Trình quản lý mật khẩu có thực sự giữ tài khoản của bạn an toàn không?

Hãy tưởng tượng mang theo một chìa khóa để mở khóa mọi cánh cửa, nhà, văn phòng và xe hơi. Nó là thuận tiện, nhưng đằng sau sự thuận tiện đó nằm ở những rủi ro ẩn giấu. Đây là cách các nhà quản lý mật khẩu hoạt động và những gì bạn cần biết để sử dụng chúng một cách an toàn trên điện thoại, máy tính bảng hoặc Chromebook của bạn.

Có liên quan

5 người quản lý mật khẩu mà cá nhân tôi giới thiệu

Người quản lý mật khẩu tôi thề bởi

Cách người quản lý mật khẩu bảo vệ và quản lý đăng nhập của bạn

Trình quản lý mật khẩu tạo, lưu trữ và mật khẩu tự động cho các trang web và ứng dụng. Họ cần một mật khẩu chính để truy cập một kho mật khẩu được mã hóa. Vault lưu trữ dữ liệu cục bộ hoặc trong đám mây và bản lưu trữ đám mây đồng bộ hóa mật khẩu trên các thiết bị.

Mã hóa bằng cách sử dụng AES-256 chuyển đổi mật khẩu thành mã không thể đọc được mà chỉ mật khẩu chính mới có thể giải mã. Ngay cả khi các máy chủ bị vi phạm, dữ liệu được mã hóa vẫn an toàn trừ khi những kẻ tấn công nhận được mật khẩu chính. Tuy nhiên, sử dụng trình quản lý mật khẩu không có rủi ro.

Những rủi ro của việc dựa vào một mật khẩu để bảo mật mọi thứ

Mặc dù Trình quản lý mật khẩu đơn giản hóa việc quản lý mật khẩu mạnh, nó tạo ra một điểm thất bại duy nhất. Với quản lý mật khẩu truyền thống, mỗi tài khoản sử dụng mật khẩu duy nhất, do đó, vi phạm chỉ ảnh hưởng đến tài khoản đó. Với trình quản lý mật khẩu, một mật khẩu chính bảo vệ tất cả các tài khoản.

Nếu kẻ tấn công nhận được mật khẩu chính thông qua keylogging, lướt vai hoặc kỹ thuật xã hội, họ sẽ truy cập tất cả các tài khoản. Sự tập trung rủi ro này làm cho việc bảo vệ mật khẩu chính quan trọng. Nếu mật khẩu chính được sử dụng lại hoặc yếu, rủi ro sẽ tăng lên.

Những rủi ro tiềm ẩn của việc tin tưởng một công ty với thông tin đăng nhập của bạn

Các mối đe dọa nội bộ là một vấn đề khác. Các nhà quản lý mật khẩu thường dựa vào các dịch vụ của bên thứ ba (như nhà cung cấp lưu trữ đám mây) và vi phạm trong các dịch vụ này có thể ảnh hưởng đến dữ liệu người dùng. Hơn nữa, nhân viên hoặc nhà thầu có quyền truy cập hệ thống có thể lạm dụng các đặc quyền hoặc bị ép buộc để tiết lộ dữ liệu nhạy cảm.

Người dùng cho rằng công ty xử lý các vi phạm trong suốt. Tuy nhiên, các công ty khác nhau về tính minh bạch về thực tiễn bảo mật. Chủ sở hữu mới có thể áp dụng các chính sách bảo mật hoặc tiêu chuẩn bảo mật khác nhau trong quá trình sáp nhập hoặc mua lại. Thiếu kiểm soát xử lý dữ liệu liên quan đến người dùng có đầu óc riêng tư do sự phụ thuộc vào sự tin tưởng của bên thứ ba.

Bởi vì người quản lý mật khẩu lưu trữ thông tin đăng nhập cho hàng tá tài khoản, chúng trở thành mục tiêu có giá trị cao. Các sự cố gần đây, bao gồm Vi phạm Lastpass tháng 12 năm 2022, đã gây lo ngại. Tin tặc truy cập vào kho tiền được mã hóa và siêu dữ liệu.

Mặc dù mã hóa làm cho mật khẩu không thể sử dụng được mà không có mật khẩu chính, vi phạm ở phần cuối của người quản lý vẫn gây ra rủi ro. Những kẻ tấn công có thể truy cập dữ liệu về tài khoản trang web của người dùng và hành vi trực tuyến cho các cuộc tấn công được nhắm mục tiêu hoặc kỹ thuật xã hội. Nếu những kẻ tấn công truy cập các khóa mã hóa (hiếm khi quản lý thích hợp), chúng có thể giải mã dữ liệu người dùng sau.

Có liên quan

Kiểm soát trở lại: Hướng dẫn nhanh về ngăn chặn vi phạm dữ liệu

Luôn luôn là một ý tưởng tốt để nhận thức được các vi phạm dữ liệu mới nhất

Rủi ro của sự tự tin quá mức khi sử dụng người quản lý mật khẩu

Người quản lý mật khẩu có thể tạo ra một cảm giác bảo mật sai lầm. Những công cụ này tự động sử dụng mật khẩu, vì vậy người dùng cho rằng chúng được bảo vệ đầy đủ. Sự tự tin quá mức này dẫn đến sự tự mãn trong các lĩnh vực an toàn trực tuyến khác.

Người dùng có thể ngừng xem xét kỹ lưỡng các URL, giả sử tự động trình quản lý mật khẩu của họ chỉ các trang web hợp pháp hoặc tệ hơn, có thể bỏ qua việc cập nhật mật khẩu yếu, lỗi thời hoặc sử dụng lại. Một số người quản lý cung cấp kiểm toán bảo mật hoặc cảnh báo cho thông tin đăng nhập bị xâm phạm, nhưng người dùng phải hành động theo chúng. Bỏ qua các cảnh báo hoặc kiểm tra thường xuyên bỏ qua các tài khoản dễ bị tổn thương.

Rủi ro khi sử dụng Trình quản lý mật khẩu miễn phí hoặc không đáng tin cậy

Không phải tất cả người quản lý mật khẩu đều bình đẳng. Các nhà cung cấp hàng đầu cung cấp các biện pháp và tính năng bảo mật mạnh mẽ. Người quản lý mật khẩu kém đáng tin cậy dễ bị hack hơn. Người dùng phải thận trọng khi sử dụng người quản lý mật khẩu miễn phí. Mặc dù một số người quản lý miễn phí với các phiên bản trả phí là đáng tin cậy, những người khác có thể thiếu tài nguyên để đảm bảo bảo mật.

Suy nghĩ hai lần trước khi lưu trữ mật khẩu trong trình duyệt của bạn

Các trình quản lý mật khẩu trình duyệt tích hợp, chẳng hạn như các trình quản lý Chrome, Safari, Edge và Firefox, thuận tiện nhưng thiếu bảo mật của các công cụ chuyên dụng. Hầu hết các nhà quản lý dựa trên trình duyệt thiếu mã hóa kiến ​​thức không, vì vậy các nhà cung cấp có thể truy cập dữ liệu được lưu trữ của bạn. Các nhà quản lý độc lập sử dụng mã hóa không hiểu biết, ngăn chặn ngay cả nhà cung cấp dịch vụ đã giải mã kho tiền của bạn.

Nếu không có sự bảo vệ này, các nhà cung cấp trình duyệt có thể bị buộc phải tiết lộ dữ liệu người dùng trong các cuộc điều tra pháp lý hoặc phơi bày nó trong quá trình vi phạm. Hơn nữa, bất kỳ ai có quyền truy cập đều có thể xem mật khẩu được lưu trữ nếu thiết bị của bạn thiếu mật khẩu hệ thống hoặc xác thực sinh trắc học.

Rủi ro này tăng lên trên máy chia sẻ hoặc công cộng. Mã hóa từ đầu đến cuối cho mật khẩu được đồng bộ hóa không phải lúc nào cũng được đảm bảo hoặc minh bạch. Một số trình duyệt đồng bộ hóa mật khẩu bằng thông tin đăng nhập tài khoản chính của bạn (ví dụ: Google hoặc Apple ID), có thể thiếu xác thực đa yếu tố (MFA). Kẻ tấn công có thể truy cập tất cả các thông tin xác thực của bạn trên các thiết bị nếu tài khoản đó bị xâm phạm. Xuất mật khẩu của bạn vào tệp CSV và nhập tệp vào trình quản lý mật khẩu mới.

Có liên quan

6 lý do tôi đã từ bỏ Trình quản lý mật khẩu của Google

Đây là lý do tại sao tôi bỏ đi

Trình quản lý mật khẩu chỉ an toàn nếu được sử dụng một cách khôn ngoan

Người quản lý mật khẩu có hiệu quả nếu được sử dụng chính xác. Các nghiên cứu cho thấy mật khẩu yếu gây ra 80% vi phạm và người quản lý mật khẩu giảm thiểu rủi ro này. Nhiều người quản lý tích hợp MFA để bảo vệ thêm ngoài mật khẩu chính. Tuy nhiên, họ hoạt động tốt nhất với sự cảnh giác, hoài nghi đối với các thông điệp và liên kết lừa đảo, bảo mật thiết bị mạnh mẽ và MFA nhất quán. Không có những thực hành này, ngay cả người quản lý mật khẩu tốt nhất cũng có thể phơi bày người dùng.