Người dùng internet trung bình có khoảng 168 mật khẩu cho các tài khoản cá nhân, theo một nghiên cứu năm 2024 — tăng 68% so với bốn năm trước. Vì chia sẻ cùng một mật khẩu cho nhiều tài khoản, hoặc dùng mật khẩu dễ đoán, đều tiềm ẩn rủi ro bảo mật, hầu hết chúng ta cần trợ giúp để quản lý việc đăng nhập. Trình quản lý mật khẩu giúp lưu trữ và sử dụng lại những mật khẩu dài, mạnh và độc nhất cho từng tài khoản.
Tuy vậy, điều này không có nghĩa là trình quản lý mật khẩu là giải pháp hoàn hảo hay bạn có thể giảm cảnh giác. Bởi chúng nắm giữ ‘chìa khóa’ cho đời sống số của chúng ta, chúng cũng trở thành mục tiêu phổ biến của tội phạm mạng. Dưới đây là sáu rủi ro tiềm ẩn và một số cách giảm thiểu.
6 rủi ro bảo mật phổ biến với trình quản lý mật khẩu
Khi kẻ tấn công có được thông tin đăng nhập trong trình quản lý mật khẩu của bạn, chúng có thể chiếm quyền tài khoản để giả mạo danh tính, hoặc bán quyền truy cập/mật khẩu cho người khác. Vì vậy chúng luôn tìm cách nhắm vào bạn. Hãy cảnh giác với các rủi ro sau:
1) Bị lộ “mật khẩu chủ” (master password)
Ưu điểm của trình quản lý mật khẩu là chỉ với một mật khẩu dễ nhớ, bạn có thể mở “kho” chứa toàn bộ thông tin đăng nhập. Vấn đề là nếu tội phạm mạng chiếm được mật khẩu chủ này, chúng sẽ có quyền truy cập tương tự như bạn. Điều này có thể xảy ra qua:
- Tấn công “brute-force”: dùng công cụ tự động thử nhiều mật khẩu liên tục đến khi đúng.
- Khai thác lỗ hổng phần mềm của trình quản lý mật khẩu.
- Dụ người dùng vào trang giả mạo (phishing), như phần dưới.
2) Lừa đảo/phishing qua quảng cáo
Kẻ xấu từng đăng quảng cáo độc hại trên Google để dẫn nạn nhân tới trang giả, nơi chúng thu thập email, mật khẩu chủ và “secret key” (nếu có). Nguy hiểm ở chỗ quảng cáo trông hợp pháp và hiện lên khi bạn tìm tên trình quản lý mật khẩu. Các trang này giả mạo rất tinh vi:
- Tên miền đánh lừa: “the1password[.]com”, “app1password[.]com” thay vì “1password.com”; hoặc “appbitwarden[.]com” thay vì “bitwarden.com”.
- Khi bạn bấm vào, sẽ thấy trang đăng nhập giống hệt thật, nhưng được thiết kế để đánh cắp thông tin đăng nhập quan trọng của bạn.
3) Phần mềm độc hại chuyên đánh cắp mật khẩu
Tội phạm mạng rất sáng tạo và sẵn sàng phát triển malware để trộm dữ liệu từ trình quản lý mật khẩu. Nghiên cứu của ESET ghi nhận chiến dịch được cho là do nhà nước Triều Tiên hậu thuẫn (“DeceptiveDevelopment”) dùng malware “InvisibleFerret” có lệnh backdoor để trích xuất dữ liệu từ tiện ích trình duyệt và trình quản lý mật khẩu qua Telegram và FTP. Trong số các trình quản lý mật khẩu bị nhắm mục tiêu có 1Password và Dashlane.
- Trong vụ này, malware ẩn trong file nạn nhân tải về trong một quy trình phỏng vấn việc làm giả mạo.
- Mã độc có thể phát tán theo nhiều cách khác: email, tin nhắn, mạng xã hội, v.v.
4) Nhà cung cấp trình quản lý mật khẩu bị xâm nhập
Nhà cung cấp biết họ là “mục tiêu lớn”, nên đầu tư mạnh vào bảo mật. Nhưng chỉ một sai sót cũng đủ mở cửa cho kẻ tấn công. Năm 2022, LastPass gặp kịch bản xấu nhất:
- Tin tặc xâm nhập laptop của một kỹ sư, vào môi trường phát triển, đánh cắp mã nguồn và tài liệu kỹ thuật có chứa thông tin đăng nhập, từ đó truy cập bản sao lưu dữ liệu khách hàng.
- Dữ liệu gồm: thông tin cá nhân và tài khoản (dễ bị lợi dụng cho phishing), danh sách URL trong kho, và tên người dùng/mật khẩu (dù được mã hóa, kẻ tấn công có thể “brute-force” để giải).
- Vụ việc được cho là dẫn đến tổn thất khổng lồ khoảng 150 triệu USD tiền điện tử — một lời cảnh tỉnh rằng cả nhà cung cấp bảo vệ tốt nhất cũng có thể bị breach.
5) Ứng dụng trình quản lý mật khẩu giả mạo
Kẻ xấu lợi dụng sự phổ biến của ứng dụng quản lý mật khẩu để phát tán app giả nhằm đánh cắp mật khẩu hoặc cài malware. Thậm chí App Store của Apple từng để lọt một ứng dụng dạng này vào năm ngoái.
Các app giả thường nhắm đến việc trộm mật khẩu chủ, hoặc âm thầm cài phần mềm đánh cắp thông tin trên thiết bị của bạn.
6) Khai thác lỗ hổng (vulnerability)
Trình quản lý mật khẩu cũng chỉ là phần mềm, mà phần mềm do con người viết thì khó tránh khỏi lỗi bảo mật. Nếu kẻ tấn công phát hiện và khai thác được một lỗ hổng:
- Chúng có thể rút thông tin đăng nhập từ kho mật khẩu.
- Hoặc nhắm vào tiện ích (plugin) trình duyệt của trình quản lý mật khẩu để trộm mật khẩu và cả mã xác thực hai yếu tố (2FA).
- Hoặc khai thác lỗ hổng hệ điều hành thiết bị để làm điều tương tự.
- Bạn cài trên càng nhiều thiết bị, bề mặt tấn công càng lớn.
Cách bảo vệ việc sử dụng trình quản lý mật khẩu
Để tự vệ trước các rủi ro nêu trên, hãy lưu ý những điểm sau:
- Hãy đặt một cụm mật khẩu chủ (master passphrase) thật dài, an toàn và độc nhất. Mẹo nhỏ: dùng bốn từ dễ nhớ, nối bằng dấu gạch ngang — cách này khiến việc “brute-force” gần như bất khả thi với kẻ tấn công.
- Luôn bật xác thực hai yếu tố (2FA) cho các tài khoản. Nhờ đó, ngay cả khi hacker có được mật khẩu, họ vẫn không thể đăng nhập nếu thiếu yếu tố thứ hai.
- Luôn cập nhật trình duyệt, trình quản lý mật khẩu và hệ điều hành lên phiên bản mới nhất, để giảm thiểu khả năng bị khai thác lỗ hổng.
- Chỉ tải ứng dụng từ các kho chính thống (Google Play, App Store). Trước khi cài, hãy kiểm tra nhà phát triển và đánh giá của ứng dụng để tránh app giả mạo hoặc độc hại.
- Chọn trình quản lý mật khẩu từ nhà cung cấp uy tín. Hãy khảo sát, so sánh và chọn giải pháp bạn thấy tin cậy và phù hợp.
- Cài đặt phần mềm bảo mật từ nhà cung cấp đáng tin cậy trên mọi thiết bị, nhằm giảm thiểu nguy cơ các cuộc tấn công nhắm trực tiếp vào trình quản lý mật khẩu để đánh cắp dữ liệu.
Trình quản lý mật khẩu vẫn là một trụ cột của thực hành an toàn thông tin. Tuy nhiên, chúng phát huy hiệu quả tốt nhất khi bạn kết hợp thêm những biện pháp phòng ngừa nêu trên. Vì rủi ro bảo mật luôn biến đổi, hãy theo dõi các xu hướng mối đe dọa hiện hành để đảm bảo thông tin đăng nhập trực tuyến của bạn luôn “khóa chặt và cất kỹ.”
Link tham khảo:
- https://www.welivesecurity.com/en/cybersecurity/password-managers-under-attack-what-you-should-know/
- https://uk.finance.yahoo.com/news/people-around-170-passwords-average-121100310.html
