NGHỆ THUẬT ẨN MÌNH: Chương 1: MẬT KHẨU CỦA BẠN CÓ THỂ BỊ BẺ KHÓA!

[full_width] Je nnifer Lawrence đã có một cuối tuần trùng dịp Ngày lễ Lao động 8  mệt mỏi. Sáng hôm đó, năm 2014, nữ diễn viên từng g...

[full_width]

Jennifer Lawrence đã có một cuối tuần trùng dịp Ngày lễ Lao động8 mệt mỏi. Sáng hôm đó, năm 2014, nữ diễn viên từng giành giải Oscar này cùng với một số nhân vật nổi tiếng khác tỉnh dậy và phát hiện ra rằng những bức ảnh riêng tư nhất của họ – trong đó có nhiều bức khỏa thân – đã bị phát tán trên mạng Internet.
8 Ngày lễ Lao động: Ngày lễ toàn quốc ở Mỹ, diễn ra vào ngày thứ Hai đầu tiên trong tháng Chín hằng năm.
Bây giờ, bạn hãy nhắm mắt hình dung về tất cả những bức ảnh hiện đang được lưu trữ trên máy tính, điện thoại, và email của mình. Dĩ nhiên, phần lớn đều là những hình ảnh vô hại. Bạn không thấy vấn đề gì khi để cả thế giới cùng xem những bức ảnh chụp cảnh hoàng hôn, những bức ảnh gia đình dễ thương, thậm chí cả những bức ảnh tự sướng hài hước. Nhưng liệu bạn có thấy thoải mái khi chia sẻ mọi bức ảnh của mình không? Bạn sẽ cảm thấy thế nào nếu đột nhiên tất cả chúng đều xuất hiện trên mạng? Có thể không phải ảnh cá nhân nào cũng mang tính nhạy cảm, nhưng dẫu sao, đó cũng vẫn là tư liệu về những khoảnh khắc riêng tư. Chúng ta phải là người có quyền quyết định xem có nên chia sẻ chúng hay không, khi nào, và bằng cách nào, nhưng với dịch vụ đám mây, sự lựa chọn đó có thể không phải lúc nào cũng thuộc về chúng ta.
Câu chuyện về Jennifer Lawrence thống trị khắp các mặt báo trong ngày hôm đó. Đây là một phần trong sự kiện The Fappening9, một đợt rò rỉ lớn những bức ảnh khỏa thân và bán khỏa thân của Rihanna, Kate Upton, Kaley Cuoco, Adrianne Curry cùng gần 300 người nổi tiếng khác, hầu hết đều là phụ nữ – các bức ảnh lưu trữ trong điện thoại di động của họ đã bị truy cập từ xa rồi bị đem chia sẻ trên mạng. Dĩ nhiên, một số người rất thích thú khi được xem những bức ảnh này; tuy nhiên, với nhiều người khác, sự cố này là một lời nhắc nhở đáng lo ngại rằng điều tương tự cũng có thể xảy ra với chính họ. The Fappening (từ ghép giữa từ fap (thủ dâm) và tên bộ phim thuộc thể loại tâm lý kinh dị, The Happening): Tên do giới truyền thông và người dùng Internet đặt cho sự kiện gần 500 bức ảnh riêng tư nhạy cảm của nhiều người nổi tiếng bị phát tán trên mạng, xảy ra vào ngày 31/8/2014.

Những hình ảnh riêng tư của Jennifer Lawrence và những người khác đã bị tiếp cận như thế nào?

Do tất cả những người nổi tiếng đều sử dụng iPhone, nên theo suy đoán ban đầu, đây có lẽ là một cuộc xâm phạm dữ liệu lớn nhắm vào iCloud, một dịch vụ lưu trữ đám mây của Apple dành cho người dùng iPhone. Khi thiết bị vật lý hết bộ nhớ, khách hàng có thể lưu các dữ liệu hình ảnh, file, nhạc, và trò chơi trên máy chủ ở Apple, thường là với một khoản phí nhỏ hàng tháng. Google cũng cung cấp dịch vụ tương tự cho Android.

Apple, vốn hầu như không bao giờ bình luận trên các phương tiện truyền thông về vấn đề an ninh, phủ nhận mọi sai sót từ phía họ. Công ty này đưa ra một tuyên bố gọi vụ việc trên là “cuộc tấn công nhắm vào tên người dùng, mật khẩu, và câu hỏi bảo mật,” đồng thời bổ sung thêm rằng, “Trong các trường hợp mà chúng tôi đã điều tra, không có trường hợp nào xảy ra do hành vi xâm phạm vào các hệ thống của Apple, bao gồm iCloud hay ứng dụng Tìm iPhone.”

Những bức ảnh trên xuất hiện trước tiên ở một diễn đàn hacker chuyên đăng tải ảnh bị đánh cắp. Diễn đàn này có nhiều cuộc thảo luận sôi nổi về các công cụ điều tra số10 dùng để đánh cắp những bức ảnh đó. Các nhà nghiên cứu, điều tra viên, và cơ quan thực thi pháp luật sử dụng những công cụ này để truy cập dữ liệu từ các thiết bị hoặc đám mây, thường là để điều tra một vụ phạm tội. Và tất nhiên, chúng cũng còn nhiều công dụng khác.

10 Điều tra số (digital forensics): Một nhánh của khoa học pháp y, bao gồm việc khôi phục và điều tra các tài liệu được tìm thấy trong các thiết bị kỹ thuật số, thường là có liên quan đến tội phạm máy tính.

Một trong những công cụ được thảo luận công khai trên diễn đàn này, Elcomsoft Phone Password Breaker11, gọi tắt là EPPB, được thiết kế để giúp các cơ quan thực thi pháp luật cũng như các cơ quan chính phủ có thể truy cập vào các tài khoản iCloud và được rao bán công khai. Đây chỉ là một trong nhiều công cụ có sẵn, nhưng có vẻ nó là phổ biến nhất trên diễn đàn này. EPPB yêu cầu trước tiên người dùng phải có thông tin về tên đăng nhập và mật khẩu iCloud của mục tiêu cần tấn công. Tuy nhiên, đối với những người sử dụng diễn đàn này, việc lấy tên đăng nhập và mật khẩu iCloud không phải là chuyện khó. Tình cờ, vào dịp cuối tuần nghỉ lễ đó trong năm 2014, một người đã đăng lên kho lưu trữ mã nguồn trực tuyến phổ biến Github một công cụ gọi là iBrute, một cơ chế bẻ khóa mật khẩu được thiết kế để lấy thông tin đăng nhập iCloud của bất kỳ ai.

11 Elcomsoft Phone Password Breaker: Công cụ trả phí dùng để tìm lại các dữ liệu cần thiết, như dò lại mật khẩu iCloud khi bị quên thông qua bản dự phòng trên iTunes.

Sử dụng kết hợp iBrute và EPPB, kẻ xấu có thể mạo danh nạn nhân và tải xuống bản sao lưu đầy đủ dữ liệu iPhone của nạn nhân đó trên đám mây và đưa vào một thiết bị khác. Tính năng rất hữu ích với người dùng khi họ nâng cấp điện thoại. Và nó cũng có giá trị đối với kẻ tấn công, bởi hắn có thể thấy mọi hoạt động bạn từng thực hiện trên thiết bị di động của mình. Điều này mang lại nhiều thông tin hơn so với việc chỉ đăng nhập vào tài khoản iCloud của nạn nhân.

Jonathan Zdziarski, cố vấn điều tra số kiêm nhà nghiên cứu an ninh, chia sẻ với tạp chí Wiredrằng kết quả kiểm tra các bức ảnh bị rò rỉ do ông thực hiện khớp với việc sử dụng iBrute và EPPB. Khi chiếm được quyền truy cập vào một bản sao lưu dữ liệu iPhone được khôi phục, kẻ tấn công sẽ lấy được rất nhiều thông tin cá nhân có thể sử dụng để tống tiền sau này.

Tháng 10 năm 2016, Ryan Collins, một người 36 tuổi sống ở Lancaster, Pennsylvania, bị kết án 18 tháng tù vì tội “truy cập trái phép vào một máy tính được bảo vệ để lấy thông tin” liên quan đến vụ tấn công trên. Hắn bị buộc tội truy cập trái phép vào hơn 100 tài khoản email của Apple và Google. Để bảo vệ tài khoản iCloud và các tài khoản trực tuyến khác của mình, bạn phải đặt mật khẩu mạnh. Điều đó là hiển nhiên. Tuy nhiên, theo kinh nghiệm của bản thân với tư cách là một chuyên gia kiểm định an ninh – tức người được thuê để tấn công vào các mạng máy tính nhằm tìm kiếm các lỗ hổng – tôi thấy rằng nhiều người, kể cả lãnh đạo các tập đoàn lớn, rất lười đặt mật khẩu. Một ví dụ là Michael Lynton, Giám đốc Điều hành của hãng Sony Entertainment. Ông này dùng cụm ký tự “sonyml3” làm mật khẩu tài khoản tên miền của mình. Không có gì ngạc nhiên khi email của ông bị tấn công và phát tán trên Internet vì kẻ tấn công nắm được quyền truy cập vào gần như mọi cơ sở dữ liệu trong công ty với vai trò quản trị viên.

Ngoài mật khẩu liên quan đến công việc, còn có mật khẩu bảo vệ các tài khoản riêng tư. Việc chọn một mật khẩu khó đoán không ngăn được các công cụ tấn công như oclHashcat (một công cụ phá mật khẩu lợi dụng các đơn vị xử lý đồ họa – hay GPU – để thực hiện tấn công tốc độ cao), nhưng nó sẽ làm cho quá trình này diễn ra chậm lại, đủ để kẻ tấn công nản chí mà chuyển sang một mục tiêu dễ ăn hơn.

Có thể đưa ra một dự đoán hợp lý rằng trong vụ tấn công Ashley Madison vào tháng 7 năm 201512, các mật khẩu bị tiết lộ chắc chắn cũng được dùng ở những nơi khác nữa, như tài khoản ngân hàng và thậm chí tài khoản của máy tính ở nơi làm việc. Trong danh sách 11 triệu mật khẩu của Ashley Madison bị phát tán trên mạng, phổ biến nhất là “123456,” “12345,” “password”, “DEFAULT,” “123456789,” “qwerty”, “12345678”, “abc123,” và “1234567.” Nếu cũng đang sử dụng những mật khẩu như trên, thì rất có thể bạn sẽ trở thành nạn nhân của các vụ xâm phạm dữ liệu, vì hầu hết các bộ công cụ bẻ mật khẩu có sẵn trên mạng đều có các cụm từ thông dụng này. Bạn có thể truy cập website www.haveibeenpwned.com để kiểm tra xem tài khoản của mình đã từng bị xâm phạm bao giờ chưa.

12 Ashley Madison: Một dịch vụ hẹn hò và mạng xã hội trực tuyến ở Canada, nhắm đến đối tượng là những người đã lập gia đình hoặc đã có bạn trai/bạn gái. Tháng 7/2015, một nhóm hacker đánh cắp dữ liệu người dùng của công ty này và phát tán lên mạng.

Trong thế kỷ 21, chúng ta có thể làm tốt hơn. Thực ra là tốt hơn rất nhiều, với nhiều cách sắp xếp ký tự chữ và số dài hơn, phức tạp hơn nhiều. Nghe có vẻ khó, nhưng tôi sẽ hướng dẫn bạn cả cách tự động và thủ công để thực hiện điều đó .

Cách dễ nhất là đừng tự tạo mật khẩu mà hãy tự động hóa quy trình này. Hiện đã có một số phần mềm quản lý mật khẩu có thể lưu trữ mật khẩu trong kho chứa có khóa và cho phép bạn truy cập bằng một cú nhấp chuột khi cần, đồng thời còn tạo ra được những mật khẩu mới, rất mạnh và độc đáo.

Tuy nhiên, phương pháp này có hai vấn đề cần lưu ý. Một là, các phần mềm quản lý mật khẩu sử dụng một mật khẩu chính để truy cập. Nếu có kẻ khiến máy tính của bạn lây nhiễm một phần mềm độc hại và đánh cắp cơ sở dữ liệu mật khẩu và mật khẩu chính lưu trong đó bằng chương trình keylog13, thì trò chơi kết thúc. Khi đó, kẻ này sẽ có quyền truy cập vào tất cả các mật khẩu của bạn. Trong các dự án kiểm định an ninh, thi thoảng tôi thay thế phần mềm quản lý mật khẩu bằng một phiên bản sửa đổi để lấy mật khẩu chính (trong trường hợp đó là phần mềm mã nguồn mở). Điều này được thực hiện sau khi tôi giành được quyền truy cập vào mạng lưới của khách hàng bằng vai trò quản trị. Sau đó, tôi sẽ tấn công tất cả các mật khẩu đặc quyền. Nói cách khác, tôi sẽ sử dụng các phần mềm quản lý mật khẩu làm cửa sau để lấy chìa khóa xâm nhập.

13 Keylog: Chỉ việc sử dụng phần mềm để ghi lại mọi thao tác trên bàn phím của người dùng máy tính, đặc biệt là để tiếp cận trái phép mật khẩu và các thông tin bí mật khác.

Vấn đề thứ hai khá rõ ràng: Nếu để mất mật khẩu chính, bạn sẽ mất tất cả các mật khẩu còn lại. Nhưng không sao, bởi bạn luôn có thể cài đặt lại mật khẩu cho từng tài khoản, nhưng đó sẽ là một rắc rối lớn nếu bạn có nhiều tài khoản khác nhau.

Tuy có những sai sót này, nhưng những mẹo sau đây cũng đủ giúp bạn giữ an toàn cho mật khẩu của mình.

Đầu tiên, các cụm mật khẩu14, chứ không đơn thuần chỉ là mật khẩu, phải dài – ít nhất 20-25 ký tự. Lý tưởng nhất, hãy sử dụng các ký tự ngẫu nhiên, như ek5iogh#skf&skd. Thật không may, con người thường khó học thuộc được các chuỗi ngẫu nhiên. Vì vậy,hãy sử dụng phần mềm quản lý mật khẩu, như thế còn tốt hơn nhiều so với việc tự chọn mật khẩu. Tôi thích các phần mềm quản lý mật khẩu mã nguồn mở như Password Safe và KeePass, vốn chỉ lưu trữ dữ liệu cục bộ trên máy tính của bạn.

14 Cụm mật khẩu (passphrase): Một chuỗi ký tự dùng để kiểm soát quyền truy cập một hệ thống, chương trình, hay dữ liệu trên máy tính. Cụm từ mật khẩu cũng tương tự như mật khẩu (password) xét về cách sử dụng, nhưng nhìn chung là dài hơn để tăng cường an ninh.

Một nguyên tắc quan trọng khác là không bao giờ sử dụng cùng một mật khẩu cho hai tài khoản khác nhau. Điều này rất khó thực hiện vì ngày nay, chúng ta dùng mật khẩu cho hầu như tất cả mọi thứ. Do đó, hãy để phần mềm quản lý mật khẩu tạo và lưu giữ các mật khẩu mạnh, riêng biệt cho bạn.

Nhưng ngay cả khi bạn đã có mật khẩu mạnh, kẻ xấu vẫn có thể sử dụng công nghệ để đánh bại bạn. Có những chương trình đoán mật khẩu như John the Ripper, một chương trình mã nguồn mở miễn phí mà bất kỳ ai cũng có thể tải xuống và hoạt động trong các tham số cấu hình do người dùng thiết lập. Ví dụ, người dùng có thể chỉ định số lượng ký tự cần thử, có sử dụng các ký hiệu đặc biệt hay không, có bao gồm các bộ ký tự ngoại ngữ hay không,… John the Ripper và các phần mềm tấn công mật khẩu khác có thể hoán vị các ký tự trong mật khẩu bằng cách sử dụng các bộ quy tắc cực kỳ hiệu quả trong việc đánh cắp mật khẩu. Điều này đơn giản có nghĩa là chúng sẽ thử mọi tổ hợp có thể có của các số, chữ cái, và ký hiệu trong các tham số cho đến khi bẻ được mật khẩu. May mắn nằm ở chỗ, hầu hết chúng ta đều không có ý định phòng vệ trước chính quyền, vốn có thời gian và nguồn lực dư dả đến vô hạn định. Có chăng, chúng ta chỉ muốn phòng vệ trước vợ/chồng, người thân, hay một người mà chúng ta thực lòng căm ghét (nhưng khi gặp phải một mật khẩu dài 25 ký tự, người đó sẽ không có đủ cả thời gian lẫn nguồn lực để ngồi phá giải).

Giả sử bạn muốn tạo mật khẩu theo cách cũ, và đã chọn được một số mật khẩu rất mạnh. Hãy đoán thử xem chuyện gì sẽ xảy ra? Nhớ là đừng có viết thẳng băng trên mặt giấy rằng, “Ngân hàng Bank of America: 4the1sttimein4ever*.” Như thế khác nào vẽ đường cho hươu chạy. Trong trường hợp này, hãy dùng một dạng ký tự mã hóa thay cho tên ngân hàng của bạn (giả dụ thế), chẳng hạn “Lọ bánh quy” (vì trước đây có người đã giấu tiền trong các lọ bánh quy) và theo sau đó là “4the1st.” Hãy lưu ý, tôi không ghi cụm từ mật khẩu hoàn thiện. Không cần phải làm thế. Bạn đã biết phần còn lại của cụm từ là gì rồi. Nhưng người khác có thể không biết.

Người nào tìm thấy bản danh sách các mật khẩu không đầy đủ này đều sẽ thấy rối trí – ít nhất là lúc đầu. Xin kể ra đây một câu chuyện thú vị: Một lần, tôi tới nhà một người bạn – anh này là một nhân viên nổi tiếng của Microsoft – và trong bữa tối, chúng tôi trao đổi vấn đề an ninh mật khẩu với vợ con của anh. Giữa chừng câu chuyện, vợ của bạn tôi đứng dậy và đi về phía tủ lạnh. Chị đã viết tất cả các mật khẩu của mình vào một mảnh giấy và dùng nam châm gắn nó vào cửa tủ lạnh. Bạn tôi chỉ còn biết lắc đầu, tôi thì cười toe toét. Viết mật khẩu ra giấy có thể không phải là một giải pháp hoàn hảo, và không sử dụng mật khẩu mạnh cũng vậy.

Một số website – chẳng hạn website ngân hàng – sẽ khóa người dùng sau một vài lần thử mật khẩu không thành công, thường là ba lần. Tuy nhiên, nhiều nơi vẫn chưa thực hiện điều này. Nhưng ngay cả khi một website áp dụng cơ chế khóa người dùng sau ba lần thử không thành công, thì những kẻ xấu sử dụng John the Ripper hoặc oclHashcat cũng không bẻ mật khẩu theo cách đó. (Nhân tiện, oclHashcat phân tán quá trình tấn công qua nhiều GPU và mạnh hơn nhiều so với John the Ripper.) Ngoài ra, hacker cũng không mò mẫm thử từng mật khẩu khả dĩ trên một website trực tiếp.

Giả sử kẻ xấu đã lấy cắp được dữ liệu, và trong phần dữ liệu kết xuất có cả tên người dùng cũng như mật khẩu. Nhưng các mật khẩu thu được từ cuộc xâm phạm này chỉ là những thứ vô nghĩa.

Mà như vậy thì kẻ tấn công đâu có được lợi ích gì?

Hễ khi nào bạn gõ một mật khẩu, dù là để mở khóa máy tính xách tay hay một dịch vụ trực tuyến – mật khẩu đó sẽ được đưa qua một thuật toán một chiều gọi là hàm băm. Nó khác với quá trình mã hóa. Mã hóa là hai chiều: bạn có thể mã hóa và giải mã, với điều kiện bạn có chìa khóa trong tay. Hàm băm là một dạng dấu vân tay đại diện cho một chuỗi ký tự cụ thể. Về lý thuyết, các thuật toán một chiều là bất khả đảo – hoặc ít nhất là không dễ dàng.

Nội dung được lưu trữ trong cơ sở dữ liệu mật khẩu trên máy tính cá nhân truyền thống, thiết bị di động, hoặc tài khoản đám mây của bạn không phải là MaryHadALittleLamb123$, mà là giá trị băm của nó, tức là một chuỗi các số và chữ cái, đóng vai trò là dấu hiệu đại diện cho mật khẩu của bạn.

Bộ nhớ được bảo vệ trên máy tính lưu trữ giá trị băm của mật khẩu, chứ không phải là bản thân mật khẩu, và các giá trị này có thể bị đánh cắp trong một cuộc tấn công vào các hệ thống mục tiêu hoặc bị rò rỉ trong các vụ xâm phạm dữ liệu. Sau khi đã lấy được các giá trị băm mật khẩu này, hacker có thể sử dụng nhiều công cụ có sẵn công khai, như John the Ripper hoặc oclHashcat, để phá vỡ chúng nhằm tìm ra mật khẩu thực thông qua kỹ thuật vét cạn15 hoặc thử từng từ trong một danh sách các từ, chẳng hạn từ điển. Các tùy chọn trong John the Ripper và oclHashcat cho phép kẻ tấn công sửa đổi các từ được thử trước nhiều bộ quy tắc, ví dụ bộ quy tắc leetspeak – một hệ thống dùng để thay thế các chữ cái bằng số, như trong “k3v1n m17n1ck.” Quy tắc này sẽ thay đổi tất cả các mật khẩu thành nhiều kiểu hoán vị leetspeak khác nhau. Các phương pháp bẻ khóa mật khẩu này hiệu quả hơn nhiều so với phương pháp tấn công vét cạn đơn giản. Thông thường, những mật khẩu đơn giản và phổ biến nhất sẽ bị phá trước, sau đó mới dần chuyển sang các mật khẩu phức tạp hơn. Thời gian cần thiết cho quá trình này phụ thuộc vào một số yếu tố. Sử dụng công cụ bẻ khóa kết hợp với tên người dùng và giá trị băm mật khẩu đánh cắp được, hacker có thể truy cập vào một hoặc nhiều tài khoản của bạn bằng cách thử mật khẩu đó trên nhiều website kết nối với địa chỉ email hoặc các dữ liệu định danh khác của bạn.

15 Tấn công vét cạn (brute force): Kiểu tấn công được dùng cho tất cả các loại mã hóa, hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu. Vì thế, thời gian thực hiện phương pháp này rất lâu, tùy theo độ dài của mật khẩu. Thông thường, kỹ thuật này chỉ được dùng khi các phương pháp khác đều không có hiệu quả.

Nhìn chung, mật khẩu càng nhiều ký tự thì các chương trình đoán mật khẩu như John the Ripper sẽ càng mất nhiều thời gian để quét tất cả các biến khả dĩ. Vì các bộ vi xử lý máy tính ngày nay càng lúc càng chạy nhanh hơn, nên thời gian cần thiết để tính toán toàn bộ số mật khẩu có sáu, thậm chí tám, ký tự cũng ngày một rút ngắn đi. Đó là lý do tại sao tôi khuyên bạn nên sử dụng mật khẩu từ 25 ký tự trở lên.

Sau khi bạn đã tạo được những mật khẩu mạnh, đừng bao giờ tiết lộ chúng. Chuyện này nghe có vẻ hiển nhiên đến mức không cần phải nhắc, nhưng các cuộc khảo sát ở London và nhiều thành phố lớn khác cho thấy, người ta sẵn sàng trao đổi mật khẩu của mình để lấy những thứ vặt vãnh như một cây bút hoặc một miếng sô-cô-la.

Một người bạn của tôi có lần cho bạn gái biết mật khẩu Netflix của mình. Quyết định này ngay vào thời điểm đó là điều dễ hiểu, vì anh muốn để cô tự chọn phim cho cả hai cùng xem. Nhưng trong phần phim được đề xuất trên Netflix là những bộ phim được giới thiệu với lý do “vì bạn đã từng xem…,” bao gồm cả những bộ phim mà anh đã xem với các cô bạn gái trước kia.

Tất nhiên, ai chẳng có người yêu cũ. Có khi chính bạn còn nghi ngờ nếu hẹn hò với một người chưa từng có ai. Nhưng không cô bạn gái nào muốn nhìn thấy bằng chứng về những cô gái đã đến trước mình cả.

Nếu đã bảo vệ các dịch vụ trực tuyến của mình bằng mật khẩu, thì bạn cũng nên bảo vệ các thiết bị cá nhân bằng mật khẩu. Hầu hết chúng ta đều có máy tính xách tay, và nhiều người vẫn có máy tính để bàn. Có thể bây giờ bạn đang ở nhà một mình, nhưng còn những vị khách mà bạn mời tới ăn tối lát nữa đến thì sao? Tại sao lại phải chấp nhận rủi ro rằng một người trong số họ có thể truy cập các file, ảnh, và trò chơi của bạn khi ngồi vào máy? Sau đây là một câu chuyện cảnh giác khác về Netflix: Vào thời Netflix chủ yếu vẫn gửi DVD, một cặp vợ chồng đã bị chơi khăm một vố như thế này. Trong một bữa tiệc tại gia, họ để mở tài khoản Netflix trên trình duyệt máy tính của mình. Sau đó, họ phát hiện ra rằng nhiều loại phim khiêu dâm đã được thêm vào danh sách đăng ký – nhưng họ chỉ phát hiện ra điều này sau khi nhận được những bộ phim đó qua thư.

Việc tự bảo vệ mình bằng mật khẩu tại văn phòng thậm chí còn quan trọng hơn. Hãy nghĩ về những lần bạn đang ngồi ở bàn làm việc thì bị gọi đi họp đột xuất. Ai đó có thể đi ngang qua chỗ bạn và thấy được bảng tính ngân sách cho quý tiếp theo. Hay tất cả các email có trong hộp thư đến của bạn. Hay tệ hơn, nếu không đặt chế độ bảo vệ bằng mật khẩu khi màn hình ở chế độ chờ và hẹn máy tự động kích hoạt chế độ này khi màn hình không hoạt động một vài giây, thì bất cứ khi nào bạn rời khỏi bàn làm việc trong một thời gian dài – ví dụ ra ngoài ăn trưa hoặc tham dự một cuộc họp kéo dài – một người nào đó có thể ngồi vào chỗ bạn, viết một email và gửi đi với tư cách là bạn. Hoặc thậm chí thay đổi ngân sách quý tiếp theo trên bảng tính.

Có nhiều phương pháp mới sáng tạo giúp ngăn chặn những tình huống này, như phần mềm khóa màn hình sử dụng Bluetooth để xác minh xem bạn có ở gần máy tính hay không. Nói cách khác, nếu bạn vào nhà vệ sinh và điện thoại di động của bạn ra khỏi phạm vi Bluetooth của máy tính, thì màn hình sẽ bị khóa ngay lập tức. Ngoài ra, còn có các phiên bản sử dụng thiết bị Bluetooth như dây đeo cổ tay hoặc đồng hồ thông minh nhưng có cơ chế hoạt động tương tự.

Tạo mật khẩu để bảo vệ các tài khoản và dịch vụ trực tuyến là một chuyện, nhưng điều đó cũng không giúp ích gì nếu có người lấy được thiết bị của bạn, nhất là khi bạn đang để các tài khoản trực tuyến ở trạng thái đăng nhập. Vì vậy, nếu bạn quyết định chỉ bảo vệ bằng mật khẩu đối với một loại thiết bị nhất định, hãy bảo vệ các thiết bị di động, vì chúng dễ bị mất hoặc đánh cắp nhất. Tuy nhiên, tổ chức Consumer Reports cho hay 34% người Mỹ không bảo vệ các thiết bị di động của mình bằng bất kỳ biện pháp nào, như khóa màn hình bằng mã PIN đơn giản gồm 4 chữ số.

Năm 2014, một sĩ quan cảnh sát ở thành phố Martinez, California đã thú nhận hành vi ăn cắp các bức ảnh khỏa thân trên điện thoại di động của một người bị nghi là lái xe trong lúc say rượu – đây là sự vi phạm Tu chính án thứ tư trong Tuyên ngôn Nhân quyền của Hiến pháp. Cụ thể, Tu chính án thứ tư cấm các hành vi tìm kiếm và thu giữ không hợp lý khi không có lệnh của thẩm phán và không có lý do rõ ràng – chẳng hạn, các nhân viên thực thi pháp luật phải nêu rõ tại sao họ muốn lấy điện thoại của bạn.

Nếu bạn vẫn chưa bảo vệ thiết bị di động của mình bằng mật khẩu, hãy đặt sách xuống và làm ngay nhé. Tôi nói nghiêm túc đấy.

Có ba cách khóa điện thoại phổ biến – áp dụng với cả Android, iOS, hay bất kỳ loại nào khác. Thông dụng nhất là passcode – một dãy số được sắp xếp theo thứ tự nhất định mà bạn nhập vào để mở khóa điện thoại. Nhưng đừng chấp nhận lượng chữ số mà điện thoại đề xuất. Hãy vào mục cài đặt và tự đặt cấu hình mật khẩu để passcode được mạnh hơn – nếu thích, bạn có thể đặt bảy số (chẳng hạn, lấy một số điện thoại cũ đã lâu không dùng.) Đừng dùng passcode dưới bốn số.

Một số thiết bị di động cho phép bạn chọn passcode bằng chữ. Một lần nữa, hãy chọn ít nhất bảy ký tự. Các thiết bị di động hiện đại hiển thị cả khóa bằng chữ và số trên cùng một màn hình, giúp việc chuyển đổi qua lại giữa chúng trở nên dễ dàng hơn.

Một cách khóa khác là bằng hình ảnh. Từ năm 2008, điện thoại Android đã được trang bị các mẫu khóa gọi là ALP (Android Lock Pattern – ALP). Chín dấu chấm xuất hiện trên màn hình, và bạn kết nối chúng theo bất kỳ thứ tự nào tùy ý; chuỗi kết nối đó sẽ trở thành passcode của bạn. Có thể bạn cho rằng giải pháp này thật tài tình, và chỉ riêng số lượng các cách kết hợp khả dĩ ở đây cũng đã đủ để khiến chuỗi mà bạn chọn trở nên không thể phá vỡ nổi. Nhưng tại hội thảo PasswordsCon16 năm 2015, theo thông tin từ các nhà nghiên cứu, trong một cuộc khảo sát, những người tham gia cho biết họ chỉ sử dụng một số rất ít trong số 140.704 mẫu có trong ALP – quả đúng là bản chất khó bỏ của con người. Và những mẫu dễ đoán đó là gì vậy? Thường là chữ cái đầu tiên của tên người dùng. Nghiên cứu này cũng phát hiện ra rằng mọi người có xu hướng sử dụng các chấm ở giữa và ít sử dụng các dấu chấm ở bốn góc xa. Lần tới khi bạn đặt ALP, hãy để ý đến điều này nhé.

16 Hội nghị PasswordsCon: Hội nghị chuyên về mật khẩu, mã PIN, và xác thực số, ra mắt lần đầu tại Bergen, Na-uy năm 2010 và được tổ chức thường niên.

Cuối cùng là khóa sinh trắc học. Apple, Samsung, và các nhà sản xuất lớn khác hiện cho phép khách hàng sử dụng ứng dụng quét vân tay để mở khóa điện thoại. Nhưng xin lưu ý, những ứng dụng này cũng không phải là không thể phá vỡ. Sau khi Touch ID ra mắt, các nhà nghiên cứu – có lẽ đang kỳ vọng rằng Apple sẽ có nhiều cải thiện so với các ứng dụng quét vân tay đang có mặt trên thị trường – ngạc nhiên khi thấy rằng vẫn có thể áp dụng một số phương pháp tấn công ứng dụng quét vân tay cũ trên iPhone, chẳng hạn như dùng phấn rôm trẻ em và băng dính trong để lấy dấu vân tay.

Các điện thoại khác sử dụng camera tích hợp để nhận diện khuôn mặt của chủ sở hữu. Nhưng cách làm này cũng có thể bị phá giải bằng cách đặt một bức ảnh có độ phân giải cao của chủ sở hữu trước màn hình camera.

Nhìn chung, bản thân các phương pháp sinh trắc học cũng dễ bị tấn công. Lý tưởng nhất, nên sử dụng sinh trắc học làm một yếu tố xác thực. Vuốt ngón tay hoặc cười trước camera, sau đó nhập mã PIN hoặc passcode. Điều đó sẽ giữ an toàn cho thiết bị di động của bạn.

Điều gì sẽ xảy ra nếu bạn tạo được một mật khẩu mạnh nhưng không viết ra để ghi nhớ? Đặt lại mật khẩu sẽ là một tính năng hữu ích khi bạn không thể truy cập vào một tài khoản không sử dụng thường xuyên. Nhưng đó cũng có thể là một miếng mồi dễ ăn cho những kẻ tấn công. Sử dụng manh mối mà chúng ta rải khắp Internet, như thông tin hồ sơ cá nhân trên mạng xã hội, hacker có thể truy cập vào email cũng như các dịch vụ khác của chúng ta chỉ bằng cách đặt lại mật khẩu.

Trong một cuộc tấn công đã được báo chí đưa tin, hacker lấy bốn chữ số cuối cùng trong số thẻ tín dụng của mục tiêu, sau đó dùng chúng làm bằng chứng nhận dạng khi gọi điện cho một nhà cung cấp dịch vụ và yêu cầu thay đổi địa chỉ email. Bằng cách đó, kẻ tấn công có thể tự ý đặt lại mật khẩu mà chủ sở hữu hợp pháp không biết.

Quay trở lại năm 2008, David Kernell, một sinh viên tại Đại học Tennessee, đã thử tìm cách truy cập tài khoản email Yahoo cá nhân của ứng cử viên phó tổng thống Mỹ khi đó là Sarah Palin. Kernell có thể sử dụng cách đoán mật khẩu, nhưng quyền truy cập tài khoản sẽ bị khóa sau vài lần thử không thành công. Thay vào đó, sinh viên này sử dụng chức năng đặt lại mật khẩu mà theo nhận định sau này của anh là “dễ dàng.”

Tôi chắc rằng chúng ta ai cũng từng nhận được email lạ từ bạn bè và đồng nghiệp, trong đó chứa đường dẫn liên kết tới các website khiêu dâm ở nước ngoài, và về sau mới biết được rằng tài khoản email của họ đã bị chiếm đoạt. Email bị chiếm đoạt thường là do mật khẩu bảo vệ tài khoản không mạnh. Hoặc có người đã biết được mật khẩu – thông qua một cuộc xâm phạm dữ liệu – hoặc kẻ tấn công sử dụng chức năng đặt lại mật khẩu.

Khi thiết lập tài khoản lần đầu tiên, chẳng hạn tài khoản email hay tài khoản ngân hàng, có thể bạn sẽ được hỏi những thông tin gọi là câu hỏi bảo mật, thường là ba câu. Hầu hết sẽ có trình đơn (menu) liệt kê các câu hỏi gợi ý để bạn chọn. Các câu hỏi này thường rất rõ ràng.

Bạn sinh ra ở đâu? Bạn học cấp ba ở đâu? Hay đại học? Và tên thời con gái của mẹ bạn – câu này đã được dùng làm câu hỏi bảo mật từ ít nhất là năm 1882. Như tôi sẽ trình bày dưới đây, các công ty có thể và trên thực tế có thực hiện việc quét Internet để thu thập thông tin cá nhân, khiến việc trả lời những câu hỏi bảo mật cơ bản này trở nên hết sức đơn giản. Một người có thể dành ra vài phút trên Internet là đã có thể trả lời tất cả các câu hỏi bảo mật của một cá nhân.

Mãi đến gần đây, các câu hỏi bảo mật này mới được cải thiện phần nào. Ví dụ, “Anh rể của bạn sinh ra ở bang nào?” là một câu hỏi tương đối rõ ràng, song việc trả lời chính xác những câu hỏi “tốt” này cũng có những rủi ro riêng (tôi sẽ nói kỹ hơn ở ngay sau đây). Nhưng nhiều câu được gọi là câu hỏi bảo mật vẫn còn quá dễ dàng, chẳng hạn như, “Quê của bố bạn ở đâu?”

Nhìn chung, khi đặt câu hỏi bảo mật, hãy tránh sử dụng các gợi ý rõ ràng có sẵn trong trình đơn. Ngay cả khi website chỉ bao gồm các câu hỏi bảo mật cơ bản, hãy sáng tạo. Không ai bắt bạn phải trả lời đúng câu hỏi cả. Bạn có thể tha hồ phát huy sự láu lỉnh của mình. Ví dụ, với câu hỏi, “Màu sắc ưa thích của bạn là gì?” bạn có thể trả lời là kẹo trái cây. Ai mà đoán được chứ. Nội dung mà bạn đưa ra làm câu trả lời sẽ trở thành câu trả lời “chính xác” cho câu hỏi bảo mật đó.

Khi cung cấp các câu trả lời sáng tạo, hãy nhớ ghi lại cả câu hỏi và câu trả lời rồi cất chúng ở một nơi an toàn (hoặc lưu trong phần mềm quản lý mật khẩu). Sau này, biết đâu có lúc bạn lại cần đến dịch vụ hỗ trợ kỹ thuật, và họ hỏi bạn những câu hỏi bảo mật. Hãy ghi vào một cuốn sổ tay hoặc một tờ giấy rồi cất trong ví (hoặc học thuộc lòng và sử dụng nhất quán một bộ câu trả lời) để giúp bạn nhớ rằng, ví dụ, với câu “Bạn sinh ra ở đâu?” thì câu trả lời là “Trong bệnh viện.” Sự mập mờ đơn giản này phần nào có thể ngăn chặn trường hợp một ai đó tìm hiểu về bạn trên Internet và thử một câu trả lời hợp lý hơn, chẳng hạn, “Columbus, Ohio.”

Việc trả lời trung thực các câu hỏi bảo mật còn mang lại những rủi ro khác về sự riêng tư: Bạn cung cấp nhiều thông tin cá nhân hơn so với những gì đã có trên mạng. Ví dụ, câu trả lời trung thực cho câu hỏi “Anh rể của bạn sinh ra ở bang nào?” có thể sẽ bị website mà bạn cung cấp câu trả lời này bán lại cho một bên thứ ba, và có thể được dùng kết hợp với các thông tin khác hay để điền thông tin còn thiếu. Ví dụ, từ câu trả lời về người anh rể, một người có thể suy luận ra rằng bạn đã hoặc đang có gia đình, và rằng vợ/chồng (hoặc vợ/chồng cũ) của bạn có anh em trai, hoặc kết hôn với một người đàn ông sinh ra ở tiểu bang mà bạn cung cấp. Đó là một lượng lớn thông tin bổ sung rút ra từ một câu trả lời đơn giản. Ngược lại, nếu bạn không có anh rể, cứ mạnh dạn trả lời câu hỏi này một cách sáng tạo, ví dụ viết “Puerto Rico.” Điều đó sẽ khiến cho những kẻ muốn tìm hiểu về bạn phải bối rối. Càng cung cấp nhiều thông tin đánh lạc hướng, bạn càng trở nên vô hình trên mạng.

Khi trả lời những câu hỏi tương đối không phổ biến này, hãy cân nhắc đến giá trị của website đối với bạn. Ví dụ, bạn có thể tin tưởng cung cấp cho ngân hàng của mình các thông tin cá nhân bổ sung này, nhưng với dịch vụ phát video trực tuyến thì không. Đồng thời, hãy tìm hiểu về chính sách bảo mật của website đó, lưu ý đến những đoạn nói hoặc ngụ ý nói rằng họ có thể bán thông tin họ thu thập được cho các bên thứ ba.

Để đặt lại mật khẩu cho tài khoản email Yahoo của Sarah Palin, cần phải cung cấp thông tin về ngày sinh, mã bưu chính, và câu trả lời cho câu hỏi bảo mật “Bạn gặp chồng mình ở đâu?” Có thể dễ dàng tìm thấy ngày sinh và mã bưu chính của Palin trên mạng (vào thời điểm đó, bà đang là Thống đốc bang Alaska). Câu hỏi bảo mật đòi hỏi nhiều công sức hơn một chút, nhưng Kernell cũng có thể tìm ra được. Trong các cuộc phỏng vấn, Palin đã nhiều lần nói rằng chồng bà chính là người yêu từ thời trung học. Và hóa ra đó cũng là câu trả lời chính xác cho câu hỏi bảo mật của bà: “Trường trung học.”

Bằng cách đoán câu trả lời cho câu hỏi bảo mật của Palin, Kernell đã đặt lại mật khẩu email Yahoo của bà, nhờ vậy anh ta có thể đọc tất cả các email cá nhân trong đó. Ảnh chụp màn hình hộp thư đến của Palin được đăng lên một website dành cho hacker. Bản thân Palin cũng bị khóa khỏi email cho đến khi bà đặt lại mật khẩu.

Hành vi của Kernell là bất hợp pháp vì vi phạm Đạo luật Gian lận và Lạm dụng Máy tính. Cụ thể, anh ta bị kết án vì hai tội: cản trở pháp luật bằng cách phá hủy hồ sơ (trọng tội), và giành quyền truy cập trái phép vào máy tính (tội nhẹ). Năm 2010, anh ta bị kết án một năm và một ngày tù, cộng với ba năm quản thúc.

Nếu tài khoản email của bạn bị chiếm đoạt, như trường hợp của Palin, trước tiên bạn phải thay đổi mật khẩu bằng cách sử dụng tùy chọn đặt lại mật khẩu (vâng, giải pháp dễ đoán, đúng không?). Hãy đặt mật khẩu mới mạnh hơn như tôi đã hướng dẫn ở trên. Thứ hai, hãy kiểm tra mục Thư đã gửi để xem những nội dung nào đã được gửi đi bằng tên của bạn. Có thể bạn sẽ phát hiện ra rằng một thư rác đã được gửi tới nhiều bên, thậm chí là gửi cho toàn bộ danh sách liên hệ của bạn. Bây giờ thì bạn đã biết lý do tại sao bao nhiêu năm qua, bạn bè của bạn cứ gửi thư rác cho bạn rồi chứ? Có người đã tấn công tài khoản email của họ đấy.

Ngoài ra, hãy kiểm tra xem liệu có ai đã tự thêm họ vào tài khoản của bạn hay không. Ở phần trước, chúng ta đã nói về việc chuyển tiếp thư liên quan đến nhiều tài khoản email. Kẻ tấn công giành được quyền truy cập vào dịch vụ email của bạn cũng có thể cài đặt chế độ chuyển tiếp tất cả email của bạn tới tài khoản của hắn. Bạn vẫn sẽ nhận email như bình thường, nhưng kẻ tấn công cũng sẽ đọc được chúng. Nếu có kẻ đã tự thêm hắn vào tài khoản của bạn, hãy xóa địa chỉ email chuyển tiếp này ngay lập tức.

Mật khẩu và mã PIN là một phần của giải pháp bảo mật, nhưng chúng ta vừa thấy rằng hai yếu tố này là có thể đoán được. Ngoài việc đặt mật khẩu phức tạp, còn có một cách tốt hơn nữa là xác thực hai yếu tố. Trước vụ việc ảnh khỏa thân của Jennifer Lawrence và những người nổi tiếng khác bị phát tán trên Internet, Apple đã thiết lập cơ chế xác thực hai yếu tố, hay còn gọi là 2FA (two-factor authentication), cho các dịch vụ iCloud của mình.

2FA là gì? 
Trong quá trình xác thực người dùng, các website hoặc ứng dụng sẽ xét đến ít nhất hai trong số ba yếu tố, thông thường là: một thứ mà bạn có, một thứ mà bạn biết, và một thứ là bạn. Một thứ mà bạn có có thể là thẻ tín dụng/thẻ ghi nợ gắn chip hay có dải từ tính. Một thứ mà bạn biết thường là mã PIN hoặc câu trả lời cho câu hỏi bảo mật. Và một thứ là bạn bao gồm các thông số sinh trắc học như vân tay, nhận dạng khuôn mặt, nhận dạng giọng nói… Càng có nhiều thông tin này, bạn càng có thể chắc chắn rằng người dùng chính là người mà họ đã tự nhận.

Nghe có vẻ đây là công nghệ mới, nhưng không phải. Trong hơn 40 năm qua, hầu hết chúng ta đều đã thực hiện 2FA mà không nhận ra điều đó.

Khi sử dụng máy ATM, tức là bạn đang thực hiện 2FA đấy. Làm sao lại có thể như vậy? Bạn có một chiếc thẻ do ngân hàng phát hành (thứ mà bạn có) và một mã PIN (thứ mà bạn biết). Khi kết hợp chúng lại với nhau, máy ATM không người điều khiển trên đường phố sẽ biết rằng bạn đang muốn truy cập vào tài khoản ghi trên thẻ. Một số quốc gia áp dụng thêm các phương tiện xác thực khác tại các máy ATM, chẳng hạn như nhận diện khuôn mặt và in lòng bàn tay. Đây gọi là xác thực đa yếu tố (multifactor authentication – MIF).

Có thể áp dụng các phương pháp tương tự trên môi trường trực tuyến. Nhiều tổ chức tài chính và chăm sóc sức khỏe, cũng như các tài khoản email thương mại và tài khoản mạng xã hội cho phép bạn chọn 2FA. Trong trường hợp này, thứ mà bạn biết là mật khẩu của bạn, và thứ mà bạn có là điện thoại di động. Việc sử dụng điện thoại để truy cập vào các website này được coi là “ngoài dải” vì điện thoại không kết nối với máy tính mà bạn đang sử dụng. Nhưng nếu bạn sử dụng tính năng 2FA, kẻ tấn công sẽ không thể truy cập các tài khoản được bảo vệ bằng 2FA nếu không có thiết bị di động của bạn trong tay.

Lấy Gmail làm ví dụ. Để kích hoạt tính năng 2FA, bạn cần nhập số điện thoại di động của mình vào website Gmail. Sau đó, để xác minh danh tính, Google sẽ gửi đến điện thoại của bạn một tin nhắn chứa mã gồm sáu chữ số. Tiếp theo, bạn xác minh rằng máy tính này và số điện thoại kia là có kết nối với nhau bằng cách nhập mã đó vào website Gmail.

Về sau, khi có người muốn thay đổi mật khẩu trên tài khoản của bạn từ một máy tính hoặc thiết bị mới, Google sẽ gửi tin nhắn đến điện thoại của bạn. Sau khi mã xác minh chính xác được nhập vào website thì các thay đổi đối với tài khoản của bạn mới được thực hiện.

Tuy nhiên, ở đây có một vấn đề. Theo các nhà nghiên cứu tại Symantec, khi gửi tin nhắn để xác nhận danh tính, nếu bạn không để ý, một người nào đó tình cờ biết được số điện thoại di động của bạn sẽ có thể thực hiện tấn công social engineering17 và đánh cắp mã đặt lại mật khẩu được bảo vệ bằng 2FA.

17 Social Engineering (tấn công phi kỹ thuật): Trong lĩnh vực an ninh thông tin, tấn công social engineering chỉ việc thao túng người khác bằng tâm lý học để khiến họ thực hiện các hành động hoặc tiết lộ các thông tin bí mật.

Giả sử tôi muốn chiếm tài khoản email nhưng không biết mật khẩu của bạn. Tôi biết số điện thoại di động của bạn vì thông tin về bạn rất dễ tìm thấy trên Google. Tôi có thể vào trang cài đặt lại cho dịch vụ email của bạn và yêu cầu đặt lại mật khẩu. Do bạn đã bật tính năng xác thực hai yếu tố, nên dịch vụ này sẽ gửi tới điện thoại của bạn một tin nhắn chứa mã xác thực. Tới đây thì mọi chuyện vẫn ổn đúng không? Chờ đã.

Vụ tấn công điện thoại của nhà hoạt động chính trị DeRay Mckesson gần đây cho thấy kẻ xấu có thể đánh lừa nhà cung cấp dịch vụ di động để thực hiện đổi SIM như thế nào. Nói cách khác, kẻ tấn công có thể giành quyền kiểm soát dịch vụ di động của bạn và nhận các tin nhắn gửi tới bạn – chẳng hạn như tin nhắn chứa mã xác thực từ Google gửi đến để đặt lại tài khoản Gmail đã được bảo vệ bằng 2FA. Điều này dễ thực hiện hơn là lừa một người đọc to tin nhắn chứa mật khẩu mới của họ – nhưng cách này vẫn khả thi, và đòi hỏi kỹ thuật tấn công social engineering.

Do không đọc được mã xác minh mà nhà cung cấp dịch vụ email gửi đến điện thoại của bạn, nên tôi sẽ phải giả vờ là một người khác để lấy được nó từ tay bạn. Chỉ vài giây trước khi bạn nhận được tin nhắn thực sự từ nhà cung cấp email, chẳng hạn Google, tôi có thể gửi tin nhắn cho bạn với nội dung: “Google vừa phát hiện có hoạt động bất thường trên tài khoản của bạn. Vui lòng gửi lại mã đã được gửi tới thiết bị di động của bạn để ngăn chặn hoạt động trái phép”.

Bạn sẽ thấy rằng quả nhiên, bạn vừa mới nhận được một tin nhắn từ Google trong đó có chứa một mã xác minh hợp lệ, và nếu mất cảnh giác, bạn có thể vô tư gửi nó cho tôi. Khi đó, tôi sẽ có dưới 60 giây để nhập mã này và truy cập vào trang đặt lại mật khẩu rồi chiếm tài khoản email của bạn. Hoặc bất kỳ tài khoản nào khác.

Vì mã xác thực cung cấp trong tin nhắn không được mã hóa và có thể chiếm đoạt theo cách tôi vừa mô tả, nên để thực hiện 2FA an toàn hơn, hãy tải xuống ứng dụng Google Authenticator từ Google Play hoặc cửa hàng ứng dụng iTunes nếu là iPhone. Ứng dụng này sẽ tạo một mã truy cập duy nhất gồm 6 chữ số trên chính nó mỗi lần bạn muốn truy cập một website yêu cầu 2FA – vì vậy không cần phải gửi tin nhắn nào cả. Mã do ứng dụng tạo ra này được đồng bộ hóa với cơ chế xác thực để cấp quyền truy cập của website. Tuy nhiên, Google Authenticator lưu trữ hạt giống mật khẩu một lần của bạn trong Keychain18 của Apple với phần cài đặt cho “Chỉ riêng thiết bị này.” Điều đó có nghĩa là nếu bạn sao lưu dữ liệu iPhone và khôi phục chúng sang một thiết bị khác (vì bạn nâng cấp hoặc thay thế một điện thoại bị mất), các mã Google Authenticator sẽ không được di chuyển, và việc đặt lại các mã đó là cả một rắc rối lớn. Hãy in ra giấy các mã khẩn cấp để đề phòng trường hợp bạn phải thay đổi thiết bị. Các ứng dụng khác như 1Password cho phép bạn sao lưu và khôi phục các hạt giống mật khẩu một lần để tránh cho bạn rắc rối này.

18 Từ iOS 7.0.3 và OS X 10.9, Apple có một tính năng mới là iCloud Keychain (chùm chìa khóa iCloud). Nó có nhiệm vụ đồng bộ hóa các thông tin về tên đăng nhập, mật khẩu website, thông tin thẻ tín dụng và một số thông tin khác giữa các thiết bị iOS với máy tính Mac, nhờ đó người dùng sẽ không phải tốn thời gian nhập liệu thủ công. 

Sau khi đã đăng ký một thiết bị, nếu vẫn tiếp tục đăng nhập vào website trên từ thiết bị đó, bạn sẽ phải tích chọn ô tin tưởng vào thiết bị này trong 30 ngày (nếu có), nếu không bạn vẫn sẽ bị hỏi mã truy cập mới. Tuy nhiên, nếu bạn sử dụng một thiết bị khác – giả sử bạn mượn máy tính của vợ/chồng mình – thì khi đó bạn sẽ được yêu cầu xác thực bổ sung. Không cần phải nói, nếu bạn sử dụng 2FA, hãy luôn mang theo điện thoại di động bên mình.

Với tất cả những biện pháp phòng xa này, có thể bạn sẽ thắc mắc không biết tôi có lời khuyên gì dành cho những người thực hiện các giao dịch tài chính trực tuyến.

Với chi phí khoảng 100 đô-la/năm, bạn có thể sử dụng dịch vụ bảo vệ tường lửa và chống virus cho ba máy tính. Vấn đề nằm ở chỗ, khi lướt web, bạn có thể tải vào trình duyệt của mình một biểu ngữ quảng cáo chứa phần mềm độc hại. Hoặc có thể bạn mở một email chứa phần mềm độc hại. Nếu máy tính của bạn thường xuyên tiếp xúc với Internet, thì bằng cách này hay cách khác, kiểu gì nó cũng sẽ bị nhiễm độc, và sản phẩm chống virus của bạn có thể không ngăn chặn được tất cả.

Vì vậy, tôi khuyên bạn nên bỏ ra khoảng 200 đô-la để mua Chromebook19. Tôi thích iPad, nhưng chúng đắt quá. Chromebook gần giống với một chiếc máy tính bảng dễ sử dụng như iPad, nhưng có giá rẻ hơn nhiều.

19 Chromebook: Một loại máy tính xách tay hoặc máy tính bảng sử dụng hệ điều hành là Chrome OS dựa trên Linux. Thiết bị này chủ yếu được dùng để thực hiện các tác vụ trên trình duyệt Google Chrome, trong đó phần lớn các ứng dụng và dữ liệu được lưu trên đám mây thay vì lưu trong máy. Các thiết bị Chromebook ra mắt từ cuối năm 2017 cũng có thể chạy các ứng dụng Android.

Quan điểm của tôi là, bạn cần phải có một thiết bị phụ để dùng riêng cho các hoạt động liên quan đến tài chính, có thể là cả các hoạt động liên quan đến y tế nữa. Để cài đặt bất kỳ ứng dụng nào, trước tiên bạn phải đăng ký bằng tài khoản Gmail – điều này sẽ giúp bạn hạn chế mở trình duyệt để lướt Internet.

Sau đó, bạn hãy kích hoạt 2FA trên website để nó nhận ra Chromebook. Sau khi thực hiện xong các hoạt động liên quan đến ngân hàng hoặc y tế, hãy cất Chromebook đi một chỗ để chờ tới lần sử dụng tiếp theo, khi bạn cần phải cân đối sổ sách hay thu xếp một cuộc hẹn với bác sĩ. Cách này có vẻ phiền hà. Đúng là như vậy. Bạn sẽ không còn được hưởng cái tiện lợi của việc có thể giao dịch với ngân hàng vào bất kỳ lúc nào. Nhưng kết quả mà nó mang lại là giảm thiểu khả năng kẻ xấu sục sạo các thông tin về ngân hàng và tín dụng của bạn. Nếu bạn chỉ cài đặt và sử dụng hai hoặc ba ứng dụng cho Chromebook, và nếu bạn đánh dấu website ngân hàng hoặc website y tế mà không truy cập vào các website khác, thì khả năng thiết bị của bạn bị nhiễm Trojan hoặc các phần mềm độc hại khác là rất thấp.

Như vậy, chúng ta vừa thống nhất với nhau rằng cần phải tạo các mật khẩu mạnh và không được chia sẻ chúng, và rằng cần phải kích hoạt 2FA bất cứ khi nào có thể. Trong các chương tiếp theo, chúng ta sẽ cùng xem các hoạt động tương tác phổ biến hằng ngày có thể để lại dấu vân tay số ở mọi nơi như thế nào, và bạn có thể làm gì để bảo vệ sự riêng tư của mình. 

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Anotador,1,AutoIT,17,Ấn Độ,1,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,97,Bất Động Sản Tại Tiền Giang,4,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bypass,10,ceh,1,Châu Tinh Trì,2,Checked,6,Chiến tranh,2,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Cổ Trang,11,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,2,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,13,ebook free,286,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,77,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,68,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,10,Hacking and Security,6,Hacking Tools,36,Hài hước,8,Hành Động,9,He Thong Site Phim,25,Hijacking,6,Hình Sự,5,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,Hồng Kông,3,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,27,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,1,Khoa Huyễn,6,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,31,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,25,Kinh Dị - Ma,6,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,Lập trình,1,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lồng Tiếng,6,Lược Sử Hacker,2,Mã Giảm Giá,1,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,77,Pen-Test,6,Pentest Box,9,phanmem,22,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,10,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,58,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đang Cập Nhập,5,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoàn Thành,7,Phim Hoạt Hình,2,Phim Hot,2,Phim Hồng Kông,20,Phim HQ,15,Phim Kinh Dị,8,Phim lẻ,7,Phim Mới 2007,1,Phim Mới 2010,1,Phim Mới 2011,4,Phim Mới 2012,2,Phim Mới 2013,2,Phim Mới 2014,6,Phim Mới 2015,4,Phim Nhật Bản,4,Phim SD,12,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,32,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,prc,79,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,rút gọn link,1,sach,47,Sách,33,Sách Nghệ Thuật Sống,12,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,Thành Long,1,them,1,Thiết Kế Web,28,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,5,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,100,TIL,8,Tin Tức,49,Tình Cảm - Tâm Lý,16,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,Trinh Thám - Hình Sự,8,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,9,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,TVB,3,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,3,Việt Nam,14,Virus,4,Võ Thuật,12,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
NhutTruong.Com - Dịch Vụ CNTT: NGHỆ THUẬT ẨN MÌNH: Chương 1: MẬT KHẨU CỦA BẠN CÓ THỂ BỊ BẺ KHÓA!
NGHỆ THUẬT ẨN MÌNH: Chương 1: MẬT KHẨU CỦA BẠN CÓ THỂ BỊ BẺ KHÓA!
https://3.bp.blogspot.com/---uKBV2-g4M/XNoLqhjSsKI/AAAAAAAAmgI/7zb8Xa9_JTwk2jxrcQbMGOf18ZpGYbvuwCLcBGAs/s320/wsefwefwef.JPG
https://3.bp.blogspot.com/---uKBV2-g4M/XNoLqhjSsKI/AAAAAAAAmgI/7zb8Xa9_JTwk2jxrcQbMGOf18ZpGYbvuwCLcBGAs/s72-c/wsefwefwef.JPG
NhutTruong.Com - Dịch Vụ CNTT
https://www.nhuttruong.com/2019/05/nghe-thuat-minh-chuong-1-mat-khau-cua.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2019/05/nghe-thuat-minh-chuong-1-mat-khau-cua.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow Đây là nội dung quý hiếm để tránh google quét chết link Vui lòng đăng nhập Facebook hoặt Tweet để like và share để hiện link Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy