• Thứ Ba, 14/10/2014 14:06 (GMT+7)

    Nên cân nhắc gì khi chọn công cụ quản lý mật khẩu

    Mai hoa
    (PCWorldVN) Mặc dù được xem là một công cụ mang lại tiện lợi, song người dùng cần tinh tế trong việc chọn lựa và sử dụng để tăng hiệu quả quản lý và bảo vệ mật khẩu của mình.

    Với công cụ quản lý mật khẩu, bạn sẽ không còn phải ghi lại các mật khẩu khó nhớ như trước đây (Ảnh minh họa).
    Ngày nay, không ít các chuyên gia bảo mật cho rằng mật khẩu (password) không còn đủ an toàn để bảo vệ các tài khoản trực tuyến của người dùng khỏi sự tấn công của hacker nữa. Tuy vậy, thực tế mà nói, các phương pháp bảo mật, xác thực người dùng bằng sinh trắc học và những phương pháp thay thế password vẫn còn phải rất lâu mới có thể được áp dụng rộng rãi.

    Có thể nói hầu hết người dùng đều xem và sử dụng password như là một chiếc chìa khóa chính để mở cánh cửa vào thế giới trực tuyến. Người dùng cũng nhận được không ít lời khuyên về việc quản lý cũng như tăng độ mạnh cho password - trong đó bao gồm việc đặt mật khẩu phức tạp nhằm phòng chống tấn công dạng đoán từ (brute-force), sử dụng mỗi mật khẩu riêng biệt cho từng tài khoản, thường xuyên định kỳ thay đổi password; và sử dụng các công cụ quản lý mật khẩu (password management).

    Trong số các hướng dẫn trên, có thể nói, sử dụng công cụ quản lý mật khẩu xem ra có vẻ tối ưu hơn hết vì các tool này không chỉ giúp quản lý mà còn thay bạn điền mật khẩu tương ứng cho từng tài khoản dịch vụ trực tuyến. Các công cụ quản lý mật khẩu cơ bản cũng khá đa dạng - từ những tool đơn giản chỉ cung cấp chức năng lưu mật khẩu trên các trình duyệt - cho đến những công cụ đa năng hơn cho phép đồng bộ những password đã được lưu giữa nhiều thiết bị khác nhau; và tự động điền mật khẩu tương ứng với tài khoản vào các form đăng nhập.

    Các công cụ quản lý mật khẩu ngày càng phát triển và đa năng. Không ít những nhà cung cấp dịch vụ quản lý mật khẩu cung cấp công cụ cho người dùng dưới dạng add-on cho các trình duyệt, ứng dụng độc lập trên desktop/thiết bị di động; hay thậm chí còn cho phép người dùng truy cập kho mật khẩu trực tuyến của mình từ bất kỳ đâu.

    Song, chính vì sự đa dạng, đa năng của các công cụ quản lý mật khẩu này mà người dùng cần phải rất tinh tế trong việc ứng dụng chúng. Vì hầu hết các công cụ quản lý mật khẩu đều dựa vào một mật khẩu duy nhất (master password) để bảo vệ toàn bộ kho mật khẩu của bạn.

    Vì vậy, trước khi quyết định dùng những công cụ quản lý mật khẩu này, người dùng trước hết cần xem xét kỹ lưỡng các mô hình bảo mật của công cụ mà bạn dự định sẽ sử dụng.

    Đối với các dịch vụ hoạt động trên nền tảng đám mây, cho phép người dùng truy cập và đồng bộ trực tuyến, quan trọng nhất vẫn là nơi mà dịch vụ lưu trữ mật khẩu của người dùng; và liệu các nhà cung cấp dịch vụ có “dòm ngó” mật khẩu cấp cao nhất của người dùng hay không.

    Cách tốt nhất bạn nên chọn những dịch vụ hỗ trợ các phương thức mã hóa zero knowledge vốn chỉ lưu một bản sao mật khẩu người dùng đã được mã hóa trên máy chủ của nhà cung cấp dịch vụ. Dữ liệu được mã hóa trên máy chủ này trong quá trình đồng bộ với ứng dụng trên thiết bị của khách hàng đều được mã hõa. Quá trình giải mã chỉ diễn ra trên chính thiết bị của người dùng cuối dựa trên một password chính (master password) vốn không bao giờ được chia sẻ cho nhà cung cấp dịch vụ.

    Nói một cách đơn giản hơn, các máy chủ của nhà cung cấp dịch vụ chỉ được dùng để lưu các bản sao mật khẩu đã được mã hóa trong kho mật khẩu của người dùng. Và nếu các máy chủ này bị tấn công, các hacker cũng không thể lấy được chìa khóa để giải mã các password này. Những công cụ quản lý mật khẩu sử dụng hình thức bảo mật này có thể kể đến như LastPass, Dashlane, 1Password hay Mitro.

    Đến đây, hẳn người dùng sẽ nhận ra mối nguy hiểm lúc này đã chuyển sang phía người dùng cuối - vì hình thức bảo mật này không giúp bảo vệ trước các cuộc tấn công của hacker nhằm vào các client. Đơn cử, hacker có thể dễ dàng lấy cắp master password từ chính thiết bị của người dùng cuối bằng cách cài đặt phần mềm độc hại vào thiết bị của họ.

    Hãy chọn cho mình những công cụ quản lý mật khẩu hỗ trợ xác thực 2 nhân tố (Two-factor authentication).
    Chính vì vậy, cách duy nhất để tăng cường bảo mật cho các mật khẩu của mình chính là hãy dùng các ứng dụng quản lý mật khẩu hỗ trợ bảo mật 2 nhân tố, Two-factor authentication. Phương thức xác thực này cơ bản sẽ giúp ngăn chặn hacker tấn công của vào kho password của người dùng từ một thiết bị khác; hay từ chính thiết bị chứa master password. Tuy nhiên, các hacker vẫn có thể dùng malware để chen ngang vào một phiên quản lý mật khẩu của người dùng và truy cập vào tài khoản trực tuyến của họ thông qua trình duyệt cục bộ, đặc biệt là khi tính năng auto-login được kích hoạt. Tốt nhất người dùng nên cân nhắc trước khi quyết định kích hoạt tính năng auto-login này.

    Một số ứng dụng quản lý mật khẩu cũng cung cấp lựa chọn bỏ qua bước xác thực thứ 2 trên một số thiết bị một khi người dùng đã hoàn tất việc xác thực 2 bước trên đó. Điều này tuy thuận tiện hơn cho người dùng, song tùy chọn này chỉ đúng trong trường hợp giả định rằng hacker không bao giờ tấn công những thiết bị đó - vốn là một điều rất khó xảy ra. Vì vậy, bạn cũng nên cân nhắc kỹ lượng việc có nên tốn thời cho việc xác thực lần 2 hay không.

    Người dùng tốt nhất cũng nên dùng những ứng dụng quản lý mật khẩu hỗ trợ tính năng tự động log-off sau một khoảng thời gian không hoạt động, đặc biệt là khi trình duyệt được mở trong một thời gian dài; hay nếu có ai đó sử dụng thiết bị của bạn khi không có mặt bạn ở đó. Cách này tuy không giúp phòng chống malware, nhưng cũng được xem như một lớp bảo vệ tăng cường khá hiệu quả.

    Công bằng mà nói, các công cụ quản lý mật khẩu nhìn chung có thể giúp bảo vệ người dùng khỏi các cuộc tấn công đoán từ, thay bạn ghi nhớ các mật khẩu phức tạp cho những dịch vụ trực tuyến quan trọng. Song người dùng không nên chỉ dựa vào một công cụ quản lý mật khẩu nào đó. Nhiều dịch vụ trực tuyến tên tuổi như Facebook, Gmail ngày nay đều đã cung cấp phương pháp xác thực 2 bước để tăng khả năng bảo vệ người dùng. Vì vậy, nếu đang sử dụng một công cụ quản lý mật khẩu nào đó, hãy kích hoạt thêm tính năng xác thực 2 bước vì nó thực sự là một khác biệt rất lớn, nhất là khi công cụ quản lý mật khẩu bị tấn công.

    Nguồn: Computerworld