Bài học rút ra chính
- Google đã cập nhật trình quản lý mật khẩu được tích hợp trong trình duyệt web Chrome và hệ điều hành Android.
- Công ty tuyên bố các tính năng mới mang nó đến gần hơn với những người quản lý mật khẩu của bên thứ ba.
- Tuy nhiên,Các chuyên gia bảo mật cảnh báo không nên lưu trữ thông tin đăng nhập bên trong trình duyệt web.
Như thường lệ đối với công nghệ, sự tiện lợi đi kèm với sự an toàn.
Google đã thêm các tính năng hữu ích vào trình quản lý mật khẩu tích hợp trong Chrome và Android để biến nó thành một giải pháp thay thế thực sự cho các trình quản lý mật khẩu chuyên dụng. Tuy nhiên, điều này vẫn chưa đủ để thuyết phục các chuyên gia bảo mật tin tưởng các trình duyệt lưu trữ mật khẩu.
"Tôi không phải là người thích lưu trữ mật khẩu trong bất kỳ trình duyệt web nào", Chris Hauk, nhà vô địch về quyền riêng tư của người tiêu dùng tại Pixel Privacy, nói với Lifewire qua email. "Tuy nhiên, điều này đặc biệt đúng với một trình duyệt như Chrome, trình duyệt đã bị nhiều vi phạm về bảo mật và quyền riêng tư trong quá khứ."
Công cụ sai cho công việc
Trong một cuộc trao đổi qua email với Lifewire, Dahvid Schloss, Trưởng nhóm Quản lý, Bảo mật Tấn công, tại Echelon Risk + Cyber, cho biết việc triển khai trình quản lý mật khẩu google dường như tạo ra một ứng dụng rất dễ sử dụng để chia sẻ giữa các thiết bị của người dùng. "Nhưng vào cuối ngày, ứng dụng chỉ an toàn như thiết bị kém an toàn nhất sử dụng nó."
Stephanie Benoit-Kurtz, Trưởng Khoa Hệ thống Thông tin và Công nghệ tại Đại học Phoenix, đã đồng ý. Trong một email, cô ấy nói với Lifewire rằng mặc dù các trình duyệt đã đi một chặng đường dài trong việc cung cấp cho người dùng trải nghiệm đơn giản hóa khi lưu trữ thông tin đăng nhập và mật khẩu vào các trang web, nhưng việc sử dụng chúng để lưu trữ mật khẩu là một con đường trơn trượt.
Benoit-Kurtz đặc biệt chỉ ra hai vấn đề với việc lưu trữ mật khẩu trong trình duyệt. Đầu tiên là mã hóa, vì trình duyệt web phụ thuộc vào cấu hình thiết bị để cài đặt mã hóa. Cô cho biết người dùng nói chung không đánh giá hết tầm quan trọng của mã hóa trong việc bảo vệ thiết bị của họ.
"Thách thức thứ hai là nếu một thiết bị có cài đặt trình duyệt của bạn bị đánh cắp hoặc rơi vào tay người khác thông qua việc hack, kẻ xấu có thể có quyền truy cập vào tất cả dữ liệu đăng nhập và mật khẩu vào hệ thống", Benoit-Kurtz nói.
Cô ấy cũng thừa nhận rằng mặc dù các trình duyệt đã trải qua một chặng đường dài về bảo mật, nhưng mọi người vẫn cần cập nhật tất cả các bản vá và bảo trì cần thiết để giữ cho chúng an toàn. Thậm chí sau đó, không có mối đe dọa nào trong ngày có thể khiến các trình duyệt được cập nhật đầy đủ dễ bị tấn công.
Schloss thừa nhận rằng mặc dù anh ấy chưa thử nghiệm trình quản lý mật khẩu được cập nhật của Chrome, nhưng có vẻ như đây không phải là một mô-đun bổ trợ cho Chrome.
"Điều này có nghĩa là rất có thể điều này sẽ không giải quyết được vấn đề lưu trữ văn bản thuần túy đã và đang bị lạm dụng bởi các tác nhân đe dọa", Schloss giải thích, "dẫn đến tất cả mật khẩu của bạn bị vi phạm nếu tác nhân đe dọa đã có trên thiết bị của bạn."
… ứng dụng chỉ an toàn như thiết bị kém an toàn nhất sử dụng nó.
Gọi cho Chuyên gia
Thay vì sử dụng trình duyệt để lưu trữ thông tin đăng nhập, các chuyên gia của chúng tôi khuyên bạn nên sử dụng các công cụ chuyên dụng được tạo rõ ràng để lưu trữ mật khẩu.
"Để có tùy chọn an toàn hơn, hãy đánh giá công nghệ tiên tiến hơn như kho mật khẩu để giữ thông tin đăng nhập và mật khẩu an toàn", Benoit-Kurtz đề xuất. "Những công cụ này thường được bán dưới dạng đăng ký và cung cấp mã hóa, xác thực đa yếu tố (MFA) và các công nghệ khác cần thiết để bảo vệ thông tin đăng nhập và mật khẩu."
Hauk dựa vào trình quản lý mật khẩu 1Password, công cụ này hoạt động trên hầu hết các nền tảng và ứng dụng phổ biến và lưu trữ an toàn thông tin đăng nhập trong cơ sở dữ liệu được mã hóa tốt.
"Trình quản lý mật khẩu cho phép bạn tạo mật khẩu mạnh, phức tạp mà không cần bộ nhớ của một con voi", Schloss nói, "và hầu hết chúng cung cấp một số mức độ giám sát vi phạm để cho bạn biết khi nào bạn cần thay đổi trang web mật khẩu."
Schloss sử dụng Keeper và Last Pass cho các thiết bị gia đình và cơ quan của anh ấy, nhưng gợi ý rằng mặc dù cả hai đều có lợi thế riêng, nhưng hầu hết mọi người không cần sử dụng hai trình quản lý mật khẩu.
Anh ấy lập luận rằng hầu hết các thiết bị phổ biến đều có hỗ trợ thiết bị chéo giúp họ sử dụng thuận tiện. Mặc dù nhiều người lưu trữ thông tin đăng nhập của bạn trên máy chủ của bên thứ ba, nhưng dữ liệu được mã hóa từ đầu đến cuối, có nghĩa là mật khẩu của bạn vẫn an toàn ngay cả khi tin tặc xâm phạm máy chủ của trình quản lý mật khẩu của bạn.
"Điều đó đang được nói, bất kỳ trình quản lý mật khẩu nào tốt hơn là không có trình quản lý mật khẩu", Schloss khuyên. Ông chỉ ra rằng việc sử dụng lại mật khẩu nguy hiểm hơn rất nhiều và là một thói quen tồi tệ để tạo thành thói quen.
"Ví dụ: trong trường hợp một trang web bị xâm phạm và các tác nhân đe dọa có được quyền truy cập vào mật khẩu của bạn, chúng có thể sử dụng chính mật khẩu đó để truy cập vào các tài khoản khác của bạn", Schloss cảnh báo. "Bạn đã đưa cho họ chìa khóa vào lâu đài của bạn tại thời điểm đó."