Bạn không thể lướt web mà không bắt gặp một trình quản lý mật khẩu tích hợp sẵn trong trình duyệt của mình. Các trình duyệt đã cung cấp tính năng quản lý mật khẩu từ nhiều năm nay, và nền tảng được xây dựng từ hơn một thập kỷ trước đã phát triển thành một hệ thống bảo mật có thể hoạt động liền mạch trên các thiết bị của bạn, giúp bạn đăng nhập vào tất cả tài khoản một cách dễ dàng.
Tuy nhiên, trình quản lý mật khẩu trình duyệt không hoàn hảo. Mặc dù bạn có thể cải thiện đáng kể an ninh mạng của mình bằng cách sử dụng chúng, nhưng vẫn còn một số lỗ hổng bảo mật đáng lo ngại cần được cân nhắc kỹ lưỡng.
Ưu điểm của trình quản lý mật khẩu trình duyệt: Bảo mật cơ bản cho mọi người
Tốt hơn nhiều so với việc ghi chú mật khẩu thủ công
Trước khi đánh giá thấp hoàn toàn các trình quản lý mật khẩu tích hợp trình duyệt, có một điều rất quan trọng cần ghi nhớ: một chút bảo mật vẫn tốt hơn là không có gì. Nếu bạn hoặc người thân đang có thói quen ghi mật khẩu ra giấy nhớ, hoặc tệ hơn là tái sử dụng cùng một mật khẩu yếu cho tất cả các tài khoản, thì việc lưu trữ các mật khẩu duy nhất và mạnh trong trình duyệt vẫn là một giải pháp vượt trội. Mặc dù có những vấn đề với trình quản lý mật khẩu trình duyệt mà chúng ta sẽ đi sâu hơn, nhưng nếu sự tiện lợi của chúng khuyến khích bạn sử dụng các mật khẩu dài, ngẫu nhiên và độc đáo cho các tài khoản trực tuyến của mình, thì điều đó chắc chắn sẽ tốt hơn cho an ninh mạng của bạn.
Các trình quản lý mật khẩu trình duyệt đã được cải thiện đáng kể trong vài năm qua, cả về bảo mật lẫn tính dễ sử dụng. Về mặt bảo mật, Google đã tiếp tục thúc đẩy Xác thực đa yếu tố (MFA) cho tài khoản Google của bạn. Vì vậy, nếu bạn đang sử dụng Chrome, bạn sẽ cần mật khẩu cùng với một ứng dụng xác minh, mã dự phòng, hoặc phổ biến nhất là thông báo đẩy trên một thiết bị đáng tin cậy để mở khóa tài khoản của mình. Bên cạnh đó là sự phổ biến của Passkey, cho phép xác thực không cần mật khẩu trên các thiết bị đáng tin cậy, cũng như các khóa bảo mật phần cứng đã được chứng minh hiệu quả như YubiKey.
Về mặt khả năng sử dụng, bạn hiện có thể lưu trữ nhiều thông tin hơn trong trình duyệt so với trước đây. Mặc dù trọng tâm chính ở đây là mật khẩu, nhưng tính chất dựa trên tài khoản của trình quản lý mật khẩu trình duyệt cũng có nghĩa là bạn có quyền truy cập vào các chi tiết như thông tin thẻ tín dụng ngay trong trình duyệt của mình.
Trình quản lý mật khẩu Google Chrome đang hiển thị danh sách các mật khẩu đã lưu với tùy chọn tìm kiếm và thêm mật khẩu mới.
Điều quan trọng nhất về trình quản lý mật khẩu trình duyệt là nó luôn hiện hữu trước mắt bạn. Bạn được khuyến khích sử dụng các mật khẩu khác nhau cho tất cả tài khoản và lưu trữ chúng trong một cơ sở dữ liệu được mã hóa. Mặc dù có những vấn đề với cơ sở dữ liệu này, cũng như việc liên kết tất cả thông tin này với một tài khoản duy nhất, nhưng nó vẫn tốt hơn là không có gì cả.
Nhược điểm: Mức độ an toàn của mật khẩu chỉ bằng chính trình duyệt (và tài khoản) của bạn
Tiện lợi cũng đồng nghĩa với dễ dàng truy cập
Điều quan trọng là phải nhớ rằng bất cứ thứ gì bạn có thể truy cập trong trình duyệt của mình, người khác cũng có thể truy cập được. Đó là nguyên tắc cơ bản cần ghi nhớ khi xem xét tính bảo mật của các trình quản lý mật khẩu tích hợp trình duyệt. Nếu ai đó có thể truy cập trình duyệt của bạn hoặc tài khoản mà bạn sử dụng trong trình duyệt để lưu và tạo mật khẩu, họ có thể mở khóa tất cả mọi thứ.
Đây là một ví dụ giả định để bạn hình dung về những gì có thể xảy ra với trình quản lý mật khẩu trình duyệt. Nếu bạn đang sử dụng một trình duyệt như Chrome, mọi thứ đều được liên kết với tài khoản Google của bạn: lịch sử duyệt web, mật khẩu, cookie, cài đặt tài khoản và nhiều hơn nữa. Điều này thật tuyệt vời về mặt tiện lợi vì bạn có thể cài đặt Chrome trên một thiết bị mới, đăng nhập vào tài khoản của mình và có tất cả dữ liệu sẵn sàng chỉ trong vòng một phút. Tuy nhiên, nếu người khác có thể truy cập thông tin đăng nhập của bạn, họ có thể thực hiện chính xác quy trình tương tự.
Trang quản lý tài khoản Google trên một chiếc laptop, hiển thị các tùy chọn bảo mật và dữ liệu cá nhân.
Bạn có thể dễ dàng bị lộ tất cả mật khẩu nếu không kiểm soát chặt chẽ bảo mật tài khoản của mình. Có thể bạn đã tạo một tài khoản Gmail từ rất lâu và giờ đây nó đã trở thành tài khoản Google chính của bạn, và có thể bạn đã sử dụng một mật khẩu đơn giản mà bạn dùng chung cho nhiều tài khoản vì nó dễ nhớ. Có thể bạn đã bỏ qua các lời nhắc thường xuyên để bật MFA cho tài khoản của mình, và có thể bạn luôn duy trì trạng thái đăng nhập. Nghe có vẻ nhiều điều kiện, nhưng điều này không hề khó tưởng tượng khi xem xét các mật khẩu như “123456” và “password” liên tục xuất hiện là những mật khẩu được sử dụng rộng rãi nhất trong các vụ rò rỉ dữ liệu.
Chỉ cần một tài khoản bị lãng quên với mật khẩu được tái sử dụng bị xâm phạm trong một vụ rò rỉ, và đột nhiên, tất cả các mật khẩu được lưu trữ trong trình duyệt của bạn đều có thể bị truy cập. Đó là một điểm lỗi duy nhất, và một điểm mà, thật không may, không phải lúc nào cũng nhận được sự chú ý xứng đáng. Nếu bạn đang lưu trữ mật khẩu trong trình duyệt, bạn phải sử dụng một mật khẩu dài, độc đáo cho tài khoản của mình và bật MFA. Đó là chìa khóa chính giữ tất cả các chìa khóa khác.
Đó là góc độ bảo mật, nhưng cũng có một số vấn đề về khả năng sử dụng với trình quản lý mật khẩu trình duyệt. Bạn không thể lưu trữ một số loại tài liệu nhạy cảm như ghi chú bảo mật, và việc chia sẻ mật khẩu của bạn một cách an toàn là điều không khả thi. Nhiều trình quản lý mật khẩu bên thứ ba cũng bao gồm các cảnh báo tài khoản sẽ thông báo cho bạn khi một tài khoản bị xâm phạm, để bạn có thể cập nhật mật khẩu tương ứng.
Thực trạng đáng lo ngại: Trình quản lý mật khẩu trình duyệt kém an toàn hơn bạn nghĩ
Mật khẩu của bạn (đã mã hóa) được lưu trữ cục bộ
Bạn có thể đã nghe nói rằng trình quản lý mật khẩu trình duyệt lưu trữ mật khẩu của bạn cục bộ trên thiết bị, và điều đó là đúng. Nếu bạn đã cài đặt Chrome, bạn có thể dễ dàng truy cập tệp này qua Windows. Hãy truy cập Users/[tên người dùng]/AppData/Local/Google/Chrome/User Data/Default và cuộn xuống tệp Login Data. Đây là một cơ sở dữ liệu SQLite, và nó chứa dữ liệu đăng nhập của bạn, đúng như tên tệp gợi ý. Nếu bạn quay lại thư mục User Data, bạn cũng có thể tìm thấy tệp Local State, tệp này bao gồm khóa mã hóa.
Với hai tệp này, một vài thư viện phụ thuộc và một script Python có sẵn miễn phí, bạn có thể xem tất cả các mật khẩu được lưu trữ trong Chrome chỉ trong vài phút. Thật đáng kinh ngạc về sự dễ dàng này, và nếu bạn đã lưu trữ mật khẩu trong trình duyệt một thời gian, tôi khuyên bạn nên dành vài phút để thực hiện quy trình này. Nó sẽ nhanh chóng cho bạn thấy mật khẩu của bạn không an toàn đến mức nào. Nếu bạn muốn xem một video minh họa, bạn có thể xem YouTuber bảo mật nổi tiếng John Hammond thực hiện quy trình này.
Chúng tôi đang sử dụng Chrome làm ví dụ ở đây vì đây là trình duyệt phổ biến nhất thế giới, nhưng có nhiều dự án mã nguồn mở phổ biến khác có thể dễ dàng trích xuất và giải mã dữ liệu từ trình duyệt của bạn. HackBrowserData là một dự án như vậy đã tồn tại vài năm, và nó có thể trích xuất mật khẩu, thẻ tín dụng, lịch sử duyệt web và về cơ bản là bất kỳ thứ gì khác được lưu trữ trong trình duyệt của bạn. Và nó hoạt động trên mọi trình duyệt từ Chrome và Microsoft Edge đến Opera và Brave cho đến cả các trình duyệt chuyên biệt hơn như Yandex và Vivaldi.
Khi bạn lưu trữ mật khẩu trong trình duyệt, chúng được mã hóa, và quá trình mã hóa đó rất mạnh. Nhưng khi mọi thứ bạn cần để giải mã mật khẩu đều được lưu trữ cục bộ, điều đó sẽ làm suy yếu tính bảo mật ngay từ đầu.
Vấn đề với hệ thống này là không có yêu cầu xác thực bổ sung nào. Nếu bạn có quyền truy cập vào các tệp và hiểu biết kỹ thuật, bạn có quyền truy cập vào mật khẩu. Các trình quản lý mật khẩu của bên thứ ba yêu cầu bạn phải vượt qua nhiều rào cản hơn. Ví dụ, 1Password sử dụng một mật khẩu chính (master password) cùng với một khóa bí mật (secret key). Khóa bí mật xác thực thiết bị của bạn và nó được lưu trữ cục bộ. Tuy nhiên, bạn vẫn không thể truy cập tài khoản của mình nếu không có mật khẩu chính, mật khẩu này không được lưu trữ cục bộ. Kho chứa dữ liệu của bạn được bảo vệ bằng khóa bí mật, khóa này được mã hóa bằng mật khẩu chính của bạn. Thay vì so khớp mật khẩu chính, 1Password sẽ tạo một khóa từ bất kỳ mật khẩu nào bạn nhập, cố gắng giải mã khóa bí mật, và sau đó cố gắng giải mã kho dữ liệu của bạn. Nếu giải mã thành công, mật khẩu chính là đúng, và nếu thất bại, mật khẩu chính là sai. Mật khẩu chính không bao giờ được lưu trữ ở bất kỳ đâu.
Việc phân tán các yếu tố cần thiết cho quá trình giải mã có nghĩa là dữ liệu của bạn vốn đã an toàn hơn. Không giống như trình quản lý mật khẩu trình duyệt, nơi quyền truy cập cục bộ và vài phút là tất cả những gì bạn cần để mở khóa toàn bộ kho dữ liệu, một công cụ như 1Password sẽ vẫn bị khóa cho đến khi bạn nhập mật khẩu chính của mình, mật khẩu này không được lưu trữ cục bộ (hoặc ở bất kỳ đâu). Chúng tôi đang đề cập đến 1Password ở đây vì đó là công cụ cá nhân mà người viết bài sử dụng, nhưng có rất nhiều trình quản lý mật khẩu tuyệt vời khác như Bitwarden, cũng như các trình quản lý mật khẩu tự lưu trữ (self-hosted) như KeePass và PassBolt.
Kết luận: Tùy chọn bảo mật nào là tốt nhất cho bạn?
Trình quản lý mật khẩu tích hợp trình duyệt không hoàn toàn tệ, nhưng sự tiện lợi mà các trình duyệt hiện đại mang lại cũng khiến dữ liệu của bạn dễ bị tổn thương trước một số lỗ hổng nhất định. Bạn có thể tự bảo vệ mình khi sử dụng trình quản lý mật khẩu trình duyệt bằng một số biện pháp bảo mật đơn giản, bao gồm bật MFA cho tài khoản trình duyệt của bạn và khóa chặt quyền truy cập cục bộ vào PC của bạn. Nhưng nếu bạn muốn có mức độ bảo mật tốt nhất và bạn không ngại phải thực hiện thêm một vài bước để đạt được điều đó, thì việc sử dụng trình quản lý mật khẩu của bên thứ ba là lựa chọn tốt nhất của bạn.
Hãy chia sẻ ý kiến của bạn về việc quản lý mật khẩu trên trình duyệt và các giải pháp bảo mật khác. Đâu là lựa chọn bạn ưu tiên để bảo vệ thông tin cá nhân trên môi trường số?
