Trình quản lý mật khẩu thường lưu nhiều dữ liệu nhạy cảm, gồm đăng nhập ngân hàng trực tuyến và thông tin thẻ, trong các kho được mã hóa trên đám mây. Nhóm Applied Cryptography Group tại ETH Zurich khảo sát ba nhà cung cấp phổ biến là Bitwarden, LastPass và Dashlane, những dịch vụ này cùng phục vụ khoảng 60 million users và chiếm 23% thị phần.
Nhóm do Matilda Backendal, Matteo Scarlata, Kenneth Paterson và Giovanni Torrisi thực hiện. Họ mô phỏng kịch bản một máy chủ bị xâm nhập theo mô hình mối đe dọa máy chủ độc hại và cho thấy nhiều cuộc tấn công: 12 vụ vào Bitwarden, 7 vào LastPass và 6 vào Dashlane. Các cuộc tấn công dao động từ nhắm vào kho mật khẩu của từng người dùng đến xâm phạm toàn bộ kho trong một tổ chức; trong hầu hết trường hợp, nhóm có thể truy cập hoặc đôi khi thay đổi mật khẩu.
Nhóm tuân theo tiết lộ có trách nhiệm và đã cho nhà cung cấp 90 ngày để sửa lỗi. Họ khuyến nghị cập nhật hệ thống cho khách hàng mới, cho khách hàng hiện tại lựa chọn di chuyển, minh bạch về bảo mật và ưu tiên các dịch vụ được kiểm toán cùng mã hóa đầu cuối.
Từ khó
- mã hóa — biến dữ liệu thành dạng không đọc đượcmã hóa đầu cuối
- đám mây — hệ thống máy chủ lưu trữ trực tuyến
- nhà cung cấp — công ty cung cấp một dịch vụ cho khách
- mối đe dọa — yếu tố có thể gây hại cho hệ thống
- máy chủ — máy tính hoặc hệ thống lưu trữ dữ liệu
- xâm nhập — vào bên trong hệ thống trái phép
- tuân theo — làm theo một quy trình hoặc hướng dẫn
- mã hóa đầu cuối — mã hóa dữ liệu từ người gửi tới người nhận
Mẹo: di chuột, dùng phím Tab hoặc chạm vào các từ được tô sáng trong bài để xem định nghĩa nhanh ngay khi bạn đọc hoặc nghe.
Câu hỏi thảo luận
- Bạn có dùng trình quản lý mật khẩu không? Sau khi đọc bài này, bạn có lo lắng hơn không? Vì sao?
- Nếu nhà cung cấp dịch vụ bạn đang dùng bị xâm nhập, bạn sẽ chọn di chuyển hay tiếp tục dùng? Giải thích ngắn.
- Theo bạn, nhà cung cấp nên làm gì để người dùng tin tưởng hơn vào bảo mật dữ liệu?
