Chúng tôi thường cảnh báo rằng trình quản lý mật khẩu dựa trên trình duyệt thiếu tính bảo mật và các tính năng của phần mềm mật khẩu chuyên dụng. Nhưng chúng vẫn còn hơn không, phải không? Một báo cáo mới từ AhnLab ASEC đã chứng minh điều ngược lại — lưu trữ mật khẩu trong trình duyệt khiến bạn cực kỳ dễ bị tin tặc tấn công, ngay cả khi bạn sử dụng mật khẩu duy nhất cho mỗi tài khoản của mình.
Trong khi điều tra một vụ vi phạm dữ liệu gần đây, các nhà nghiên cứu tại AhnLab ASEC đã phát hiện ra rằng tin tặc đã đánh cắp thông tin đăng nhập của công ty từ trình duyệt của nhân viên từ xa. Các tin tặc đã sử dụng một phần mềm độc hại phổ biến có tên RedLine, có giá từ 150 đô la đến 200 đô la, để lấy thông tin đăng nhập này. Phần mềm chống vi-rút không phát hiện ra phần mềm độc hại, phần mềm này có thể được phát tán qua email lừa đảo.
Các trình duyệt như Chrome và Edge có các công cụ quản lý mật khẩu được bật theo mặc định và chúng theo dõi tất cả các lần đăng nhập với thông tin thích hợp như ngày và giờ, URL trang web và bất kỳ tên người dùng hoặc mật khẩu nào bạn đã sử dụng. RedLine có thể truy cập và diễn giải dữ liệu này mà tin tặc có thể sử dụng hoặc bán cho những kẻ xấu.
Để tránh lỗ hổng này, bạn cần tắt hoàn toàn các công cụ quản lý mật khẩu tích hợp trong trình duyệt của mình. Yêu cầu trình duyệt của bạn không nhớ dữ liệu đăng nhập cho một trang web nhất định là chưa đủ — trình duyệt của bạn sẽ vẫn ghi lại URL của trang web, mà tin tặc có thể sử dụng để thử và cưỡng bức chúng vào tài khoản của bạn mà không cần thông tin đăng nhập. (Dữ liệu này có giá trị hơn nếu bạn đang đăng nhập vào tài khoản công việc, tài khoản này có thể yêu cầu đăng nhập thông qua VPN hoặc tường lửa.)
Chúng tôi thực sự khuyên bạn nên tắt trình quản lý mật khẩu tích hợp trong trình duyệt của mình và sử dụng phần mềm chuyên dụng. Có rất nhiều tùy chọn miễn phí và trả phí tuyệt vời trên mạng và bạn có thể dễ dàng xuất mật khẩu Chrome, Edge hoặc Firefox của mình sang trình quản lý mật khẩu chuyên dụng.
Nguồn: AhnLab ASEC qua Bleeping Computer
