Bấm ‘lưu mật khẩu’ và rủi ro bảo mật bạn cần biết

Công nghệ nhớ mật khẩu đã thay đổi cách người dùng tiếp cận đăng nhập. Nhờ nó, mọi thao tác trở nên nhanh hơn. Nhưng liệu bạn có hiểu cách hệ thống ghi nhớ mật khẩu hoạt động ra sao? Và ai thực sự đang nắm giữ dữ liệu đăng nhập của bạn?

Quá nhiều mật khẩu, ‘nhờ’ máy nhớ cho xong!

Không phải ngẫu nhiên mà tính năng nhớ mật khẩu được tích hợp mặc định trong hầu hết các trình duyệt và ứng dụng hiện nay. 

Một khảo sát của NordPass (dịch vụ chuyên quản lý mật khẩu trực tuyến) công bố trong năm 2024 cho thấy người dùng trung bình đang sở hữu khoảng 255 tài khoản cần mật khẩu. Trong đó có 168 tài khoản phục vụ mục đích cá nhân và 87 tài khoản liên quan đến công việc.

Trong khi đó, thống kê từ Google cùng với tổ chức bảo mật Enzoic cho biết có đến 65% người dùng thường xuyên tái sử dụng mật khẩu cho nhiều nền tảng khác nhau. Con số này cho thấy việc tự ghi nhớ toàn bộ mật khẩu gần như không còn khả thi trong đời sống số ngày nay.

Chính vì vậy, khả năng tự động lưu và điền mật khẩu đang trở thành một giải pháp được ưa chuộng. Chỉ cần vài thao tác thiết lập ban đầu, người dùng có thể đăng nhập nhanh chóng vào nhiều tài khoản mà không cần nhập lại dãy ký tự phức tạp mỗi lần sử dụng.

Tuy nhiên, nếu thiết bị bị tấn công, toàn bộ dữ liệu có thể bị lộ trong vài giây.

Theo tìm hiểu của Tuổi Trẻ, trong báo cáo quý 1-2023 của Avast, các phần mềm độc hại chuyên đánh cắp thông tin đăng nhập đang tăng mạnh, với số lượng tấn công qua trình duyệt tăng 40% so với cùng kỳ năm trước. Các phần mềm này có thể trích xuất dữ liệu tự động điền như tên đăng nhập, mật khẩu và cookie từ máy tính hoặc điện thoại.

Ngoài ra, hãng bảo mật Kaspersky cũng cảnh báo về một loại mã độc có tên PSW, viết tắt của Password Stealing Ware. Đây là dòng trojan chuyên thu thập mật khẩu và thông tin đăng nhập từ các trình duyệt phổ biến, sau đó gửi về máy chủ điều khiển của kẻ tấn công.

Tại Việt Nam, Trung tâm Giám sát an toàn không gian mạng quốc gia từng ghi nhận nhiều trường hợp người dùng bị chiếm đoạt tài khoản do không đặt mã khóa cho thiết bị, dẫn đến việc người lạ có thể truy cập trực tiếp vào toàn bộ kho mật khẩu đã lưu.

Đằng sau nút ‘Lưu mật khẩu’ là điều gì?

Mỗi lần bạn đăng nhập vào một tài khoản và chọn “Lưu mật khẩu”, thông tin đó không biến mất mà được cất giữ trong một kho riêng gọi là trình quản lý mật khẩu. Trên hầu hết điện thoại, máy tính và trình duyệt hiện nay, kho mật khẩu này thường được tích hợp sẵn trong tài khoản Google hoặc Apple của người dùng.

Về cơ bản, Google Password Manager và iCloud Keychain là hai hệ thống phổ biến giúp người dùng ghi nhớ và tự động điền thông tin đăng nhập. Sau khi bạn lưu mật khẩu, dữ liệu sẽ được đồng bộ hóa lên tài khoản Google hoặc Apple. Khi bạn dùng lại chính tài khoản đó trên thiết bị khác, toàn bộ mật khẩu cũng sẽ có mặt chỉ sau vài thao tác đăng nhập. Chính nhờ điều này, người dùng không còn phải nhớ từng chuỗi ký tự phức tạp, đồng thời có thể tiết kiệm rất nhiều thời gian khi truy cập các dịch vụ quen thuộc.

Tuy nhiên, việc tất cả mật khẩu đều gắn với một tài khoản chính cũng tạo ra một điểm yếu tiềm ẩn. Nếu tài khoản Google hoặc Apple bị chiếm quyền kiểm soát, người khác hoàn toàn có thể truy cập vào kho mật khẩu của bạn. 

Mặc dù cả hai nền tảng đều áp dụng mã hóa và hỗ trợ các lớp bảo vệ như xác minh hai bước, bản chất của hệ thống này vẫn là lưu trữ trên đám mây do nhà cung cấp kiểm soát. Trong trường hợp người dùng quên thông tin đăng nhập, Google và Apple đều có cơ chế hỗ trợ phục hồi, đồng nghĩa với việc họ có khả năng giải mã và cấp lại quyền truy cập nếu đủ điều kiện xác minh.

Chọn lưu mật khẩu bằng tài khoản Google hay Apple không phải là điều xấu. Đây là một lựa chọn tiện lợi, đặc biệt phù hợp với những người không rành công nghệ. Tuy vậy, sự tiện lợi này chỉ thật sự an toàn nếu người dùng biết cách bảo vệ tài khoản chính của mình bằng mật khẩu mạnh, xác minh hai bước và các biện pháp phòng ngừa khác. Vì một khi mất quyền kiểm soát tài khoản trung tâm, toàn bộ hệ sinh thái kỹ thuật số của bạn có thể bị mở toang.

Cách bảo vệ chìa khóa số của bạn

Không có phương pháp nào hoàn toàn an toàn trong thế giới số, nhưng bạn có thể giảm rủi ro bằng cách chủ động bảo vệ tài khoản cá nhân. Việc đầu tiên và đơn giản nhất là kích hoạt xác thực hai yếu tố cho các tài khoản quan trọng. Đây là lớp bảo vệ bổ sung, yêu cầu người dùng cung cấp thêm một mã xác nhận bên cạnh mật khẩu. Ngay cả khi ai đó có được mật khẩu, họ cũng không dễ dàng đăng nhập nếu không có mã thứ hai này.

Bên cạnh đó, thay vì để mật khẩu rải rác trong trình duyệt, người dùng nên cân nhắc sử dụng các phần mềm quản lý chuyên biệt như Bitwarden, 1Password hoặc KeePass. Những công cụ này không gắn liền với hệ điều hành hay tài khoản dịch vụ nào, giúp bạn kiểm soát tốt hơn các thông tin đăng nhập. 

Một số dịch vụ còn hỗ trợ tạo mật khẩu ngẫu nhiên, mạnh hơn, khó đoán hơn, và lưu trữ với cơ chế mã hóa đầu cuối.

Bạn cũng có thể tự kiểm tra xem tài khoản của mình đã từng bị rò rỉ chưa bằng cách truy cập trang web “Have I Been Pwned”. Đây là một công cụ miễn phí, cho phép bạn nhập địa chỉ email và kiểm tra xem thông tin có nằm trong các vụ rò rỉ dữ liệu từng được ghi nhận hay không. Nếu có, đó là dấu hiệu bạn nên thay đổi mật khẩu ngay lập tức.

Cuối cùng, một thói quen đơn giản nhưng cực kỳ hiệu quả là tránh dùng cùng một mật khẩu cho nhiều dịch vụ. Chỉ cần một trong số đó bị lộ, tất cả những tài khoản còn lại cũng sẽ gặp nguy hiểm. 

Trong thời đại mà mỗi người có hàng chục tài khoản trực tuyến, việc đầu tư thời gian để thiết lập một hệ thống bảo mật hợp lý là điều cần thiết. Giống như trong đời sống thực, cất giữ chìa khóa ở nơi an toàn chưa bao giờ là việc nên xem nhẹ.