Trong thời đại số hóa, bạn khó có thể lướt web mà không bắt gặp tính năng quản lý mật khẩu tích hợp sẵn trong trình duyệt. Các trình duyệt đã cung cấp giải pháp này trong nhiều năm, và hệ thống nền tảng được xây dựng từ hơn một thập kỷ trước đã phát triển thành một hệ thống bảo mật có thể đồng bộ hóa trên nhiều thiết bị, mở khóa tất cả các tài khoản của bạn chỉ với vài thao tác đơn giản.
Tuy nhiên, trình quản lý mật khẩu trình duyệt không hề hoàn hảo. Mặc dù chúng có thể cải thiện đáng kể an ninh trực tuyến của bạn, nhưng vẫn tồn tại những lỗ hổng bảo mật rõ rệt khi sử dụng giải pháp này.
Những ưu điểm không thể phủ nhận của trình quản lý mật khẩu trình duyệt
Tiện lợi và tốt hơn nhiều so với thói quen cũ
Trước khi vội vàng bỏ qua trình quản lý mật khẩu của trình duyệt, có một điều rất quan trọng cần ghi nhớ: một chút bảo mật vẫn tốt hơn là không có gì cả. Nếu bạn hoặc người thân đang có thói quen viết mật khẩu ra giấy nhớ, hoặc tệ hơn là tái sử dụng cùng một mật khẩu yếu cho tất cả các tài khoản, thì việc lưu trữ các mật khẩu duy nhất trong trình duyệt vượt trội hơn rất nhiều. Bài viết này sẽ đi sâu vào những vấn đề với trình quản lý mật khẩu trình duyệt, nhưng nếu sự tiện lợi của chúng khuyến khích bạn sử dụng các mật khẩu dài, ngẫu nhiên và duy nhất cho các tài khoản trực tuyến của mình, điều đó chắc chắn tốt hơn cho an ninh mạng của bạn.
Giao diện Google Password Manager trên trình duyệt Chrome hiển thị danh sách mật khẩu đã lưu.
Trình quản lý mật khẩu trình duyệt đã được cải thiện đáng kể trong vài năm qua, cả về bảo mật lẫn khả năng sử dụng. Về bảo mật, Google đã liên tục thúc đẩy Xác thực đa yếu tố (MFA) cho tài khoản Google của bạn. Vì vậy, nếu bạn đang sử dụng Chrome, bạn sẽ cần mật khẩu cùng với ứng dụng xác minh, mã dự phòng, hoặc phổ biến nhất là thông báo đẩy trên một thiết bị đáng tin cậy để mở khóa tài khoản của mình. Bên cạnh đó là sự phổ biến của khóa bảo mật kỹ thuật số (passkeys) để xác thực không cần mật khẩu trên các thiết bị tin cậy, cũng như khóa bảo mật phần cứng đã được kiểm chứng.
Về khả năng sử dụng, bạn giờ đây có thể lưu trữ nhiều thông tin hơn trong trình duyệt so với trước đây. Mặc dù trọng tâm chính ở đây là mật khẩu, nhưng bản chất tài khoản của trình quản lý mật khẩu trình duyệt cũng cho phép bạn truy cập các thông tin như chi tiết thẻ tín dụng ngay trong trình duyệt.
Tuy nhiên, điều quan trọng nhất về trình quản lý mật khẩu trình duyệt là sự hiện diện trực diện của nó. Bạn được khuyến khích sử dụng các mật khẩu khác nhau cho tất cả các tài khoản của mình và lưu trữ chúng trong một cơ sở dữ liệu được mã hóa. Có những vấn đề liên quan đến cơ sở dữ liệu đó, cũng như việc liên kết tất cả thông tin này với một tài khoản duy nhất. Nhưng dù sao, điều đó vẫn tốt hơn là không có gì.
Mặt trái: Mức độ an toàn của mật khẩu phụ thuộc hoàn toàn vào trình duyệt và tài khoản của bạn
Dễ sử dụng cũng đồng nghĩa với dễ bị truy cập
Điều thực sự quan trọng cần nhớ là bất cứ thứ gì bạn có thể truy cập trong trình duyệt, người khác cũng có thể. Đó là nguyên tắc chỉ đạo cần ghi nhớ khi xem xét tính bảo mật của các trình quản lý mật khẩu được tích hợp sẵn trong trình duyệt của bạn. Nếu ai đó có thể truy cập trình duyệt của bạn hoặc tài khoản mà bạn sử dụng trong trình duyệt để lưu và tạo mật khẩu, họ có thể mở khóa mọi thứ.
Trang quản lý tài khoản Google hiển thị trên màn hình laptop, minh họa sự tập trung dữ liệu cá nhân.
Dưới đây là một ví dụ giả định để bạn hình dung điều gì có thể xảy ra với trình quản lý mật khẩu trình duyệt. Nếu bạn đang sử dụng một trình duyệt như Chrome, mọi thứ đều được liên kết với tài khoản Google của bạn: lịch sử, mật khẩu, cookie, cài đặt tài khoản và nhiều hơn thế nữa. Điều đó rất tiện lợi vì bạn có thể cài đặt Chrome trên một thiết bị mới, đăng nhập vào tài khoản của mình và có tất cả dữ liệu sẵn sàng chỉ trong vòng một phút. Tuy nhiên, nếu người khác có thể truy cập thông tin đăng nhập của bạn, họ cũng có thể thực hiện chính xác quy trình tương tự.
Tất cả mật khẩu của bạn có thể dễ dàng bị lộ nếu bạn không chú ý đến bảo mật tài khoản của mình. Có thể bạn đã tạo một tài khoản Gmail từ rất lâu mà giờ đây đã trở thành tài khoản Google chính, và có thể bạn đã sử dụng một mật khẩu đơn giản mà bạn dùng chung cho nhiều tài khoản vì nó dễ nhớ. Có thể bạn đã bỏ qua các lời nhắc thường xuyên để bật MFA cho tài khoản của mình, và có thể bạn luôn duy trì trạng thái đăng nhập. Nghe có vẻ nhiều điều kiện, nhưng đây không phải là điều quá khó hình dung khi xem xét các mật khẩu như “123456” và “password” liên tục xuất hiện là những mật khẩu được sử dụng rộng rãi nhất trong các vụ rò rỉ dữ liệu.
Chỉ cần một tài khoản bị quên với mật khẩu tái sử dụng bị xâm phạm trong một vụ rò rỉ dữ liệu, và đột nhiên, tất cả những mật khẩu được lưu trữ trong trình duyệt của bạn đều có nguy cơ bị lộ. Đó là một điểm yếu duy nhất, và thật không may, nó không phải lúc nào cũng nhận được sự chú ý xứng đáng. Nếu bạn đang lưu trữ mật khẩu trong trình duyệt của mình, bạn bắt buộc phải sử dụng một mật khẩu dài, duy nhất cho tài khoản đó và bật MFA. Đó là chìa khóa tổng thể giữ tất cả các chìa khóa khác.
Đó là góc độ bảo mật, nhưng cũng có một số vấn đề về khả năng sử dụng với trình quản lý mật khẩu trình duyệt. Bạn không thể lưu trữ một số loại tài liệu nhạy cảm như ghi chú bảo mật, và việc chia sẻ mật khẩu một cách an toàn là không thể. Nhiều trình quản lý mật khẩu bên thứ ba cũng bao gồm các cảnh báo tài khoản sẽ thông báo cho bạn khi một tài khoản bị xâm phạm, để bạn có thể cập nhật mật khẩu của mình kịp thời.
Thực tế đáng lo ngại: Trình quản lý mật khẩu trình duyệt kém an toàn hơn bạn nghĩ
Mật khẩu (đã mã hóa) được lưu trữ cục bộ trên thiết bị của bạn
Bạn có thể đã nghe nói rằng các trình quản lý mật khẩu trình duyệt lưu trữ mật khẩu của bạn cục bộ trên thiết bị, và điều đó là đúng. Nếu bạn đã cài đặt Chrome, bạn có thể dễ dàng truy cập tệp này qua Windows. Hãy truy cập Users/[tên_người_dùng]/AppData/Local/Google/Chrome/User Data/Default và cuộn xuống tệp Login Data. Đây là một cơ sở dữ liệu SQLite, và nó chứa dữ liệu đăng nhập của bạn, đúng như tên gọi của tệp. Nếu bạn quay lại thư mục User Data một cấp, bạn cũng có thể tìm thấy tệp Local State, tệp này bao gồm khóa mã hóa.
Với hai tệp này, một vài phụ thuộc, và một script Python có sẵn miễn phí, bạn có thể xem tất cả các mật khẩu được lưu trữ trong Chrome chỉ trong vài phút. Điều này dễ dàng đến mức đáng kinh ngạc, và nếu bạn đã lưu trữ mật khẩu trong trình duyệt của mình một thời gian, tôi khuyên bạn nên dành vài phút để thực hiện quy trình này. Nó sẽ nhanh chóng cho bạn thấy mật khẩu của bạn không an toàn đến mức nào. Nếu bạn muốn xem một cuộc trình diễn, bạn có thể xem nhà bảo mật nổi tiếng trên YouTube, John Hammond, thực hiện quy trình này trong video dưới đây.
Tôi đang sử dụng Chrome làm ví dụ ở đây vì đây là trình duyệt phổ biến nhất thế giới, nhưng có nhiều dự án mã nguồn mở phổ biến khác có thể dễ dàng trích xuất và giải mã dữ liệu từ trình duyệt của bạn. HackBrowserData là một dự án như vậy đã tồn tại vài năm, và nó có thể trích xuất mật khẩu, thẻ tín dụng, lịch sử và về cơ bản là bất kỳ thứ gì khác được lưu trữ trong trình duyệt của bạn. Và nó hoạt động trên mọi thứ, từ Chrome và Microsoft Edge đến Opera và Brave, thậm chí cả các trình duyệt chuyên biệt hơn như Yandex và Vivaldi.
Khi bạn lưu trữ mật khẩu của mình trong trình duyệt, chúng được mã hóa, và mã hóa đó rất mạnh. Nhưng khi mọi thứ bạn cần để giải mã mật khẩu đều được lưu trữ cục bộ, điều đó làm suy yếu tính bảo mật ngay từ đầu.
Vấn đề với hệ thống này là không có yêu cầu xác thực bổ sung. Nếu bạn có quyền truy cập vào các tệp và hiểu biết kỹ thuật, bạn có quyền truy cập vào mật khẩu. Các trình quản lý mật khẩu bên thứ ba yêu cầu bạn thực hiện nhiều bước hơn. Ví dụ, 1Password sử dụng mật khẩu chính (master password) cùng với khóa bí mật (secret key). Khóa bí mật xác thực thiết bị của bạn và nó được lưu trữ cục bộ. Tuy nhiên, bạn vẫn không thể truy cập tài khoản của mình nếu không có mật khẩu chính, mật khẩu này không được lưu trữ cục bộ. Kho chứa dữ liệu của bạn được bảo mật bằng khóa bí mật, được mã hóa bằng mật khẩu chính của bạn. Thay vì so khớp mật khẩu chính, 1Password sẽ tạo ra một khóa từ mật khẩu bạn nhập, cố gắng giải mã khóa bí mật, và sau đó cố gắng giải mã kho dữ liệu của bạn. Nếu quá trình giải mã hoạt động, mật khẩu chính là đúng, và nếu thất bại, mật khẩu chính là sai. Nó không bao giờ được lưu trữ ở bất kỳ đâu.
Việc phân tán các yếu tố cần thiết cho việc giải mã có nghĩa là dữ liệu của bạn vốn đã an toàn hơn. Không giống như trình quản lý mật khẩu trình duyệt, nơi quyền truy cập cục bộ và vài phút là tất cả những gì bạn cần để mở khóa toàn bộ kho dữ liệu, một công cụ như 1Password sẽ vẫn bị khóa cho đến khi bạn nhập mật khẩu chính của mình, mật khẩu này không được lưu trữ cục bộ (hoặc bất cứ nơi nào khác). Tôi đề cập đến 1Password ở đây vì đó là công cụ tôi cá nhân sử dụng, nhưng có rất nhiều trình quản lý mật khẩu tuyệt vời khác như Bitwarden, cũng như các trình quản lý mật khẩu bạn có thể tự lưu trữ như KeePass và PassBolt.
Nhiều cấp độ bảo mật khác biệt
Trình quản lý mật khẩu trình duyệt không phải là xấu về bản chất, nhưng sự tiện lợi mà các trình duyệt hiện đại mang lại cũng làm dữ liệu của bạn dễ bị tổn thương bởi các lỗ hổng nhất định. Bạn hoàn toàn có thể giữ an toàn cho mình khi sử dụng trình quản lý mật khẩu trình duyệt bằng một số biện pháp bảo mật đơn giản, từ việc bật MFA cho tài khoản trình duyệt của bạn đến việc khóa chặt quyền truy cập cục bộ vào PC. Nhưng nếu bạn muốn có bảo mật tốt nhất, và bạn không ngại thực hiện thêm một vài bước để đạt được điều đó, thì việc sử dụng một trình quản lý mật khẩu bên thứ ba là lựa chọn tối ưu của bạn.
