Theo kết quả phân tích, BSI - cơ quan an ninh mạng hàng đầu của Đức - đã xem xét 10 trình quản lý mật khẩu khác nhau và kết luận rằng Google Chrome Password Manager, mSecure Password Manager và PassSecurium có thể ** cho phép nhà cung cấp truy cập vào mật khẩu mà người dùng lưu trong hệ thống**. Điều này tiềm ẩn nguy cơ rò rỉ dữ liệu nếu tài khoản hoặc hệ thống của nhà cung cấp bị xâm nhập hoặc bị lạm dụng.

Trong khi đó, 5 công cụ khác không cho phép nhà cung cấp truy cập dữ liệu người dùng, gồm: 1Password, Avira Password Manager, Keepass2Android, KeePassXC và Mozilla Firefox Password Manager. Đây được xem là lựa chọn an toàn hơn cho người dùng khi cần quản lý nhiều thông tin đăng nhập trên môi trường số.

Báo cáo cũng chỉ ra nhiều điểm yếu chung ở các công cụ được kiểm tra. Chỉ 4 trong số 10 trình quản lý mật khẩu sử dụng hoàn toàn các thuật toán mật mã được cấu hình đúng theo các tiêu chuẩn bảo mật TR-02102-1, và 8 công cụ không thực hiện mã hóa lại toàn bộ “container” chứa mật khẩu sau khi người dùng thay đổi mật khẩu chính/master password. Những thiếu sót này có thể tạo ra lỗ hổng nếu hệ thống bị xâm nhập.

Riêng với Google Chrome, BSI cảnh báo rằng khi tính năng đồng bộ hóa được bật mà người dùng không thiết lập mật khẩu riêng (passphrase), Google có thể truy cập vào dữ liệu. Do đó, cơ quan này khuyến nghị người sử dụng cần bật mật khẩu riêng cho tính năng đồng bộ hóa để tăng cường bảo mật.

Dù kết quả kiểm tra nêu ra những hạn chế, BSI vẫn nhấn mạnh rằng trình quản lý mật khẩu là công cụ cần thiết trong cuộc sống số hiện nay. Việc sử dụng công cụ phù hợp giúp giảm thiểu nguy cơ tái sử dụng mật khẩu yếu và bị lợi dụng trong các chiến dịch lừa đảo (phishing), vốn là dạng tấn công phổ biến nhất.

Cơ quan này cũng công bố bảng so sánh chi tiết các chức năng và mức độ bảo mật của các trình quản lý mật khẩu được kiểm tra, nhằm giúp người dùng tự đánh giá và lựa chọn giải pháp an toàn hơn cho nhu cầu của mình.