Trong thế giới kỹ thuật số ngày nay, gần như không thể lướt web mà không bắt gặp một trình quản lý mật khẩu nào đó “nhảy” vào cuộc. Các trình duyệt web đã cung cấp tính năng quản lý mật khẩu từ nhiều năm nay, và hệ thống nền tảng được xây dựng hơn một thập kỷ trước đã phát triển thành một hệ thống bảo mật linh hoạt, hoạt động xuyên suốt các thiết bị của bạn và mở khóa tất cả tài khoản chỉ với vài thao tác đơn giản.
Tuy nhiên, các trình quản lý mật khẩu của trình duyệt không hề hoàn hảo. Mặc dù chúng có thể giúp bạn cải thiện an ninh mạng, nhưng vẫn tồn tại một số lỗ hổng bảo mật rõ rệt khi sử dụng chúng. Bài viết này sẽ đi sâu phân tích mặt lợi, mặt hại và cả những “mặt xấu” mà có thể bạn chưa từng biết về việc lưu trữ mật khẩu trong trình duyệt.
Mặt Tốt: Trình quản lý mật khẩu trình duyệt biến bảo mật thành thói quen
Sử dụng trình duyệt vẫn tốt hơn nhiều so với ghi chú mật khẩu
Trước khi “vứt bỏ cả đứa trẻ sơ sinh cùng với nước tắm”, có một điều rất quan trọng cần ghi nhớ: một chút bảo mật vẫn tốt hơn là không có gì cả. Nếu bạn hoặc người thân đang viết mật khẩu ra giấy nhớ, hoặc tệ hơn là sử dụng cùng một mật khẩu yếu cho tất cả các tài khoản của mình, thì việc lưu trữ mật khẩu duy nhất trong trình duyệt vượt trội hơn rất nhiều.
Có những vấn đề với trình quản lý mật khẩu trình duyệt mà chúng tôi sẽ đề cập trong bài viết này, nhưng nếu sự tiện lợi của chúng khuyến khích bạn sử dụng mật khẩu dài, ngẫu nhiên và duy nhất cho các tài khoản trực tuyến của mình, điều đó chắc chắn sẽ tốt hơn cho an ninh mạng của bạn.
Trình quản lý mật khẩu của trình duyệt cũng đã cải thiện đáng kể trong vài năm qua, cả về bảo mật và khả năng sử dụng. Về bảo mật, Google đã tiếp tục thúc đẩy Xác thực đa yếu tố (MFA) cho tài khoản Google của bạn, vì vậy nếu bạn đang sử dụng Chrome, bạn sẽ cần mật khẩu cùng với ứng dụng xác minh, mã dự phòng, hoặc phổ biến nhất là thông báo đẩy trên một thiết bị đáng tin cậy để mở khóa tài khoản của mình. Cũng có sự phổ biến của Passkeys (khóa truy cập kỹ thuật số) để xác thực không mật khẩu trên các thiết bị đáng tin cậy, cũng như các khóa bảo mật phần cứng đã được kiểm chứng.
Về mặt khả năng sử dụng, giờ đây bạn có thể lưu trữ nhiều thông tin hơn trong trình duyệt so với trước đây. Mặc dù chúng tôi đang tập trung vào mật khẩu ở đây, nhưng bản chất tài khoản của trình quản lý mật khẩu trình duyệt có nghĩa là bạn cũng có quyền truy cập vào các chi tiết như thông tin thẻ tín dụng ngay trong trình duyệt của mình.
Điều quan trọng nhất về trình quản lý mật khẩu của trình duyệt là nó luôn “đập vào mắt” bạn. Trình quản lý mật khẩu của trình duyệt còn khuyến khích bạn sử dụng mật khẩu khác nhau cho tất cả các tài khoản của mình và lưu trữ chúng trong một cơ sở dữ liệu được mã hóa. Có những vấn đề với cơ sở dữ liệu đó, cũng như việc liên kết tất cả thông tin này với một tài khoản duy nhất. Nhưng dù sao, điều đó vẫn tốt hơn là không có gì cả.
Giao diện Google Password Manager trên trình duyệt Chrome hiển thị danh sách các mật khẩu đã lưu
Mặt Tệ: Mật khẩu của bạn an toàn bằng chính trình duyệt (và tài khoản) của bạn
Sự tiện lợi đồng nghĩa với khả năng tiếp cận dễ dàng
Điều thực sự quan trọng cần nhớ là bất cứ thứ gì bạn có thể truy cập trong trình duyệt của mình, người khác cũng có thể. Đó là nguyên tắc chính cần ghi nhớ khi xem xét tính bảo mật của các trình quản lý mật khẩu được tích hợp sẵn trong trình duyệt của bạn. Nếu ai đó có thể truy cập vào trình duyệt hoặc tài khoản mà bạn dùng để lưu và tạo mật khẩu, họ có thể mở khóa mọi thứ.
Đây là một ví dụ giả định để bạn có thể hình dung điều gì có thể xảy ra với trình quản lý mật khẩu của trình duyệt. Nếu bạn đang sử dụng một trình duyệt như Chrome, mọi thứ đều được liên kết với tài khoản Google của bạn: lịch sử, mật khẩu, cookie, cài đặt tài khoản và nhiều thứ khác nữa. Điều đó rất tiện lợi vì bạn có thể cài đặt Chrome trên một thiết bị mới, đăng nhập vào tài khoản của mình và có tất cả dữ liệu sẵn sàng chỉ trong vòng một phút. Tuy nhiên, nếu người khác có thể truy cập vào thông tin đăng nhập của bạn, họ có thể thực hiện chính xác quy trình tương tự.
Trang quản lý tài khoản Google trên máy tính xách tay, tượng trưng cho mối liên hệ giữa tài khoản Google và bảo mật mật khẩu trình duyệt
Bạn có thể dễ dàng bị lộ tất cả mật khẩu nếu không kiểm soát tốt bảo mật tài khoản của mình. Có thể bạn đã tạo một tài khoản Gmail từ lâu mà giờ đây đã trở thành tài khoản Google chính của bạn, và có thể bạn đã sử dụng một mật khẩu đơn giản mà bạn dùng chung cho nhiều tài khoản vì nó dễ nhớ. Có thể bạn đã bỏ qua các lời kêu gọi liên tục để bật MFA cho tài khoản của mình, và có thể bạn luôn duy trì trạng thái đăng nhập. Nghe có vẻ nhiều điều kiện, nhưng đây không phải là điều quá khó để tưởng tượng khi xét đến việc các mật khẩu như “123456” và “password” luôn là những mật khẩu được sử dụng rộng rãi nhất trong các vụ rò rỉ dữ liệu.
Chỉ cần một tài khoản bị lãng quên với mật khẩu được sử dụng lại bị xâm phạm trong một vụ rò rỉ, và đột nhiên, tất cả các mật khẩu được lưu trữ trong trình duyệt của bạn đều có nguy cơ bị lộ. Đó là một điểm yếu duy nhất, và thật không may, nó không phải lúc nào cũng nhận được sự chú ý xứng đáng. Nếu bạn đang lưu trữ mật khẩu trong trình duyệt của mình, tốt hơn hết bạn nên sử dụng mật khẩu dài, duy nhất cho tài khoản chính và bật MFA. Đó là chiếc chìa khóa tổng thể giữ tất cả các chìa khóa khác.
Đó là góc nhìn về bảo mật, nhưng cũng có một số vấn đề về khả năng sử dụng với trình quản lý mật khẩu của trình duyệt. Bạn không thể lưu trữ một số loại tài liệu nhạy cảm nhất định như ghi chú bảo mật, và việc chia sẻ mật khẩu một cách an toàn là không khả thi. Nhiều trình quản lý mật khẩu bên thứ ba cũng bao gồm các cảnh báo tài khoản sẽ thông báo cho bạn khi một tài khoản bị xâm phạm, để bạn có thể cập nhật mật khẩu của mình kịp thời.
Mặt Xấu: Trình quản lý mật khẩu trình duyệt kém an toàn hơn bạn nghĩ
Đúng vậy, trình duyệt lưu mật khẩu (đã mã hóa) cục bộ
Bạn có thể đã nghe nói rằng các trình quản lý mật khẩu của trình duyệt lưu trữ mật khẩu của bạn cục bộ trên thiết bị, và điều đó là đúng. Nếu bạn đã cài đặt Chrome, bạn có thể dễ dàng truy cập tệp này thông qua Windows. Hãy truy cập Users/[tên_người_dùng]/AppData/Local/Google/Chrome/User Data/Default và cuộn xuống tệp Login Data. Đây là một cơ sở dữ liệu SQLite và nó chứa dữ liệu đăng nhập của bạn, đúng như tên tệp gợi ý. Nếu bạn quay lại thư mục User Data cấp trên, bạn cũng có thể tìm thấy tệp Local State, tệp này bao gồm khóa mã hóa.
Với hai tệp này, một vài phụ thuộc, và một tập lệnh Python có sẵn miễn phí, bạn có thể xem tất cả các mật khẩu được lưu trữ trong Chrome chỉ trong vài phút. Điều này thật đáng kinh ngạc, và nếu bạn đã lưu trữ mật khẩu trong trình duyệt của mình một thời gian, chúng tôi khuyên bạn nên dành vài phút để thực hiện quy trình này. Nó sẽ nhanh chóng cho bạn thấy mật khẩu của bạn không an toàn đến mức nào. Nếu bạn muốn xem một bản demo, bạn có thể xem YouTuber bảo mật nổi tiếng John Hammond thực hiện quy trình này.
Chúng tôi đang sử dụng Chrome làm ví dụ ở đây vì đây là trình duyệt phổ biến nhất thế giới, nhưng có nhiều dự án mã nguồn mở phổ biến khác cũng có thể dễ dàng trích xuất và giải mã dữ liệu từ trình duyệt của bạn. HackBrowserData là một dự án như vậy đã tồn tại được vài năm và nó có thể trích xuất mật khẩu, thẻ tín dụng, lịch sử và về cơ bản là bất kỳ thứ gì khác được lưu trữ trong trình duyệt của bạn. Và nó hoạt động trên mọi trình duyệt từ Chrome và Microsoft Edge đến Opera và Brave cho đến các trình duyệt chuyên biệt hơn như Yandex và Vivaldi.
Khi bạn lưu trữ mật khẩu trong trình duyệt của mình, chúng được mã hóa và mã hóa đó rất mạnh. Nhưng khi mọi thứ bạn cần để giải mã mật khẩu đều được lưu trữ cục bộ, điều đó sẽ làm suy yếu tính bảo mật ngay từ đầu.
Vấn đề với hệ thống này là không yêu cầu xác thực bổ sung. Nếu bạn có quyền truy cập vào các tệp và biết cách thực hiện, bạn có quyền truy cập vào mật khẩu. Các trình quản lý mật khẩu bên thứ ba yêu cầu bạn thực hiện nhiều bước hơn. Ví dụ, 1Password sử dụng mật khẩu chính cùng với khóa bí mật. Khóa bí mật xác thực thiết bị của bạn và nó được lưu trữ cục bộ. Tuy nhiên, bạn vẫn không thể truy cập tài khoản của mình nếu không có mật khẩu chính, mật khẩu này không được lưu trữ cục bộ. Kho khóa của bạn được bảo vệ bằng khóa bí mật, được mã hóa bằng mật khẩu chính của bạn. Thay vì khớp mật khẩu chính, 1Password sẽ tạo ra một khóa từ bất kỳ mật khẩu nào bạn nhập, cố gắng giải mã khóa bí mật, và sau đó cố gắng giải mã kho khóa của bạn. Nếu quá trình giải mã hoạt động, mật khẩu chính là đúng, và nếu không, mật khẩu chính là sai. Nó không bao giờ được lưu trữ ở bất kỳ đâu.
Việc phân tán các yếu tố cần thiết để giải mã có nghĩa là dữ liệu của bạn vốn đã an toàn hơn. Không giống như trình quản lý mật khẩu của trình duyệt, nơi quyền truy cập cục bộ và vài phút là tất cả những gì bạn cần để mở khóa “cánh cổng”, một công cụ như 1Password sẽ vẫn bị khóa cho đến khi bạn nhập mật khẩu chính của mình, mật khẩu này không được lưu trữ cục bộ (hoặc ở bất kỳ đâu). Chúng tôi đề cập đến 1Password ở đây vì đây là công cụ mà cá nhân chúng tôi sử dụng, nhưng có rất nhiều trình quản lý mật khẩu tuyệt vời khác như Bitwarden, cũng như các trình quản lý mật khẩu bạn có thể tự lưu trữ như KeePass và PassBolt.
Có nhiều cấp độ bảo mật khác nhau
Các trình quản lý mật khẩu của trình duyệt không hẳn là tệ, nhưng sự tiện lợi mà các trình duyệt hiện đại mang lại cũng khiến dữ liệu của bạn gặp phải những lỗ hổng nhất định. Bạn có thể tự bảo vệ mình khi sử dụng trình quản lý mật khẩu của trình duyệt bằng một số biện pháp bảo mật đơn giản giữa việc bật MFA trên tài khoản trình duyệt và khóa quyền truy cập cục bộ vào PC của bạn. Nhưng nếu bạn muốn có bảo mật tốt nhất, và bạn không ngại thực hiện thêm một vài bước để đạt được điều đó, thì việc sử dụng một trình quản lý mật khẩu bên thứ ba là lựa chọn tốt nhất của bạn.
Tóm lại, trong khi trình quản lý mật khẩu tích hợp sẵn trong trình duyệt mang lại sự tiện lợi vượt trội và là bước tiến lớn so với thói quen quản lý mật khẩu yếu kém, chúng vẫn còn tồn tại những điểm yếu cố hữu, đặc biệt là về khả năng truy cập cục bộ và phụ thuộc vào bảo mật của tài khoản trình duyệt. Việc cân nhắc chuyển sang một trình quản lý mật khẩu chuyên dụng bên thứ ba như 1Password hay Bitwarden sẽ mang lại lớp bảo mật kiên cố hơn nhiều cho thông tin nhạy cảm của bạn.
Bạn đang sử dụng trình quản lý mật khẩu nào? Hãy chia sẻ ý kiến của bạn trong phần bình luận bên dưới và đừng quên theo dõi 123thuthuat.com để cập nhật thêm nhiều thủ thuật công nghệ và kiến thức bảo mật hữu ích khác!
