Sử dụng giải pháp lưu trữ mật khẩu của trình duyệt Web không đảm bảo về an toàn thông tin (ATTT). Điều quan trọng cần nhớ là bất cứ thứ gì bạn có thể truy cập trong trình duyệt thì người khác cũng có thể truy cập được. Nếu ai đó có thể truy cập vào trình duyệt của bạn, hoặc tài khoản mà bạn dùng trong trình duyệt để lưu và tạo mật khẩu, thì họ cũng có thể mở ra và xem tất cả mọi thứ. Do đó, để đảm bảo ATTT nhiều người am hiểu công nghệ đã sử dụng các trình quản lý mật khẩu (Password Manager) như: 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass, RoboForm...thay thế cho trình lưu trữ mật khẩu mặc định của trình duyệt Web.
Nhưng mới đây điều này cũng đã bị phá vỡ bởi thủ thuật của các hacker. Một kỹ thuật tấn công mới có tên "DOM-based Extension Clickjacking" được hacker lợi dụng để đánh cắp thông tin nhạy cảm, dù là quản lý mật khẩu của trình duyệt Web hay các trình quản lý mật khẩu (Password Manager) chuyên nghiệp mà bạn tin dùng đã nói kể trên.
Hacker tạo ra một trang web độc hại, trên đó có các nút bấm quen thuộc như "Đồng ý", "Tắt quảng cáo". Tuy nhiên, bên dưới các nút bấm này là một lớp "vô hình" (iframe trong suốt) đang mở một trang web quen thuộc mà bạn đã từng lưu mật khẩu. Khi bạn click vào nút "Đồng ý" để tắt banner cookie, thực chất bạn đang click vào nút "Tự động điền mật khẩu" hoặc "Gửi thông tin" trên lớp vô hình kia. Chỉ với 1-2 cú click, toàn bộ thông tin đăng nhập, thẻ tín dụng, dữ liệu cá nhân của bạn có thể bị gửi thẳng cho hacker.
Làm sao để:
- Không còn tình trạng autofill tự động.
- Password manager chỉ hoạt động khi bạn click.
- Mật khẩu chỉ khớp với URL chính xác → an toàn hơn.
1. Giải pháp cho ai chỉ lưu trữ mật khẩu bằng trình duyệt Web: Tắt autofill (không tự động điền nữa, chỉ copy/paste khi cần)
Với Chrome / Edge:
Mở Settings (Cài đặt).
Chrome: chrome://settings/autofill
Edge: edge://settings/passwords
Tại mục Passwords (Mật khẩu):
Tắt Offer to save passwords (Đề nghị lưu mật khẩu).
Tắt Auto Sign-in (Đăng nhập tự động).
Như vậy, trình duyệt sẽ không tự điền mật khẩu nữa, bạn có thể nhập thủ công hoặc mở password manager để copy/paste thủ công khi cần.
2. Giải pháp cho ai lưu trữ mật khẩu bằng trình duyệt Web+ password manager: làm theo các bước như ở mục 1 và bổ sung các bước sau
(i) Chỉ bật exact match URL cho password manager
Nếu bạn dùng password manager (LastPass, Bitwarden, 1Password, KeePassXC extension…), hãy chỉnh như sau:
Vào Settings / Options của extension.
Tìm mục URI Matching hoặc Site matching rules.
Chọn chế độ Exact match (chỉ khớp đúng domain/URL đã lưu).
Ví dụ: lưu https://mail.example.com thì chỉ điền ở đúng trang đó, không điền ở example.com hay sub.example.com.
(ii) Hạn chế quyền hoạt động của extension (chỉ bật khi click)
Mở chrome://extensions/ (Chrome) hoặc edge://extensions/ (Edge).
