Theo mặc định, Google quản lý khóa mã hóa của bạn nhưng cho phép bạn thiết lập mã hóa trên thiết bị, hoạt động tương tự như kiến trúc không có kiến thức. Mật khẩu của bạn được mã hóa trước khi được lưu trên thiết bị và bạn quản lý khóa. Bất kể mã hóa hoạt động như thế nào, Google đều sử dụng AES, đây vẫn là tiêu chuẩn vàng về bảo mật giữa các trình quản lý mật khẩu.
Trước đây, việc giải mã mật khẩu Chrome là chuyện đơn giản, chỉ cần một tập lệnh Python và kiến thức về nơi lưu trữ tệp. Nhưng ngay cả ở đó, Google đã đẩy thanh bảo mật lên cao hơn. Mã hóa giới hạn ứng dụng đã vô hiệu hóa các phương pháp đó và việc bẻ khóa mật khẩu phức tạp hơn nhiều so với trước đây. Hơn nữa, Google đã tích hợp với Windows Hello. Nếu chọn, bạn có thể yêu cầu Windows Hello bảo vệ mật khẩu của mình mỗi lần đăng nhập bằng cách yêu cầu mã PIN hoặc xác thực sinh trắc học.
Các trình duyệt khác không an toàn bằng. Ví dụ: Firefox nói rõ rằng, mặc dù mật khẩu lưu trong Firefox được mã hóa nhưng “ai đó có quyền truy cập vào hồ sơ người dùng máy tính của bạn vẫn có thể xem hoặc sử dụng chúng”. Brave hoạt động theo cách tương tự, mặc dù tôi nghi ngờ rằng hầu hết mọi người sử dụng Brave đều đang sử dụng trình quản lý mật khẩu của bên thứ ba (và có thể cả VPN).
Bất chấp điều đó, việc lưu trữ mật khẩu của bạn ngay cả trong một trình duyệt kém an toàn hơn như Firefox vẫn tốt hơn nhiều so với việc không sử dụng trình quản lý mật khẩu nào cả. Và các trình duyệt dẫn đầu về thị phần, Chrome và Safari, đã cải thiện đáng kể các biện pháp bảo mật của họ trong vài năm qua. Vấn đề không phải là mã hóa—mà là đặt tất cả trứng của bạn vào một giỏ.
Hãy nói chuyện về OpSec
OpSec, hay bảo mật hoạt động, thường là thuật ngữ được sử dụng khi nói về dữ liệu nhạy cảm trong các tổ chức chính phủ hoặc tư nhân, nhưng bạn có thể xem xét khả năng bảo mật của chính mình thông qua lăng kính OpSec. Nếu bạn là kẻ tấn công và muốn đánh cắp mật khẩu của ai đó, bạn sẽ làm thế nào? Tôi biết nơi tôi sẽ tìm đầu tiên.
Ngay cả với các biện pháp bảo mật tốt hơn, mục tiêu của trình quản lý mật khẩu dựa trên trình duyệt là thu hút mọi người sử dụng trình quản lý mật khẩu. Điều đó phải được cân bằng với mức độ dễ sử dụng của trình quản lý mật khẩu. Trong một bài đăng trên blog thông báo những thay đổi đối với phương thức xác thực của Google từ Google I/O năm nay, công ty đề cập đến việc giảm “ma sát” bảy lần, trong khi “mã hóa” hoàn toàn không được đề cập. Đó không phải là điều xấu nhưng nó là minh chứng cho cách những công cụ này được thiết kế.
Bạn không cần phải chọn ra các từ trong bài đăng trên blog để thấy được trọng tâm này. Google cung cấp cho bạn tùy chọn bật Windows Hello hoặc xác thực sinh trắc học bằng Trình quản lý mật khẩu của Google. Mỗi lần muốn điền mật khẩu, bạn sẽ cần phải xác thực. Điều đó chắc chắn an toàn hơn việc không xác thực mỗi lần, nhưng cài đặt này bị tắt theo mặc định. Nó tạo ra ma sát.
