Surveillance
Self-Defense

Muốn có một gói bảo mật khởi đầu?

  • Muốn có một gói bảo mật khởi đầu?

    Bắt đầu từ đầu với một lựa chọn các bước đơn giản.

    Việc giám sát tác động lên tất cả chúng ta, bất kỳ sống nơi đâu hay làm gì. Trong khi một số người trong chúng ta có thể bị ảnh hưởng trực tiếp, những người khác chỉ đơn giản là muốn biết những biện pháp mà họ có thể làm để bảo vệ an toàn cho thông tin và dữ liệu của họ khỏi bị xem lén. Danh sách giới thiệu cần đọc này sẽ giúp bạn đánh giá nguy cơ đối với cá nhân, bảo vệ thông tin liên lạc và thông tin quý giá của bạn, và bắt đầu suy nghĩ về việc áp dụng các công cụ gia tăng bảo mật vào thói quen hàng ngày của bạn.

  • Lựa Chọn Công Cụ

    Với nhiều công ty và trang mạng cung ứng đủ loại công cụ nhằm trợ giúp các cá nhân cải thiện vấn đề bảo mật số của họ, làm sao bạn chọn công cụ nào thích hợp cho mình?

    Chúng tôi không có một danh sách công cụ để bảo đảm là có thể bảo vệ bạn (tuy bạn có thể xem một số chọn lựa phổ thông trong phần Cẩm Nang Công Cụ của chúng tôi). Nhưng nếu bạn biết mình muốn bảo vệ điều gì và để chống đỡ lại đối phương nào thì tài liệu hướng dẫn này có thể giúp bạn chọn công cụ phù hợp dựa trên những nguyên tắc cơ bản.

    Cần nhớ là bảo mật không phải là công cụ sử dụng hay phần mềm tải xuống. Bảo mật bắt đầu bằng việc thấu hiểu mối đe dọa đặc thù bạn đang đối diện và làm sao để chống đỡ mối đe dọa đó. Xin xem tài liệu Đánh Giá Rủi Ro của Bạn để biết thêm chi tiết.

    Bảo mật là một quá trình, không phải là thứ để mua

    Điều đầu tiên cần phải nhớ trước khi thay đổi phần mềm bạn đang sử dụng hoặc mua những công cụ mới đó là trong bất kỳ tình huống nào không một công cụ nào cung cấp cho bạn sự bảo đảm tuyệt đối khỏi bị theo dõi. Sử dụng phần mềm mã hóa làm cho người khác khó khăn hơn khi cố tình đọc nội dung các cuộc liên lạc và lục soát những tập tài liệu trong máy của bạn. Nhưng các vụ tấn công an ninh mạng luôn tìm đến những điểm yếu nhất trong cách ứng dụng bảo mật của bạn. Khi bạn sử dụng một công cụ bảo mật, bạn nên nghĩ đến việc dùng nó có thể gây ra cách khác để kẻ gian tấn công bạn. Ví dụ như, nếu bạn quyết định sử dụng phần mềm nhắn tin bảo mật để liên lạc vì bạn biết rằng điện thoại của bạn có thể bị lộ, thì thật ra nếu bạn sử dụng chương trình đó có nghĩa đối thủ sẽ hiểu rằng bạn đang nói chuyện về các thông tin bí mật?

    Điều thứ hai, hãy nhớ về mô thức đe dọa. Bạn không cần phải mua một hệ thống điện thoại mã hóa đắt tiền thách đố cả NSA nếu mối đe dọa lớn nhất là sự theo dõi đến từ thám tử tư chẳng có trong tay các công cụ theo dõi mạng. Hoặc như, nếu bạn phải đối mặt với một chính quyền thường xuyên bắt giam những người đối lập bởi vì họ có sử dụng các công cụ mã hóa, thì việc dùng các thủ thuật đơn giản hơn có thể tốt hơn: một bộ mật mã được định trước, hơn là rủi ro để lại dấu vết cho thấy bạn sử dụng phần mềm mã hóa trên máy tính.

    Tóm tắt tất cả các ý trên, đây là một vài câu hỏi bạn nên thắc mắc về công cụ bảo mật trước khi bạn quyết định tải xuống, trả phí và sử dụng.

    Mức độ minh bạch của nó ra sao?

    Mặc dầu an ninh kỹ thuật số gần như là việc giữ kín các bí mật, thì các nhà nghiêm cứu bảo mật có niềm tin rằng tính công khai và minh bạch sẽ khiến cho các công cụ trở nên bảo mật hơn.

    Rất nhiều các phần mềm miễn phí và có mã nguồn mở được sử dụng và khuyến nghị bởi cộng đồng an ninh số, mã nguồn mở có nghĩa rằng đoạn mã để chạy chương trình được công khai cho những người khác phân tích, chỉnh sửa và chia sẻ. Bằng việc minh bạch về cách chương trình vận hành, những người làm ra công cụ này mời gọi những người khác tìm kiếm những lỗ hổng, và giúp họ cải tiến chương trình.

    Phần mềm mở tạo cơ hội hình thành hệ thống bảo mật tốt hơn nhưng không bảo đảm điều đó. Lợi thế của mã nguồn mở nằm ở chỗ một phần cộng đồng chuyên gia kỹ thuật có thể kiểm tra các đoạn mã, mà việc này đối với các dự án nhỏ lẻ rất khó có thể làm được (thậm chí ngay cả các dự án phổ biến và phức tạp).

    Khi bạn đang cân nhắc sử dụng một công cụ nào đó, hãy xem mã nguồn của nó có sẵn không, và đoạn mã có sự kiểm tra bảo mật độc lập để xác minh chất lượng bảo mật không. Ít nhất thì phần mềm và phần cứng nên có phần giải thích các chi tiết kỹ thuật về cách vận hành để cho các chuyên gia xem xét.

    Người tạo lập có nói rõ về Lợi thế và Bất lợi của công cụ?

    Không phần mềm và phần cứng nào đảm bảo an toàn tuyệt đối. Những người tạo lập hoặc bán sản phẩm thành thật về hạn chế của công cụ sẽ cho bạn hiểu biết nhiều hơn việc các ứng dụng đó có phù hợp với bạn hay không.

    Không nên tin vào tuyên bố chung chung rằng mã nguồn này ở mức độ bảo mật “cấp quân sự” hoặc “không bị NSA đọc lén được”; những tuyên bố đó chẳng có nghĩa lý gì và cảnh báo bạn rằng những người tạo lập nó đã quá tự tin và không sẵn sàng xem xét việc sản phẩm của họ có thể có khuyết điểm.

    Bởi vì những kẻ tấn công luôn tìm cách tìm ra những cách thức mới để phá vỡ tính bảo mật của các công cụ, vậy nên phần mềm và phần cứng nên được cập nhật để vá các lỗ hổng. Đây có thể trở thành một vấn đề nghiêm trọng nếu người tạo lập công cụ không sẵn sàng làm việc này, vì họ sợ bị tiếng xấu, hoặc có lẽ họ đã không xây dựng cơ sở hạ tầng để sửa chữa những lỗi này.

    Bạn không thể tiên đoán tương lai, nhưng người tạo lập công cụ hành xử trong tương lai là một chỉ dấu cho thấy các hoạt động của họ trong quá khứ. Nếu trang mạng về công cụ liệt kê các lỗi trước đó và có đường dẫn đến thông tin và các gói cập nhật thường xuyên (chỉ ra cụ thể đã bao lâu rồi phần mềm được cập nhật lần cuối) thì bạn có thể tin tưởng rằng họ sẽ tiếp tục cung cấp dịch vụ cập nhật này trong tương lai.

    Điều gì xảy ra nếu Người tạo ra công cụ lại thỏa hiệp?

    Khi tạo ra phần mềm và phần cứng bảo mật, người tạo lập cũng giống như chính bạn phải đối diện với mô thức đe dọa. Người tạo lập giỏi sẽ mô tả rõ ràng trong tài liệu rằng họ có thể bảo vệ bạn khỏi những kẻ tấn công nào.

    Nhưng có một kẻ tấn công mà rất nhiều hãng thậm chí không muốn nghĩ đến: nếu như chính họ buộc phải thỏa hiệp hoặc quyết định tấn công chính người dùng của họ. Ví dụ như, tòa án hoặc chính quyền có thể gây sức ép một công ty để bắt nộp dữ liệu người dùng hoặc tạo ra một “cổng sau” nhằm xóa bỏ tất cả các lớp bảo vệ của công cụ. Có lẽ bạn nên xem xét pháp luật của nơi người tạo lập công cụ. Lấy ví dụ, nếu sự đe dọa bạn có là từ phía chính quyền Iran, một công ty có trụ sở tại Hoa Kỳ có thể chống lại phán quyết của tòa án Iran, kể cả khi phán quyết đó tuân theo trình tự tại Hoa Kỳ.

    Ngay cả khi một người tạo lập có thể chống lại áp lực của chính quyền, thì cũng có kẻ tấn công tìm cách đạt được kết quả tương tự bằng cách xâm nhập vào hệ thống của người tạo lập công cụ để tấn công người dùng.

    Các công cụ vững trãi nhất là những công cụ coi việc trên giống như một vụ tấn công có thể xảy ra, và được thiết kế để chống lại điều đó. Tìm trong tài liệu xem có chỗ nào khẳng định là người tạo lập không thể truy cập dữ liệu riêng tư, hơn là tin lời hứa hẹn của họ là sẽ không làm vậy. Hãy tìm kiếm tổ chức có tiếng trong việc chống lại trát tòa đòi nộp dữ liệu cá nhân.

    Có từng bị thu hồi hay bị phê bình trên mạng?

    Các công ty và cá nhân buôn bán sản phẩm và quảng cáo các phầm mềm mới nhất có thể không nói hết, nói không chính xác hay ngay cả nói láo. Một sản phẩm an toàn lúc ban đầu có thể có lỗi trong tương lai. Bạn phải nắm vững thông tin mới nhất về các công cụ đang sử dụng.

    Chỉ có một cá nhân thì khó mà nắm bắt hết các thông tin mới nhất về một công cụ. Nếu bạn có đồng nghiệp dùng cùng sản phẩm hay dịch vụ, hãy chia sẻ với nhau để nắm bắt thông tin kịp thời.

    Tôi nên mua điện thoại nào? Máy tính nào?

    Một trong những câu hỏi thường xuyên dành cho những người huấn luyện về bảo mật là “Tôi có nên mua điện thoại Android hay Iphone?” hoặc “Tôi nên sử dụng PC hay Mac?” hoặc “Tôi nên dùng hệ điều hành nào?” Sẽ không có câu trả lời nào đơn giản cho những câu hỏi trên. Sự an toàn tương đối của các phần mềm và thiết bị thay đổi liên tục khi lỗi mới được phát hiện và các lỗi sai được sửa. Các công ty có thể cạnh tranh với nhau để cung cấp cho bạn một hệ thống bảo mật tốt hơn, hoặc họ có thể đều chịu áp lực từ phía chính quyền phải làm yếu hệ thống bảo mật.

    Tuy nhiên, một số lời khuyên tổng quát thường luôn luôn đúng. Khi bạn mua một thiết bị hay một hệ điều hành, giữ cho thiết bị cập nhật với các bản cập nhật phần mềm. Cập nhật sẽ vá lại các lổ hổng trong mã nguồn cũ mà đối phương có thể lợi dụng để tấn công. Lưu ý là một số điện thoại và hệ điều hành cũ không còn được hỗ trợ nữa, dù là chỉ cập nhật an ninh. Đặc biệt, Microsoft nói rõ là Windows Vista, XP và cũ hơn sẽ không còn được cập nhật gì cả ngay cả cho những lỗi bảo mật trầm trọng. Điều này có nghĩa là bạn dùng những thứ đó thì đừng mong đợi là sẽ an toàn. Cho hệ điều hành Mac OS cũng vậy, không còn cập nhật gì cho phiên bản 10.11 hoặc El Capitan.

    Sau khi đã suy xét các mối đe dọa bạn đối diện, và biết cần gì trong các công cụ bảo mật số, bạn có thể tự tin để chọn công cụ thích hợp nhất cho tình huống đặc thù của bạn.

    Các Sản phẩm được đề cập trong phần hướng dẫn này

    Chúng tôi cố gắng đảm bảo rằng phần mềm và phần cứng chúng tôi đề cập trong phần hướng dẫn này phù hợp với các tiêu chí chúng tôi đã đưa ra bên trên: chúng tôi đã nỗ lực hết mình để chỉ lên danh sách các sản phẩm có nền tảng vững chắc trong số các sản phẩm mà chúng tôi biết trong lĩnh vực an ninh số, đồng thời cũng minh bạch về cách vận hành (cũng như những thất bại), có phòng thủ chống lại khả năng người tạo ra nó phải thỏa hiệp, và vẫn đang được bảo trì, dựa vào nền tảng kiến thức công nghệ người dùng và số lượng người dùng lớn. Tại thời điểm viết bài này, chúng tôi tin rằng chúng là điểm chú tâm của rất nhiều người dùng, những người vẫn đang phân tích các lỗi, và sẽ nêu lên cảnh báo cho cộng đồng một cách nhanh chóng. Xin hãy hiểu rằng chúng tôi không có các nguồn lực để đánh giá và đảm bảo về độ bảo mật, chúng tôi không chứng thực các sản phẩm này và không đảm bảo về độ an toàn tuyệt đối.

    Cập nhật lần cuối: 
    29-10-2018
  • Bảo vệ bản thân trên mạng xã hội

    Các trang mạng xã hội hiện là các trang web phổ biến nhất trên internet. Facebook có hơn một tỉ người dùng, và Instagram và Twitter có hàng trăm triệu người dùng. Mạng xã hội thường được xây dựng dựa trên ý tưởng chia sẻ các bài viết, hình ảnh, và các thông tin cá nhân. Tuy nhiên chúng cũng trở thành diễn đàn cho việc tổ chức và ngôn luận. Những sinh hoạt này cần đến quyền riêng tư và một mức độ ẩn danh nào đó.

    Vì thế những câu hỏi dưới đây trở nên rất quan trọng cần xem xét khi sử dụng mạng xã hội: Bằng cách nào tôi có thể tương tác với các trang mạng này mà vẫn bảo vệ được bản thân tôi? Bảo vệ sự riêng tư của tôi? Bảo vệ danh tính của tôi? Bảo vệ các liên lạc và mối liên hệ của tôi? Thông tin nào mà tôi muốn giữ kín và không muốn cho ai xem thấy?

    Tùy vào các tình huống, bạn có thể cần phải bảo vệ bản thân mình đối với chính các trang mạng xã hội đó, đối với những người dùng khác cùng mạng, hoặc là cả hai.

    Sau đây là một số lời khuyên cần ghi nhớ khi thiết lập tài khoản:

    • Bạn có muốn sử dụng tên thật không? Một số mạng xã hội có cái gọi là “chính sách tên thật”, nhưng chính sách này ngày càng lỏng lẻo. Nếu bạn không muốn sử dụng tên thật để đăng ký thì đừng.
    • Khi đăng ký, không nên cung cấp quá nhiều thông tin hơn mức cần thiết. Nếu bạn có nhu cầu ẩn danh, hãy dùng một địa chỉ email riêng và tránh cung cấp số điện thoại của bạn. Cả hai mảnh thông tin này có thể giúp nhận diện cá nhân bạn và cho thấy mối liên hệ giữa các tài khoản khác nhau.
    • Cẩn thận khi chọn hình ảnh hồ sơ hoặc hình ảnh đại diện. Bên cạnh siêu dữ liệu bao gồm thời gian và địa điểm khi hình được chụp, tự bản thân tấm hình có thể tiết lộ một số thông tin khác. Trước khi chọn một tấm hình, tự hỏi: hình được chụp trước cửa nhà hay văn phòng? Có thấy bản tên đường trong hình không?
    • Lưu ý là địa chỉ IP của bạn có thể bị lưu lại khi bạn đăng ký.
    • Chọn mật khẩu mạnh và, nếu được, bật mở chức năng xác minh hai-bước.
    • Lưu ý đến câu hỏi phục hồi mật khẩu, các câu trả lời có thể được khai thác trong chi tiết trang mạng xã hội của bạn. Ví dụ như: “Bạn sinh ra ở thành phố nào?” hoặc “Tên thú nuôi của bạn là gì?” Bạn nên chọn các câu trả lời tầm bậy. Một phương pháp hay để nhớ câu trả lời phục hồi mật khẩu nếu bạn chọn trả lời tầm bậy là ghi lại các câu trả lời trong một phần mềm quản lý mật khẩu .

    Xem lại chính sách quyền riêng tư của trang mạng xã hội

    Thông tin được lưu trữ bởi bên thứ ba bị lệ thuộc vào chính sách của họ và có thể bị sử dụng cho mục đích thương mại hoặc chia sẻ cho các công ty khác, ví dụ như các hãng tiếp thị. Tuy biết rằng đọc hết các chính sách quyền riêng tư gần như là việc bất khả thi, nhưng có lẽ bạn nên xem qua chương mục về cách mà dữ liệu của bạn được sử dụng, khi nào dữ liệu bị chia sẻ với bên thứ ba, và bằng cách nào dịch vụ này đáp ứng yêu cầu của cơ quan công lực.

    Các trang mạng xã hội, thường là các doanh nghiệp vì lợi nhuận, thường xuyên thu gom các thông tin nhạy cảm bên ngoài những thông tin bạn cung cấp- như địa điểm của bạn, sở thích và các mẩu quảng cáo bạn bấm vào, các trang mạng nào bạn ghé thăm (ví dụ như thông qua nút “Thích”). Nên xét đến việc ngăn chận các cookies của bên thứ ba và sử dụng phần mở rộng trình duyệt ngăn chặn theo dõi để đảm bảo các thông tin phụ trội không bị chuyển cho bên thứ ba.

    Thay đổi Thiết đặt Quyền Riêng tư

    Nói cho rõ là đổi thiết đặt mặc định. Ví dụ như, bạn có muốn chia sẻ các bài viết với tất cả mọi người không, hay chỉ với một nhóm người nào đó thôi? Mọi người có thể liên lạc với bạn qua email hoặc số điện thoại không? Bạn có muốn địa chỉ của bạn được chia sẻ tự động không?

    Mặc dầu mỗi mạng xã hội có cách thiết đặt đặc thù, có một số điểm chung như sau.

    • Thiết đặt riêng tư thường để trả lời các câu hỏi sau đây: “Những ai xem được những gì?” Nơi đây bạn có thể tìm thấy thiết đặt mặc định về đối tượng (“công chúng,” “bạn của bạn mình,” “bạn mình thôi,” v.v…), địa điểm, hình ảnh, thông tin liên lạc, gắn thẻ, và người khác có thể tìm hồ sơ của bạn không.
    • Thiết đặt bảo mật (đôi khi được gọi là “an toàn”) nhiều phần liên quan đến việc chặn hay tắt tiếng các tài khoản khác, và bạn có muốn và cách nào để được thông báo khi có ai đó tìm cách đăng nhập vào tài khoản của bạn. Có khi bạn sẽ thấy thiết đặt về đăng nhập—như xác minh hai-bước và email hay điện thoại dự phòng—trong phần này. Có khi những thiết đặt về đăng nhập sẽ nằm trong phần thiết đặt tài khoản hoặc thiết đặt đăng nhập, cùng với tùy chọn để đổi mật khẩu.

    Tận dụng tính năng “kiểm tra” bảo mật và riêng tư. Facebook, Google, và những trang web lớn thường có tính năng “kiểm tra bảo mật”. Loại hướng dẫn có tính cách dìu dắt này sẽ đưa bạn đi qua các thiết đặt phổ thông về riêng tư và bảo mật. Với ngôn ngữ bình dị dễ hiểu đây là tính năng rất tốt và bổ ích cho người dùng.

    Lưu ý là cách thiết đặt riêng tư có thể được thay đổi. Nhiều lúc các thiết đặt này ngày càng mạnh hơn và chi tiết hơn, nhiều lúc thì không. Cần chú ý đến những thay đổi này để xem có loại thông tin nào từng là riêng tư bây giờ lại được chia sẻ, hoặc nếu có thêm thiết đặt nào cho phép bạn kiểm soát nhiều hơn quyền riêng tư của mình.

    Tách bạch các tài khoản khác nhau

    Đối với một số người, tách rời danh tính của các tài khoản khác nhau ra là điều tối quan trọng. Điều này có thể áp dụng cho các trang web hẹn hò, hồ sơ nghề nghiệp, tài khoản ẩn danh, và tài khoản trong một số cộng đồng.

    Số điện thoại và hình ảnh là hai loại dữ liệu cần lưu ý. Đặc biệt hình ảnh có thể vô tình chỉ ra mối liên hệ giữa các tài khoản mà bạn muốn tách rời. Đây là một vấn đề thường gặp với các trang web hẹn hò và hồ sơ nghề nghiệp. Nếu bạn muốn tiếp tục ẩn danh hoặc giữ danh tính của một số tài khoản tách rời ra, thì dùng hình ảnh nào mà bạn không có dùng nơi nào khác trên mạng. Để kiểm tra điều này, dùng chức năng tìm ngược lại hình ảnh của Google. Một số yếu tố khác có thể làm lộ ra mối liên hệ giữa các tài khoản là tên của bạn (ngay cả nick) và địa chỉ email. Nếu bạn khám phá ra có dữ liệu nào xuất hiện ở một nơi mà bạn không ngờ đến, đừng sợ hay hoảng lên. Thay vào đó, giải quyết từng bước một: thay vì tìm cách xóa sạch tất cả thông tin của bạn trên mạng, nên tập trung vào dữ liệu đó, xem nó ở đâu, và có thể làm gì với nó.

    Làm quen với các cài đặt nhóm Facebook

    Nhóm Facebook ngày càng trở thành nơi sinh hoạt xã hội, vận động, và một số hoạt động có thể nhạy cảm. Các cài đặt nhóm có thể khá rối. Nên tìm hiểu rõ hơn về cài đặt nhóm, và nếu các thành viên trong nhóm muốn tìm hiểu thêm về cài đặt nhóm, và làm việc người trong nhóm để giữ cho nhóm Facebook riêng tư và bảo mật.

    Riêng tư là môn thể thao đồng đội

    Đừng chỉ lo phần thiết đặt và hoạt động của mạng xã hội cho riêng mình. Trao đổi với bạn bè về những thông tin có thể nhạy cảm mà đôi bên vô tình tiết lộ ra trên mạng. Ngay cả khi bạn không có tài khoản mạng xã hội, hay khi bạn tự gỡ thẻ ra khỏi các bài đăng, bạn bè vẫn có thể vô tình nhận diện bạn, thông báo địa điểm của bạn, và tiết lộ mối liên hệ đôi bên ra với công chúng. Bảo vệ quyền riêng tư không có nghĩa là chỉ lo cho phần mình, mà còn phải lo cho nhau.

    Cập nhật lần cuối: 
    30-10-2018
  • Đánh Giá Rủi Ro của Bạn

    Tìm cách bảo vệ tất cả dữ liệu của bạn để không bị đánh cắp bất cứ lúc nào là một việc rất mệt mỏi và không thực tế. Nhưng bạn đừng lo! Bảo mật là một tiến trình, và với việc lên kế hoạch thận trọng, bạn có thể đánh giá được điều gì phù hợp cho chính mình. Bảo mật không phải là những công cụ bạn sử dụng hay phần mềm bạn tải xuống. Nó bắt đầu bằng cách hiểu rõ những mối đe dọa đặc thù bạn đang đối diện và làm sao để bạn đối phó với chúng.

    Trong vấn đề an toàn vi tính, mối đe dọa là một sự kiện tiềm tàng có thể phá vỡ nỗ lực bảo vệ dữ liệu của bạn. Bạn có thể đối phó với mối đe dọa đang gặp phải bằng cách xác định cái gì cần được bảo vệ và ai là đối thủ. Tiến trình này gọi là “mô thức đe dọa.”

    Hướng dẫn này chỉ cho bạn các xác định mô thức đe dọa, hay là làm sao để đánh giá rủi ro về thông tin số của bạn và làm sao xác định giải pháp nào tốt nhất.

    Mô thức đe dọa trông như thế nào? Giả sử như bạn muốn giữ cho nhà cửa và tài sản an toàn, sau đây là một số câu hỏi bạn có thể hỏi:

    Trong nhà có cái gì quý giá để bảo vệ?

    • Tài sản có thể bao gồm: nữ trang, thiết bị điện tử, hồ sơ tài chính, hộ chiếu, hình ảnh

    Kẻ nào có thể đánh cắp?

    • Đối thủ có thể bao gồm: kẻ trộm, người chung phòng, khách

    Xác suất cần bảo vệ như thế nào - cao hay thấp?

    • Tình trạng trộm cắp trong xóm thế nào? Người chung phòng, khách có tin tưởng được không? Khả năng của đối thủ đến đâu? Những rủi ro nào cần phải xét đến?

    Hệ quả tệ hại như thế nào nếu tôi bảo vệ không thành?

    • Tôi có vật gì trong nhà không thể thay thế được? Tôi có tiền hay thời giờ để thay thế những vật đó không? Tôi có bảo hiểm cho những vật bị đánh cắp không?

    Tôi sẽ chịu bỏ ra bao nhiêu công sức để ngăn ngừa không cho xảy ra?

    • Tôi có sẳn sàng mua một két sắt để giữ hồ sơ quan trọng? Tôi có tiền mua ổ khóa tốt hơn? Tôi có thời giờ để ra ngân hàng thuê két sắt và giữ vật liệu quý giá trong đó?

    Một khi đã tự hỏi mình những câu hỏi này, bạn đã sẵn sàng để đánh giá những biện pháp nào cần có. Nếu có tài sản quý giá, nhưng độ rủi ro bị mất trộm lại thấp, thì bạn có thể không cần mua ổ khóa thật mắc tiền. Nhưng, nếu độ rủi ro cao, bạn sẽ muốn mua ổ khóa tốt nhất trên thị trường, và xét đến việc cài đặt hệ thống báo động chống trộm.

    Lập ra một mô thức đe dọa giúp bạn hiểu rõ các mối đe dọa đặc thù đang đối diện, tài sản của bạn, đối thủ là ai, khả năng của đối thủ, và độ rủi ro nhiều hay ít gặp phải.

    Mô thức đe dọa là gì và tôi bắt đầu thế nào?

    Mô thức đe dọa giúp bạn nhận diện những mối đe dọa đối với tài sản của bạn và xác định kẻ nào là đối thủ cần phải ngăn chặn. Khi lập ra một mô thức đe dọa, bạn trả lời năm câu hỏi sau đây:

    1. Tôi muốn bảo vệ cái gì?
    2. Ai là kẻ đe dọa?
    3. Kết quả tệ hại thế nào nếu tôi thất bại?
    4. Xác suất cần bảo vệ cao hay thấp?
    5. Tôi chịu bỏ ra bao nhiêu công sức để ngăn ngừa hệ quả xấu xảy ra?

    Hãy xem xét từng câu hỏi này.

    Tôi muốn bảo vệ cái gì?

    Tài sản là những gì bạn quý giá và muốn bảo vệ. Khi chúng ta nói về an ninh số, tài sản đề cập trong câu hỏi trên thông thường là các thông tin. Ví dụ như địa chỉ mail, danh sách liên lạc, tin nhắn, địa điểm và các tập tin, tất cả đều là tài sản. Kể cả các thiết bị của bạn cũng là tài sản.

    Hãy liệt kê danh sách tài sản của bạn: dữ liệu đang lưu giữ, nơi lưu giữ, người nào có thể truy cập chúng, và điều gì làm người khác không thể truy cập dữ liệu đó.

    Ai là kẻ đe dọa?

    Để trả lời câu hỏi này, thì điều quan trọng là nhận ra ai muốn nhắm vào bạn và thông tin của bạn. Một người hoặc thực thể nào đó là mối đe dọa đối với tài sản của bạn là một “đối thủ”. Ví dụ của những đối thủ tiềm tàng có thể là sếp của bạn, đối tác trước đó, cạnh tranh kinh doanh, chính quyền hoặc tin tặc trên mạng.

    Soạn ra danh sách đối thủ của bạn, hay những người muốn chiếm lấy tài sản của bạn. Danh sách này có thể bao gồm các cá nhân, cơ quan chính quyền, hoặc công ty.

    Tùy thuộc đối thủ của bạn là ai, mà đôi khi trong một số tình huống bạn cần phải tiêu hủy danh sách này sau khi đã làm xong mô thức đe dọa.

    Kết quả tệ hại thế nào nếu tôi thất bại?

    Có rất nhiều cách mà đối thủ có thể gây ra đe dọa cho dữ liệu của bạn. Ví dụ như, một đối thủ có thể đọc được các trao đổi riêng của bạn xuyên qua mạng, hoặc chúng có thể xóa hoặc làm hỏng dữ liệu của bạn.

    Các đối thủ tấn công với rất nhiều các động cơ khác nhau. Một chính quyền tìm cách ngăn chận không cho lan truyền một clip video có hình ảnh bạo lực của công an có thể chỉ muốn xóa hoặc tìm cách giới hạn sự phổ biến của video đó. Ngược lại, một đối thủ chính trị có thể muốn lấy các nội dung bí mật và công bố nội dung đó mà bạn không biết.

    Mô thức đe dọa còn bao gồm việc hiểu rõ hệ quả sẽ tệ hại thế nào nếu đối thủ lấy được tài sản của bạn. Để xác định điều này, bạn cần xem xét khả năng của đối thủ. Thí dụ như, công ty điện thoại truy cập được tất cả thông tin cuộc gọi của bạn và do đó có khả năng dùng các dữ kiện đó chống lại bạn. Tin tặc trong một mạng Wi-Fi mở có thể xem được các trao đổi không mã hóa. Chính quyền của bạn có thể có những khả năng mạnh hơn thế.

    Hãy viết xuống những điều mà đối thủ của bạn muốn làm với dữ liệu riêng của bạn.

    Xác suất cần bảo vệ cao hay thấp?

    Rủi ro là xác suất một mối đe dọa nào đó đối với một tài sản nào đó sẽ xảy ra. Điều này đi liền với khả năng của kẻ tấn công. Trong khi nhà mạng điện thoại di động có thể truy cập vào dữ liệu của bạn nhưng độ rủi ro mà họ sẽ đưa các dữ liệu cá nhân đó lên mạng để bôi bẩn tên tuổi bạn thì lại thấp.

    Phân biệt giữa mối đe dọa và rủi ro là điều rất quan trọng. Trong khi mối đe dọa là một chuyện xấu có thể xảy ra, rủi ro là xác suất mối đe dọa có thể xảy ra. Ví dụ như, có mối đe dọa rằng tòa nhà của bạn có thể sẽ bị sụp đổ, nhưng xác suất xảy ra điều này ở San Francisco (nơi có rất nhiều động đất) lớn hơn so với ở Stockholm (nơi không có động đất).

    Thực hiện phân tích rủi ro là tiến trình cá nhân và chủ quan; không phải tất cả mọi người đều có những ưu tiên giống nhau hoặc cách nhìn về mối đe dọa giống nhau. Rất nhiều người thấy rằng các mối đe dọa là thứ không thể chấp nhận được, dù cho mức độ rủi ro thế nào đi nữa. Bởi vì sự xuất hiện đe dọa ở bất kỳ mức độ nào đều không xứng với cái giá phải trả. Trong nhiều trường hợp khác, nhiều người xem thường rủi ro vì họ không thấy có vấn đề gì với những mối đe dọa.

    Viết xuống những mối đe dọa nào bạn sẽ không coi thường, và những mối đe dọa nào rất hiếm hoi hoặc vô hại (hoặc quá khó để đối phó) để mà phải lo.

    Tôi chịu bỏ ra bao nhiêu công sức để ngăn ngừa hệ quả xấu xảy ra?

    Trả lời câu hỏi này đòi hỏi phải làm phân tích rủi ro. Không phải tất cả mọi người đều có những ưu tiên giống nhau hoặc cách nhìn về mối đe dọa giống nhau.

    Lấy thí dụ, một luật sư bảo vệ cho thân chủ trong một vụ pháp lý về an ninh quốc phòng có lẻ sẽ bỏ nhiều công sức để bảo vệ việc liên lạc, trao đổi liên quan đến vụ việc, như dùng email có mã hóa, trong khi một bà mẹ thường gửi email cho con gái trao đổi chuyện bình thường thì có lẻ không.

    Viết xuống những chọn lựa sẵn có để giúp bạn làm giảm thiểu các mối đe dọa. Lưu ý đến những giới hạn về tài chính, kỹ thuật, hay xã hội.

    Có thói quen thường xuyên làm mô thức đe dọa

    Luôn nhớ là mô thức đe dọa của bạn có thể đổi khi tình huống của bạn đổi. Do đó, thường xuyên làm mô thức đe dọa là một thói quen tốt.

    Lập ra mô thức đe dọa riêng cho bạn dựa vào tình huống đặc thù của bạn. Rồi đánh dấu vào trong lịch một ngày nào đó tương lai. Để đến lúc đó nhắc bạn duyệt lại mô thức đe dọa và đánh giá lại xem nó vẫn còn thích hợp với tình huống của bạn hay không.

    Cập nhật lần cuối: 
    10-01-2019
  • Liên lạc với người khác

    Mạng viễn thông và internet đã làm cho việc giao tiếp giữa con người dễ dàng hơn bao giờ hết, nhưng nó cũng khiến cho việc theo dõi trở nên phổ biến. Nếu không có những bước phụ trội để bảo vệ sự riêng tư, các cuộc gọi điện, tin nhắn văn bản, email, tin nhắn nhanh, trò chuyện video, và tin nhắn mạng xã hội có thể dễ dàng bị nghe lén.

    Thường thì cách liên lạc kín đáo nhất với người khác là tận mặt, không dính dáng gì đến máy tính hoặc điện thoại. Tuy nhiên điều này không phải lúc nào cũng làm được, cho nên cách tốt nhất kế tiếp là sử dụng mã hóa nối đầu.

    Mã hóa nối đầu hoạt động như thế nào?

    Mã hóa nối đầu bảo đảm là thông tin sẽ được biến đổi thành một thông điệp bí mật bởi người gửi (“đầu” gửi) và chỉ có thể được giải mã bởi người nhận cuối cùng (“đầu” nhận). Điều này có nghĩa là không ai khác có thể nghe lén các hoạt động mạng của bạn, kể cả kẻ gian trong mạng wifi của quán cà-phê, nhà mạng dịch vụ Internet, hay cả trang mạng hoặc ứng dụng đang dùng. Điều mà bạn có thể thấy khó hiểu là tuy dùng ứng dụng trong điện thoại để gửi tin nhắn hoặc truy cập thông tin trên một trang web không có nghĩa là công ty chế tạo ứng dụng đó hay trang web đó có thể đọc được thông tin. Đây là đặc tính cốt lõi của cách mã hóa tốt: ngay cả người thiết kế và triển khai nó cũng không thể bẻ khóa.

    Những công cụ được hướng dẫn trong trang SSD này đều dùng mã hóa nối đầu. Bạn có thể dùng mã hóa nối đầu cho bất cứ loại liên lạc nào — kể cả cú gọi điện hay video, tin nhắn nhanh, chat, và email.

    (Đừng lầm lẫn mã hóa nối đầu với mã hóa tầng chuyển tải. Trong khi mã hóa nối đầu bảo vệ thông tin trong suốt đoạn đường chuyển tải đến người nhận, mã hóa tầng chuyển tải chỉ bảo vệ thông tin từng đoạn một, từ thiết bị đến máy chủ của ứng dụng, rồi từ đó đến thiết bị của người nhận. Ở khoảng giữa, công ty dịch vụ tin nhắn—hoặc trang mạng bạn đang xem, hoặc ứng dụng đang dùng—có thể thấy được bạch văn tin nhắn của bạn.)

    Cách làm việc bên trong của mã hóa nối đầu như thế này: Khi hai người muốn liên lạc bằng cách mã hóa nối đầu (ví dụ hai người là Akiko và Boris) mỗi người phải tạo ra các chìa khoá mật mã. Những chìa khóa này dùng để biến đổi dữ liệu mà ai cũng có thể đọc được thành dữ liệu chỉ có ai có đúng chìa mới xem được. Trước khi Akiko gửi một tin nhắn cho Boris cô ấy mã hóa nó bằng khóa của Boris để chỉ có Boris mới giải mã được tin nhắn đó. Sau đó cô ấy gửi tin nhắn đã được mã hóa qua mạng internet. Nếu bất kỳ ai đang nghe lén Akiko và Boris—thậm chí nếu họ có quyền truy cập vào dịch vụ mà Akiko sử dụng để gửi tin nhắn (như tài khoản email của cô ấy)—họ chỉ thấy dữ liệu đã mã hóa và sẽ không thể đọc được tin nhắn đó. Khi Boris nhận được tin nhắn, anh ta phải sử dụng khóa của anh ấy để giải mã thành dạng tin nhắn có thể đọc được.

    Một số dịch vụ, như Google Hangouts chẳng hạn, có “mã hóa”, nhưng dùng chìa khóa do Google tạo ra và kiểm soát, chứ không dùng khóa của người gửi và nhận tin nhắn. Đây không phải là mã hóa nối đầu. Để thật sự bảo mật, chỉ có các “đầu” của cuộc trò chuyện mới có chìa khóa để mã hóa và giải mã. Nếu dịch vụ bạn dùng kiểm soát chìa khóa thì đó là mã hóa tầng chuyển tải.

    Mã hóa nối đầu đòi hỏi người dùng phải giữ kín chìa khóa của họ. Và nó cũng đòi hỏi nỗ lực để bảo đảm là chìa khóa mã hóa và giải mã là sở hữu của đúng người. Sử dụng mã hóa nối đầu có thể cần chút ít nỗ lực—từ việc đơn giản như tải một ứng dụng xuống cho đến việc chủ động kiểm chứng chìa khóa—nhưng đó là cách tốt nhất để người dùng kiểm tra mức độ bảo mật của hệ thống liên lạc mà không cần phải tin tưởng vào dịch vụ họ đang sử dụng.

    Xin đọc thêm về mã hóa trong tài liệu Những điều cần biết về mã hóa, Các khái niệm cơ bản của mã hóa, và Các loại mã hóa khác nhau. Chúng tôi cũng giải thích chi tiết về một loại mã hóa nối đầu đặc biệt—gọi là “mã hóa khóa công khai”—trong tài liệu Giới thiệu về Mật Mã Khóa Công Khai và PGP.

    Các cú gọi điện và tin nhắn văn bản so với tin nhắn mã hóa gửi qua Internet

    Khi bạn gọi từ điện thoại bàn hoặc điện thoại di động, cuộc gọi của bạn không được mã hóa nối đầu. Khi bạn gửi một tin nhắn văn bản (tức là SMS) bằng điện thoại, tin nhắn không được mã hóa. Cả hai cú gọi và tin nhắn đều có thể bị nghe lén hay thâu lại bởi chính quyền hay bất cứ ai có quyền lực áp đặt lên nhà mạng di động. Nếu việc đánh giá rủi ro có bao gồm xác suất bị chính quyền nghe lén, bạn nên dùng những giải pháp khác có mã hóa dùng qua internet. Điểm lợi là một số giải pháp này cho phép gọi video.

    Một số thí dụ về dịch vụ hay phần mềm cho phép gửi tin nhắn, cú gọi điện và gọi video có mã hóa nối đầu:

    Một số thí dụ về các dịch vụ không dùng mã hóa nối đầu:

    • Google Hangouts
    • Kakao Talk
    • Line
    • Snapchat
    • WeChat
    • QQ
    • Yahoo Messenger

    Và một số dịch vụ, như Facebook Messenger và Telegram, chỉ dùng mã hóa nối đầu khi bạn chủ động bật mở. Một số khác, như iMessages, chỉ dùng mã hóa nối đầu khi cả đôi bên dùng cùng loại thiết bị (trong trường hợp của iMessages, cả đôi bên phải dùng iPhone).

    Tin tưởng vào dịch vụ tin nhắn đến mức nào?

    Mã hóa nối đầu có thể bảo vệ bạn chống bị theo dõi bởi chính quyền, tin tặc, và ngay chính dịch vụ tin nhắn. Nhưng những thành phần này có thể lén lút sửa đổi phần mềm bạn dùng để mặc dầu trên danh nghĩa là có mã hóa nối đầu nhưng thật ra nó gửi thông tin đi không có mã hóa hoặc dùng một loại mã hóa yếu kém.

    Nhiều tổ chức, kể cả EFF, bỏ thời gian ra để quan sát những dịch vụ có tiếng tăm (như WhatsApp, mà Facebook làm chủ, hoặc Signal) để bảo đảm là họ thật sự cung cấp mã hóa nối đầu như đã hứa. Nhưng nếu bạn quan tâm đến các rủi ro này, bạn có thể sử dụng các công cụ dùng kỹ thuật mã hóa được công khai biết đến và được duyệt xét và được thiết kế để độc lập với hệ thống chuyển tải. Thí dụ như OTRPGP. Các hệ thống này cần sự thành thạo của người dùng, thường không thân thiện lắm, và dùng giao thức cũ chưa áp dụng các kỹ thuật mã hóa hiện đại nhất.

    Off-the-Record (OTR) là một giao thức mã hóa nối đầu cho việc trò chuyện bằng văn bản trong thời gian thực. Nó có thể dùng bên trên một số dịch vụ tin nhắn nhanh. Một số công cụ kết hợp OTR gồm có:

    PGP (hay Pretty Good Privacy) là tiêu chuẩn cho email với mã hóa nối đầu. Xin xem các tài liệu sau đây để biết chi tiết cách cài đặt và sử dụng PGP:

    PGP cho email thích hợp cho những người dùng có kinh nghiệm kỹ thuật liên lạc với nhau và họ biết sự phức tạp cũng như giới hạn của PGP.

    Mã hóa nối đầu không bảo vệ được gì?

    Mã hóa nối đầu chỉ bảo vệ nội dung của việc thông tin, chứ không phải việc bạn đang thông tin. Nó không bảo vệ siêu dữ liệu, bao gồm những thứ như, tiêu đề của email, người bạn đang liên lạc với, khi nào. Khi bạn làm cú gọi từ điện thoại di động, dữ kiện về địa điểm của bạn cũng là siêu dữ liệu.

    Siêu dữ liệu có thể lộ ra nhiều thông tin về bạn trong khi cùng lúc đó nội dung thông tin thì lại được giữ kín.

    Siêu dữ liệu về các cú gọi có thể để lộ ra một số thông tin tế nhị và riêng tư của bạn. Chẳng hạn như:

    • Người ta biết bạn gọi cho một dịch vụ tình dục lúc 2:24 sáng và nói chuyện trong vòng 18 phút, mặc dầu họ không biết bạn nói chuyện gì.
    • Người ta biết bạn gọi đường dây nói phòng ngừa tự tử từ cầu Cựu Kim Sơn, mặc dầu nội dung cú gọi vẫn bí mật.
    • Người ta biết bạn liên lạc với một dịch vụ thử nghiệm SIDA, rồi gọi bác sĩ, rồi gọi công ty bảo hiểm sức khoẻ trong cùng một tiếng đồng hồ, nhưng họ không biết bạn thảo luận chuyện gì.
    • Người ta biết bạn nhận được một cú gọi từ văn phòng địa phương của NRA (Hiệp Hội Súng Quốc Gia) trong lúc họ đang có cuộc vận động để chống lại các đạo luật về súng đạn, rồi sau đó bạn gọi các vị dân cử ngay sau đó, tuy nhiên nội dung các cú gọi vẫn được giữ kín.
    • Người ta biết bạn gọi cho bác sĩ sản khoa, nói chuyện nửa tiếng, rồi bạn gọi số điện thoại của văn phòng địa phương của Planned Parenthood (Kế Hoạch Hóa Gia Đình) sau đó, nhưng không ai biết bạn nói chuyện gì.

    Những tính năng quan trọng khác

    Mã hóa nối đầu chỉ là một trong nhiều tính năng có thể quan trọng đối với bạn trong việc liên lạc bảo mật. Như đã trình bày bên trên, mã hóa nối đầu là công cụ rất tốt để phòng ngừa các công ty và chính quyền xem lén thông tin của bạn. Nhưng đối với nhiều người, các công ty và chính quyền không phải là mối đe dọa lớn nhất, và do đó mã hóa nối đầu không phải là ưu tiên hàng đầu.

    Lấy thí dụ, nếu ai đó lo lắng là người phối ngẫu, cha mẹ, hay chủ nhân có thể truy cập vào thiết bị của họ, thì khả năng gửi tin nhắn “biến mất” có thể là yếu tố quyết định khi chọn một ứng dụng tin nhắn. Người khác có thể quan tâm về việc đưa số điện thoại của họ cho người khác, thì yếu tố ứng dụng dùng tên thay vì số điện thoại sẽ là quan trọng.

    Một cách tổng quát hơn, các tính năng bảo mật và riêng tư không phải là những yếu tố duy nhất khi chọn một phương tiện liên lạc bảo mật. Một ứng dụng với các tính năng bảo mật tuyệt vời cũng thành vô dụng nếu không có bạn bè và liên lạc nào dùng nó. Các ứng dụng phổ thông và có nhiều người dùng thay đổi tùy thuộc vào từng quốc gia và cộng đồng. Chất lượng dịch vụ kém hoặc phải trả tiền để mua ứng dụng cũng là yếu tố làm cho một ứng dụng tin nhắn không phù hợp với một số người.

    Bạn càng hiểu rõ mình muốn gì và cần gì từ một phương tiện liên lạc bảo mật, thì sẽ dễ chọn lựa một công cụ thích hợp nhất trong một đám rừng thông tin ở ngoài đời, với tin tức có khi đã lỗi thời.

    Cập nhật lần cuối: 
    07-12-2018
  • Tạo Mật Khẩu Mạnh

    Tạo Mật Khẩu Mạnh Với Phần Mềm Quản Lý Mật Khẩu

    Dùng lại các mật khẩu là một thói quen cực kỳ xấu về bảo mật. Nếu kẻ gian có được một mật khẩu mà bạn dùng cho nhiều dịch vụ khác nhau thì họ sẽ truy cập vào được các tài khoản đó. Đó là tại sao có mật khẩu mạnh, đặc thù, khác nhau là điều vô cùng quan trọng.

    Cũng may là có phần mềm quản lý mật khẩu để giúp việc này. Một phần mềm quản lý mật khẩu là một công cụ để tạo ra và lưu trữ mật khẩu cho bạn, để bạn có thể dùng các mật khẩu khác nhau cho các trang mạng và dịch vụ khác nhau mà không cần phải nhớ chúng. Phần mềm quản lý mật khẩu:

    KeePassXC là thí dụ của phần mềm quản lý mật khẩu mã nguồn mở và miễn phí. Bạn có thể chạy công cụ này trên máy hoặc tích hợp nó vào trình duyệt. KeePassXC không tự động lưu các thay đổi khi bạn sử dụng, do đó nếu phần mềm bị sự cố sau khi bạn thêm mật khẩu, bạn có thể mất luôn mật khẩu đó. Bạn có thể thay đổi tính năng này ở phần thiết đặt.

    Bạn ngẫm nghĩ không biết phần mềm quản lý mật khẩu có phải là công cụ phù hợp cho mình không? Nếu có một đối thủ đầy quyền lực như chính quyền nhắm tấn công bạn thì có thể là không.

    Nên nhớ:

    • khi dùng phần mềm quản lý mật khẩu là tạo ra một tụ điểm có thể bị mất mát
    • phần mềm quản lý mật khẩu là đích nhắm hiển nhiên cho đối thủ.
    • nghiên cứu cho thấy một số phần mềm quản lý mật khẩu có yếu điểm.

    Nếu bạn lo lắng về những cuộc tấn công số tốn kém thì thử những phương cách đơn giản hơn. Bạn có thể tạo ra mật khẩu mạnh bằng tay (xem phần “Tạo mật khẩu mạnh dùng con xúc xắc” dưới đây), viết xuống giấy, rồi giữ đâu đó an toàn trong người.

    Nhưng, theo nguyên tắc thì chúng ta chỉ nên nhớ mật khẩu trong đầu và không bao giờ viết xuống giấy mà? Thật ra, viết xuống giấy, và giữ trong người, bỏ trong bóp chẳng hạn, có điểm hữu ích là ít ra bạn biết khi mật khẩu bị thất lạc hay bị đánh cắp.

    Tạo mật khẩu mạnh dùng con xúc xắc

    Có một vài mật khẩu cần phải nhớ và cần phải thật mạnh. Bao gồm:

    Một trong những khó khăn khi tự chọn mật khẩu là con người không giỏi để làm những chọn lựa ngẫu nhiên, bất thường. Một cách hữu hiệu để tạo ra mật khẩu mạnh và dễ nhớ là dùng con xúc xắc và một danh sách các từ để chọn một số từ ngẫu nhiên. Các từ nay gộp lại thành “cụm từ mật khẩu” của bạn. “Cụm từ mật khẩu” là loại mật khẩu dài hơn bình thường để gia tăng bảo mật. Để mã hóa toàn bộ đĩa cứng và cho phần mềm quản lý mật khẩu, chúng tôi đề nghị chọn ít nhất là sáu từ.

    Tại sao ít nhất là sáu từ? Tại sao dùng con xúc xắc để chọn từ một cách ngẫu nhiên? Mật khẩu càng dài và càng ngẫu nhiên thì càng khó để cho máy tính và con người đoán được. Để tìm hiểu thêm tại sao bạn cần mật khẩu dài, khó đoán, hãy xem video giải thích.

    Thử tạo ra cụm từ mật khẩu dùng một trong những danh sách các từ của EFF.

    Nếu máy tính hoặc thiết bị của bạn bị xâm nhập và phần mềm gián điệp được cài đặt, phần mềm gián điệp đó có thể lén thấy bạn gõ mật khẩu chính và có thể đánh cắp nội dung trong két mật khẩu. Do đó điều rất quan trọng cần lưu ý là giữ cho máy tính và các thiết bị khác không dính mã độc khi sử dụng phần mềm quản lý mật khẩu.

    Đôi lời về “Câu hỏi Bảo mật

    Hãy chú ý đến “câu hỏi bảo mật” mà các trang mạng dùng để xác nhận danh tính của bạn. Câu trả lời thành thật cho các câu hỏi này đôi khi là những dữ kiện có thể bị công khai phát hiện. Một đối thủ khi kiên quyết có thể dễ dàng tìm thấy và từ đó vượt qua mật khẩu của bạn.

    Thay vào đó, cung cấp các câu trả lời hư cấu mà không ai khác ngoài bạn biết. Lấy thí dụ, nếu câu hỏi bảo mật là:

    “Tên của con vật bạn nuôi đầu tiên là gì?”

    Câu trả lời có thể là một mật khẩu ngẫu nhiên do phần mềm quản lý mật khẩu tạo ra. Bạn nhớ giữ câu trả lời hư cấu này ngay trong két mật khẩu.

    Hãy nhớ lại các trang mạng mà bạn có dùng câu hỏi bảo mật và cân nhắc đổi lại câu trả lời. Đừng dùng cùng mật khẩu hay câu hỏi bảo mật cho các tài khoản khác nhau trên các trang web hay dịch vụ khác nhau.

    Đồng bộ mật khẩu trên nhiều thiết bị

    Nhiều phần mềm quản lý mật khẩu có chức năng đồng bộ hóa mật khẩu trên nhiều thiết bị để bạn truy cập được các mật khẩu trên bất cứ thiết bị nào. Có nghĩa là khi bạn đồng bộ hóa tập tin mật khẩu trên một thiết bị, nó sẽ cập nhật trên tất cả các thiết bị của bạn.

    Một số phần mềm quản lý mật khẩu có thể lưu mật khẩu “trên đám mây” có nghĩa là được mã hóa và lưu trữ trên một máy chủ từ xa. Khi bạn cần mật khẩu thì phần mềm sẽ tự động lấy về và giải mã mật khẩu cho bạn. Phần mềm quản lý mật khẩu dùng máy chủ riêng để lưu trữ hoặc để giúp đồng bộ mật khẩu thì có tiện lợi, nhưng đổi lại là có thể dễ bị tấn công hơn. Nếu mật khẩu của bạn được lưu trữ trên cả máy tính và trên mây, thì kẻ tấn công không cần phải đánh cắp hay xâm nhập vào máy tính của bạn để tìm mật khẩu. (Dĩ nhiên là họ phải ráng bẻ khóa của phần mềm quản lý mật khẩu.)

    Nếu bạn lo lắng về điều này thì đừng có đồng bộ hóa mật khẩu lên mây, thay vào đó chọn lưu trữ trên thiết bị của bạn thôi.

    Giữ một bản sao lưu của cơ sở dữ liệu mật khẩu để phòng hờ. Nếu máy bị hỏng hoặc bị tịch thu hay đánh cắp và làm mất cơ sở dữ liệu mật khẩu thì bạn vẫn còn bản sao lưu. Phần mềm quản lý mật khẩu thường có cách để làm sao lưu, hoặc bạn có thể dùng các phần mềm sao lưu khác.

    Xác minh nhiều yếu tố và mật khẩu dùng một lần

    Mật khẩu mạnh, đặc thù sẽ khiến cho kẻ gian không dễ dàng xâm nhập vào tài khoản của bạn. Để bảo vệ tài khoản hơn nữa, mở chức năng xác minh hai yếu tố.

    Một số dịch vụ cho bạn sử dụng xác minh hai-yếu tố, hay còn gọi xác minh hai-bước hoặc đăng nhập hai bước. Việc này đòi hỏi người dùng có hai phần (mật khẩu và một yếu tố thứ nhì) để đăng nhập vào tài khoản. Yếu tố thứ nhì có thể là một mã số kín dùng một lần hoặc một con số do một trình chạy trên thiết bị di động tạo ra.

    Xác minh hai yếu tố dùng điện thoại di động có thể làm qua một trong hai cách sau đây:

    • Điện thoại bạn chạy một trình xác minh để tạo ra mã số bảo mật (chẳng hạn như Google Authenticator hoặc Authy) hoặc bạn có thể dùng một thiết bị độc lập (chẳng hạn như YubiKey); hoặc
    • dịch vụ có thể gửi bạn một mã số bảo mật qua tin nhắn văn bản để bạn dùng nó đăng nhập vào tài khoản.

    Nếu có chọn lựa, bạn nên dùng ứng dụng xác minh hoặc thiết bị độc lập thay vì nhận mã số qua tin nhắn văn bản. Đối với kẻ tấn công thì điều hướng tin nhắn văn bản về điện thoại của họ dễ hơn là tìm cách bẻ gãy xác minh.

    Một vài dịch vụ như Google cho phép bạn tạo ra một danh sách các mật khẩu một lần, còn được gọi là mật khẩu dùng một lần. Các mật khẩu này có thể được in hoặc viết trên giấy để bạn có thể mang theo. Mỗi một mật khẩu này chỉ dùng được một lần, do đó nếu một mật khẩu bạn gõ xuống bị đánh cắp bởi phần mềm gián điệp thì kẻ cắp không thể sử dụng mật khẩu đó trong tương lai.

    Nếu bạn hoặc tổ chức của bạn có hạ tầng cơ sở liên lạc riêng, thì có phần mềm miễn phí sử dụng xác minh hai bước để truy cập vào hệ thống. Tìm phần mềm nào áp dụng tiêu chuẩn mở “Mật khẩu một lần dựa vào thời gian” hoặc RFC 6238.

    Đôi Khi, Bạn Phải Tiết Lộ Mật Khẩu

    Luật lệ về việc tiết lộ mật khẩu có khác biệt từ nơi này sang nơi khác. Có nơi, bạn có thể khiếu nại pháp lý khi bị đòi mật khẩu trong khi ở nơi khác, luật pháp sở tại cho phép chính quyền yêu cầu được biết – và có thể bỏ tù bạn nếu tình nghi bạn biết mật khẩu hay chìa khóa. Đe dọa gây tổn thương thể xác có thể dùng để buộc tiết lộ mật khẩu. Hoặc bạn có thể rơi vào tình huống, chẳng hạn như khi đi qua biên giới, nơi mà giới chức trách có thể cầm chân lại hoặc tịch thu thiết bị nếu bạn không chịu tiết lộ mật khẩu hoặc mở khóa thiết bị của mình.

    Chúng tôi có một cẩm nang riêng biệt Những điều cần lưu ý khi đi qua biên giới Hoa Kỳ để hướng dẫn cách đối phó khi được nhân viên biên phòng yêu cầu mở máy ra xem xét những lúc bạn ra/vào Hoa Kỳ. Trong tình huống khác, bạn nên suy xét xem người khác buộc bạn tiết lộ mật khẩu như thế nào, và hệ quả là gì.

    Cập nhật lần cuối: 
    29-10-2018
  • Giữ An Toàn Cho Dữ Liệu

    Nếu bạn có điện thoại thông minh, máy tính xách tay, máy tính bảng, thì bạn lúc nào cũng mang theo trong người một khối lượng dữ liệu khổng lồ. Những mối liên lạc xã hội, thông tin riêng tư, tài liệu và hình ảnh riêng tư (có thể chứa đựng thông tin tế nhị của rất nhiều người khác) là thí dụ của một số dữ liệu lưu trữ trong thiết bị số của bạn. Vì chúng ta lưu trữ và mang theo khá nhiều dữ liệu, cho nên rất khó để giữ an toàn – nhất là khi chúng có thể bị chiếm lấy khá dễ dàng.

    Dữ liệu của bạn có thể bị tịch thâu ở biên giới, bị giựt lấy trên đường phố, bị trộm vào nhà và sao chép trong tíc tắc. Rất tiếc là ngay cả khi khóa thiết bị bằng mật khẩu, số PIN, hay mẫu hình cũng có thể không bảo vệ được dữ liệu nếu thiết bị bị tịch thâu. Những cách khóa trên tương đối dễ để qua mặt vì dữ liệu được lưu trữ dưới dạng được đọc dễ dàng bên trong thiết bị. Đối thủ chỉ tìm cách đọc thẳng dạng lưu trữ để xem xét hay sao chép dữ liệu của bạn mà chẳng cần đến mật khẩu.

    Tuy vậy, bạn có thể tạo khó khăn hơn cho những kẻ đánh cắp thiết bị để lấy dữ liệu. Sau đây là một số biện pháp để bạn giữ an toàn cho dữ liiệu.

    Mã hóa dữ liệu của bạn

    Nếu bạn dùng mã hóa thì đối thủ cần lấy cả thiết bị và mật khẩu của bạn để giải mã dữ liệu. Do đó cách an toàn nhất là mã hóa toàn bộ dữ liệu của bạn, thay vì chỉ có vài thư mục. Hầu hết các điện thoại thông minh và máy tính có tính năng mã hóa toàn bộ đĩa.

    Cho điện thoại thông minh và máy tính bảng

    • Android cho phép mã hóa toàn bộ đĩa khi bạn cài đặt lần đầu tiên trên điện thoại mới, hoặc trong phần cài đặt “Bảo mật” trên các thiết bị đời cũ hơn.
    • Các loại thiết bị Apple như iPhone và iPad gọi chức năng này là “Data Protection” (Bảo vệ dữ liệu) và được kích hoạt khi bạn cài mật khẩu.

    Cho máy tính:

    • Apple có sẵn chức năng mã hóa toàn bộ đĩa trong macOS gọi là FileVault.  
    • Các bản phân phối Linux thường cho phép mã hóa toàn bộ đĩa khi bạn thiết đặt hệ thống lần đầu tiên.
    • Windows Vista và các phiên bản mới sau này có chức năng mã hóa toàn bộ đĩa gọi là BitLocker.

    Mã nguồn của “BitLocker” là loại kín và sở hữu riêng, có nghĩa là khó cho người duyệt xét bên ngoài biết được mã nguồn an toàn thế nào. Khi dùng “BitLocker” thì bạn phải tin vào Microsoft cung cấp một hệ thống lưu trữ an toàn mà không có lỗ hổng. Tuy thế, nếu bạn đang sử dụng Windows thì bạn đã tin tưởng vào Microsoft ở cùng mức độ. Nếu bạn lo lắng bị theo dõi bởi nhóm đối thủ có khả năng biết được lổ hổng an ninh của Windows hoặc BitLocker, thì xét đến việc dùng hệ thống điều hành nguồn mở khác như GNU/Linux hoặc BSD, đặc biệt là phiên bản đã được trang bị vững chắc để chống lại các cuộc tấn công, như hệ thống Tails hoặc Qubes OS. Một cách khác là cài đặt phần mềm mã hóa đĩa cứng, Veracrypt, để mã hóa đĩa cứng của bạn.

    Lưu ý: Dù cho thiết bị của bạn gọi chức năng bảo mật đó là gì đi nữa, mã hóa chỉ có mức an toàn tương đương với mật khẩu của bạn. Nếu kẻ tấn công có được thiết bị của bạn, thì họ sẽ có rất nhiều thời gian để thử hết các mật khẩu. Một cách hữu hiệu để tạo ra một mật khẩu mạnh và dễ nhớ là dùng con xúc xắc và một danh sách các từ để chọn một số từ ngẫu nhiên. Các từ nay gộp lại thành “cụm từ mật khẩu” của bạn. “Cụm từ mật khẩu” là loại mật khẩu dài hơn bình thường để gia tăng bảo mật. Để mã hóa toàn bộ đĩa cứng và cho phần mềm quản lý mật khẩu, chúng tôi đề nghị chọn ít nhất là sáu từ. Xin xem hướng dẫn Tạo Mật Khẩu Mạnh để biết thêm chi tiết.

    Để nhớ và nhập vào cụm từ mật khẩu dài như thế trên điện thoại hoặc các thiết bị di động là điều không thực tế lắm. Do đó tuy mã hóa có thể hữu ích trong việc ngăn ngừa việc truy cập tình cờ, bạn nên bảo vệ các dữ liệu tối mật bằng cách không để tin tặc tiếp cận trực tiếp, hoặc dựng thêm rào cản bảo vệ dữ liệu trên các máy bảo mật hơn.

    Tạo lập một máy bảo mật

    Duy trì một môi trường bảo mật có thể rất khó khăn. Ở điều kiện lý tưởng nhất là bạn có thể thay đổi mật mã, thói quen, và có lẽ cả phần mềm bạn đang sử dụng trên máy tính hoặc thiết bị. Còn ở điều kiện tệ nhất, bạn phải ngay lập tức nghĩ đến bạn có đang làm rò rỉ các thông tin bí mật hoặc có đang áp dụng các phương pháp bảo mật không an toàn. Thậm chí khi nhận ra vấn đề, thì bạn có thể cũng không giải quyết được vì đôi khi những đối tượng mà bạn liên lạc lại không có thói quen bảo mật số an toàn. Chẳng hạn như, đồng nghiệp muốn bạn mở tập tin đính kèm trong email họ gửi, mặc dầu bạn biết kẻ tấn công có thể giả dạng đồng nghiệp và gửi cho bạn mã độc.

    Vậy giải pháp là gì? Nên suy xét tới việc đưa các dữ liệu và thông tin liên lạc quý giá vào một thiết bị bảo mật. Dùng thiết bị bảo mật này để lưu trữ bản chính của các loại dữ liệu kín. Chỉ thỉnh thoảng dùng thiết bị này và khi dùng phải thật cẩn trọng với hành vi của bạn. Nếu bạn cần mở các tài liệu đính kèm, hoặc sử dụng các phần mềm kém bảo mật, hãy sử dụng chiếc máy tính khác.

    Để có một máy tính bảo mật phụ trội có thể không quá tốn kém như bạn nghĩ. Một máy tính chỉ dùng thỉnh thoảng, và chỉ chạy vài ứng dụng, thì không cần phải thiệt nhanh và mới. Bạn có thể mua một máy cũ, rẻ tiền. Máy đời cũ còn có lợi thế là những loại phần mềm bảo mật như Tails có thể tương hợp hơn với các máy đời mới. Tuy nhiên, một số lời khuyên tổng quát thường luôn luôn đúng. Khi bạn mua một thiết bị hay một hệ điều hành, giữ cho thiết bị cập nhật với các bản cập nhật phần mềm. Cập nhật sẽ vá lại các lổ hổng trong mã nguồn cũ mà đối phương có thể lợi dụng để tấn công. Lưu ý là một số và hệ điều hành cũ không còn được hỗ trợ nữa, dù là chỉ cập nhật an ninh.

    Khi cài đặt một máy tính bảo mật, cần thực hiện các bước nào để làm cho máy bảo mật

    1. Cất dấu máy nơi an toàn và không tiết lộ chỗ giữ nó – nơi nào mà bạn có thể nhận ra nếu nó đã bị lục soát, như tủ có khóa chẳng hạn
    2. Mã hóa đĩa cứng của máy tính với một mật khẩu mạnh để trong trường hợp máy bị đánh cắp, dữ liệu trong máy vẫn không bị đọc được nếu không có mật khẩu.
    3. Cài đặt một hệ điều hành tập trung vào vấn đề bảo mật và riêng tư như hệ điều hành Tails. Bạn có thể không muốn hoặc không thể sử dụng được hệ điều hành mã nguồn mở trong công việc hàng ngày, nhưng nếu bạn chỉ muốn lưu trữ, chỉnh sửa và soạn thảo các email kín hoặc các tin nhắn nhanh từ thiết bị bảo mật đó, thì Tail hoạt động rất hiệu quả, và nó mặc định thiết đặt bảo mật ở mức cao.
    4. Đừng nối thiết bị vào mạng. Mức độ bảo vệ cao nhất để chống lại các cuộc tấn công và theo dõi từ mạng internet, không gì ngạc nhiên, là hoàn toàn không kết nối vào mạng internet. Hãy đảm bảo rằng máy tính bảo mật của bạn không bao giờ kết nối với mạng nội bộ hoặc Wifi, và chỉ sao chép tập tin vào máy từ các phương tiện lưu trữ như DVD hoặc thẻ USB. Trong lĩnh vực an ninh mạng, đây được gọi là “khoảng không” giữa máy tính và phần còn lại của thế giới. Không nhiều người đi xa đến mức này, nhưng đây cũng là một sự chọn lựa nếu bạn muốn giữ các dữ liệu thi thoảng mới truy cập nhưng không bao giờ muốn bị đánh mất (chẳng hạn như một khóa mã hóa, một danh sách các mật khẩu hoặc một bản lưu trữ chứa dữ liệu cá nhân của người khác giao phó cho bạn). Trong hầu hết các trường hợp này, có lẽ bạn muốn xét đến việc sở hữu một thiết bị lưu trữ kín, hơn là một chiếc máy tính. Một chiếc khóa USB đã mã hóa được giấu kín có lẽ sẽ hữu ích (hoặc vô ích) như một chiếc máy tính không kết nối mạng.
    5. Đừng đăng nhập vào các tài khoản thường dùng. Nếu bạn sử dụng thiết bị bảo mật này để kết nối vào internet, hãy tạo tài khoản web hoặc email để sử dụng cho liên lạc từ thiết bị này, và dùng Tor (xem hướng dẫn cho Linux, macOS, Windows) để dấu kín địa chỉ IP không cho các dịch vụ đó biết. Nếu ai đó chọn tấn công danh tính của bạn bằng mã độc, hoặc chặn bắt cuộc liên lạc của bạn, các tài khoản khác biệt và phần mềm Tor có thể giúp tạo cách biệt liên hệ giữa danh tính của bạn và máy tính bảo mật này.

    Mặc dầu có một máy bảo mật để giữ các thông tin kín, quan trọng giúp bảo vệ chống lại đối thủ, nó đồng thời cũng trở thành một đích nhắm hiển nhiên. Một rủi ro khác là nếu máy bị tiêu hủy thì bản sao duy nhất dữ liệu của bạn cũng bị mất theo. Nếu đối thủ có lợi trong việc bạn làm mất dữ liệu, thì không nên giữ nó ở một nơi duy nhất dù nơi đó có an toàn thế nào đi nữa. Hãy mã hóa một bản sao lưu và giữ bản sao lưu ở một nơi khác.

    Một biến thể của ý tưởng có một máy bảo mật là có một máy không bảo mật: một thiết bị bạn chỉ dùng khi đi vào nơi nguy hiểm hoặc dự tính một hoạt động nhiều rủi ro. Rất nhiều nhà báo và nhà hoạt động, chỉ mang theo máy tính xách tay căn bản khi họ di chuyển. Chiếc máy tính này không có bất kỳ một tài liệu, số liên lạc thông thường hoặc thông tin email nào bên trong, khi đó sẽ ít bị mất mát nếu nó bị tịch thu hoặc bị quét kiểm tra. Bạn có thể áp dụng cũng chiến thuật đó với điện thoại di động. Nếu bạn sử dụng một chiếc điện thoại thông minh, hãy nghĩ đến việc mua một chiếc điện thoại rẻ tiền dễ vất đi hoặc một chiếc điện thoại đốt bỏ cho việc du lịch hoặc các cuộc liên lạc đặc biệt.

    Cập nhật lần cuối: 
    12-11-2019
  • Những điều cần biết về mã hóa?

    Bạn có lẻ từng nghe đến từ “mã hóa” được dùng trong nhiều tình huống và liên hệ đến các từ ngữ khác. Một cách tổng quát mã hóa là quy trình toán học để biến một tin nhắn sang dạng không đọc được ngoại trừ ai có chìa khóa để “giải mã” nó trở lại dạng đọc được.

    Xuyên suốt lịch sử, con người đã sử dụng mã hóa để gửi tin nhắn cho nhau với hy vọng rằng tin nhắn đó không bị đọc bởi ai ngoài người nhận tin nhắn. Ngày nay, chúng ta có máy tính với khả năng mã hóa. Công nghệ mã hóa kỹ thuật số đã không còn chỉ bảo mật tin nhắn mà mở rộng ra cho các mục đíc khác; ngày nay, mã hóa có thể sử dụng cho những mục đích tinh vi hơn, ví dụ như để xác nhận người gửi tin nhắn.

    Mã hóa là công nghệ tốt nhất để bảo vệ thông tin phòng chống kẻ gian, chính quyền, và công ty cung cấp dịch vụ, và mã hóa đã phát triển tới mức mà gần như không thể bẻ khóa đuợc - nếu dùng cho đúng cách.

    Trong cẩm nang này, chúng ta sẽ xem xét hai cách áp dụng mã hóa: bảo mật dữ liệu nằm và dữ liệu đang vận chuyển.

    Mã hóa dữ liệu nằm

    Dữ liệu “nằm” (at rest) là dữ liệu được lưu trữ, thí dụ như trong điện thoại, máy tính xách tay, máy chủ, hoặc đĩa cứng ngoài. Khi dữ liệu trong dạng nằm, chúng không di chuyển từ nơi này sang nơi khác.

    Một thí dụ của hình thức mã hóa bảo vệ dữ liệu nằm là mã hóa “toàn bộ ổ đĩa” (có khi còn được gọi là “mã hóa thiết bị”). Mã hóa toàn bộ ổ đĩa sẽ mã hóa tất cả thông tin dữ liệu trong thiết bị và bảo vệ chúng bằng một cụm từ mật khẩu hoặc bằng một phương pháp xác minh nào khác. Trên điện thoại hoặc máy tính xách tay, việc này thông thường trông giống như việc khóa màn hình, đòi hỏi phải có số mật mã, mật khẩu, hoặc vân tay. Tuy nhiên, khóa thiết bị (tức là cần phải có mật khẩu để “mở khóa” ) không luôn luôn có nghĩa là thiết bị được mã hóa toàn bộ ổ đĩa.

         
    Điện thoại thông minh và máy tính xách tay có màn hình “khóa” bằng mật khẩu.

    Bạn nhớ kiểm lại cách thức mà hệ điều hành bật mở và quản trị mã hoá toàn bộ ổ đĩa. Một số hệ điều hành được mã hóa toàn bộ ổ đĩa theo mặc định, trong khi đó một số khác thì không. Điều đó có nghĩa là người khác có thể truy cập dữ liệu trong thiết bị di động của bạn bằng cách bẻ khóa của thiết bị, mà không phải bẻ khóa mã hóa vì thiết bị không được mã hóa. Một số hệ thống lưu trữ văn bản thường chưa mã hóa trong bộ nhớ (RAM), ngay cả khi bạn dùng mã hóa toàn bộ ổ đĩa. RAM là nơi lưu trữ tạm thời, nghĩa là sau khi tắt nguồn thiết bị, một thời gian ngắn sau đó bộ nhớ không thể đọc được nữa, tuy nhiên một đối thủ tinh vi có thể tìm cách cold boot attack và có thể lấy lại được nội dung trong RAM.

    Mã hóa toàn bộ ổ đĩa có thể bảo vệ thiết bị phòng chống những người có thể cầm lấy được thiết bị, chẳng hạn như bạn cùng phòng, đồng nghiệp, chủ nhân, viên chức nhà trường, người trong nhà, đối tác, công an, hay những nhân viên công lực khác. Nó còn bảo vệ dữ liệu trong thiết bị trong trường hợp bị đánh cắp hay thất lạc, chẳng hạn như khi bạn để quên điện thoại trên xe buýt hay trong quán ăn.

    Còn có một số cách khác để mã hóa dữ liệu nằm. Một cách, gọi là “mã hóa tập tin”, chỉ mã hóa một số tập tin nào đó trong máy tính hoặc trong thiết bị lưu trữ. Một cách khác là “mã hóa đĩa” (drive encryption hoặc disk encryption): cách này mã hóa tất cả dữ liệu trên một đĩa riêng biệt nào đó của thiết bị.

    Bạn có thể kết hợp những hình thức mã hóa dữ liệu nằm này. Lấy thí dụ, bạn muốn bảo vệ các thông tin nhạy cảm về hồ sơ bệnh lý. Bạn có thể dùng mã hóa tập tin để mã hóa riêng một tài liệu bệnh lý trong thiết bị. Sau đó bạn có thể dùng mã hóa đĩa để mã hóa một phần thiết bị đang chứa các thông tin bệnh lý. Cuối cùng, nếu bạn đã mở chức năng mã hóa toàn bộ ổ đĩa cho thiết bị, thì mọi thứ—toàn bộ thông tin bệnh lý cũng như các tập tin khác, kể cả tập tin của hệ điều hành máy tính—được mã hóa.

    Trong trang web Surveillance Self-Defense (Tự Vệ Chống Theo Dõi), chúng tôi có soạn một số cẩm nang kích hoạt mã hóa cho các thiết bị. Mặc dầu bạn có thể tìm thấy nhiều tài liệu chi tiết về các tùy chọn của mã hóa dữ liệu trên mạng (và trong trang SSD!), lưu ý là những tùy chọn thay đổi khá thường và các bản hướng dẫn có thể lỗi thời khá nhanh.

    Mã hóa dữ liệu đang vận chuyển

    Biểu đồ cho thấy dữ liệu chưa được mã hóa đang vận chuyển—thường là thiết đặt mặc định của các nhà cung cấp dịch vụ mạng. Bên trái, điện thoại gửi tin nhắn không có mã hóa, màu xanh đến một điện thoại khác bên tay phải. Dọc đường vận chuyển, trạm phủ sóng chuyển tin nhắn đến máy chủ của nhà mạng di động rồi đến một trạm phủ sóng khác, mà ai cũng thấy được tin nhắn “Hello” không có mã hóa. Tất cả máy tính và mạng truyền tin nhắn này đều có thể đọc được. Cuối cùng điện thoại bên đầu giây kia nhận tin nhắn “Hello”.

    Dữ liệu “đang vận chuyển” là thông tin đi ngang qua mạng từ một nơi này đến nơi khác. Thí dụ như khi bạn gửi tin nhắn dùng ứng dụng nhắn tin, tin nhắn đó đi từ thiết bị của bạn, đến máy chủ của ứng dụng, rồi đến thiết bị của người nhận. Một thí dụ khác là việc lướt mạng: khi bạn xem một trang web, dữ liệu từ trang đó đi từ máy chủ đến trình duyệt của bạn.

    Một số ứng dụng phổ thông có những tính năng có vẻ như để bảo vệ tin nhắn, chẳng hạn như tính năng tin nhắn biến mất. Tuy nhiên cảm nhận có bảo mật không có nghĩa là thật sự có bảo mật. Các máy tính truyền tin nhắn của bạn qua lại có thể thấy được nội dung của tin nhắn.

    Điều quan trọng là kiểm tra xem cuộc chuyện trò giữa bạn và người bên kia có mã hóa không—và nó được mã hóa theo phương thức tầng chuyển tải hay là mã hóa nối đầu.

    Có hai cách để mã hoá dữ liệu đang vận chuyển: mã hóa tầng chuyển tảimã hóa nối đầu. Phương thức mã hóa nào được nhà cung cấp dịch vụ sử dụng là yếu tố quan trọng để quyết định xem dịch vụ nào phù hợp với nhu cầu của bạn. Thí dụ sau đây minh họa sự khác biệt giữa mã hóa tầng chuyển tải và mã hóa nối đầu.

    Mã hóa tầng chuyển tải

    Biểu đồ cho thấy mã hóa của tầng chuyển tải. Bên trái, điện thoại gửi tin nhắn không có mã hóa, màu xanh: “Hello”. Thông tin này được mã hóa, rồi chuyển qua cho trạm phủ sóng. Ở giữa, máy chủ giải mã tin nhắn, rồi mã hóa lại trước khi chuyển qua cho trạm phủ sóng kế tiếp. Cuối cùng, điện thoại bên kia đầu giây nhận được tin nhắn có mã hóa, rồi giải mã để hiển thị ra “Hello”.

    Mã hóa tầng chuyển tải, còn được gọi là bảo mật tầng chuyển tải (TLS, viết tắt của transport layer security), bảo mật tin nhắn khi chúng được chuyển đi từ thiết bị bạn đến máy chủ của ứng dụng rồi từ đó đến thiết bị của người nhận. Ở giữa, nhà cung cấp dịch vụ tin nhắn—hoặc trang web bạn đang xem, hoặc ứng dụng bạn đang dùng—có thể xem thấy nội dung không mã hóa của tin nhắn. Cũng vì tin nhắn bạn gửi có thể được xem (và thường được lưu trữ) bởi máy chủ của công ty, đây là điểm yếu của nó nếu cơ quan công lực đòi xem hoặc bị lộ ra nếu máy chủ bị xâm nhập.

    Thí dụ của mã hóa tầng chuyển tải: HTTPS

    Bạn có để ý thấy ổ khóa màu xanh và chữ “https://” bên cạnh địa chỉ trang web ssd.eff.org trong ô địa chỉ của trình duyệt? HTTPS là một thí dụ của việc mã hóa tầng chuyển tải mà chúng ta thường gặp khi lướt mạng. Nó bảo mật hơn là giao thức HTTP không có mã hóa. Tại sao thế? Vì máy chủ của trang web HTTPS bạn đang xem có thể xem được dữ liệu bạn nhập vào trong trang (thí dụ như: tin nhắn, tìm kiếm, số thẻ tín dụng, và tên đăng nhập) tuy nhiên những thông tin này được bảo vệ không bị kẻ khác xem lén trong cùng mạng lưới.

    Nếu ai đó đang rình rập trong mạng lưới và tìm cách xem bạn đang xem các trang web nào, thì kết nối dạng HTTP không bảo vệ được bạn. Trong khi đó, kết nối HTTPS dấu đi các chi tiết về trang web bạn đang xem—tức là tất cả thông tin phía sau dấu “/”. Lấy thí dụ, nếu bạn dùng HTTPS để kết nối vào trang “https://ssd.eff.org/en/module/what-encryption” thì kẻ rình rập trong mạng lưới chỉ thấy “https://ssd.eff.org”.

    Mạng internet đang trong tiến trình chuyển các trang web sang dạng HTTPS. Lý do là vì HTTP không an toàn và HTTPS bảo mật hơn theo mặc định. Trang web nào dùng HTTP sẽ gặp mối nguy bị xem lén, bị nhét nội dung khác vào, cookie bị đánh cắp, tên đăng nhập và mật khẩu bị đánh cắp, bị kiểm duyệt và nhiều vấn đề khác.

    Chúng tôi đề nghị dùng phần mở rộng cho trình duyệt của EFF là HTTPS Everywhere để được bảo vệ tối đa với giao thức HTTPS. HTTPS Everywhere bảo đảm là nếu có trang web nào mà chúng tôi biết là có dùng giao thức HTTPS cũng như HTTP, thì bạn sẽ luôn dùng phiên bản HTTPS an toàn hơn cho trang web đó.

    Khi một dịch vụ dùng HTTPS không có nghĩa là dịch vụ đó sẽ bảo vệ quyền riêng tư của người dùng khi vào xem trang web. Lấy thí dụ, một trang web dùng HTTPS vẫn dùng cookies để theo dõi hoặc chứa mã độc trong trang.

    Thí dụ của mã hóa tầng chuyển tải: VPN

    Một mạng riêng ảo (VPN viết tắt cho Virtual Private Network) là một thí dụ khác của việc mã hóa tầng chuyển tải. Nếu không có VPN, lượng giao thông của bạn sẽ đi ngang qua đường kết nối của nhà mạng. Với VPN, lượng giao thông vẫn đi ngang qua kết nối của nhà mạng, nhưng sẽ được mã hóa giữa bạn và dịch vụ VPN. Nếu ai đó đang rình rập trong mạng nội bộ và muốn biết bạn đang xem trang web nào, họ sẽ chỉ thấy bạn kết nối với VPN, nhưng không biết bạn xem trang web nào. Nhà mạng thì có thể dò biết dịch vụ VPN bạn đang dùng.

    Mặc dầu dùng VPN che dấu lượng giao thông của bạn không cho nhà mạng thấy, nhưng công ty VPN thì sẽ thấy hết hết. Dịch vụ VPN có thể thấy, lưu trữ và chỉnh sửa lượng giao thông của bạn. Khi dùng VPN bạn đang chuyển sự tin cậy từ nhà mạng qua cho VPN, thành ra phải bảo đảm là dịch vụ VPN thật sự bảo vệ dữ liệu của bạn.

    Để xem hướng dẫn cách chọn VPN cho phù hợp với nhu cầu của bạn, đọc cẩm nang của SSD về VPNs.

    Mã hóa nối đầu

    Biểu đồ cho thấy mã hóa nối đầu. Bên trái, điện thoại gửi tin nhắn chưa mã hóa, màu xanh: “Hello”. Tin nhắn này được mã hóa, rồi chuyển đến trạm phủ sóng và máy chủ. Điện thoại bên đầu kia nhận được tin nhắn có mã hóa, và giải mã để ra trở lại chữ “Hello”. Khác với lối mã hóa tầng chuyển tải, nhà mạng của bạn không thể giải mã tin nhắn được; chỉ có hai đầu (thiết bị gửi và nhận tin nhắn mã hóa) mới có chìa khóa để giải mã tin nhắn.  

    Mã hóa nối đầu bảo vệ tin nhắn trên đường chuyển tải từ lúc gửi đến lúc nhận. Nó bảo đảm là thông tin được biến thành nội dung bảo mật bởi người gửi (“đầu” thứ nhất) và chỉ được giải mã duy nhất bởi người nhận (“đầu” thứ nhì). Không có ai khác, kể cả ứng dụng đang dùng, có thể “nghe lén” để biết nội dung trao đổi của bạn.

    Truy cập các tin nhắn được mã hóa nối đầu trong một ứng dụng trên thiết bị của bạn có nghĩa là chính công ty ứng dụng cũng không đọc được. Đây là một đặc tính cốt lõi của một phương pháp mã hóa tốt: ngay cả người thiết kế và triển khai nó cũng tự họ không thể bẻ gảy được.

    Trong trang Tự Vệ Chống Theo Dõi, chúng tôi có những cẩm nang chỉ dẫn cách dùng các công cụ mã hóa nối đầu trong cẩm nang Liên lạc với người khác

    Mã Hóa Tầng Chuyển Tải hay Mã Hóa Nối Đầu?

    Những câu hỏi quan trọng đặt ra để quyết định là bạn cần mã hóa tầng chuyển tải hay mã hóa nối đầu: Bạn tin tưởng vào ứng dụng hay dịch vụ đang dùng? Bạn có tin tưởng vào hạ tầng cơ sở kỹ thuật? Còn chính sách bảo vệ riêng tư của dịch vụ đối với yêu cầu của cơ quan công lực thì sao?

    Nếu bạn trả lời “không” cho bất cứ câu hỏi này, thì bạn cần mã hóa nối đầu. Nếu bạn trả lời “có” cho những câu này, thì một dịch vụ chỉ hỗ trợ mã hóa tầng chuyển tải có lẻ cũng đủ—nhưng tốt hơn hết thì dùng những dịch vụ nào có hỗ trợ mã hóa nối đầu nếu có thể được.

     

    Chúng tôi thực hiện đoạn hoạt họa sau đây để minh hoạ cách làm việc của mã hóa nối đầu và mã hóa tầng chuyển tải cho dữ liệu đang vận chuyển. Bên trái là một ứng dụng tin nhắn dùng mã hóa nối đầu (một hộp chat dùng giao thức tin nhắn mã hóa OTR tức Off-the-Record). Bên phải là một hộp chát dùng mã hóa tầng chuyển tải (dùng giao thức HTTPS của trang Google Hangout).

    Trong hình GIF, người dùng chính gõ vào hộp chat của Google Hangouts:

    “Xin chào! Nội dung này không được mã hóa nối đầu. Google có thể xem được cuộc trò chuyện của chúng ta.”

    Người dùng này cũng mở một hộp chat OTR và chọn cài đặt “private conversation” (trò chuyện riêng tư). Trong hộp chat, có ghi hàng chữ:

    “Đang tìm cách khởi động cuộc trò chuyện riêng tư với [tài khoản gmail]. Trò chuyện riêng tư với [tài khoản gmail] đã bắt đầu. Tuy nhiên, danh tính của họ chưa được phối kiểm.”

    Cùng lúc, trong hộp chat Google Hangouts, các dòng chữ mã hóa vô nghĩa đang được trao đổi, cho thấy là người dùng đang sử dụng giao thức mã hóa nối đầu Off-the-Record (OTR). Tất cả tin nhắn đi ngang qua hộp chat OTR cũng hiện lên trong hộp chat Google Hangouts, tuy nhiên, thay vì trong dạng đọc được, chỉ thấy dòng chữ vô nghĩa. Người dùng bên kia điền vào tin nhắn trong ứng dụng OTR:

    “Dòng chữ này nhìn thấy vô nghĩa đối với người khác.”

    Người dùng chính viết:

    “Đúng vậy, chỉ thấy vô nghĩa”

    Người dùng bên kia gửi một biểu tượng cười.

    Mã hóa trong lúc vận chuyển không bảo đảm điều gì

    Mã hoá không là liều thuốc trị bá bệnh. Ngay cả khi bạn gửi tin nhắn có mã hóa, tin nhắn sẽ được người mà bạn đang liên lạc giải mã. Nếu hai đầu (tức là thiết bị mà đôi bên đang dùng để liên lạc) bị xâm nhập, thông tin có thể bị thất thoát. Ngoài ra, người mà bạn đang liên lạc có thể chụp lại màn hình, hoặc giữ lại thông tin bạn gửi.

    Nếu bạn để tự động sao lưu các cuộc trò chuyện mã hóa lên “đám mây” (tức các máy tính khác), cần lưu ý là dữ liệu sao lưu cũng được mã hóa. Để bảo đảm là cuộc trò chuyện được mã hóa trong lúc vận chuyển cũng như khi được lưu trữ.

    Nếu bạn mã hóa dữ liệu lúc vận chuyển, nó sẽ bảo vệ nội dung thông tin liên lạc, nhưng sẽ không mã hóa siêu dữ liệu. Lấy thí dụ, bạn dùng mã hóa để biến đổi các tin nhắn giữa bạn và người quen thành những từ ngữ vô nghĩa, nhưng không dấu được:

    • bạn và người quen đang liên lạc với nhau.
    • bạn đang dùng mã hóa để liên lạc
    • những dữ kiện khác về thông tin liên lạc của bạn như địa điểm, thời gian và thời hạn của cuộc liên lạc.

    Những ai có mối quan tâm lớn về chuyện bị theo dõi (thí dụ như quan tâm bị giám sát thường trực trong mạng lưới) có thể gặp rủi ro nếu họ chỉ dùng mã hóa vào những lúc nhạy cảm hoặc cho một số hoạt động nào đó. Tại sao thế? Nếu bạn chỉ dùng mã hóa đôi khi thì sẽ lộ ra mối liên hệ giữa siêu dữ liệu và các thời điểm quan trọng. Do đó, dùng mã hóa càng nhiều càng tốt, ngay cả cho những sinh hoạt thường nhật.

    Ngoài ra, nếu bạn là người duy nhất dùng mã hóa trong một mạng lưới, siêu dữ liệu này sẽ gây ra nghi ngờ. Đây là lý do tại sao giới cổ vũ cho mã hóa khuyến khích mọi người dùng các công cụ mã hóa khi có thể được: nhằm để bình thường hóa việc sử dụng mã hóa cho những ai có nhu cầu thật sự.

    Tổng kết lại

    Khi kết hợp cả hai việc mã hóa dữ liệu được vận chuyển và dữ liệu nằm sẽ giúp bạn được bảo mật toàn diện hơn là chỉ dùng một cách mã hóa. Đây là điều mà giới bảo mật thông tin gọi là “phòng thủ sâu xa”. Khi dùng nhiều phương thức để bảo vệ dữ liệu, bạn sẽ đạt được tầng bảo vệ cao.

    Lấy thí dụ, nếu bạn gửi tin nhắn không có mã hóa (tức không mã hóa dữ liệu được vận chuyển) từ một thiết bị di động có mã hóa (mã hóa dữ liệu nằm của bạn), các tin nhắn đó sẽ có thể gặp rủi ro bị chặn bắt và nghe lén bởi chính quyền, nhà mạng, hoặc đối thủ giỏi kỹ thuật. Tuy nhiên, dữ liệu trong thiết bị di động của bạn thì an toàn không bị ai đó mở ra xem nếu họ không có khóa để vào máy.

    Ngược lại, nếu bạn gửi một tin nhắn có mã hóa nối đầu (tức là mã hóa dữ liệu được vận chuyển) trên một thiết bị không có mã hóa (không mã hóa dữ liệu nằm của bạn), các tin nhắn đó sẽ không bị ai đọc lén được khi di chuyển qua mạng. Tuy nhiên, nếu ai đó có được thiết bị của bạn thì họ có thể đọc được các tin nhắn lưu trong máy.

    Với các thí dụ vừa nêu, mã hóa dữ liệu cả khi trên đường chuyển tải qua mạng và khi được lưu trữ trong máy là tốt nhất để bảo vệ bạn không gặp nhiều chuyện rủi ro.

    Để đi sâu vào cách dùng mã hóa, xin đọc tiếp cẩm nang Các khái niệm căn bản của mã hóa.

    Cập nhật lần cuối: 
    24-11-2018
Next:
JavaScript license information