Có nên lưu trữ mật khẩu trong app Ghi chú trên thiết bị?

Nhiều người thấy lưu trữ mật khẩu trong các ứng dụng ghi chú như Evernote hoặc Apple Notes rất tiện lợi, nhưng cách làm này có thể gây nguy hiểm cho bảo mật của bạn. Hãy cùng tìm hiểu lý do tại sao các ứng dụng ghi chú lại là nơi chứa dữ liệu nhạy cảm có nguy cơ cao – và cách nào thì tốt hơn để lưu trữ mật khẩu của bạn.

Tại sao lưu trữ mật khẩu trong ứng dụng ghi chú là một ý tưởng tồi?

Nhiều người thường ghi lại mật khẩu dưới dạng plain text – trên giấy nhớ hoặc trong ứng dụng trên  điện thoại thông minh – để thuận tiện. Trên thực tế, khoảng một phần tư chúng ta lưu trữ mật khẩu trong ghi chú hoặc tài liệu kỹ thuật số, theo dữ liệu từ Trung tâm nghiên cứu Pew.

Thật không may, sự tiện lợi đó đi kèm với những rủi ro bảo mật nghiêm trọng, vì mục đích chính của các ứng dụng ghi chú không phải là bảo vệ thông tin nhạy cảm, dẫn đến nhiều lỗ hổng an ninh mạng. Lỗ hổng lớn nhất trong số này là thực tế là hầu hết các ứng dụng ghi chú thông thường không được mã hóa tự động.

Việc thiếu mã hóa khiến bạn phụ thuộc vào tính bảo mật của thiết bị. Nếu điện thoại hoặc  máy tính xách tay của bạn bị mất hoặc bị đánh cắp (hoặc chỉ đơn giản là bị mở khóa trong tay kẻ xấu), tất cả mật khẩu của bạn sẽ ngay lập tức bị lộ.

Mặc dù bạn có thể khóa toàn bộ điện thoại bằng mật mã hoặc khóa sinh trắc học, nhưng nếu ghi chú được đồng bộ với đám mây và ai đó có quyền truy cập vào tài khoản đám mây của bạn bằng cách vi phạm bảo mật hoặc các biện pháp phòng thủ của nhà cung cấp, họ có thể bỏ qua hoàn toàn bảo mật của thiết bị. Nếu điều đó nghe có vẻ không thể, hãy xem xét rằng Evernote, chẳng hạn, đã từng phải reset 50 triệu mật khẩu người dùng sau khi cơ sở dữ liệu bị vi phạm.

Ngay cả ghi chú "được mã hóa" cũng không đủ an toàn

Mặc dù một số ứng dụng ghi chú cung cấp mã hóa, nhưng thường không mạnh mẽ như trong trình quản lý mật khẩu. Ví dụ, ứng dụng Notes của Apple cho phép khóa ghi chú bằng cụm mật khẩu, sử dụng mã hóa đầu cuối với AES-GCM.

Tuy nhiên, không phải tất cả các ứng dụng ghi chú đều đạt được mức độ bảo mật này. Ví dụ, mã hóa của Evernote bị hạn chế hơn: Nó cho phép bạn mã hóa văn bản trong ghi chú bằng AES-128, nhưng điều này đòi hỏi phải thực hiện thủ công cho từng đoạn văn bản nhạy cảm. Quan trọng hơn, bộ lưu trữ tiêu chuẩn của Evernote không được mã hóa đầu cuối theo mặc định, vì vậy về mặt lý thuyết, công ty có quyền truy cập vào dữ liệu của bạn trên máy chủ của họ. Chắc chắn, đây không phải là cách tốt nhất để lưu trữ mật khẩu.

Ngoài điểm yếu về mã hóa, các ứng dụng ghi chú còn thiếu nhiều tính năng quản lý mật khẩu cần thiết. Ví dụ, chúng thiếu chức năng chia sẻ mật khẩu an toàn; khả năng tạo mật khẩu tự động để tạo mật khẩu mạnh, duy nhất phù hợp với các yêu cầu cụ thể của trang web; và chúng không cung cấp cảnh báo theo dõi vi phạm để thông báo cho người dùng khi thông tin đăng nhập đã lưu trữ của họ xuất hiện trong những vi phạm dữ liệu đã biết.

Cuối cùng nhưng không kém phần quan trọng, chúng không thể tự động điền vào biểu mẫu đăng nhập trên các trang web, vì vậy bạn phải sao chép thủ công mật khẩu của mình vào clipboard và có khá nhiều loại phần mềm độc hại được thiết kế để theo dõi và đánh cắp nội dung clipboard.

Giải pháp thay thế an toàn: Trình quản lý mật khẩu

Đến thời điểm này, bạn có thể nghĩ rằng, "Được rồi, nếu tôi không nên sử dụng ứng dụng ghi chú của mình, thì cách tốt nhất để lưu trữ mật khẩu là gì?" Câu trả lời là chuyển sang trình quản lý mật khẩu. Trình quản lý mật khẩu là ứng dụng được thiết kế riêng để lưu trữ mật khẩu (và thông tin riêng tư khác) của bạn một cách an toàn. Chúng mã hóa mọi thứ bằng một mật khẩu chính (hoặc cụm mật khẩu) mà chỉ bạn biết và có các tính năng tiện lợi, như tự động điền, trình tạo mật khẩu mạnh và đồng bộ trên nhiều thiết bị.