Chúng ta hãy xem xét mức độ an toàn của các trình quản lý mật khẩu (Password Manager) chống lại các vụ hack và cách bảo vệ mật khẩu của bạn nhiều nhất có thể.
Trong năm vừa qua, Kaspersky đã chứng kiến một loạt báo cáo về rò rỉ dữ liệu cá nhân từ các dịch vụ trực tuyến khác nhau và thậm chí từ các trình quản lý mật khẩu phổ biến. Nếu bạn sử dụng một kho tiền kỹ thuật số, khi bạn đọc về một vụ rò rỉ dữ liệu như vậy, có lẽ bạn sẽ bắt đầu tưởng tượng ra một kịch bản ác mộng: những kẻ tấn công đã truy cập vào tất cả các tài khoản của bạn có mật khẩu được lưu trữ trong trình quản lý mật khẩu của bạn.
Làm thế nào biện minh là những nỗi sợ hãi? Sử dụng ví dụ về Trình quản lý mật khẩu của Kaspersky, chúng tôi sẽ cho bạn biết cách hoạt động của nhiều lớp bảo vệ của trình quản lý mật khẩu và bạn có thể làm gì để làm cho chúng mạnh hơn.
Nguyên tắc chung về an ninh bảo mật
Để bắt đầu, hãy xem lại lý do tại sao trình quản lý mật khẩu lại là một ý kiến hay. Số lượng dịch vụ internet mà chúng tôi sử dụng không ngừng tăng lên và điều đó có nghĩa là chúng tôi đang nhập rất nhiều tên người dùng và mật khẩu. Thật khó để nhớ chúng, nhưng viết chúng ra ở những nơi ngẫu nhiên là rất mạo hiểm. Giải pháp rõ ràng là lưu tất cả thông tin đăng nhập của bạn ở một nơi an toàn, sau đó khóa kho tiền đó bằng một khóa duy nhất. Sau đó, bạn sẽ chỉ cần nhớ một mật khẩu chính.
Khi bạn kích hoạt Kaspersky Password Manager lần đầu tiên, nó sẽ nhắc bạn tạo một mật khẩu chính mà bạn sẽ sử dụng để mở kho tiền kỹ thuật số của mình. Sau đó, bạn có thể nhập vào kho dữ liệu này cho từng dịch vụ internet mà bạn sử dụng: URL, tên người dùng và mật khẩu. Bạn có thể thực hiện việc này theo cách thủ công hoặc bạn có thể thiết lập tiện ích mở rộng trình duyệt quản lý mật khẩu và sử dụng lệnh đặc biệt để chuyển tất cả mật khẩu được lưu trong trình duyệt vào kho tiền. Ngoài mật khẩu, bạn có thể thêm các tài liệu cá nhân khác vào kho tiền, ví dụ: bản quét ID, dữ liệu bảo hiểm, dữ liệu thẻ ngân hàng và ảnh quan trọng.
Khi cần truy cập một trang web, bạn mở vault, sau đó bạn có thể sao chép thủ công dữ liệu mình cần vào biểu mẫu đăng nhập hoặc cho phép trình quản lý mật khẩu tự động điền thông tin đăng nhập đã lưu cho trang web. Sau đó, tất cả những gì bạn cần làm là khóa kho tiền.
Kho tiền kỹ thuật số và tự khóa
Bây giờ hãy xem xét các cơ chế bảo vệ. Tệp vault được mã hóa bằng thuật toán khóa đối xứng dựa trên Tiêu chuẩn mã hóa nâng cao (AES-256), thường được sử dụng trên toàn thế giới để bảo vệ dữ liệu bí mật. Để truy cập kho tiền, bạn sử dụng khóa dựa trên mật khẩu chính của mình. Nếu mật khẩu mạnh, kẻ tấn công sẽ mất nhiều thời gian để bẻ khóa mà không cần chìa khóa.
Ngoài ra, trình quản lý mật khẩu của chúng tôi sẽ tự động khóa kho tiền sau khi người dùng không hoạt động trong một khoảng thời gian nhất định. Nếu kẻ tấn công tình cờ chiếm được thiết bị của bạn và xoay sở để vượt qua lớp bảo vệ của hệ điều hành và tiếp cận tệp vault, thì chúng sẽ không thể đọc nội dung trong đó nếu chúng không có mật khẩu chính.
Tuy nhiên, tùy thuộc vào bạn để định cấu hình tủ khóa tự động. Cài đặt mặc định trong ứng dụng có thể không khóa kho tiền cho đến sau một thời gian dài không hoạt động. Nhưng nếu bạn có thói quen sử dụng máy tính xách tay hoặc điện thoại thông minh ở một vị trí có thể không hoàn toàn an toàn, bạn có thể định cấu hình tính năng tự khóa để kích hoạt sau một phút.
Tuy nhiên, có một lỗ hổng tiềm ẩn khác: nếu kẻ tấn công đã cài đặt một Trojan hoặc sử dụng một phương pháp khác để cài đặt giao thức truy cập từ xa trên máy tính của bạn, thì chúng có thể cố gắng trích xuất mật khẩu từ kho tiền trong khi bạn đăng nhập vào đó. Vào năm 2015, một công cụ tin tặc như vậy đã được tạo cho trình quản lý Mật khẩu KeePass. Nó được giải mã và lưu trữ dưới dạng một tệp riêng biệt, toàn bộ kho lưu trữ có mật khẩu đang chạy trên máy tính có phiên bản mở của KeePass.
Tuy nhiên, Trình quản lý mật khẩu của Kaspersky thường được sử dụng cùng với các giải pháp chống vi-rút của Kaspersky và điều đó khiến trình quản lý mật khẩu sẽ chạy trên máy tính bị nhiễm ít hơn nhiều.
Không yêu cầu kiến thức
Tệp mã hóa có mật khẩu không chỉ được lưu trên thiết bị của bạn mà còn trong cơ sở hạ tầng đám mây của Kaspersky — điều này cho phép bạn sử dụng kho tiền từ các thiết bị khác nhau, bao gồm cả máy tính gia đình và điện thoại di động. Một tùy chọn đặc biệt trong cài đặt cho phép đồng bộ hóa dữ liệu trên tất cả các thiết bị của bạn với Trình quản lý mật khẩu Kaspersky đã cài đặt. Bạn cũng có thể sử dụng phiên bản web của trình quản lý mật khẩu từ bất kỳ thiết bị nào thông qua trang web My Kaspersky.
Khả năng rò rỉ dữ liệu nếu bạn đang sử dụng lưu trữ đám mây là bao nhiêu? Đầu tiên, điều quan trọng là phải hiểu rằng chúng tôi đang hoạt động theo nguyên tắc không có kiến thức. Điều này có nghĩa là kho mật khẩu của bạn được mã hóa cho Kaspersky cũng như cho những người khác. Các nhà phát triển của Kaspersky sẽ không thể đọc tệp — chỉ người biết mật khẩu chính mới có thể mở tệp.
Nhiều — nhưng không phải tất cả — các dịch vụ lưu trữ mật khẩu và các bí mật khác ngày nay đều tuân theo một nguyên tắc tương tự. Vì vậy, nếu bạn thấy một bản tin về rò rỉ dữ liệu từ dịch vụ lưu trữ đám mây, đừng hoảng sợ ngay lập tức: điều đó không nhất thiết có nghĩa là những kẻ tấn công có thể giải mã dữ liệu bị đánh cắp. Loại vi phạm này giống như đánh cắp một chiếc két sắt có vũ trang từ ngân hàng mà không có mã khóa.
Trong trường hợp này, sự kết hợp là mật khẩu chính của bạn. Đây là một nguyên tắc bảo mật quan trọng khác: Kaspersky Password Manager không lưu mật khẩu chính của bạn trên thiết bị hoặc trên đám mây. Ngay cả khi tin tặc truy cập vào máy tính của bạn hoặc dịch vụ lưu trữ đám mây, chúng sẽ không thể đánh cắp mật khẩu chính của bạn từ chính sản phẩm đó. Chỉ có bạn biết mật khẩu này.
Mật khẩu chính mạnh
Tuy nhiên, việc rò rỉ một tệp được mã hóa bằng mật khẩu cũng có thể gây ra sự cố. Sau khi những kẻ tấn công vuốt một kho tiền, chúng có thể cố gắng hack nó.
Có hai phương pháp tấn công chính. Đầu tiên là vũ phu. Nói chung, điều này rất tốn thời gian. Nếu mật khẩu của bạn được tạo thành từ hàng tá ký tự ngẫu nhiên và bao gồm cả chữ thường và chữ in hoa, số và ký tự đặc biệt, thì việc ép buộc tất cả các kết hợp sẽ mất hơn một tỷ tỷ thao tác — đó là… một số nguyên có 21 chữ số!
Nhưng nếu bạn đã quyết định làm cho cuộc sống của mình dễ dàng hơn và sử dụng một mật khẩu yếu — chẳng hạn như một từ hoặc một tổ hợp số đơn giản như “123456” — thì máy quét tự động sẽ chọn ra mật khẩu đó trong vòng chưa đầy một giây vì trong trường hợp này, kẻ phá bĩnh buộc không dựa trên các ký hiệu riêng lẻ mà dựa trên từ điển các kết hợp phổ biến. Mặc dù vậy, cho đến ngày nay, nhiều người dùng chọn mật khẩu từ điển (tổ hợp các ký hiệu từ lâu đã có trong từ điển của máy quét của tin tặc).
Người dùng của trình quản lý mật khẩu LastPass đã được cảnh báo về sự cố tiềm ẩn này vào tháng 12 năm 2022. Khi tài khoản của nhà phát triển LastPass bị tấn công, những kẻ tấn công đã giành được quyền truy cập vào dịch vụ lưu trữ đám mây mà công ty sử dụng. Trong số các dữ liệu khác, những kẻ tấn công đã nắm giữ các bản sao lưu mật khẩu vault của người dùng. Công ty nói với người dùng rằng nếu họ làm theo tất cả các khuyến nghị để tạo một mật khẩu chính mạnh và duy nhất, họ sẽ không phải lo lắng gì vì “sẽ mất hàng triệu năm” để tạo ra một mật khẩu như vậy. Những người sử dụng mật khẩu yếu hơn được khuyên nên thay đổi chúng ngay lập tức.
May mắn thay, nhiều trình quản lý mật khẩu, bao gồm cả Kaspersky Password Manager, giờ đây sẽ tự động kiểm tra độ mạnh của mật khẩu chính của bạn. Nếu nó yếu hoặc chỉ có độ mạnh trung bình, trình quản lý mật khẩu sẽ đưa ra cảnh báo cho bạn và bạn chắc chắn nên chú ý đến nó.
Mật khẩu chính duy nhất
Phương pháp hack thứ hai dựa trên thực tế là mọi người thường sử dụng cùng thông tin đăng nhập cho các dịch vụ internet khác nhau. Nếu một trong các dịch vụ bị vi phạm, những kẻ tấn công sẽ tự động bắt buộc kết hợp tên người dùng và mật khẩu trong các dịch vụ khác trong một cuộc tấn công được gọi là “nhồi thông tin xác thực”. Kiểu tấn công này thường thành công.
Người dùng Norton Password Manager đã được cảnh báo về kiểu tấn công này trong những tuần đầu tiên của năm nay. Công ty NortonLifeLock (trước đây gọi là Symantec) đã thông báo rằng không có vi phạm nào đối với cơ sở hạ tầng của họ. Nhưng vào đầu tháng 12 năm 2022, hàng loạt nỗ lực xâm nhập tài khoản Norton Password Manager bằng mật khẩu mà tin tặc đã đánh cắp do vi phạm trên một dịch vụ khác đã được ghi lại. Các cuộc điều tra của NortonLifeLock đã phát hiện ra rằng tin tặc có thể sử dụng cuộc tấn công này để truy cập vào tài khoản của một số khách hàng của họ.
Bài học rõ ràng từ câu chuyện này là bạn không nên sử dụng cùng một mật khẩu cho các tài khoản khác nhau. Đối với các cách kỹ thuật để bảo vệ bạn khỏi những kiểu tấn công này, Kaspersky Password Manager có thể thực hiện hai bước kiểm tra quan trọng đối với cơ sở dữ liệu mật khẩu của bạn…
Đầu tiên, nó kiểm tra tính duy nhất: ứng dụng sẽ cảnh báo bạn nếu một trong những mật khẩu đã lưu của bạn đang được sử dụng trong nhiều tài khoản.
Thứ hai, trình quản lý mật khẩu của chúng tôi kiểm tra xem mật khẩu của bạn có nằm trong cơ sở dữ liệu vi phạm hay không. Để thực hiện việc kiểm tra mật khẩu này một cách an toàn, nó sử dụng thuật toán băm mật mã SHA-256. Điều này có nghĩa là ứng dụng không tự gửi mật khẩu để kiểm tra; thay vào đó, nó tính toán tổng kiểm tra cho từng mật khẩu và so sánh các giá trị băm này với tổng kiểm tra trong cơ sở dữ liệu về mật khẩu bị xâm phạm. Nếu tổng kiểm tra khớp, ứng dụng sẽ cảnh báo bạn rằng mật khẩu bị xâm phạm và bạn nên thay đổi mật khẩu đó.
Nhưng hãy nhớ rằng những kiểm tra này chỉ được thực hiện với mật khẩu bạn đang lưu trong kho tiền. Bạn có thể đảm bảo rằng mật khẩu chính là duy nhất: bạn là người duy nhất biết mật khẩu đó và mật khẩu này phải khác với các mật khẩu khác của bạn.
Mật khẩu chính đáng nhớ
Có nhiều cách khác để rò rỉ mật khẩu chính — và đây là lúc yếu tố con người đáng sợ phát huy tác dụng. Ví dụ: một số người lưu ý mật khẩu chính của họ ở một nơi mà nó có thể bị đánh cắp, chẳng hạn như trong một tệp không được mã hóa trên máy tính để bàn của họ hoặc trên Post-It mà họ dán trên tường văn phòng của mình.
Thay vì viết nó ra, hãy cố gắng ghi nhớ nó. Đúng là các quy tắc bảo mật quy định rằng mật khẩu phải dài và phức tạp — đôi khi chúng tôi thậm chí còn được nhắc tạo tổ hợp ngẫu nhiên từ 12 đến 16 ký tự. Thật khó để nhớ một mật khẩu như vậy. Đó là lý do tại sao nhiều người cố gắng sử dụng mật khẩu đơn giản hơn, và sau đó họ trở thành mục tiêu của các vụ hack.
Vậy làm thế nào để bạn làm cho mật khẩu chính của mình vừa mạnh vừa đáng nhớ? Một chiến lược tốt là nghĩ ra một mật khẩu dựa trên ba hoặc bốn từ bí mật. Ví dụ: bạn có thể lấy tên thành phố nơi bạn đã có kỳ nghỉ tuyệt vời nhất trong đời, thêm tên quán bar tuyệt nhất mà bạn đã đến trong kỳ nghỉ đó, sau đó thêm tên và số loại cocktail bạn đã uống. Một mật khẩu như vậy sẽ dài và độc đáo, cũng như dễ nhớ — tất nhiên, đó là nếu bạn không uống quá nhiều cocktail và vẫn nhớ riêng tất cả các sự kiện đó.
Liên hệ Kaspersky Việt Nam để được hướng dẫn sử dụng Kaspersky Password Manager.
