị truy cập quá dễ dàng thông qua các cuộc tấn công của trình duyệt. Mặc dù mỗi trình duyệt trong số bốn trình duyệt chính đều mã hóa mật khẩu đã lưu của nó và yêu cầu đăng nhập trước khi hiển thị các mật khẩu này, nhưng mật khẩu không được bảo vệ bằng mức mã hóa tương tự như trình quản lý mật khẩu chuyên dụng – và như vậy, có thể dễ bị vi phạm hơn.
Tính năng cực kỳ tiện lợi khác – tự động điền – cũng là một trong những lỗ hổng lớn nhất của trình quản lý mật khẩu trình duyệt.
Nghiên cứu của Proofpoint, một công ty an ninh mạng, gần đây đã phát hiện ra rằng tính năng tự động điền trong trình quản lý mật khẩu của trình duyệt đã bị các công ty quảng cáo kỹ thuật số lợi dụng để lấy dữ liệu của người dùng, bao gồm cả địa chỉ email. Kỹ thuật tương tự có thể được sử dụng để làm lộ mật khẩu đã lưu.
“Điều khiến tình huống đó trở nên phức tạp là chủ sở hữu trang web thêm các tập lệnh quảng cáo của bên thứ ba này vào trang web của họ, biến chúng thành một phần của mã riêng của trang web. Palfy cho biết: Các biện pháp bảo vệ tích hợp của trình duyệt web để cô lập các tập lệnh bên ngoài, của bên thứ ba khỏi mã của trang web, điều này khiến việc bảo vệ chống lại các cuộc tấn công này trở nên rất khó khăn.
7 mẹo để sử dụng trình quản lý mật khẩu một cách an toàn
Cho đến nay, bức tranh có thể trông khá tồi tệ đối với bảo mật bằng mật khẩu. Tuy nhiên, lợi ích của một trình quản lý mật khẩu tốt – tạo và lưu các mật khẩu phức tạp, duy nhất mà bạn có thể dễ dàng cập nhật – có nghĩa là hầu hết các chuyên gia khuyên bạn nên sử dụng một mật khẩu. Baumgartner nói: “Mặc dù không thể hoàn toàn miễn nhiễm với các mối đe dọa tiên tiến nhất, nhưng việc chọn trình quản lý mật khẩu của bên thứ ba phù hợp có thể giúp người dùng bảo vệ thông tin đăng nhập của họ khỏi phần lớn các cuộc tấn công mà họ có thể phải đối mặt.
Bạn cũng có thể thực hiện bảy bước sau để đảm bảo bạn đang bảo vệ tài khoản của mình:
1. Chọn một trình quản lý mật khẩu mà không cần khôi phục mật khẩu chính
Dù bạn làm gì, hãy chọn một trình quản lý mật khẩu không cho phép khôi phục mật khẩu chính. Baumgartner nói: “Nếu một kẻ độc hại có thể lấy được mật khẩu chính thông qua các công cụ khôi phục tài khoản, thì điều này sẽ khiến cho các chương trình quản lý mật khẩu an toàn nhất trở nên vô dụng.
2. Sử dụng xác thực hai yếu tố
Bất kỳ tài khoản trực tuyến nào cũng có nguy cơ bị tấn công. Một cách để tránh rủi ro này là sử dụng xác thực hai yếu tố để bảo vệ trình quản lý mật khẩu của bạn. Chrome hỗ trợ xác thực hai yếu tố với điện thoại thông minh của bạn và cùng với Firefox và Edge, hoạt động với các khóa phần cứng xác thực chẳng hạn như Yubico. Trình quản lý mật khẩu của bên thứ ba bao gồm Dashlane, LastPass và Sticky Password hỗ trợ xác thực hai yếu tố với điện thoại thông minh của bạn. Baumgartner cho biết: “Mặc dù xác thực hai yếu tố vẫn có thể có một số rủi ro do các mối đe dọa như chiếm quyền điều khiển SIM, nhưng ở mức tối thiểu, nó đặt thêm một lớp phòng thủ giữa tội phạm mạng và kho thông tin đăng nhập đầy đủ của bạn.
3. Tắt tự động điền
Bạn có thể muốn xem xét tắt tự động điền. Điều này cũng có nghĩa là đăng nhập vào trình quản lý mật khẩu của bạn, sau đó sao chép và dán mật khẩu của bạn vào màn hình đăng nhập.
4. Sử dụng mật khẩu mạnh
Khi soạn mật khẩu chính của bạn, hãy làm cho mật khẩu đó thật mạnh. “Theo tiêu chuẩn ngày nay, mật khẩu này có nghĩa là 20 ký tự trở lên, mật khẩu được tạo ngẫu nhiên có chứa các chữ cái viết thường và viết hoa, các chữ số và ký hiệu,” Palfy nói. Bạn có thể tự hào về độ không thể theo dõi của nó – nhưng đừng sử dụng lại mật khẩu chính của bạn.
5. Đảm bảo rằng tất cả mật khẩu của bạn là duy nhất
Đảm bảo rằng tất cả các mật khẩu khác của bạn là duy nhất. Dashlane Premium là một trong những tùy chọn có thể tự động kiểm tra mật khẩu yếu hoặc lặp lại sau đó tự động thay thế chúng bằng một mật khẩu ngẫu nhiên, phức tạp.
6. Luôn cập nhật phần mềm của bạn
Tải xuống các bản cập nhật bảo mật cho trình quản lý mật khẩu của bạn ngay khi có sẵn – thông thường, chúng sẽ vá các lỗ hổng mới được phát hiện.
7. Cảnh giác với các bản tải xuống và tiện ích mở rộng trình duyệt
Nói chung, hãy cảnh giác với các bản tải xuống của bạn, đặc biệt là các tiện ích mở rộng của trình duyệt – phần mềm độc hại được cài đặt một cách vô tình có thể dẫn đến việc ghi lại các lần nhấn phím hoặc sao chép thông tin đăng nhập.
Chọn trình quản lý mật khẩu phù hợp
Các trình quản lý mật khẩu tốt nhất không cho phép bạn khôi phục mật khẩu chính của mình, họ cho phép bạn sử dụng xác thực hai yếu tố, họ giám sát tài khoản của bạn để tìm vi phạm mật khẩu và mật khẩu yếu, họ tạo mật khẩu mạnh cho bạn, họ sao lưu mật khẩu của bạn một cách an toàn trực tuyến và họ cho phép bạn sử dụng dấu vân tay hoặc khuôn mặt để đăng nhập trên điện thoại thông minh của mình. Trình quản lý mật khẩu yêu thích của chúng tôi, Dashlane Premium ($ 60 mỗi năm), có tất cả các tính năng nói trên và hơn thế nữa. Nó cũng điền vào các biểu mẫu, bao gồm thông tin thẻ tín dụng của bạn, đồng bộ hóa trên tất cả các thiết bị của bạn, quét Web đen để tìm dữ liệu cá nhân và thông tin tài khoản, đồng thời cung cấp dịch vụ VPN cho máy tính và điện thoại thông minh của bạn để mã hóa tất cả dữ liệu của bạn khi sử dụng các dịch vụ dựa trên internet qua WiFi công cộng.
[Image credit: computer login concept via BigStockPhoto]
