Tóm tắt nội dung chính :
Bài giảng dựa trên cấu trúc CS50 sẽ được Instructor Vinh Nguyen Tran Tuong trình bày tại khóa học CS50 – SECURITY365 tại cổng đào tạo trực tuyến HTTPS://ELEARNING.SECURITY365.VN
Xem bài giảng với phụ đề VN tại đây
CS50 Cybersecurity – Lecture 0 – Securing Accounts
[SECURITY365]
Đây là khóa giới thiệu về an ninh mạng của CS50. Tên tôi là David Malan. Và tuần này, chúng ta hãy tập trung vào việc bảo mật các tài khoản. Ngày nay, Bạn và tôi có rất nhiều tài khoản , dù là cho các trang web, ứng dụng hay các dịch vụ tương tự như chính tài khoản đăng nhập vào cổng đào tạo trực tuyến khóa học Security365 https://elearning.security365.vn/. Hôm nay chúng ta sẽ tập trung vào những mối đe dọa đối với tất cả các tài khoản đó, và quan trọng hơn, một số biện pháp phòng vệ để bạn có thể giữ an toàn cho các tài khoản.
Nhưng trước tiên, hãy xem xét ý nghĩa của an ninh trong thế giới vật lý. Cho dù bạn sống trong một ngôi nhà, căn hộ, ký túc xá của Đại học VGU hay tương tự, rất có thể bạn có chìa khóa để vào tòa nhà đó. Tất nhiên, chìa khóa đó cho phép bạn đi qua cánh cửa đã khóa, và sau đó bạn có quyền truy cập vào toàn bộ môi trường sống. Nhưng điều đáng chú ý là nếu ai đó lấy được chìa khóa đó, tất nhiên họ cũng có thể tự mở cửa vào hệ thống hoặc tòa nhà đó.
Bây giờ, hãy xem xét trong thế giới kỹ thuật số, những thành phần cơ bản của an ninh là gì để chúng ta có thể tập trung chính xác vào những mối đe dọa và biện pháp phòng vệ đó. Đầu tiên, cho phép tôi đề xuất rằng chúng ta hãy suy nghĩ về tính bảo mật của các tài khoản dưới góc độ xác thực. Xác thực đề cập đến quá trình chứng minh danh tính của bạn một cách kỹ thuật số, ví dụ như tôi là David.
Tuy nhiên, điều đó không đủ để giữ an toàn cho hệ thống, bởi vì chỉ vì tôi là David không có nghĩa là tôi nên có quyền truy cập vào toàn bộ ngôi nhà của bạn. Có lẽ tôi không nên có quyền truy cập gì cả. Có thể tôi chỉ nên được phép vào lối vào hoặc một hình thức truy cập hạn chế nào đó. Do đó, có một chủ đề liên quan khi nói đến tính bảo mật của các địa điểm hoặc hệ thống được gọi là ủy quyền. Ủy quyền nói đến việc liệu bạn có nên được phép truy cập vào thứ gì đó hay không, một khi bạn đã chứng minh được mình là ai, rằng tôi là David và tôi thực sự nên có quyền truy cập vào cánh cửa mà tôi vừa bước qua.
Bây giờ, khi nói đến các tài khoản của chúng ta trong thế giới kỹ thuật số, tất nhiên chúng ta không sử dụng chìa khóa vật lý, mà rất thường xuyên sử dụng tên người dùng, tất nhiên là có thể công khai. Nó có thể là một tên người dùng như David, Malan hoặc phổ biến hơn, thậm chí là một địa chỉ email hoàn chỉnh mà có thể xác định duy nhất bạn trên thế giới.
Nhưng mặc dù điều đó là công khai, thứ mà bạn và tôi lý tưởng nên giữ bí mật, tất nhiên là mật khẩu của chúng ta. Và ngày nay, bạn và tôi chắc chắn có hàng chục, thậm chí hàng trăm mật khẩu hy vọng là khác biệt và không được sử dụng lại trên tất cả các trang web khác nhau đó, nhưng chúng ta sẽ nói thêm về điều này trong giây lát. Và do đó, thực sự chính mật khẩu này cuối cùng cho phép bạn xác thực bản thân mình, chứng minh bạn là ai bởi vì tôi có thể là người duy nhất trên thế giới biết, không chỉ tên người dùng hoặc địa chỉ email của mình, mà tất cả mọi người đều có thể biết, nhưng tôi có thể là người duy nhất trên thế giới biết tên người dùng và mật khẩu ở đây của mình. Và do đó, giả định là nếu tôi nhập cả hai giá trị đó vào một ứng dụng hoặc trang web nào đó thì tôi chắc chắn phải là David Malan, trong trường hợp đó.
Tất nhiên, chỉ có mật khẩu thôi thì chưa đủ tốt. Bạn cần có một mật khẩu tốt. Vậy thế nào là mật khẩu tốt? Lý tưởng nhất, mật khẩu này sẽ không nằm trong từ điển, theo nghĩa đen là một cuốn từ điển tiếng Anh hoặc bất kỳ ngôn ngữ của con người nào khác. Tại sao? Vì có một mối đe dọa được gọi là tấn công từ điển.
Và ý tôi là một kẻ thù, một hacker muốn xâm nhập vào tài khoản của bạn, họ có thể bắt đầu nhập ngẫu nhiên để cố gắng tìm ra mật khẩu của bạn là gì. Nhưng họ thông minh hơn một chút. Họ thực sự sẽ sử dụng một cuộc tấn công từ điển. Nghĩa là họ sẽ mở một cuốn sách vật lý chứa các từ, hoặc có khả năng hơn là họ sẽ mở một tệp trên máy tính của họ chứa rất nhiều từ tiếng Anh thực tế hoặc bằng một ngôn ngữ của con người khác, và sau đó chỉ cần lần lượt thử từ này làm mật khẩu của bạn, từ này làm mật khẩu của bạn, từ này làm mật khẩu của bạn, v.v. Bởi vì nếu bạn và tôi đã chọn một mật khẩu khá dễ đoán, là một từ thực tế trong từ điển, họ sẽ xâm nhập vào tài khoản của bạn nhanh hơn nhiều.
Nhưng ngay cả khi bạn và tôi thông minh – và rất có thể đến thời điểm này trong cuộc đời, bạn biết rằng bạn không nên chỉ chọn một từ tiếng Anh đơn giản hoặc một từ ngôn ngữ khác, mà bạn nên có một số chữ số, một số chữ cái, một số dấu câu hoặc tương tự – bạn vẫn dễ bị tổn thương, giống như tôi, trước những gì chúng ta gọi là tấn công vét cạn. Vét cạn gợi lại những ký ức của thời xa xưa khi ai đó có thể sử dụng một cành cây lớn như một cái chĩa ba để cố xông vào lâu đài từ thời xưa. Nhưng các cuộc tấn công vét cạn trong thế giới kỹ thuật số có nghĩa là một thứ gì đó tương tự, theo đó bạn đang sử dụng phần mềm để kỹ thuật số thử tất cả các mật khẩu có thể.
Và ở đây cũng vậy, bạn dễ bị tổn thương vì nếu mật khẩu của bạn quá ngắn, ngay cả khi nó là ngẫu nhiên với các chữ cái, số và ký hiệu, rất có thể một kẻ thù hoặc một hacker có đủ thời gian và đủ khả năng kỹ thuật, họ có thể thử mọi mật khẩu có thể trên thế giới. Và cuối cùng, họ có thể sẽ xâm nhập được vào hệ thống của bạn. Vậy làm thế nào để chúng ta bảo vệ chống lại những loại tấn công này? Chúng ta sử dụng các mật khẩu này, nhưng các mật khẩu này tất nhiên có các dạng khác nhau.
Và đó là một tiêu chuẩn khá thấp được đặt theo mặc định trên rất nhiều thiết bị ngày nay. Ví dụ, trên điện thoại của bạn, nếu bạn muốn bình luận ở đây trong cuộc trò chuyện, có bao nhiêu ký tự hoặc chữ số cụ thể thường được yêu cầu của các hệ thống? Tôi cho rằng rất thường xuyên khi thiết lập điện thoại, tôi chỉ được yêu cầu nhập một mã truy cập, mật khẩu số, chỉ gồm 4 chữ số.
Bây giờ, nếu bạn có mã truy cập 4 chữ số hoặc mật khẩu nói chung, nó an toàn đến mức nào? Và làm thế nào để chúng ta nghĩ về mức độ an toàn của mật khẩu đó? Tôi đề xuất rằng chúng ta có thể bắt đầu đo lường không chỉ sử dụng toán học tinh vi, mà chỉ là một số quy tắc cơ bản, chúng ta có thể đo lường tính bảo mật của mật khẩu chỉ có 4 chữ số bằng cách xem xét, có bao nhiêu mã truy cập 4 chữ số có thể?
Vì vậy, có lẽ nếu bạn muốn bình luận ở đây trong cuộc trò chuyện, có bao nhiêu mật khẩu có thể nếu tất cả đều là các chữ số từ 0 đến 9, chữ số thập phân, và nếu bạn chỉ có 4 chữ số? Có bao nhiêu khả năng? Tôi đang thấy 1.000. Tôi đang thấy 10.000. Tôi đang thấy 9.999. Và tôi đang thấy một loạt. Và tôi nghĩ rằng nhiều bạn có câu trả lời hoàn toàn chính xác. Nó là 10.000. Nó là 10.000.
Tại sao? Vì nếu chúng ta chỉ nghĩ về điều này theo số, nếu tôi có 4 chữ số thập phân, từ 0 đến 9, thì mật khẩu nhỏ nhất mà tôi có thể nghĩ ra, nói một cách nào đó, sẽ là 0000. Và mật khẩu lớn nhất mà tôi có thể nghĩ ra sẽ là 9999. Bây giờ, bạn có thể nghĩ, được rồi, rõ ràng đó là 9.999 khả năng. Nhưng không hẳn vì nếu bạn bao gồm cả 0000, đó là khả năng thứ 10.000. Vì vậy, thực sự có 10.000 mật khẩu có thể nếu chúng ta sử dụng cụ thể 4 chữ số.
Vậy làm thế nào để chúng ta thực sự nghĩ về điều đó một cách tổng quát hơn, đặc biệt là để bây giờ chúng ta có thể tìm ra toán học cho các mật khẩu lớn hơn? Vâng, nếu bạn có từ 0 đến 9 là chữ số có thể đầu tiên, và 0 đến 9 là chữ số tiếp theo, và 0 đến 9 là chữ số thứ ba, và 0 đến 9 là chữ số thứ tư, bạn có 10 khả năng nhân với 10 khả năng nhân với 10 nhân với 10. Tất nhiên, nếu chúng ta thực hiện nó theo cách toán học hơn, thì là 10 mũ 4, số mũ là 4. Và tất nhiên, điều đó cũng cho chúng ta 10.000.
Vì vậy, đó có thể là cách tiếp cận toán học hơn, so với cách trực quan hơn, rằng 0000 có thể đi đến tận 9999. Bây giờ, một lần nữa, một câu hỏi cho nhóm, bạn nghĩ sẽ mất bao lâu kẻ xấu hoặc tin tặc phải mất bao lâu để xâm nhập vào thiết bị của tôi, chẳng hạn như điện thoại, nếu tôi có mật khẩu 4 chữ số? Nếu tôi có mật khẩu 4 chữ số, điều này có nghĩa là có thể họ phải thử tới 10.000 khả năng vì trong trường hợp dễ nhất, tất nhiên, họ may mắn, và mật khẩu của tôi vẫn là mặc định 0000. Nhưng trong trường hợp xấu nhất, tôi đã chọn 9999 và họ không thử đến khả năng cuối cùng.
Hoặc có thể tôi chọn một cái gì đó ở giữa. Tôi thấy 10 giây, chưa đến một giây, mili giây, 10 giây một ngày, 4 giờ. Vì vậy, các câu trả lời rất đa dạng. Vậy làm thế nào để chúng ta đo lường hoặc ước tính điều này? Hãy để tôi đề xuất điều này. Tôi sẽ chuyển sang máy tính của mình ở đây. Và ngay cả khi bạn chưa bao giờ viết mã trước đây, hãy cùng nhau viết một số mã ở đây.
Tôi sẽ mở một chương trình có tên là VS Code, Visual Studio Code, là một chương trình miễn phí mà chúng tôi sử dụng trong CS50 nói chung cho phép tôi viết mã trên Mac hoặc PC hoặc bất kỳ thiết bị nào dựa trên internet. Và tôi thực sự có thể viết mã, không chỉ viết mà còn chạy nó. Và tôi sẽ viết mã, trong trường hợp này, bằng ngôn ngữ gọi là Python. Và đây chỉ là một ngôn ngữ rất phổ biến, nhưng tôi có thể sử dụng bất kỳ ngôn ngữ lập trình nào trong số chục ngôn ngữ trở lên.
Mục đích ở đây không phải là học Python – đối với điều đó, chúng tôi có các lớp học hoàn toàn khác – mà chỉ để chứng minh những gì một kẻ thù, một tin tặc cần làm nếu họ muốn xâm nhập vào iPhone hoặc thiết bị Android hoặc bất cứ thứ gì chỉ có mật khẩu 4 chữ số. Bây giờ, giả định của tôi ở đây để thể hiện là tôi sẽ viết mã chỉ in tất cả các mật khẩu có thể lên màn hình. Nhưng bạn có thể tưởng tượng nếu tôi có cáp USB hoặc có thể là cáp sạc, tôi có thể kết nối điện thoại này với laptop này, đặc biệt nếu đó là điện thoại của bạn mà tôi vừa chụp từ bàn, có thể nhanh chóng cắm nó vào máy tính của tôi ở đây, chạy mã mà tôi sắp viết và có thể tự động gửi tất cả 10.000 khả năng đến thiết bị của bạn trước khi bạn nhận ra điện thoại đã biến mất.
Bây giờ, đây là cách tôi sẽ thực hiện điều này. Tôi sẽ trong một tệp văn bản có tên crack.py, trong đó crack thực sự là một thuật ngữ nghệ thuật. Nó chỉ có nghĩa là tìm ra mật khẩu là gì, để vét cạn đường vào. Tôi sẽ từ một thư viện gọi là string. Tôi sẽ nhập digits. Đây là một cách rất dễ dàng để cho tôi quyền truy cập vào các số từ 0 đến 9. Rõ ràng tôi có thể gõ tất cả chúng trên bàn phím. Cách này nhanh hơn một chút vì nó cho tôi một danh sách các số mà tôi quan tâm.
Bây giờ, có rất nhiều cách khác nhau mà tôi có thể viết mã này. Nhưng điều tôi thực sự muốn làm một cách trực quan là thử tất cả các chữ số có thể cho giá trị đầu tiên, thử tất cả các chữ số có thể cho giá trị thứ hai, sau đó cho giá trị thứ ba, sau đó cho giá trị thứ tư. Vì vậy, một cách để thực hiện điều này có thể như sau. Tôi sẽ sử dụng một từ khóa trong Python gọi là for, có nghĩa là làm điều gì đó miễn là tôi muốn bạn làm. Và sau đó tôi sẽ tự tạo cho mình một biến, giống như trong toán học, chỉ để tôi có thể sử dụng một cái gì đó để theo dõi từng số.
Và tôi sẽ sử dụng giá trị mặc định là i cho số nguyên. Và sau đó tôi sẽ nói rằng với mỗi giá trị i trong 10 chữ số đó, tôi muốn thực hiện những điều sau. Vâng, với mỗi chữ số i, đối với giá trị đầu tiên, tôi muốn làm cho j trong số digits. Và sau đó cho mỗi giá trị cho giữ chỗ thứ ba của tôi, tôi có thể làm điều gì đó như cho k trong số digits. Và cuối cùng, tôi có thể làm cho l trong số digits.
Vì vậy, đây rõ ràng không phải là thiết kế tốt nhất. Và những người trong số các bạn đã lập trình trước đây có thể đang khó chịu vì tôi có thụt lề, thụt lề, thụt lề này. Nhưng đó là một cách đơn giản để minh họa, đặc biệt là đối với những người không quen với lập trình, cách chúng ta có thể thử tất cả các chữ số đầu tiên có thể, tất cả các chữ số thứ hai có thể, tất cả các chữ số thứ ba có thể, tất cả các chữ số thứ tư có thể. Và tất cả những gì tôi sẽ làm, chôn bên trong mã này bây giờ là in ra giá trị của i, j, k và l để lặp đi lặp lại, chúng ta sẽ thấy trên màn hình 0000 và sau đó đến tận 9999.
Vì vậy, nếu bạn giả sử rằng tôi đã kết nối điện thoại của mình với máy tính xách tay này, lý tưởng thì chúng ta sẽ có một ước tính về thời gian có thể mất cho đến khi chúng ta thực sự xâm nhập được vào thiết bị. Vì vậy, hãy làm điều này. Tôi sẽ mở một cửa sổ riêng trên màn hình của mình ở đây được gọi là cửa sổ terminal. Và tôi sẽ chạy Python của crack.py. Vì vậy, chỉ trong giây lát, chúng ta sẽ thấy liệu nó sẽ mất vài phút, vài mili giây, một ngày, bốn giờ, hay – đây rồi. 1, 2, 3, đi.
Vì vậy, những người trong số các bạn ước tính chỉ vài mili giây đã hoàn toàn chính xác. Vậy bài học rút ra ở đây là gì? Chà, rõ ràng việc sử dụng mật khẩu 4 chữ số không an toàn chút nào vì hãy xem tôi, kẻ thù, tin tặc trong câu chuyện, đã có thể xâm nhập vào điện thoại của bạn nhanh như thế nào. Và thực tế, tôi có thể rút phích cắm ngay lúc đó vì tôi đã lấy được bất cứ dữ liệu nào tôi quan tâm từ điện thoại của bạn. Và bạn có thể không hề hay biết.
Vậy làm thế nào để chúng ta có thể cải thiện hệ thống này? Hãy để tôi đề xuất rằng thay vì sử dụng mã truy cập 4 chữ số, hãy sử dụng 4 chữ cái thay thế. Và chúng ta sẽ sử dụng tiếng Anh vì đó là thứ tôi nói tốt. Và trong tiếng Anh, chúng ta có 26 chữ cái trong bảng chữ cái, từ A đến Z.
Nhưng bạn biết không? Ban đầu điều đó có thể cho chúng ta 26 khả năng cho vị trí đầu tiên, nhân với 26, nhân với 26, nhân với 26 cho vị trí thứ hai đến thứ tư. Nhưng hãy để tôi đề xuất rằng thực sự chúng ta sử dụng cả chữ thường và chữ hoa. Vì vậy, nó cho tôi không phải 26, mà là 52 khả năng cho mỗi vị trí.
Vì vậy, nếu tôi thực hiện 52 khả năng, đó là 52 mũ 4. Và có ai muốn ước tính có bao nhiêu mật khẩu có thể nếu tôi sử dụng 4 chữ cái tiếng Anh bây giờ, chữ hoa hoặc chữ thường? Tôi thấy 26 mũ 4. Nhưng điều đó không đúng nếu chúng ta sử dụng chữ hoa và chữ thường. Thực sự là 52 mũ 4. Và tôi đang thấy “rất nhiều”.
Nhưng ở đây chúng ta có các ước tính khoảng 7 triệu. Vì vậy, với 7 triệu khả năng, bạn có thể nghĩ, được rồi, chắc chắn điều đó sẽ tốt hơn nhiều. Và kẻ thù sẽ mất nhiều thời gian hơn để xâm nhập vào điện thoại này. Nhưng hãy thử điều đó. Hãy để tôi quay lại cửa sổ terminal của mình ở đây. Hãy để tôi mở lại tệp mã của mình, và hãy sử dụng không phải số, mà là chữ cái ASCII.
Đối với những người không quen, chữ cái ASCII đơn giản là các chữ cái từ A đến Z ở cả chữ hoa và chữ thường. Bây giờ, ở đây tôi phải thay đổi từ digits thành ASCII letters, từ digits thành ASCII letters, từ digits thành ASCII letters, và cuối cùng, từ digits thành ASCII letters. Một lần nữa, có một cách dễ dàng hơn mà tôi có thể triển khai mã này để ngắn gọn hơn và ít lặp lại hơn, nhưng nó liên quan đến một số tính năng mà chúng ta sẽ giới thiệu trong một lớp học hoàn toàn khác.
Nhưng bây giờ tôi có tất cả các chữ cái ASCII có thể từ vị trí đầu tiên đến cuối cùng. Hãy mở lại cửa sổ terminal đó. Chạy Python của crack.py. Và bây giờ đây là câu trả lời cho câu hỏi kẻ thù có thể mất bao lâu để xâm nhập vào điện thoại của bạn nếu bạn sử dụng 4 chữ cái trong bảng chữ cái tiếng Anh cho mật khẩu của mình.
Lần này, tôi có đủ thời gian để đi bộ đến màn hình ở đây. Và bạn có thể thấy rằng chúng ta đang đi theo thứ tự bảng chữ cái, trước tiên là chữ thường, bây giờ là chữ hoa. Nhưng chỉ trong chốc lát, chúng ta đã xong. Và chúng ta xuống tận ZZZZ. Vậy là mất vài giây, tất nhiên là chậm hơn, nhưng thực sự không phải là quá nhiều nỗ lực.
Vì vậy, có thể kể cả 4 chữ cái trong bảng chữ cái cũng không đủ để giữ an toàn cho chúng ta. Vì vậy, hãy để tôi làm những gì tất cả chúng ta được yêu cầu làm, đó là vào điện thoại hoặc bất kỳ thiết bị nào và thực sự sử Dụng 4 ký tự thay thế. Vì vậy, không chỉ chữ cái, không chỉ chữ số, mà hãy thêm một số dấu câu.
Và trong thế giới dấu câu, ít nhất là trên bàn phím tiếng Anh của Mỹ, thường có tới 94 khả năng cho chữ cái, số và dấu câu vì chúng ta có 26 chữ cái thường, 26 chữ cái hoa, 10 chữ số thập phân, từ 0 đến 9, và 32 ký hiệu dấu câu khác mà chúng ta có thể thêm vào. Vì vậy, điều đó cho tôi 94 phím có thể mà tôi có thể nhấn ở đây, hoặc 94 mũ 4.
Và có ai muốn ước tính con số này là bao nhiêu không? Chúng ta đã đi từ 10.000 đến 7 triệu đến khi tôi thấy trong cuộc trò chuyện, khoảng 78 triệu khả năng, vì vậy theo một nghĩa nào đó, an toàn hơn 10 lần. Hãy quay lại cửa sổ terminal của tôi, mở tệp mã của tôi ở đây, và nhập không chỉ chữ cái ASCII, mà còn cả các chữ số từ trước, và cũng thêm một số dấu câu.
Bây giờ, hãy thay đổi chỉ chữ cái ASCII thành chữ cái ASCII cộng với các chữ số đó cộng với dấu câu đó. Và chỉ để tiết kiệm thời gian, tôi sẽ đánh dấu và sao chép những gì tôi vừa nhập, và tôi sẽ thay đổi vị trí thứ hai, vị trí thứ ba và cả vị trí thứ tư để sử dụng tổ hợp 94 khả năng đó.
Tôi sẽ mở lại cửa sổ terminal. Tôi sẽ chạy Python của crack.py. Và lần này, bởi vì chúng ta có gấp 10 lần số khả năng, tôi có khoảng 10 lần thời gian để đi bộ đến màn hình vì thực sự chúng ta vẫn đang ở chữ cái thường E, F, G, H. Và bây giờ nó trông giống như một bộ phim Hollywood. Có lẽ bạn có thể thấy, mặc dù nó đang chạy nhanh trên màn hình, có rất nhiều kết quả mơ hồ ở đây vì chúng ta đang chạy qua tất cả các chữ cái, chữ số và dấu câu. Vì vậy, nó trông hơi ảo diệu.
Bây giờ, có lẽ bạn cũng nhớ từ các bộ phim Hollywood rằng chúng thường rất kịch tính. Và vì vậy, thay vì chỉ làm điều này, lặp lại từ trái sang phải rất chậm, các bộ phim và chương trình truyền hình có xu hướng rất kịch tính nhận được ký tự thứ ba đúng, sau đó là ký tự đầu tiên đúng, sau đó là ký tự thứ tư đúng. Và sau đó đúng lúc, bạn cũng nhận được ký tự thứ hai.
Đó không thực sự là cách vét cạn hoạt động. Bạn có xu hướng làm mọi thứ một cách có phương pháp, không nhảy từ ký hiệu này sang ký hiệu khác. Nhưng rõ ràng điều này đang mất rất nhiều thời gian. Và tôi thậm chí sẽ không chờ đợi để hoàn thành việc này vì chúng ta vẫn phải đi qua tất cả các dấu câu. Vì vậy, cuối cùng, 78 triệu khả năng thực sự đang tăng lên khá nhanh. Nhưng thành thật mà nói, nếu chúng ta quay lại sau khoảng một phút nữa, tôi cá rằng nó sẽ hoàn thành. Và hy vọng không ai trong chúng ta có mật khẩu chỉ gồm 4 ký tự ngày nay, chữ cái, số và dấu câu. Rất có thể nó ít nhất là 8 ký tự thông thường. Và thực sự hầu hết các trang web và ứng dụng cũng yêu cầu bạn như vậy.
Bây giờ, toán học ở đây cũng khá đơn giản. Nếu bạn có 94 khả năng, nhưng bây giờ bạn có tổng cộng tám ký tự, bây giờ đó là 94 mũ 8. Và có ai muốn ước tính sơ bộ có bao nhiêu mật khẩu có thể nếu nó chỉ có 8 ký tự, thậm chí không dài lắm nhưng bạn có tổng cộng 8 ký tự? Quá nhiều, đến một câu trả lời. Quá nhiều để đếm. Tôi thấy rằng chúng ta đã bỏ cuộc ở đây.
Nhưng, ồ, tôi đã thấy một cái trong cuộc trò chuyện. Đó là khoảng nhiều mật khẩu có thể này, thực sự hơi khó để tính toán. Vì vậy, đây là, hãy xem, hàng triệu, hàng tỷ, hàng nghìn tỷ, hàng vạn tỷ. Vì vậy, đây là 6 vạn tỷ khả năng. Vì vậy, bây giờ chúng ta đang nói. Bây giờ kẻ thù có thể sẽ hết thời gian, hết năng lượng, hết tiền, hết cả đời nếu phải mất nhiều thời gian như vậy để cố gắng bẻ khóa, nói một cách nào đó, mật khẩu cụ thể của bạn.
Và đây là một trong những bài học đầu tiên của chúng ta khi nói đến an ninh mạng và bảo mật tài khoản của chúng ta. Nó thực sự là trò chơi tương đối và nguồn lực. Những gì chúng ta thực sự đang làm ở đây không phải là điều gì đó hoàn toàn khác biệt bằng cách thêm vào các chữ số, chữ cái và dấu câu. Nó vẫn là cùng một công thức, cùng một cách tiếp cận với mật khẩu của chúng ta. Nhưng khi chúng ta thêm độ phức tạp, và khi chúng ta làm cho nó dài hơn và dài hơn, chúng ta đang nâng cao chuẩn mực cho kẻ thù. Tại sao? Miễn là bạn và tôi không làm điều gì ngốc nghếch như vẫn chọn 0000 0000 miễn là chúng ta chọn một cái gì đó khá ngẫu nhiên trong phạm vi 6 vạn tỷ khả năng đó, kẻ thù sẽ mất nhiều thời gian hơn để vét cạn đường vào mật khẩu đó.
Và như vậy, đến thời điểm họ cuối cùng xâm nhập vào tài khoản, có thể bạn đã thay đổi mật khẩu, bạn có thể không sử dụng tài khoản đó nữa, hoặc bạn hoặc kẻ thù thậm chí có thể không còn trên hành tinh này nữa. Và đó thực sự là mục tiêu. Nhưng tất nhiên, cũng có một nhược điểm. Mật khẩu của bạn càng dài và càng phức tạp, thì bạn và tôi càng có khả năng không thể nhớ mật khẩu đó là gì. Và đây là một loại hành động cân bằng, cố gắng tìm ra sự cân bằng giữa tính khả dụng của tài khoản, chỉ là mức độ thân thiện với người dùng để truy cập, so với tính bảo mật của tài khoản đó. Và tìm điểm uốn là phần nào đó cá nhân hoặc công ty về chính sách, thường là như vậy.
Vâng, hãy để tôi dừng lại ở đây và xem liệu có bất kỳ câu hỏi nào bây giờ về việc bảo mật tài khoản của chúng ta chỉ thông qua mật khẩu.
Người nghe: Tôi tự hỏi. Vài năm trước, có các thiết bị, thiết bị USB, có nhận dạng vân tay. Tại sao điều đó không được sử dụng thường xuyên hơn? Hay chúng quá đắt hay –
David Malan: Một câu hỏi rất hay, và chúng ta sẽ đến chủ đề này trong một chút về sinh trắc học nói chung. Nhưng trực giác của bạn khá đúng. Việc có một thiết bị khác là tốn kém. Và hầu hết người tiêu dùng sẽ không bận tâm lãng phí tiền vào thứ gì đó chỉ dành cho họ. Một số công ty có thể làm vậy. Nhưng nếu họ có nhiều nhân viên, chi phí có thể rất cao.
Nhưng bạn có thể vui mừng khi biết rằng một trong những chủ đề chúng ta sẽ kết thúc hôm nay là một công nghệ mới gọi là passkeys thực sự tận dụng thiết bị mà bạn rất có thể đã có, một chiếc điện thoại, có thể sử dụng vân tay của bạn hoặc có thể sử dụng khuôn mặt của bạn hoặc một hình thức sinh trắc học khác. Điều đó đang trở nên phổ biến hơn ngày nay, hoặc sẽ sớm, ngay cả đối với máy tính xách tay và máy tính để bàn của bạn sẽ nói chuyện với điện thoại đó, theo một hình thức nào đó. Còn một câu hỏi nữa về việc bảo mật tài khoản.
Người nghe: Câu hỏi của tôi là, tại sao nếu mật khẩu 4 chữ số không an toàn như vậy, tại sao một số chương trình vẫn sử dụng mật khẩu này không phải là một trang web, như chương trình?
David Malan: Ồ, câu hỏi rất hay. Tại sao một số lập trình viên sử dụng điều này? Vì vậy, đó là sự đánh đổi giữa tính khả dụng và tính bảo mật. Nếu bạn là lập trình viên thiết kế hệ thống, bạn có lẽ muốn người dùng sử dụng hệ thống và quay lại và tiếp tục sử dụng nó. Nhưng nếu bạn làm cho họ khó truy cập vào tài khoản đó, nếu bạn tăng xác suất họ sẽ liên tục quên mật khẩu, mất mật khẩu, họ có thể sẽ ngừng sử dụng hệ thống hoặc ứng dụng hoặc trang web của bạn hoàn toàn. Và như vậy, đó có lẽ không phải là một điều tốt.
Các lý do khác có thể bao gồm chỉ là thiếu nhận thức hoặc chưa tham gia một lớp học về an ninh mạng hoặc chưa thực sự suy nghĩ về hậu quả của việc có các mã truy cập ngắn như vậy. Vì vậy, ngày nay ngành công nghiệp bắt đầu thúc đẩy chúng ta theo những hướng tốt hơn và tốt hơn. Nhưng chúng ta sẽ thấy hôm nay và trong phần còn lại của lớp học này rằng vẫn sẽ có rất nhiều sự đánh đổi, một lần nữa, giữa tính khả dụng và tính bảo mật.
Vậy chúng ta có thể làm gì để bảo vệ bản thân khỏi các cuộc tấn công vét cạn này? Ở đây tại Hoa Kỳ, có một tổ chức có tên là Viện Tiêu chuẩn và Công nghệ Quốc gia, còn được gọi là NIST, thực sự đưa ra các khuyến nghị về cách chúng ta với tư cách là người tiêu dùng hoặc các công ty hoặc nói chung hơn, con người có thể bảo mật tài khoản của mình hiệu quả hơn. Và chúng tôi nghĩ rằng chÚng tôi sẽ chia sẻ một số khuyến nghị này để nó không chỉ thông báo hành vi của chính bạn với tư cách là một công dân hoặc người tiêu dùng cá nhân, mà còn nếu bạn đang ở một vị trí kinh doanh nơi bạn có thể ảnh hưởng đến chính sách của công ty mình, thì nhìn chung đây là những gì được coi là thực hành tốt nhất ngày nay.
Vì vậy, trích dẫn từ các khuyến nghị của họ, “bí mật ghi nhớ phải dài ít nhất tám ký tự.” Vì vậy, ít nhất điều đó củng cố phép toán nhanh và bài kiểm tra mà chính chúng ta vừa chạy, chỉ khi chúng ta đạt đến khoảng 6 vạn tỷ khả năng, chúng ta mới cảm thấy sẽ mất rất nhiều thời gian để thực sự xâm nhập vào thiết bị của ai đó. Vì vậy, hãy xem xét điều đó cho các tài khoản của chính bạn, ngay cả trên điện thoại của bạn. Bạn có thể phải đi qua một vài tùy chọn menu để nâng cấp từ chỉ bốn chữ số lên một cái gì đó hơn thế. Nhưng rất có thể bạn sẽ được hưởng lợi từ lớp bảo mật bổ sung này.
Cái này khó hiểu hơn một chút nhưng cũng hữu ích, “bộ xác minh”, vì vậy trang web hoặc ứng dụng xác minh đầu vào của bạn khi bạn xác thực bằng tên người dùng và mật khẩu của mình – “bộ xác minh nên cho phép người đăng ký chọn bí mật ghi nhớ dài ít nhất 64 ký tự. Tất cả các ký tự ASCII in cũng như ký tự khoảng trắng phải được chấp nhận trong bí mật ghi nhớ. Các ký tự Unicode cũng nên được chấp nhận.”
Bây giờ, nếu bạn không phải là một người máy tính, có một chút thuật ngữ trong này. Nhưng trước hết, điều cần rút ra là các trang web và ứng dụng nên cho phép bạn và tôi đặt mật khẩu dài tới 64 ký tự. Bây giờ, đó là khá dài, nhưng đó chính xác là vấn đề, đặc biệt là khi bạn và tôi gặp khó khăn hơn trong việc ghi nhớ tất cả các mật khẩu của mình, đặt các mật khẩu rất phức tạp. Thực tế là bạn và tôi có thể sẽ tốt hơn nhiều, nói chung, chỉ bằng cách chọn một mật khẩu dễ nhớ hơn nhưng dài hơn nhiều, ví dụ như một câu, một trích dẫn, một cụm từ mà bạn có thể dễ dàng ghi nhớ trong tâm trí con người của mình nhưng không nhất thiết phải có một lượng điên rồ dấu câu hoặc chữ số hoặc chữ cái, nhưng ít nhất là 64 ký tự.
Vì vậy, ngay cả khi kẻ thù thử một cuộc tấn công từ điển, thử tất cả các từ tiếng Anh có thể hoặc một số ngôn ngữ khác, ngay cả khi chúng thử một cuộc tấn công vét cạn, nó sẽ mất quá nhiều thời gian trừ khi, tất nhiên, bạn làm điều gì đó ngu ngốc như chọn một mật khẩu 64 ký tự là 000 hoặc tương tự. Vì vậy, bạn vẫn muốn trở nên độc đáo trong không gian đó. Bây giờ, về mặt kỹ thuật hơn, khuyến nghị này đang đề cập đến ASCII. ASCII nói chung đề cập đến các ký hiệu tiếng Anh của Mỹ trên bàn phím tiếng Anh của Mỹ, như nguồn gốc của hệ thống mã này. Vì vậy, nó bao gồm từ A đến Z, từ 0 đến 9 và các dấu câu mà tôi đã đề cập trước đó.
Nhưng các trang web và ứng dụng ngày nay cũng nên hỗ trợ Unicode, bao gồm các thứ như biểu tượng cảm xúc và các ký tự có dấu hoặc ký hiệu khác mà bạn có thể có trong các ngôn ngữ ngoài tiếng Anh. Thật không may, tôi dám nói rằng điều này không thực sự là thực hành chung. Chỉ hôm qua, tôi đã tạo một tài khoản trên một trang web mới lần đầu tiên và nó bắt tôi phải nhảy qua các vòng, nói một cách nào đó, để tìm ra số lượng chữ cái viết hoa, chữ thường, dấu câu phù hợp và thậm chí sau đó nó nói với tôi rằng tôi chỉ có thể sử dụng một số dấu câu nhất định. Vì vậy, tôi phải suy nghĩ về việc bây giờ tôi đang sử dụng ký hiệu nào.
Đó là rất nhiều ma sát không tốt cho khả năng sử dụng. Và giá trị của nó đối với tính bảo mật của hệ thống là đáng nghi vấn nếu tôi thậm chí không thể nhớ điều đó sau này. Vì vậy, hãy ghi nhớ điều này, nói chung, rằng mật khẩu của bạn không chỉ nên dài tối thiểu tám ký tự, mà hầu hết các ứng dụng và trang web mà có thể chính bạn phát triển trong tương lai cũng nên cho phép các mật khẩu dài hơn nhiều. Và bạn với tư cách là con người có thể sử dụng mật khẩu dài hơn nếu hệ thống cho phép chúng.
Bây giờ, đây là một bộ khuyến nghị khác từ NIST. “Bộ xác minh” – trang web hoặc ứng dụng mà chúng ta đang sử dụng – “sẽ so sánh các bí mật tiềm năng” – mật khẩu mà bạn chọn – “với danh sách chứa các giá trị được biết là thường được sử dụng, dự kiến hoặc bị xâm phạm.” Nghĩa là khi bạn nhập mật khẩu, nếu nó đã là mật khẩu thường được sử dụng, nếu nó rất dễ đoán, trang web hoặc ứng dụng có lẽ nên nói, ừm, hãy chọn một mật khẩu tốt hơn thế chỉ để giảm xác suất kẻ xấu sẽ xâm nhập vào tài khoản đó.
Cụ thể, NIST khuyến nghị rằng “mật khẩu thu được từ các tập hợp bị xâm phạm trước đó” – đó là một cách nói hoa mỹ nếu một trang web, một cơ sở dữ liệu nào đó đã bị hack và cơ sở dữ liệu đó chứa tên người dùng và mật khẩu, và những mật khẩu đó hiện đã được tải lên internet cho kẻ xấu hoặc bất kỳ ai tải xuống và duyệt, thì bạn không nên được phép chọn mật khẩu từ danh sách đó vì nó về cơ bản là một từ điển thay thế. Nó về cơ bản là một danh sách các mật khẩu mà một kẻ thù thông minh nên bắt đầu với trước khi chúng thậm chí phiền đến việc sử dụng vét cạn, mà chúng ta đã thấy sẽ mất nhiều thời gian hơn.
Hai, các từ trong từ điển. Vì vậy, chúng ta đã quy định rằng điều này sẽ là một điều tốt để tránh vì chỉ quá dễ dàng cho kẻ thù đi qua một danh sách lớn các từ tiếng Anh hoặc một số ngôn ngữ khác và thử những từ đó trước. Ba, các ký tự lặp lại hoặc tuần tự, aaaaaa hoặc một cách sáng tạo hơn một chút nhưng không đủ tốt, 1235abcd. Tôi cũng sẽ thêm 0000 và tương tự vào danh mục đó. Thật quá dễ dàng để kẻ thù đoán rằng có thể bạn đang làm điều gì đó lặp đi lặp lại như thế.
Và cuối cùng, các từ cụ thể theo ngữ cảnh, chẳng hạn như tên của dịch vụ, tên người dùng và các dẫn xuất của chúng. Điều này để nói rằng, nếu bạn đăng ký một tài khoản Gmail lần đầu tiên, bạn không nên được Google cho phép chọn mật khẩu như “mật khẩu Gmail”, trích dẫn. Nếu bạn đăng ký một tài khoản Amazon, bạn không nên được Amazon cho phép đặt mật khẩu là “mật khẩu Amazon” hoặc một biến thể tương tự vì các kẻ thù thông minh sẽ thử những thủ thuật tương tự.
Và đó cũng là điểm mấu chốt. Nếu bạn có thể nghĩ ra nó, ngay cả khi bạn nghĩ rằng mình đang thông minh, rất có thể một kẻ thù cũng thông minh có thể nghĩ ra thủ thuật đó và ưu tiên những mánh khóe đó trước khi chúng sử dụng vét cạn, như tôi đã làm trên chính máy tính xách tay của mình. Một vài khuyến nghị khác nữa. “Bộ xác minh bí mật ghi nhớ sẽ không cho phép người đăng ký lưu trữ gợi ý không thể truy cập được đối với người xác nhận chưa được xác thực. Bộ xác minh sẽ không nhắc người đăng ký sử dụng các loại thông tin cụ thể, ví dụ, ‘tên của con vật cưng đầu tiên của bạn là gì?’ khi chọn bí mật ghi nhớ “. Vì vậy, có rất nhiều công ty, nhiều trang web, nhiều ứng dụng vi phạm khuyến nghị này ngày nay. Và trên thực tế, tôi cá rằng bạn có thể nghĩ về một hoặc nhiều tài khoản mà bạn có nơi bạn đã phải nói với họ, ví dụ, tên của con vật cưng đầu tiên của bạn là gì hoặc chiếc xe đầu tiên của bạn hoặc tên mẹ hoặc cha của bạn hoặc những thứ tương tự.
Việc thu thập điều đó cũng không tốt, cũng như gợi ý không phải là một điều tốt vì thẳng thắn mà nói, bạn và tôi thường có thói quen nhập vào trường gợi ý, nếu có, một câu hỏi nhằm mục đích giúp bạn nhớ mật khẩu của mình là gì. Nhưng nếu gợi ý của bạn là một cái gì đó như, mật khẩu của tôi là tên của con vật cưng đầu tiên, ồ, bây giờ bạn chỉ đang rò rỉ thông tin cho thế giới. Và bất kỳ ai có thể lên mạng và tìm ra thông tin đó bây giờ cũng có thể xâm nhập vào tài khoản của bạn. Và vì vậy, đó thực sự là mối đe dọa, trong trường hợp này.
Nếu bạn bắt đầu sử dụng thông tin có thể nhận dạng cá nhân trong thời đại mạng xã hội này và các trang web như LinkedIn và những thứ tương tự, chỉ đơn giản là có quá nhiều thông tin ngoài kia về chúng ta có thể bị phát hiện. Bạn không muốn điền tất cả những cơ sở dữ liệu này, tất cả những hệ thống này với từng mẩu thông tin về bạn bởi vì một kẻ thù thông minh với đủ thời gian và đủ tập trung vào bạn có lẽ có thể tìm ra tất cả các giá Trị tương tự. Vậy còn gì nữa không?
“Bộ xác minh sẽ không yêu cầu thay đổi bí mật ghi nhớ một cách tùy tiện, ví dụ như định kỳ.” Vì vậy, cái này cũng là điều mà rất nhiều công ty vẫn đang vi phạm như một khuyến nghị. Nếu bạn đang ở trong một nơi làm việc của công ty, đặc biệt là khi bạn đang bị các quản trị viên hệ thống yêu cầu phải thay đổi mật khẩu hàng tháng, có thể là ba tháng một lần, sáu tháng, hàng năm, điều đó nói chung không còn được khuyến nghị nữa, mặc dù không lâu trước đây, nó có vẻ như, nghe có vẻ như một thực hành tốt nhất. Nhưng tại sao điều này không còn được khuyến nghị nữa, yêu cầu bạn thay đổi mật khẩu của mình một cách định kỳ, như mỗi vài tháng?
Ví dụ thực tế: Giả sử Tom làm việc cho một công ty yêu cầu anh ta thay đổi mật khẩu 3 tháng một lần. Ban đầu mật khẩu của anh ta là “TomCompany123”, sau đó 3 tháng sau anh ta đổi thành “TomCompany456”, rồi “TomCompany789”,… Một hacker đã lấy được mật khẩu cũ của Tom, họ có thể dễ dàng đoán được mật khẩu mới chỉ bằng cách thay đổi vài con số cuối.
Người nghe: Bởi vì mật khẩu sẽ dễ dàng bị quên và dễ bị tấn công bằng vét cạn hơn.
David Malan: Tại sao nó lại dễ bị tổn thương hơn?
Người nghe: Bởi vì tin tặc có thể truy cập vào tất cả các mật khẩu và nhận được gợi ý về mật khẩu mới.
David Malan: Đúng vậy, một nguy hiểm khi bắt bạn và tôi thay đổi mật khẩu quá thường xuyên là bạn và tôi thường không có xu hướng bỏ ra nhiều công sức khi được yêu cầu làm như vậy. Ví dụ, nếu mật khẩu của tôi hôm nay là, chẳng hạn, mật khẩu 1, chà, bạn biết mật khẩu của tôi có thể là gì sau ba tháng? Mật khẩu 2 hoặc sau ba tháng nữa, mật khẩu 3. Bạn và tôi có thể chỉ bỏ ra một lượng năng lượng tối thiểu để thay đổi mật khẩu để chúng ta đáp ứng các yêu cầu của công ty nhưng để nó không quá khó cho bạn và tôi nhớ mật khẩu mới là gì.
Và quả thật, nếu thông tin về các mật khẩu trước đây của tôi bị rò rỉ và một số kẻ thù nhìn thấy, ồ, khoan đã, mật khẩu của bạn là mật khẩu 2 vào tháng trước, tôi chỉ đoán theo quy luật là tháng này nó là mật khẩu 3. Chúng ta có thể thực sự đang rò rỉ thông tin. Lý do khác mà bạn có thể không muốn yêu cầu con người thay đổi mật khẩu của họ một cách tùy tiện theo một lịch trình như thế này là gì?
Ví dụ thực tế: Sarah có rất nhiều tài khoản trực tuyến và cô ấy được yêu cầu thay đổi mật khẩu 6 tháng một lần cho mỗi tài khoản. Sau một thời gian, cô ấy bắt đầu quên mật khẩu mới cho từng tài khoản vì có quá nhiều mật khẩu cần nhớ và thay đổi thường xuyên. Điều này khiến cô ấy phải thường xuyên sử dụng tính năng “Quên mật khẩu” và mất nhiều thời gian để lấy lại quyền truy cập vào tài khoản của mình.
Người nghe: Chúng ta cũng cứ quên mật khẩu của mình nếu chúng ta thay đổi quá thường xuyên. Vì vậy, đó không phải là một thực hành tốt cho một trang web.
David Malan: Chính xác. Nếu bạn bắt tôi thay đổi mật khẩu quá thường xuyên, thành thật mà nói, tôi có thể sẽ quên mật khẩu tiếp theo của mình là gì vì tôi sẽ bị nhầm lẫn với mật khẩu của tháng trước hoặc của những tháng trước đó. Và do đó, có những tác động xã hội học đối với chúng ta, con người, chỉ đơn giản là con người, không giỏi trong việc ghi nhớ không chỉ mật khẩu đầu tiên mà bạn bắt tôi chọn rất phức tạp, mà cả mật khẩu thứ hai và thứ ba. Và do đó, nói chung, bạn không nên đưa ra một lược đồ như vậy nữa vì những tác dụng phụ bất lợi này.
Ví dụ thực tế: Công ty ABC có chính sách yêu cầu nhân viên thay đổi mật khẩu hàng tháng. John, một nhân viên mới, cảm thấy rất khó để nhớ mật khẩu mới mỗi tháng. Anh ta bắt đầu ghi lại các mật khẩu trên một tờ giấy và để nó trong ngăn kéo bàn làm việc để tham khảo khi cần thiết. Điều này vô tình làm cho tài khoản của anh ta kém an toàn hơn vì bất kỳ ai truy cập vào bàn làm việc của anh ta đều có thể tìm thấy danh sách mật khẩu.
Và còn một khuyến nghị nữa thì sao? “Bộ xác minh sẽ triển khai một cơ chế giới hạn tỷ lệ để hạn chế hiệu quả số lần xác thực không thành công có thể được thực hiện trên tài khoản của người đăng ký.” Bây giờ, chúng ta có ý gì với điều này? Chà, rất có thể đây là điều mà chính bạn đã trải qua nếu, ví dụ, bạn quên mật khẩu của mình hoặc bạn cứ nhập sai một chút. Có thể màn hình điện thoại của bạn bị ướt nên nó không nhận dạng được dấu vân tay của bạn một cách chính xác.
Hóa ra bạn có thể tự khóa mình khỏi điện thoại của chính mình. Và thực tế, bạn có thể đã thấy một cái gì đó như thế này trên iPhone. Android có một màn hình tương tự, nếu, ví dụ, bạn nhập sai mã truy cập 10 lần liên tiếp. Giả định, của Apple và Google và những người khác, là nếu sau 10 lần bạn vẫn chưa nhập đúng mật khẩu của mình, thì có lẽ xác suất cao hơn là bạn không phải là David, bạn không phải là bạn, mà đúng hơn là một người nào khác đã lấy điện thoại của bạn, đánh cắp điện thoại của bạn và đang cố gắng xâm nhập vào nó.
Ví dụ thực tế: Lisa sử dụng điện thoại Android với mã PIN gồm 6 chữ số để bảo mật. Một ngày nọ, con gái 5 tuổi của cô lấy điện thoại và cố gắng mở khóa nó bằng cách nhập ngẫu nhiên các số. Sau 5 lần nhập sai, điện thoại khóa trong 30 giây. Đứa trẻ tiếp tục thử, và sau 5 lần nữa, nó bị khóa trong 1 phút. Điều này ngăn cản những nỗ lực tiếp theo và dành thời gian cho Lisa để lấy lại điện thoại.
Bây giờ không phải lúc nào cũng như vậy. Bạn có thể tưởng tượng những tình huống mà bạn chỉ đơn giản là lơ đãng. Bạn đang ngủ gật. Có thể bạn không thực sự tập trung vào nó và bạn tự khóa mình. Và do đó, một lần nữa, có sự đánh đổi giữa khả năng sử dụng và bảo mật. Nhưng sự kiện có xác suất cao hơn sau 10 lần thử sai có xu hướng là một kẻ thù đang cố gắng xâm nhập vào và không phải là bạn.
Nhưng ý nghĩa của điều này là gì? Ngoài việc làm phiền kẻ thù và có thể đáng kể hơn, thực sự làm phiền bạn khi nó xảy ra do vô tình, điều này có hiệu quả là làm chậm kẻ thù. Nói cách khác, nó làm tăng chi phí của cuộc tấn công này đối với kẻ thù. Tại sao? Chà, chúng ta đã thấy trước đó rằng một kẻ thù thông minh biết một chút mã Python và đánh cắp điện thoại của bạn có thể thử 10.000 mật khẩu có thể trong chưa đầy một giây.
Ví dụ thực tế: Một hacker đã lấy trộm điện thoại của Mike và cố gắng đoán mật khẩu 4 chữ số của anh ta bằng phần mềm tự động. Tuy nhiên, điện thoại của Mike có tính năng khóa sau 5 lần thử sai, bắt đầu với 1 phút và tăng dần thời gian khóa với mỗi 5 lần thử sai liên tiếp. Điều này khiến hacker không thể thử đủ nhanh tất cả 10.000 mật khẩu có thể. Sau 20 phút, hacker trở nên mất kiên nhẫn và từ bỏ, không thể truy cập được vào điện thoại của Mike.
Tuy nhiên, nếu bây giờ bạn làm chậm chúng bằng cách có tính năng này trên thiết bị iPhone hoặc Android của bạn, nói một cách nào đó, cho phép kẻ thù chỉ thử không quá 10 lần một lúc, điều đó làm chậm đáng kể chúng. Bây giờ chúng có thể phải dành ít nhất 10 giây, 20 giây, một giờ, một ngày hoặc lâu hơn, đặc biệt là vì những gì Android và iPhone cũng làm là chúng có xu hướng tăng giới hạn thời gian này. Lần đầu tiên bạn nhập sai, nó là 1 phút. Nếu bạn nhập sai thêm 10 lần nữa, bây giờ nó là 2 phút, có thể là 5 phút, có thể là 10 phút. Thậm chí điện thoại có thể tự xóa, tự dọn dẹp, nếu đó cũng là một tính năng mà bạn hoặc công ty của bạn đã bật.
Ví dụ thực tế: Công ty XYZ triển khai một chính sách khóa tài khoản sau 5 lần đăng nhập sai, bắt đầu với khóa 30 phút và tăng thêm 30 phút với mỗi 5 lần thử tiếp theo. Họ cũng thiết lập để sau 20 lần thử sai, tài khoản bị khóa hoàn toàn cho đến khi quản trị viên mở lại. Điều này làm nản lòng mọi nỗ lực tấn công vét cạn mật khẩu, bởi vì hacker sẽ mất hàng giờ hoặc thậm chí hàng ngày chỉ để thử một phần nhỏ không gian mật khẩu trước khi bị khóa hoàn toàn.
Vì vậy, một lần nữa, cách đúng đắn để suy nghĩ về điều này, ngoài sự đánh đổi về khả năng sử dụng, là chúng ta chỉ đang cố gắng nâng cao mức độ khó khăn cho kẻ thù. Chúng ta đang cố gắng làm cho nó trở nên tốn kém hơn, đắt đỏ hơN, có thể rủi ro hơn đối với kẻ thù bằng cách làm chậm chúng lại. Và khi nói rủi ro hơn, ý tôi là nếu đây giống như một khoảnh khắc trong phim Hollywood, và ai đó vừa lấy cắp điện thoại từ bàn của bạn tại Starbucks hoặc một quán cà phê, họ đã kết nối nó với máy tính xách tay của họ – họ đang cố gắng tuyệt vọng để xâm nhập vào nó trước khi bạn quay lại bàn – tốt, bằng cách làm chậm chúng lại, nó sẽ làm tăng đáng kể rủi ro, quá, mà chúng đang thực hiện trong khi làm điều đó.
Ví dụ thực tế: Tưởng tượng Anna đang ngồi trong một quán cà phê và rời đi trong chốc lát để lấy đồ uống của cô ấy, để lại điện thoại trên bàn. Một hacker nhanh chóng cầm lấy điện thoại, cắm nó vào máy tính xách tay của chúng, và bắt đầu chạy phần mềm bẻ khóa. Tuy nhiên, sau 5 lần thử, điện thoại bị khóa trong 1 phút. Khi Anna quay lại với đồ uống của mình, hacker hoảng sợ và bỏ đi để tránh bị bắt quả tang. Tính năng khóa đã ngăn chặn cuộc tấn công và bảo vệ dữ liệu của Anna.
Và hy vọng rằng, mục đích cũng là để khiến chúng mất hứng thú với điện thoại của bạn, mất hứng thú với tài khoản của bạn và khiến chúng chuyển sang lý tưởng là của không ai khác, nhưng ít nhất, nếu không được như vậy, thì là của người khác chứ không phải của bạn. Vậy còn những biện pháp bảo vệ nào khác chống lại những loại tấn công vét cạn này, hoặc thậm chí các cuộc tấn công từ điển? Chà, đây là một hệ thống mà bạn và tôi ngày càng có thể bật, nhưng cũng ngày càng được yêu cầu phải bật, nói chung, có lẽ là một điều tốt, Xác thực 2 yếu tố, hoặc 2FA nói chung được gọi là xác thực đa yếu tố, là một công nghệ theo đó ngoài việc có một yếu tố mà bạn sử dụng để đăng nhập, như mật khẩu của bạn, như là truyền thống, bạn cũng có một yếu tố thứ hai hoặc có thể nhiều yếu tố hơn mà bạn phải sử dụng thêm để đăng nhập.
Nhưng những yếu tố này thường không chỉ có nghĩa là một mật khẩu, hai mật khẩu, ba mật khẩu, v.v. Chúng là những loại yếu tố cơ bản khác nhau. Và nói chung, chúng được chia thành ba danh mục này. Một là danh mục kiến thức. Yếu tố kiến thức giống như mật khẩu của bạn mà lý tưởng là bạn giữ bí mật, không ai khác biết và đó là lý do tại sao nó cho phép bạn xác thực bản thân, chứng minh rằng bạn bởi vì chỉ bạn, hy vọng là vậy, có kiến thức đó.
Ví dụ thực tế: Khi thiết lập tài khoản ngân hàng trực tuyến, Sarah được yêu cầu tạo một mật khẩu (yếu tố kiến thức) mà chỉ cô ấy biết. Mỗi lần cô đăng nhập, cô cần nhập chính xác mật khẩu đó để chứng minh danh tính của mình với ngân hàng. Mật khẩu hoạt động như một bí mật dùng chung giữa Sarah và ngân hàng để xác thực cô ấy.
Nhưng một loại yếu tố thứ hai sẽ là yếu tố sở hữu, một cái gì đó mà bạn có về mặt vật lý. Vì vậy, bạn có thể có thói quen tại nơi làm việc mang theo một trong những chiếc chìa khóa nhỏ có một mã nhỏ trên đó thay đổi. Bây giờ, những thứ đó có thể đắt tiền. Vì vậy, ngày càng nhiều thế giới chỉ đang sử dụng chính điện thoại của chúng ta, chính điện thoại Android của bạn, chính iPhone của bạn, có thể có hỗ trợ SMS trên đó, nhắn tin hoặc có thể là một ứng dụng cụ thể hiển thị một mã ngắn mà bạn nhập vào. Giả định là nếu bạn thách thức người dùng không chỉ bằng một yếu tố kiến thức, như mật khẩu của họ, mà còn bằng một yếu tố thứ hai, như một cái gì đó mà họ sở hữu, bạn sẽ giảm đáng kể xác suất rằng một kẻ thù sẽ có thể xâm nhập vào tài khoản đó. Bởi vì trong khi bất kỳ ai trên internet, hàng triệu người có thể là mối đe dọa đối với bạn chỉ bằng cách tìm ra hoặc tìm thấy mật khẩu của bạn, yếu tố sở hữu thực sự thu hẹp phạm vi của mối đe dọa chỉ còn những khách hàng khác trong Starbucks hoặc quán cà phê, chỉ những người khác ở gần bạn về mặt vật lý vì họ sẽ phải lấy vật lý yếu tố sở hữu thứ hai đó.
Ví dụ thực tế: Để truy cập vào hệ thống mạng của công ty, ngoài việc nhập mật khẩu, nhân viên của John còn phải cắm thẻ truy cập (yếu tố sở hữu) vào máy tính của họ. Thẻ chứa một chip bảo mật tạo ra mã mới mỗi phút. Chỉ khi cả mật khẩu và mã từ thẻ đều đúng, nhân viên mới có thể đăng nhập. Điều này ngăn kẻ tấn công từ xa chỉ sử dụng mật khẩu đánh cắp để truy cập, vì họ cũng cần phải có thẻ vật lý.
Và sau đó, ngày nay, một loại yếu tố thứ ba có thể là yếu tố bản thân, một cái gì đó duy nhất đối với bạn, được mô tả chung hơn là sinh trắc học. Vì vậy, có thể đó là dấu vân tay của bạn. Có thể ngày nay đó là khuôn mặt của bạn. Một cái gì đó vốn có của bạn ngày nay có thể là một yếu tố thứ ba bởi vì giả định là chỉ có bạn, lý tưởng là trên thế giới có chính xác yếu tố đó. Bây giờ, điều này hơi khác với những gì một số công ty, một số trang web, một số ứng dụng mô tả như xác thực hai bước, trong đó hai bước thực sự chỉ có thể là hai mật khẩu nào đó. Nhưng hai yếu tố về mặt kỹ thuật hơn đề cập đến hai hoặc nhiều loại yếu tố cơ bản khác nhau này, đó là loại phổ biến nhất trong trường hợp của chúng ta ở đây.
Ví dụ thực tế: Để mở khóa điện thoại thông minh của mình, Liam sử dụng vân tay (yếu tố vốn có – sinh trắc học) của mình. Điều này nhanh hơn và thuận tiện hơn so với nhập mã PIN, trong khi vẫn giữ được tính bảo mật vì vân tay của anh ấy là duy nhất. Ngay cả khi ai đó biết mã PIN của anh ấy, họ vẫn không thể truy cập điện thoại mà không có dấu vân tay phù hợp. Yếu tố sinh trắc học này cung cấp một lớp bảo mật bổ sung mà không làm phức tạp đáng kể quy trình đăng nhập.
Bây giờ, khi nói đến các yếu tố sở hữu đó, những chiếc chìa khóa nhỏ hoặc các ứng dụng hoặc mã mà bạn nhận được, cụ thể những gì bạn nhận được trong các mô hình đó thường được gọi là Mật khẩu dùng một lần, hoặc OTP. Ý tưởng là đây không phải là mật khẩu mà bạn biết và tiếp tục ghi nhớ và tiếp tục sử dụng lại hết lần này đến lần khác. Nó thực sự chỉ sử dụng một lần vì nó được gửi cho bạn qua tin nhắn văn bản hoặc nó được gửi qua một ứng dụng thông qua thông báo đẩy hoặc nó thực sự được gửi đến một cái gì đó trên móc khóa của bạn, như chiếc chìa khóa nhỏ này, chẳng hạn.
Ví dụ thực tế: Mỗi khi Jessica đăng nhập vào ứng dụng ngân hàng của mình, sau khi nhập tên người dùng và mật khẩu, cô ấy nhận được một SMS với mã 6 chữ số (OTP). Mã này chỉ có hiệu lực trong 5 phút và không thể được sử dụng lại. Ngay cả khi ai đó có được mật khẩu của cô ấy, họ vẫn không thể truy cập tài khoản mà không có quyền truy cập vào điện thoại của cô ấy để nhận OTP. Điều này bổ sung thêm một lớp bảo mật quan trọng cho quá trình xác thực.
Ngày nay, công ty của bạn có thể mua những thứ này. Và những gì xảy ra là trên màn hình ở đây, mật khẩu dùng một lần này liên tục thay đổi sau mỗi vài giây. Và nó được đồng bộ hóa bằng cách nào đó với máy chủ để giả định là nếu tôi mang theo thiết bị này và khi được nhắc, tôi nhập mã cụ thể này và mã đó khớp với mã đồng bộ trên máy chủ, tôi sẽ được phép truy cập vào tài khoản vì giả định rằng thực sự là David mang theo cái này chứ không nhất thiết phải là một kẻ thù. Cũng có thể cắm nó vào qua USB hoặc một số công nghệ khác, do đó loại bỏ con người khỏi công thức để bản thân thiết bị có thể tự xác thực bằng cách sử dụng phần mềm đặc biệt trên hệ thống.
Ví dụ thực tế: Công ty của Emma cung cấp cho mỗi nhân viên một thiết bị xác thực phần cứng nhỏ gọi là “token”. Token tạo ra mã mới mỗi 30 giây. Để đăng nhập vào máy tính của họ, nhân viên phải nhập cả mật khẩu và mã hiện tại từ token của họ. Token đồng bộ hóa với máy chủ của công ty để mã luôn hợp lệ. Nếu nhân viên mất token, họ không thể đăng nhập cho đến khi được cấp token mới, ngay cả khi họ biết mật khẩu. Điều này ngăn chặn bất kỳ ai truy cập trái phép vào hệ thống chỉ với mật khẩu.
Tuy nhiên, ngày nay bạn có thể tải xuống các ứng dụng đặc biệt, cho dù đó là từ Google hay các công ty khác, cho phép bạn quản lý, tất cả ở một nơi, tất cả các mật khẩu dùng một lần này mà bạn có thể tự động thấy cập nhật trên màn hình. Và bạn có thể nhập bất kỳ hoặc tất cả chúng khi bạn thực sự được nhắc bởi một trang web hoặc ứng dụng. Nhưng ngay cả trong không gian này của mật khẩu dùng một lần và các yếu tố sở hữu, cũng đáng để ghi nhớ rằng một số công nghệ này an toàn hơn những công nghệ khÁc. Bây giờ, rất phổ biến đối với các trang web hoặc ứng dụng ngày nay muốn gửi cho bạn một trong những mật khẩu dùng một lần này qua tin nhắn văn bản, chẳng hạn.
Và bạn nhận được nó qua SMS. Và sau đó bạn có thể nhập mã 6 chữ số đó, như thường là trường hợp. Tuy nhiên, an toàn hơn sẽ là một cái gì đó giống như một ứng dụng thực tế mà bạn cài đặt từ App Store hoặc cửa hàng Google Play thực sự nói chuyện trực tiếp với một số máy chủ và không chỉ đi qua mạng điện thoại di động. Tại sao lại như vậy? Chà, như bạn có thể biết, trong điện thoại của bạn thường có một thẻ SIM, một thẻ vật lý, một con chip nhỏ hoặc ngày nay nó thực sự có thể được tích hợp vào điện thoại. Nhưng thẻ SIM đó có một định danh duy nhất.
Ví dụ thực tế: Thẻ SIM của Alice có số ICCID (Số nhận dạng thẻ mạch tích hợp) duy nhất là 8995000010001234567. Số này được lưu trữ bởi nhà cung cấp dịch vụ di động của cô ấy và được liên kết với số điện thoại của cô ấy. Khi Alice lắp SIM vào điện thoại, nó cho phép mạng xác định và xác thực thiết bị của cô ấy.
Và khi bạn đăng ký dịch vụ điện thoại, thông thường, với một công ty, họ cần biết định danh duy nhất của thẻ SIM của bạn là gì, cho dù đó là một thứ gì đó vật lý hay một thứ gì đó có dây, được hàn cứng vào thiết bị của bạn. Tại sao? Bởi vì đó là cách họ liên kết số điện thoại của bạn với thiết bị cụ thể đó. Điều đáng chú ý là hoàn toàn có thể và trong một số trường hợp, quá dễ dàng để đánh lừa, ngay cả các công ty điện thoại, để hoán đổi SIM của bạn, không nhất thiết phải làm điều đó về mặt vật lý, nhưng thuyết phục các nhà mạng di động cập nhật hệ thống của họ để nói, ồ, David hiện có thẻ SIM này chứ không phải cái ban đầu.
Ví dụ thực tế: Attacker Bill gọi cho nhà cung cấp dịch vụ di động của John, giả vờ là John. Bill cung cấp thông tin cá nhân của John mà anh ta thu thập được từ mạng xã hội và các rò rỉ dữ liệu. Anh ta thuyết phục đại diện rằng anh ta có một điện thoại mới và cần kích hoạt với số của John. Đại diện đồng ý và liên kết số của John với thẻ SIM mới của Bill. Bây giờ Bill nhận được tất cả các tin nhắn và cuộc gọi dành cho John, bao gồm cả mã OTP, cho phép anh ta xâm phạm các tài khoản của John.
Nghĩa là, nếu tôi là một kẻ thù và tôi chỉ có bất kỳ chiếc điện thoại cũ nào với bất kỳ thẻ SIM cũ nào và tôi tìm ra ID duy nhất là gì và có thể tôi gọi cho nhà cung cấp dịch vụ di động của David và bằng cách nào đó thuyết phục họ rằng tôi là David bằng cách lừa họ tin rằng đó là tôi, bằng cách nói với họ tất cả thông tin cá nhân đó về bản thân, tôi có thể thuyết phục họ hoán đổi thẻ SIM của tôi, của kẻ thù, với cái đã có trong hồ sơ. Hàm ý của điều này là khi David sau đó nhận được tin nhắn văn bản, chúng thực sự không đến với tôi, David thực sự. Chúng cũng đi đến điện thoại của kẻ thù vì chúng được liên kết với thẻ SIM đó.
Ví dụ thực tế: Sau khi lấy được quyền kiểm soát số điện thoại của Sarah bằng cách hoán đổi SIM, hacker Alex đã sử dụng nó để đặt lại mật khẩu cho tài khoản email, mạng xã hội và tài chính của Sarah. Mỗi lần một trang web gửi tin nhắn văn bản “mã đặt lại mật khẩu” đến số điện thoại của Sarah, Alex nhận được nó thay vì Sarah. Alex truy cập và tiếp quản các tài khoản này, gây ra thiệt hại đáng kể cho danh tính trực tuyến của Sarah và gây ra sự tàn phá tài chính.
Vì vậy, nói chung ngày nay, nếu bạn có lựa chọn, sử dụng một số trang web hoặc ứng dụng để sử dụng tin nhắn SMS hoặc tin nhắn văn bản so với một ứng dụng gốc mà bạn cài đặt vào điện thoại hoặc thiết bị khác của mình, bạn nên thường ưu tiên cái sau, một số phần mềm hạng nhất thực sự sử dụng thông báo đẩy hoặc gói dữ liệu của bạn và không dựa vào tin nhắn SMS vì mối đe dọa tiềm ẩn này. Vậy còn những mối đe dọa nào khác khi nói đến những hệ thống này? Chà, hóa ra rằng rất có thể, thật không may, đối với các kẻ thù để bằng cách nào đó có được phần mềm, phần mềm độc hại, được gọi là phần mềm độc hại, vào máy Mac, PC của bạn, thậm chí có thể là điện thoại của bạn.
Ví dụ thực tế: Khi Emily tải một trò chơi miễn phí từ một trang web không rõ nguồn gốc, cô ấy vô tình cài đặt phần mềm gián điệp trên điện thoại của mình. Phần mềm độc hại này ghi lại mọi thứ cô ấy nhập, bao gồm mật khẩu, chi tiết ngân hàng và tin nhắn cá nhân và gửi thông tin đó về cho hacker mà không cần Emily biết. Ngay cả khi Emily có phần mềm chống vi-rút, nó không phát hiện ra spyware này vì nó là một mối đe dọa mới chưa được biết đến.
Điều này có thể là do bạn đã cài đặt một phần mềm mà bạn không nên tin tưởng. Điều này có thể là do điện thoại hoặc thiết bị của bạn bị nhiễm một thứ gì đó như vi-rút hoặc sâu. Nhưng nói chung, bạn có thể dễ bị tổn thương bởi phần mềm độc hại, bao gồm cả phần mềm ghi lại tất cả các thao tác phím của bạn. Key logging đề cập đến chính xác điều đó, một số phần mềm mà rất có thể một cách độc hại đang ghi lại mọi thứ bạn nhập hoặc mọi thứ bạn gõ vào thiết bị đó. Và phần mềm này làm gì với những thao tác bàn phím đó? Rất thường xuyên nó sẽ tải chúng lên. Nếu có kết nối internet, có thể là đến một máy chủ mà kẻ thù kiểm soát.
Ví dụ thực tế: Máy tính xách tay công ty của David bị nhiễm phần mềm ghi phím. Mỗi khi anh ấy nhập mật khẩu, chi tiết thẻ tín dụng hoặc thông tin nhạy cảm khác, phần mềm độc hại ghi lại nó. Vào cuối mỗi ngày, nó gửi bản ghi đó đến một máy chủ điều khiển từ xa được vận hành bởi tin tặc. Tin tặc sau đó sử dụng thông tin đó để truy cập vào các tài khoản công ty, đánh cắp dữ liệu và thực hiện gian lận thẻ tín dụng. Toàn bộ hoạt động này xảy ra mà David không hề hay biết.
Bây giờ, hàm ý của mối đe dọa ghi phím này là gì? Tốt, nếu bạn đang nhập tên người dùng của mình, đó không phải là một vấn đề lớn vì chúng thường là công khai. Nhưng nếu bạn đang nhập mật khẩu của mình và nó đang được tự động tải lên máy chủ của kẻ thù, giờ đây chúng biết tên người dùng và mật khẩu của bạn. Tệ hơn nữa, nếu kẻ thù cũng thấy bạn nhập mã sáu chữ số đó, mật khẩu một lần của bạn mà bạn có thể đã nhận được ngay cả từ điện thoại của mình hoặc một số thiết bị khác, nếu chúng đủ nhanh và đủ thông minh và tìm ra cách ghi lại những gì bạn đang nhập, gửi nó đến máy chủ, thậm chí có thể trước khi chính bạn nhấn Enter, có thể chúng có thể sử dụng không chỉ tên người dùng và mật khẩu của bạn, mà còn cả mật khẩu một lần đó bằng cách giả vờ trên chính điện thoại của chúng hoặc máy tính xách tay hoặc máy tính để bàn của chúng, nhập hoặc thực tế hơn, tự động thông qua phần mềm nhập các giá trị tương tự và truy cập vào tài khoản của bạn ngay cả trước khi bạn có cơ hội làm như vậy.
Ví dụ thực tế: Mật khẩu ngân hàng và mã OTP của Olivia bị đánh cắp bởi phần mềm ghi phím. Trong vòng vài giây sau khi cô ấy đăng nhập, tin tặc cũng đăng nhập bằng chính thông tin đăng nhập đó từ một địa điểm khác. Chúng nhanh chóng chuyển hết tiền trong tài khoản của cô ấy và đăng xuất trước khi Olivia thậm chí nhận ra điều gì đang xảy ra. Khi cô ấy cố gắng đăng nhập lại, cô ấy phát hiện ra rằng mật khẩu đã bị thay đổi và tài khoản của cô ấy đã cạn kiệt.
Bây giờ, biện pháp phòng thủ chống lại mối đe dọa cụ thể đó là gì? Thực sự chỉ là nói chung hoang tưởng về những máy tính mà chính bạn sử dụng. Ví dụ, ngày nay tôi sẽ hiếm khi, nếu có, thực sự sử dụng máy tính của quán cà phê internet hoặc thậm chí máy tính trong phòng thí nghiệm ở đây trong khuôn viên trường Harvard, hoặc thẳng thắn mà nói, ngay cả máy tính của bạn bè vì tôi không biết chúng an toàn đến mức nào khi nói đến các thực hành tốt nhất sử dụng thiết bị của họ trên internet.
Ví dụ thực tế: Khi sử dụng máy tính công cộng tại thư viện, Daniel luôn đảm bảo đăng xuất khỏi tất cả các tài khoản của mình và sử dụng chế độ duyệt web riêng tư. Anh ấy tránh truy cập vào bất kỳ trang web nào nhạy cảm như ngân hàng trực tuyến của mình từ những máy tính dùng chung này. Thay vào đó, anh ấy chờ cho đến khi về nhà và sử dụng máy tính cá nhân của mình, nơi anh ấy có phần mềm diệt vi-rút được cập nhật và có thể kiểm soát ai có quyền truy cập vào máy.
Nói chung, tôi chỉ đăng nhập vào các trang web và ứng dụng trên chính các thiết bị cá nhân của mình, điều đó không có nghĩa là tôi cũng hoàn hảo, mà đúng hơn là ít nhất tôi đang giảm xác suất mất quyền kiểm soát dữ liệu của mÌnh bằng cách sử dụng một số thiết bị khác mà chính tôi không giám sát bởi người đó, chủ sở hữu, không tự tuân thủ các thực hành tốt nhất. Bây giờ, ngay cả khi đó, tôi sẽ thừa nhận, sử dụng ghi phím và đưa nó lên máy chủ của kẻ thù và nhập nó nhanh hơn bạn là một mối đe dọa khá tinh vi và khó. Nhưng đáng để ghi nhớ và nhận ra rằng đây chắc chắn là những cuộc tấn công trên lý thuyết. Và nếu chính bạn bị nhắm mục tiêu vì lý do nào đó, đây tuyệt đối là những điều bạn nên lưu ý. Vì vậy, nói chung, nếu bạn có thể chỉ sử dụng thiết bị của riêng mình và không phải một số thiết bị dùng chung, điều đó cũng có xu hướng là thực hành tốt nhất, tôi sẽ nói.
Ví dụ thực tế: Cũng giống như cách bạn không cho người lạ mượn chìa khóa nhà mình, bạn cũng không nên để họ sử dụng thiết bị cá nhân của bạn. Emma chỉ cho phép gia đình và bạn bè thân thiết nhất sử dụng máy tính xách tay và điện thoại của cô ấy, và chỉ sau khi đảm bảo rằng họ biết cách duy trì bảo mật. Cô luôn khóa thiết bị của mình khi không sử dụng và có phần mềm chống vi-rút được cập nhật trên đó. Bằng cách kiểm soát ai có quyền truy cập vật lý vào thiết bị của mình, Emma giảm nguy cơ bị xâm nhập.
Bất kỳ câu hỏi nào về các cuộc tấn công này?
Người nghe: Liên quan đến việc sử dụng mật khẩu dài, bạn có khuyên dùng mật khẩu của Google hoặc mật khẩu của Apple để hệ thống ghi nhớ mật khẩu cho chúng ta không?
David Malan: Một câu hỏi rất hay. Câu trả lời ngắn gọn, có, nhưng chúng ta sẽ đến chủ đề đó chi tiết hơn trong vài phút nữa. Vậy còn những cuộc tấn công nào khác mà chúng ta nên lưu ý? Vì vậy, cái này có một cái tên khá buồn cười, nhưng có một cuộc tấn công được gọi là nhồi thông tin đăng nhập. Và chúng ta đã đề cập đến điều này rồi trong cuộc thảo luận cho đến nay. Nhồi thông tin đăng nhập – thông tin đăng nhập là một cái gì đó như tên người dùng và mật khẩu – đề cập đến quá trình mà một kẻ thù đã tìm thấy rất nhiều tên người dùng và mật khẩu, có thể trực tuyến, có thể trong một số cơ sở dữ liệu mà chúng hoặc người khác đã tấn công và đăng cho cả thế giới tải xuống.
Ví dụ thực tế: Một diễn đàn trực tuyến phổ biến bị hack, dẫn đến việc 100.000 tên người dùng và mật khẩu bị lộ. Những kẻ tấn công sau đó thử những thông tin đăng nhập này trên nhiều trang web và dịch vụ phổ biến khác, như Amazon, PayPal, và các ngân hàng trực tuyến, hy vọng tìm thấy những người dùng tái sử dụng cùng thông tin đăng nhập. Nhiều tài khoản bị xâm phạm bởi phương pháp “nhồi thông tin đăng nhập” này, dẫn đến trộm cắp tài chính và mạo danh danh tính.
Nhồi thông tin đăng nhập có nghĩa là không sử dụng từ điển, không sử dụng vét cạn, mà chỉ đơn giản là sử dụng một danh sách các tên người dùng và mật khẩu đã biết, có thể từ một số ứng dụng hoặc trang web khác, để cố gắng nhồi chúng vào một trang web khác để xem, tốt, có thể nếu David đang sử dụng tên người dùng và mật khẩu này ở đây, với xác suất cao, anh ấy có thể đang sử dụng cùng một tên người dùng và mật khẩu ở đây. Vì vậy, nhồi thông tin đăng nhập là mối đe dọa mà tôi dám nói rằng nhiều người trong các bạn dễ bị tổn thương. Bây giờ, bạn không cần phải giơ tay và thừa nhận điều này ngay bây giờ. Nhưng nếu bạn đang sử dụng cùng một tên người dùng và mật khẩu trên 2 trang web, 3 trang web, 30 trang web, tất cả các trang web, ngày hôm nay bạn dễ bị tổn thương bởi cuộc tấn công này.
Ví dụ thực tế: Jenny sử dụng cùng một mật khẩu “Fluffy1985” cho tài khoản email, mạng xã hội và thậm chí cả ngân hàng trực tuyến của cô ấy. Khi tài khoản mạng xã hội của cô ấy bị hack trong một vi phạm dữ liệu quy mô lớn, các tin tặc thử mật khẩu đó trên các tài khoản khác của cô ấy. Họ có thể truy cập vào email của cô ấy, đọc thông tin cá nhân của cô ấy, và thậm chí chuyển tiền từ ngân hàng của cô ấy – tất cả vì cô ấy đã tái sử dụng một mật khẩu trên nhiều trang web.
Để rõ ràng, nếu bất kỳ một trong những trang web hoặc ứng dụng đó bị xâm phạm bởi một kẻ thù nào đó và chúng tìm ra tất cả các tên người dùng và mật khẩu trên hệ thống đó, điều mà một kẻ thù thông minh sẽ làm bây giờ là thử cùng một tên người dùng và mật khẩu, chúng tìm thấy cho bạn trên Amazon, trên Gmail, trên bất kỳ trang web hoặc ứng dụng nào khác mà bạn có khả năng cao đang sử dụng chỉ vì những dịch vụ đó phổ biến. Vậy bài học rút ra là gì? Lý tưởng nhất, nếu bạn muốn miễn nhiễm với loại tấn công nhồi thông tin đăng nhập này, nơi ai đó lấy thông tin đăng nhập của bạn ở đây và cố gắng nhồi chúng vào các dịch vụ khác ở đây, bạn phải sử dụng các thông tin đăng nhập khác nhau trên từng trang web, trên từng ứng dụng.
Ví dụ thực tế: Bob, một người dùng internet thông thái, sử dụng trình quản lý mật khẩu để tạo và lưu trữ một mật khẩu duy nhất, phức tạp cho mỗi tài khoản trực tuyến của mình. Chẳng hạn, mật khẩu cho tài khoản email của anh ấy là “Qx!9#Lp0$mR”, trong khi mật khẩu ngân hàng của anh ấy là “!8Kj&Hy3@xB”. Ngay cả khi một trong các tài khoản của anh ấy bị xâm phạm, các tài khoản khác sẽ vẫn an toàn vì những kẻ tấn công không thể đoán được mật khẩu hoàn toàn khác cho chúng. Bằng cách tránh tái sử dụng mật khẩu, Bob bảo vệ chính mình trước phương pháp “độn thông tin đăng nhập”.
Bạn không thể, không nên sử dụng lại cùng một mật khẩu trên nhiều trang web hoặc ứng dụng. Tên người dùng? Có, đặc biệt là nếu đó là địa chỉ email của bạn. Nhưng mật khẩu, không. Bây giờ, điều này thú nhận là dễ nói hơn làm. Chúng ta sẽ sớm xem làm thế nào chúng ta có thể cố gắng đạt được điều này, tránh nhồi thông tin đăng nhập bằng cách có mật khẩu duy nhất, bằng cách ít nhất có một số trợ giúp khi nói đến việc quản lý tương tự.
Ví dụ thực tế: Nhận thức được rủi ro của việc sử dụng lại mật khẩu, Sarah đã thảo luận với gia đình và đồng nghiệp của mình về tầm quan trọng của việc có mật khẩu duy nhất cho mỗi tài khoản. Cô ấy đề nghị họ sử dụng trình quản lý mật khẩu và hướng dẫn họ cách thiết lập và sử dụng nó. Bằng cách chia sẻ kiến thức của mình, cô ấy không chỉ cải thiện bảo mật của riêng mình mà còn giúp người khác bảo vệ trực tuyến tốt hơn.
Nhưng cũng có một cuộc tấn công khác đã xuất hiện gián tiếp ở đây được gọi là kỹ thuật xã hội. Kỹ thuật xã hội không phải là một cuộc tấn công kỹ thuật, mà là một cuộc tấn công mang tính xã hội, một cuộc tấn công giữa con người. Chẳng hạn, hãy để tôi gợi ý những điều sau. Nếu bạn có một tờ giấy gần bạn và bút hoặc bút chì, hãy viết ra, nếu bạn có thể, trên tờ giấy đó một trong những mật khẩu của bạn. Bất kỳ cái nào cũng được. Cứ đi trước trên tờ giấy này và viết ra một trong những mật khẩu của bạn, bao gồm bất kỳ chữ cái, chữ số hoặc dấu câu nào.
Ví dụ thực tế: Tại một hội thảo về bảo mật, diễn giả yêu cầu khán giả viết ra mật khẩu của họ trên một mẩu giấy và đưa nó lên, hứa hẹn sẽ chỉ ra những điểm yếu trong mật khẩu của họ. Hầu hết mọi người làm theo, tin rằng đây là một bài tập để giáo dục họ. Tuy nhiên, sau đó diễn giả tiết lộ rằng anh ta thực sự là một hacker đạo đức cố gắng minh họa những nguy hiểm của kỹ thuật xã hội. Bài học là không bao giờ tiết lộ thông tin nhạy cảm, ngay cả khi yêu cầu có vẻ hợp pháp.
Bây giờ, tôi đang thấy trong cuộc trò chuyện một số sự phản kháng. Tôi nhìn thấy một số người cúi đầu xuống mặc dù và một vài nét nguệch ngoạc, đó chính xác là điểm mấu chốt. Tại sao bạn lại nghe theo đề nghị của tôi và viết ra mật khẩu của bạn trên một tờ giấy, mặc dù tôi có lẽ là người mà bạn nên tin tưởng trong một lớp học về an ninh mạng? Những người trong số các bạn với lấy bút hoặc bút chì, chỉ viết xuống một trong những mật khẩu của bạn trên một tờ giấy vừa bị kỹ thuật xã hội bởi vì một hoàn cảnh đã được tạo ra nơi bạn tin tưởng hoặc tin tưởng người đang yêu cầu hoặc bảo bạn làm điều gì đó và bạn chấp nhận rằng bạn nên làm điều đó.
Ví dụ thực tế: Maria nhận được một cuộc điện thoại từ ai đó tự xưng là từ bộ phận IT, yêu cầu mật khẩu tài khoản của cô ấy để “xác minh bảo mật tài khoản”. Người gọi nói rằng đây là quy trình tiêu chuẩn và nếu cô ấy không cung cấp mật khẩu, tài khoản của cô ấY sẽ bị khóa. Dù có chút nghi ngờ, Maria vẫn cung cấp mật khẩu vì lo sợ bị mất quyền truy cập vào tài khoản công việc của mình. Sau đó, cô phát hiện ra rằng người gọi thực chất là một hacker và bây giờ họ đã kiểm soát được tài khoản của cô. Maria đã bị lừa bởi một cuộc tấn công kỹ thuật xã hội tận dụng nỗi sợ hãi và sự tin tưởng của cô.
Tiếp tục, nếu bất kỳ giáo viên nào yêu cầu bạn viết ra mật khẩu trên một tờ giấy, một bài học rút ra cho hôm nay chỉ là đừng làm điều đó. Đó sẽ là kỹ thuật xã hội. Và nói chung, nếu có ai đó gọi điện cho bạn, gửi email cho bạn và cố gắng lấy thông tin từ bạn, ngay cả khi nó có vẻ hợp pháp, tiếp tục sau hôm nay, đặc biệt là nên luôn có một sự hoài nghi lành mạnh, nếu không chỉ đủ hoang tưởng để lành mạnh trong lợi ích bảo vệ tài khoản của bạn.
Ví dụ thực tế: John nhận được một email có vẻ như từ ngân hàng của mình, yêu cầu anh “xác minh” thông tin tài khoản của mình, bao gồm tên người dùng và mật khẩu, để ngăn chặn hoạt động gian lận. Mặc dù email trông rất thuyết phục với logo và chữ ký của ngân hàng, John vẫn liên hệ với ngân hàng qua số điện thoại chính thức trên website của họ để kiểm tra. Họ xác nhận rằng đó thực sự là một email lừa đảo. Sự cảnh giác của John đã ngăn anh tiết lộ thông tin đăng nhập của mình cho kẻ lừa đảo.
Tiếp theo, nếu bạn có ai đó hỏi bạn điều gì đó như vậy hoặc thậm chí hơi tinh vi hơn, cố gắng tìm hiểu con vật cưng đầu tiên của bạn là gì hoặc thứ gì đó nên khiến bạn dựng tai lên. Giác quan Nhện của bạn phải hoạt động, trong bối cảnh của Spider-Man. Và bạn nên tự hỏi, khoan đã, tại sao họ cần thông tin đó? Hãy xem điều này diễn ra như thế nào trước khi tôi chia sẻ bất cứ điều gì về bản thân.
Ví dụ thực tế: Sara thường xuyên đăng hình ảnh và câu chuyện về chú chó cưng của cô ấy, Spike, trên mạng xã hội. Một ngày nọ, cô nhận được tin nhắn từ một “người bạn” mới, hỏi về tên con vật cưng đầu tiên của cô. Nghĩ rằng đó là một câu hỏi vô hại, Sara trả lời “Spike”. Tuy nhiên, cô không nhận ra rằng đó thực chất là một kẻ lừa đảo đang cố gắng lấy câu trả lời cho câu hỏi bảo mật phổ biến. Với thông tin này, họ có thể đặt lại mật khẩu và tiếp quản tài khoản của Sara. Bây giờ cô nhận ra rằng ngay cả thông tin dường như vô hại cũng có thể được sử dụng để chống lại mình.
Và thực sự, nếu bạn đã điền ra mật khẩu của mình bằng bút hoặc bút chì, hãy nhớ cảm giác bị lừa đó vì bạn không muốn điều đó xảy ra khi thực sự quan trọng. Bây giờ, sau này, tôi biết bạn sẽ không tin bất cứ điều gì tôi nói. Nhưng hãy xé hoặc vò nát hoặc xả bất cứ tờ giấy nào có mật khẩu đó. Quan điểm là không chia sẻ nó với bất kỳ ai, chỉ để chứng minh điểm cụ thể đó.
Ví dụ thực tế: Trong một nỗ lực để nâng cao nhận thức về kỹ thuật xã hội, bộ phận IT của một công ty đã tổ chức một bài tập giả định. Họ gửi email cho nhân viên yêu cầu họ cung cấp mật khẩu để “xác minh tài khoản”. Đáng ngạc nhiên, 30% nhân viên đã trả lời email và cung cấp mật khẩu của họ. Sau đó, ban IT tổ chức một buổi đào tạo, sử dụng kết quả này để minh họa tầm quan trọng của việc cảnh giác với các yêu cầu thông tin nhạy cảm, bất kể chúng có vẻ hợp pháp như thế nào. Bài tập này là một lời nhắc nhở hiệu quả về những rủi ro của kỹ thuật xã hội.
Bây giờ, ngoài kỹ thuật xã hội, còn có một mối đe dọa khác là một biến thể của nó, nhưng có tính kỹ thuật hơn. Và đó là lừa đảo. Và hầu hết các bạn có thể đã nghe nói về lừa đảo trong bối cảnh này. Và bạn có thể nghĩ về nó giống như đang câu cá, nhưng cố gắng móc một con cá ngớ ngẩn, một người như tôi hoặc bạn bị lừa cung cấp thông tin mà họ không nên cung cấp. Và điều này rất thường xảy ra thông qua email.
Ví dụ thực tế: Nguyễn Văn A nhận được một email có vẻ giống như từ PayPal, nói rằng anh ta cần “xác minh” tài khoản của mình bằng cách nhấp vào một liên kết và đăng nhập. Mà không để ý đến URL lạ, anh ta nhấp vào liên kết và nhập thông tin đăng nhập PayPal của mình. Tuy nhiên, trang web là giả mạo và bây giờ tin tặc có thể truy cập vào tài khoản PayPal thực sự của anh ta. Họ nhanh chóng chuyển tất cả số dư sang tài khoản của chính họ. Ông Nguyễn đã trở thành nạn nhân của một cuộc tấn công lừa đảo điển hình.
Nhiều khả năng, nếu bạn dành thời gian đi qua thư mục spam của mình, bạn sẽ thấy các email dường như đến từ paypal.com hoặc dường như đến từ Google hoặc có thể là một chính trị gia hoặc tương tự. Và rất thường xuyên những email đó khuyến khích bạn nhấp vào một liên kết và có thể quyên góp, nhấp vào một liên kết, có thể thay đổi mật khẩu của bạn, nhấp vào một liên kết và xác minh thông tin của bạn. Lừa đảo là tất cả về việc cố gắng sử dụng kỹ thuật xã hội, trong trường hợp này là theo cách kỹ thuật, để cố gắng thuyết phục bạn thông qua các email và thậm chí các trang web trông rất thuyết phục rằng đó là một email hợp pháp từ paypal.com hoặc đó là một email hợp pháp từ một chính trị gia hoặc đó là một email hoặc yêu cầu hợp pháp từ một giáo viên ở đây tại Harvard.
Ví dụ thực tế: Phạm Văn B nhận được một email dường như đến từ “Quỹ từ thiện ABC”, yêu cầu quyên góp khẩn cấp để hỗ trợ nạn nhân của một thảm họa tự nhiên gần đây. Email trông rất chuyên nghiệp, với logo và hình ảnh cảm động. Tuy nhiên, đó thực chất là một trang web giả mạo được thiết lập bởi tin tặc để đánh cắp thông tin thẻ tín dụng. May mắn thay, trước khi quyên góp, anh Phạm đã xác minh quyền từ thiện trên trang web của chính phủ và nhận ra rằng đó là một trò lừa đảo. Anh báo cáo email lừa đảo cho nhà cung cấp dịch vụ của mình và cảnh báo bạn bè và gia đình về nó.
Nhưng thực tế không phải vậy. Điều mà chúng đang cố gắng làm, những kẻ thù trong trường hợp này, là lợi dụng sự tin tưởng của bạn đối với một số công ty hoặc cá nhân nhất định. Chúng đang cố gắng lợi dụng sự thoải mái của bạn với giao diện người dùng quen thuộc, những thứ mà bạn đã thấy trước đây. Nhưng thật không may, quá dễ dàng đối với một kẻ thù để tạo ra một email trông rất chính thức, để tạo ra một trang web trông rất hợp pháp, thậm chí có một trang web giống hệt với paypal.com, giống hệt với Gmail hoặc các dịch vụ khác. Và thẳng thắn mà nói, nếu bạn học một số khóa học khác của CS50, nó có thể sao chép và dán trong các kịch bản đơn giản nhất, chỉ sao chép và dán một số trang web hợp pháp và giả vờ rằng bạn cũng sở hữu nó.
Ví dụ thực tế: Một nhân viên văn phòng tên An nhận được email từ “sếp” của cô, yêu cầu cô chuyển một khoản tiền lớn cho một nhà cung cấp mới ngay lập tức. Email có chữ ký và cách viết giống hệt sếp của cô. Tuy nhiên, do được đào tạo để cảnh giác với các yêu cầu bất thường, An gọi điện trực tiếp cho sếp để xác nhận. Hóa ra đó là một email giả mạo và yêu cầu chuyển tiền là một trò lừa đảo. Sự cảnh giác và xác minh của An đã ngăn chặn công ty khỏi bị mất một khoản tiền lớn. Sau đó công ty đã cải thiện đào tạo an ninh mạng và các giao thức để ngăn chặn các sự cố tương tự trong tương lai.
Vậy làm thế nào để lừa đảo có thể biểu hiện trong thế giới thực? Chà, hãy xem xét một trong những bài đăng trên mạng xã hội trực tuyến có xu hướng mời bạn bình luận về bài hát yêu thích thời thơ ấu của mình. Đôi khi những bài đăng đó có hàng triệu phản hồi từ những người bạn biết và thậm chí không biết. Nhưng hơn là quan tâm đến bài hát yêu thích của bạn hồi nhỏ là gì, những bài đăng đó rất thường xuyên lừa đảo để lấy thông tin cá nhân vì giả sử rằng bạn, hoặc ít nhất là một người nào đó trong số những bình luận đó thực sự đang sử dụng bài hát yêu thích hồi nhỏ của họ làm câu trả lời cho câu hỏi bí mật của một số trang web hoặc ứng dụng. Bây giờ tác giả của bài đăng đó, chưa kể những người khác, biết câu trả lời cho điều tương tự.
Ví dụ thực tế: Một bài đăng trên Facebook hỏi: “Tên thú cưng đầu tiên của bạn là gì? Bình luận dưới đây!” Hàng nghìn người bình luận với câu trả lời như “Fluffy”, “Spot”, “Max”, v.v. Tuy nhiên, nhiều người trong số họ không nhận ra rằng họ vừa tiết lộ câu trả lời cho một câu hỏi bảo mật phổ biến. Những kẻ lừa đảo có thể sử dụng thông tin này cùng với dữ liệu khác được thu thập để cố gắng đoán mật khẩu hoặc hack tài khoản của mọi người. Điều quan trọng là không bao giờ chia sẻ thông tin cá nhân, ngay cả những thông tin có vẻ vô hại, trong các bài đăng trên mạng xã hội.
Vậy làm cách nào khác để lừa đẢo có thể biểu hiện trong thế giới thực? Nếu bạn truy cập một màn hình sau này trông giống như thế này, chà, nó trông giống như trang đăng nhập của Gmail, ít nhất là ở đây tại Hoa Kỳ khi sử dụng tiếng Anh. Và thành thật mà nói, tôi đã thấy điều này rất nhiều lần đến nỗi tôi có thể có xu hướng chỉ gõ vào biểu mẫu địa chỉ email của mình và sau đó có thể là mật khẩu của mình. Nhưng điều quan trọng là phải bắt đầu phát triển một trực giác hoặc nghi ngờ về khi nào và khi nào các trang web này có thể không hợp pháp.
Ví dụ thực tế: Alex nhận được một email nói rằng anh ta cần đăng nhập vào tài khoản Gmail của mình để xác minh một số chi tiết. Email chứa liên kết đến một trang web trông giống hệt như trang đăng nhập Gmail, vì vậy không nghi ngờ gì, Alex nhập tên người dùng và mật khẩu của mình. Tuy nhiên, đó thực chất là một trang web giả mạo được tạo ra bởi tin tặc để đánh cắp thông tin đăng nhập. Bây giờ chúng có quyền truy cập vào email của Alex, cho phép chúng lấy thêm thông tin cá nhân và thậm chí truy cập vào các tài khoản khác nơi anh ta sử dụng cùng một mật khẩu. Alex đã học được rằng luôn phải kiểm tra cẩn thận URL trước khi đăng nhập.
Làm thế nào bạn có thể làm điều đó? Chà, ít nhất bạn nên xem thanh URL và đảm bảo rằng nó là gmail.com hoặc có thể là google.com hoặc bất kỳ mã quốc gia nào của google dot, tùy thuộc vào nơi bạn sống trên thế giới, đảm bảo rằng nó trông hợp pháp và bạn thực sự đã ở đó trước đây. Khi di chuột qua các liên kết, rất thường xuyên trong trình duyệt của bạn, bạn có thể xem ở góc dưới cùng bên trái hoặc một số góc của màn hình. Và bạn có thể thấy liên kết sẽ thực sự dẫn bạn đến URL nào.
Ví dụ thực tế: Hoa nhận được một email tự xưng là từ PayPal, nói rằng cô cần đăng nhập để cập nhật thông tin thanh toán của mình. Email chứa liên kết dường như dẫn đến paypal.com. Tuy nhiên, khi di chuột qua liên kết, Hoa nhận thấy rằng URL thực sự là “paypal.com-verify-account.net”, đây rõ ràng không phải là tên miền hợp pháp của PayPal. Cô ngay lập tức xóa email mà không nhấp vào liên kết, tránh bị đánh cắp thông tin đăng nhập. Cô cũng báo cáo email lừa đảo cho PayPal, để họ có thể cảnh báo người dùng khác.
Mặc dù các từ trên màn hình có thể nói điều gì đó, nhưng liên kết thực tế có thể dẫn bạn đến nơi khác. Bây giờ, ngay cả khi đó, đôi khi cũng khó phân biệt những điều này. Nhưng đây chỉ là những thực hành tốt nhất. Bạn không cần phải lo lắng đến mức không đi đâu trên internet. Nhưng bạn nên học cách để mắt đến những điều này. Và nói chung, với lừa đảo, thay vì tin tưởng bất kỳ liên kết nào trong email mà bạn nhận được, đặc biệt là khi đó là một cái gì đó riêng tư như tài khoản ngân hàng, một cái gì đó y tế, một cái gì đó cá nhân, điều đó không sao cả. Hãy mở một tab mới và tự đi đến paypal.com, Enter, hoặc tự đi đến gmail.com, Enter.
Ví dụ thực tế: Minh nhận được email yêu cầu anh “xác minh” chi tiết tài khoản ngân hàng của mình bằng cách nhấp vào liên kết được cung cấp. Tuy nhiên, thay vì nhấp vào liên kết, Minh mở trình duyệt web của mình và tự gõ URL của trang web ngân hàng, đăng nhập từ đó. Anh kiểm tra tài khoản của mình và không thấy yêu cầu xác minh nào. Minh nhận ra email là một trò lừa đảo và báo cáo nó như thư rác. Bằng cách truy cập trang web ngân hàng một cách độc lập, anh đã tránh bị lừa nhấp vào một liên kết lừa đảo.
Đừng mù quáng tin tưởng các liên kết này. Bây giờ, ở đây một lần nữa, chúng ta thấy sự đánh đổi giữa khả năng sử dụng và bảo mật. Thật khó chịu nếu tôi không thể chỉ nhấp vào một liên kết và đi đến nơi tôi muốn. Bạn phải tự mở trang, tự gõ vào, v.v. Nhưng một lần nữa, nó phụ thuộc vào điều gì bây giờ quan trọng hơn với bạn, tính khả dụng của dịch vụ đó hay tính bảo mật của tài khoản của bạn trong đó.
Ví dụ thực tế: Công ty của Nam gửi email cho tất cả nhân viên, yêu cầu họ “xác minh” thông tin đăng nhập của họ bằng cách nhấp vào một liên kết. Tuy nhiên, Nam nhớ lại từ buổi đào tạo an ninh mạng của mình rằng bộ phận IT sẽ không bao giờ yêu cầu thông tin nhạy cảm qua email. Anh báo cáo email đáng ngờ cho nhóm IT, những người xác nhận rằng đó thực sự là một cuộc tấn công lừa đảo nhắm vào công ty. Nhờ cảnh giác, Nam đã giúp ngăn chặn một vi phạm bảo mật tiềm ẩn.
Điều này thậm chí còn đáng lo ngại hơn khi nói đến xác minh hai bước. Và Google lấy một số quyền tự do với cách diễn đạt ở đây. Điều này thường được mô tả tốt nhất là xác thực hai yếu tố. Nhưng một lần nữa, những kẻ thù tinh vi nhất, về mặt lý thuyết, nếu chúng gửi cho bạn email lừa đảo, lừa bạn truy cập vào một trang web trông giống như Gmail nhưng không phải Gmail. Về mặt lý thuyết, chúng thậm chí có thể nhắc bạn nhập mã hai yếu tố như thế này.
Ví dụ thực tế: Lisa nhận được email nói rằng cô cần đăng nhập vào tài khoản Gmail của mình để “xác minh hoạt động”. Email chứa liên kết dẫn đến một trang trông giống hệt như trang đăng nhập Gmail, vì vậy cô nhập tên người dùng và mật khẩu. Tuy nhiên, sau đó trang yêu cầu cô nhập mã xác minh hai yếu tố mà cô vừa nhận được trên điện thoại. Mặc dù hơi nghi ngờ, Lisa vẫn nhập mã. Hóa ra, toàn bộ trang web là giả mạo, thiết kế để đánh cắp cả mật khẩu và mã xác thực hai yếu tố của cô. Tin tặc sử dụng chúng để truy cập tài khoản thực của Lisa trước khi cô kịp nhận ra điều gì đang xảy ra.
Và sau đó nếu chúng đủ thông minh và tinh thông với mã, chúng có thể tự động gửi tên người dùng, mật khẩu của bạn và mã xác thực hai yếu tố có thể đến gmail.com thực, đăng nhập vào tài khoản của bạn, thay đổi mật khẩu của bạn trước khi bạn kịp hoạt động trong đó. Đó là một mối đe dọa tinh vi hơn và đó không phải là điều bạn cần phải lo lắng nhiều. Nhưng đó là nguyên tắc không chỉ tin tưởng các màn hình và yêu cầu được trình bày trước mặt bạn. Bạn nên có sự hoài nghi lành mạnh này và ít nhất một số kiến thức kỹ thuật để biết làm thế nào bạn có thể tự quyết định, vâng, tôi thoải mái với việc tiếp tục bước này.
Ví dụ thực tế: Tuấn, một giám đốc tài chính, nhận được email yêu cầu anh xác minh thông tin đăng nhập tài khoản ngân hàng của công ty để “cập nhật bảo mật”. Tuy nhiên, khi anh nhấp vào liên kết, anh nhận thấy rằng mặc dù trang web trông giống hệt như trang web ngân hàng, nhưng URL lại hơi khác. Thay vì nhập thông tin, Tuấn gọi cho ngân hàng bằng số điện thoại được cung cấp trên thẻ của mình. Ngân hàng xác nhận rằng họ không gửi email đó và rằng đó có thể là một trò lừa đảo tinh vi. Nhờ cảnh giác và xác minh qua kênh khác, Tuấn đã bảo vệ công ty khỏi bị đánh cắp thông tin tài chính nhạy cảm.
Bây giờ, còn có một loại tấn công nữa, tinh vi hơn và không phải là một cái mà bạn cần phải lo lắng thường xuyên như một số cái trước đây. Nhưng chúng thường được gọi là tấn công trung gian (machine-in-the-middle attack). Trong đó, nếu bạn đang trên internet, có, nói một cách đơn giản, rất nhiều máy khác trên internet, rất thường xuyên, giữa bạn và bất kỳ trang web hoặc ứng dụng nào bạn đang truy cập. Thông thường, những máy đó có thể là những thứ như bộ định tuyến, máy chủ mà các công ty cung cấp dịch vụ internet, các trường đại học, thậm chí ngay cả chính ngôi nhà của bạn sở hữu và kiểm soát. Nhưng tất cả dữ liệu của bạn đều đi qua những máy ở giữa đó, nói một cách nào đó.
Ví dụ thực tế: Khi Anna truy cập trang web ngân hàng của mình từ quán cà phê, cô không nhận ra rằng ai đó đã thiết lập một “điểm truy cập độc hại” trong khu vực, giả dạng như là Wi-Fi miễn phí của quán. Khi điện thoại của cô tự động kết nối với nó, kẻ tấn công bây giờ đã ở “giữa” thiết bị của cô và trang web ngân hàng. Họ có thể đánh cắp thông tin đăng nhập và dữ liệu tài chính nhạy cảm của cô khi nó truyền qua. Để tránh những cuộc tấn công kiểu này, Anna bây giờ luôn sử dụng dữ liệu di động của mình thay vì Wi-Fi công cộng cho các hoạt động nhạy cảm như ngân hàng trực tuyến.
Nếu bất kỳ trong số chúng có ý đồ xấu và có thể đang lưu trữ dữ liệu của bạn, xem dữ liệu của bạn, có khả năng bạn có thể không có giao tiếp an toàn với phía bên kia trừ khi bạn đang sử dụng các biện pháp phòng thủ nhất định. Và trong trọng tâm của lớp học này về dữ liệu, chúng ta sẽ nói về mật mã và mã hóa và các khối xây dựng mà qua đó chúng ta có thể giảm thiểu các cuộc tấn công như thế này. Nhưng đáng để biết về ý tưởng chung này là mặc dù cảm giác như chỉ có bạn và amazon.com, chỉ có bạn và paypal.com, chỉ có bạn và WhatsApp, có rất nhiều máy khác ở giữa. Và nếu bạn không Sử dụng các thực hành tốt nhất và nếu bạn không để mắt đến những điều đáng ngờ, những máy ở giữa đó thực sự có thể ở đó để tấn công bạn, lấy dữ liệu của bạn, truy cập vào tài khoản của bạn hoặc một cái gì đó hơn thế nữa.
Ví dụ thực tế: Trong khi sử dụng Wi-Fi miễn phí tại sân bay, Peter đăng nhập vào tài khoản email công việc của mình để kiểm tra tin nhắn. Anh không biết rằng tin tặc đã tạo ra một điểm truy cập giả mạo giống hệt như mạng Wi-Fi hợp pháp của sân bay. Khi dữ liệu của Peter truyền qua mạng giả mạo đó, tin tặc có thể chặn và đọc nó, thu thập thông tin đăng nhập, email nhạy cảm và tài liệu bí mật của công ty. Để ngăn chặn điều này, công ty của Peter bây giờ yêu cầu tất cả nhân viên sử dụng VPN khi kết nối với mạng không đáng tin cậy.
Vì vậy, có rất nhiều cuộc tấn công ngoài kia. Và tại thời điểm này, bạn có thể cảm thấy hơi chán nản. Nhưng hy vọng rằng chúng tôi đã trình bày ít nhất đủ biện pháp phòng thủ cho đến nay và vẫn còn một vài biện pháp nữa sẽ đến. Nhưng bây giờ hãy xem xét nguồn gốc của nhiều vấn đề này.
Thật không may, đó là bạn và tôi. Giống như toàn bộ câu chuyện ở đây hôm nay bắt đầu với việc bạn và tôi không giỏi trong việc chọn mật khẩu. Và chúng ta thường đáp ứng các yêu cầu tối thiểu, không nhất thiết phải là thực hành tốt nhất. Nhưng một lần nữa, có những tác động xã hội học của một số chính sách công ty hoặc chính sách kỹ thuật nhất định gây ra sự đánh đổi này giữa bảo mật và khả năng sử dụng.
Ví dụ thực tế: Công ty của Sarah yêu cầu mật khẩu phải có ít nhất 12 ký tự, bao gồm chữ hoa, chữ thường, số và ký hiệu, và phải thay đổi 3 tháng một lần. Nhân viên thấy những yêu cầu này rất bất tiện và khó nhớ những mật khẩu phức tạp như vậy. Kết quả là, nhiều người bắt đầu viết mật khẩu của họ ra và dán chúng gần máy tính của họ, vô tình làm cho hệ thống kém an toàn hơn. Cuối cùng, công ty nhận ra rằng chính sách mật khẩu của họ quá khắt khe và thay đổi nó để cân bằng giữa bảo mật và khả năng sử dụng tốt hơn.
Và đó là một điều tôi rao giảng ở đây và nói rằng, vâng, bạn nên sử dụng mật khẩu dài, phức tạp, khó đoán với các chữ cái, chữ số và dấu câu, thậm chí có thể là 64 ký tự nếu bạn muốn thực sự an toàn, ngay cả khi đó là một cụm từ dài hơn. Nhưng thành thật mà nói, tôi cũng chịu những áp lực khi không làm điều đó. Thật khó chịu khi phải gõ 64 ký tự. Thật khó chịu khi phải gõ tám ký tự nếu nhiều ký tự trong số đó yêu cầu chữ hoa, chữ thường, dấu câu, v.v.
Ví dụ thực tế: Alex có hàng chục tài khoản trực tuyến, mỗi tài khoản đều có các yêu cầu mật khẩu khác nhau. Một số yêu cầu ký tự đặc biệt, một số yêu cầu chữ hoa, và tất cả đều yêu cầu anh ấy thay đổi mật khẩu của mình thường xuyên. Alex thấy rất khó để tạo và ghi nhớ quá nhiều mật khẩu phức tạp. Anh ấy bắt đầu tái sử dụng cùng một mật khẩu “mạnh” trên nhiều tài khoản, và viết chúng ra trong trường hợp anh ấy quên. Điều này đặt tất cả các tài khoản của anh ấy vào rủi ro nếu chỉ một mật khẩu bị xâm phạm.
Và thành thật mà nói, tôi có hàng chục, hàng trăm, có thể là hàng nghìn tài khoản ngày nay trên internet đã tích lũy theo thời gian. Tôi sẽ làm gì nếu chỉ đơn giản là khó nhớ những thứ này? Chà, giống như chính bạn có thể trong công ty của mình, bạn có thể đi ngang qua bàn của họ và thấy trên màn hình của họ, ghi chú post-it vàng quen thuộc với một hoặc nhiều mật khẩu của họ trên đó. Tệ hơn, bạn mở ngăn kéo bàn của họ và có toàn bộ bản in của tất cả tên người dùng và mật khẩu của họ.
Ví dụ thực tế: Trong một cuộc kiểm tra bảo mật, auditor nhận thấy rằng nhiều nhân viên có thói quen viết mật khẩu của họ ra và để chúng gần trạm làm việc của họ. Một số người thậm chí còn đặt chúng dưới bàn phím hoặc dính chúng lên màn hình. Khi được hỏi, họ giải thích rằng với rất nhiều hệ thống và yêu cầu thay đổi thường xuyên, đó là cách duy nhất để họ theo kịp. Auditor khuyến nghị đào tạo nhân viên tốt hơn về thực hành mật khẩu an toàn và xem xét các chính sách của công ty để giảm gánh nặng ghi nhớ của nhân viên.
Hoặc thậm chí hơn thế nữa, có thể họ thực sự có một tệp văn bản hoặc tệp Excel, tệp CSV trên máy tính của họ với suy nghĩ, ồ, ít nhất tất cả đều kỹ thuật số. Nhưng nó chỉ nằm đó trên máy tính để bàn của họ. Và tệ hơn nữa có thể nó được gọi là passwords.txt hoặc tương tự. Nhưng đó là một tác dụng phụ rất thực tế của việc có các chính sách và ràng buộc kỹ thuật khiến các hệ thống khó sử dụng hơn.
Ví dụ thực tế: Trong một nỗ lực để theo kịp nhiều mật khẩu của mình, John đã tạo một tệp Excel có tên “Mật khẩu của tôi” trên máy tính xách tay công ty của mình. Anh ấy nghĩ rằng điều này an toàn hơn là viết chúng ra. Tuy nhiên, khi máy tính xách tay của anh ấy bị nhiễm phần mềm độc hại, tin tặc có thể dễ dàng tìm thấy tệp mật khẩu và truy cập vào tất cả các tài khoản của anh ấy. Sự cố này khiến công ty của John nhận ra sự cần thiết phải đào tạo nhân viên tốt hơn về quản lý mật khẩu an toàn.
Vậy một số biện pháp phòng thủ khác mà bạn có thể sử dụng hoặc có thể các công ty có thể sử dụng hoặc cung cấp để làm cho mọi thứ tốt hơn là gì? Chà, một giải pháp cho một số vấn đề này có thể là đăng nhập một lần (Single Sign On – SSO). Vì vậy, đăng nhập một lần đề cập đến khả năng đăng ký, đăng nhập vào một trang web bằng tài khoản mà bạn đã có trên một trang web khác. Và thông thường, tài khoản bạn sử dụng là một trong những tài khoản lớn, một trong những trang web hoặc ứng dụng phổ biến ngoài kia.
Ví dụ thực tế: Khi đăng ký một dịch vụ truyền phát nhạc mới, Sarah nhận thấy rằng cô có thể đăng nhập bằng tài khoản Google của mình thay vì tạo một tài khoản hoàn toàn mới. Cô chọn tùy chọn đó vì nó nhanh hơn và dễ dàng hơn. Bằng cách sử dụng đăng nhập một lần, Sarah không phải ghi nhớ thêm một tên người dùng và mật khẩu mới. Hơn nữa, vì cô đã bật xác thực hai yếu tố cho tài khoản Google của mình, tài khoản dịch vụ truyền nhạc của cô cũng được hưởng lợi từ lớp bảo mật bổ sung đó.
Ví dụ, nếu bạn đăng nhập vào trang web đại diện này, những gì bạn có thể thấy là, có, một trường biểu mẫu mà bạn có thể nhập địa chỉ email và mật khẩu của riêng mình để đăng nhập. Hoặc nếu bạn thích, bạn chỉ có thể đăng nhập bằng Google hoặc chỉ có thể đăng nhập bằng Facebook hoặc chỉ có thể đăng nhập bằng bất kỳ số lượng dịch vụ nào khác nếu trang web hoặc ứng dụng này hỗ trợ. Bây giờ, động lực ở đây là gì?
Ví dụ thực tế: Robert sử dụng tài khoản LinkedIn của mình để đăng nhập vào một số trang web tìm việc và kết nối nghề nghiệp khác nhau. Điều này cho phép anh dễ dàng chia sẻ thông tin hồ sơ của mình trên các nền tảng và đơn giản hóa việc đăng ký. Thay vì phải tạo và ghi nhớ nhiều tài khoản riêng biệt, Robert có thể sử dụng một danh tính đáng tin cậy cho tất cả các hoạt động liên quan đến công việc của mình. Điều này không chỉ thuận tiện mà còn giúp anh quản lý danh tính trực tuyến của mình hiệu quả hơn.
Chà, một là nó vẫn tương thích ngược, với cách tiếp cận rất quen thuộc là chỉ cần để tôi đăng ký bằng địa chỉ email của riêng tôi. Hãy để tôi tạo mật khẩu của riêng tôi và xong việc, đặc biệt nếu tôi không sử dụng Google hoặc Facebook như một khách hàng. Nhưng mặt tích cực của việc cung cấp các giải pháp này, đặc biệt là đối với các trang web phổ biến như Google và Facebook và những trang khác, là nếu tôi đã có tài khoản với Google hoặc Facebook và hy vọng rằng tôi đã có mật khẩu tốt cho cả hai cái đó vì chúng quan trọng đối với tôi và tốt hơn nữa, tôi có lý tưởng bật xác thực hai yếu tố trên một hoặc cả hai cái đó, vì một lần nữa chúng là những tài khoản quan trọng đối với tôi, sẽ thật tuyệt nếu trang web mới này cho phép tôi, một là chỉ đăng nhập bằng tài khoản hiện có của mình để tôi không phải lãng phí thời gian đăng ký thêm một tài khoản internet nữa? Hai là tôi không phải nhớ một mật khẩu mới sẽ khó nhớ, v.v.
Ví dụ thực tế: Một công ty khởi nghiệp nhỏ quyết định tích hợp đăng nhập một lần vào ứng dụng của họ, cho phép người dùng đăng nhập bằng tài khoản Google hoặc Facebook của họ. Điều này mang lại nhiều lợi ích:
Người dùng có thể dễ dàng đăng ký và bắt đầu sử dụng ứng dụng mà không cần tạo một tài khoản khác Công ty có thể tận dụng các tính năng bảo mật như xác thực hai yếu tố mà Google và Facebook cung cấp, tăng cường bảo vệ cho người dùng của họ
Công ty thu thập ít dữ liệu nhạy cảm hơn, giảm rủi ro và trách nhiệm pháp lý của họ trong trường hợp bị vi phạm dữ liệu
Người dùng ít có khả năng bỏ qua ứng dụng do mệt mỏi với mật khẩu, dẫn đến khách hàng sử dụng lâu dài và gắn bó hơn
Bằng cách triển khai đăng nhập một lần, công ty khởi nghiệp cải thiện trải nghiệm người dùng và bảo mật, cho phép họ tập trung vào việc xây dựng tính năng sản phẩm chính của mình.
Và vì vậy, nó giảm ma sát. Nó làm tăng khả năng sử dụng của hệ thống. Và lý tưởng nhất, nó làm tăng tính bảo mật của hệ thống trong trường hợp này. Tại sao? Bởi vì nếu bạn đang làm tốt trong việc bảo vệ ít nhất những tài khoản cá nhân quan trọng nhất này, thì trang web này đang được hưởng lợi từ những thực hành tốt nhất tương tự của bạn.
Ví dụ thực tế: Một trang web thương mại điện tử triển khai đăng nhập một lần, cho phép khách hàng sử dụng tài khoản Amazon, Google hoặc Apple của họ để đăng nhập. Một khách hàng, Lisa, chọn đăng nhập bằng tài khoản Amazon của cô ấy. Vì Lisa rất cẩn thận trong việc bảo mật tài khoản Amazon của mình bằng một mật khẩu mạnh và xác thực hai yếu tố, cô ấy có thể yên tâm rằng tài khoản của cô ấy trên trang web thương mại điện tử cũng được bảo vệ tương tự, mà không cần cô ấy phải đặt riêng một mật khẩu mạnh cho trang web đó. Điều này giúp cả Lisa và trang web thương mại điện tử – Lisa có trải nghiệm người dùng tốt hơn và trang web có lượng khách hàng an toàn và gắn bó hơn.
Bây giờ, điều gì thực sự đang xảy ra ở đây? Khi bạn nhấp vào Đăng nhập bằng Google, Đăng nhập bằng Facebook, bạn sẽ thấy màn hình đăng nhập Google hoặc Facebook tương ứng. Bạn sẽ thực sự được chuyển hướng trong trình duyệt của mình đến google.com hoặc facebook.com hoặc một trong các tên miền quốc tế của họ.
Ví dụ thực tế: John đang cố gắng đăng nhập vào một ứng dụng theo dõi sức khỏe mới bằng tài khoản Google của mình. Khi anh ấy nhấp vào “Đăng nhập bằng Google”, thay vì chỉ yêu cầu anh ấy nhập thông tin đăng nhập của Google trên trang của ứng dụng, trình duyệt của anh ấy thực sự chuyển hướng anh ấy đến trang đăng nhập chính thức của Google tại “accounts.google.com”. Điều này đảm bảo rằng anh ấy đang cung cấp thông tin đăng nhập của mình cho Google thực sự chứ không phải cho một trang web giả mạo. Sau khi đăng nhập thành công, anh ấy được chuyển hướng trở lại ứng dụng theo dõi sức khỏe, giờ đây đã được xác thực.
Ở đó, bạn sẽ nhập tên người dùng và mật khẩu như bình thường cho Google hoặc Facebook. Nhưng mật khẩu đó không được cung cấp cho trang web mới này hoặc trang web của bên thứ ba mà bạn đang truy cập, mà đúng hơn là sử dụng một kỹ thuật được gọi là mã hóa và một số phép toán ảo diệu, về cơ bản. Tên người dùng mà bạn dùng để đăng nhập được gửi trở lại trang web của bên thứ ba này, nhưng không phải mật khẩu của bạn, chỉ là xác nhận rằng vâng, David đã đăng nhập thành công vào Google hoặc David đã đăng nhập thành công vào Facebook. Do đó, bạn có thể tin tưởng rằng tên người dùng của anh ấy là malan@harvard.edu, hoặc bất kể tôi đã nhập gì, để đăng nhập ở đó. Vì vậy, việc sử dụng đăng nhập một lần mang lại lợi ích không chỉ cho bạn mà còn cho trang web hoặc ứng dụng bằng cách giúp bạn dễ dàng đăng ký và/hoặc đăng nhập sau đó.
Ví dụ thực tế: Emma đang đăng ký một dịch vụ truyền phát video mới. Thay vì tạo một tài khoản mới từ đầu, cô ấy chọn “Đăng nhập bằng Facebook”. Cô ấy được chuyển hướng đến trang đăng nhập Facebook quen thuộc, nơi cô ấy nhập thông tin đăng nhập của mình một cách an toàn. Facebook sau đó gửi một “token” đặc biệt trở lại dịch vụ truyền phát video, xác nhận danh tính của Emma mà không tiết lộ mật khẩu của cô ấy. Dịch vụ truyền phát video tạo một tài khoản được liên kết với thông tin xác thực Facebook của cô ấy. Kết quả là, Emma có thể bắt đầu sử dụng dịch vụ ngay lập tức mà không cần phải trải qua quá trình đăng ký lâu dài hoặc ghi nhớ thêm thông tin đăng nhập.
Bây giờ, cuối cùng điều này dẫn chúng ta đến đâu? Một số bạn có thể đang nghĩ, thế còn việc sử dụng trình quản lý mật khẩu thì sao? Và một số bạn có thể đang nghĩ, trình quản lý mật khẩu là gì? Vì vậy, hãy nhấn mạnh điều này có lẽ nhiều nhất.
Ví dụ thực tế: Sarah sử dụng cùng một mật khẩu cho hầu hết các tài khoản trực tuyến của mình, và cô ấy viết chúng ra để khỏi quên. Tuy nhiên, sau khi nghe nói về việc vi phạm dữ liệu tại một trang web mua sắm lớn, cô ấy nhận ra rằng thực hành của mình đã đặt tất cả các tài khoản của cô ấy vào rủi ro. Cô ấy quyết định bắt đầu sử dụng trình quản lý mật khẩu để tạo và lưu trữ một mật khẩu duy nhất, mạnh mẽ cho mỗi tài khoản. Công cụ này cũng giúp cô ấy dễ dàng đăng nhập vào các trang web mà không cần phải nhớ từng mật khẩu. Với trình quản lý mật khẩu, Sarah cảm thấy tự tin hơn rằng các tài khoản của cô ấy được bảo vệ, ngay cả khi một trong số chúng bị xâm phạm.
Ngày càng nhiều người thực hành tốt nhất là sử dụng một phần mềm quản lý mật khẩu của bạn. Rất may, sẽ có một giải pháp thậm chí tốt hơn điều này trong tương lai. Nhưng hiện tại, ít nhất, nếu bạn không sử dụng trình quản lý mật khẩu, có lẽ bạn nên làm như vậy. Nếu bạn đang sử dụng cùng một mật khẩu trên nhiều trang web hoặc ứng dụng và do đó dễ bị tấn công bằng tấn công nhồi thông tin đăng nhập, thay vào đó bạn có lẽ nên sử dụng trình quản lý mật khẩu để bạn có thể thay đổi tất cả các tài khoản đó thành các mật khẩu duy nhất. Nhưng phần mềm được gọi là trình quản lý mật khẩu này có thể ghi nhớ những mật khẩu đó cho bạn.
Ví dụ thực tế: Anh Nguyen có một doanh nghiệp nhỏ với nhiều tài khoản trực tuyến cho các dịch vụ khác nhau như ngân hàng, thanh toán hóa đơn và quản lý khách hàng. Anh ấy thấy khó có thể tạo và nhớ mật khẩu duy nhất, mạnh mẽ cho từng tài khoản, vì vậy anh ấy thường tái sử dụng một vài mật khẩu “yêu thích”. Tuy nhiên, sau khi tham dự một hội thảo về bảo mật mạng, anh nhận ra rằng điều này có thể gây rủi ro nghiêm trọng cho doanh nghiệp của mình. Anh quyết định sử dụng trình quản lý mật khẩu dành cho doanh nghiệp để tạo, lưu trữ và tự động điền mật khẩu mạnh cho mỗi tài khoản. Điều này không chỉ tăng cường tính bảo mật mà còn giúp anh và nhân viên của mình dễ dàng truy cập vào các dịch vụ họ cần mà không phải ghi nhớ vô số mật khẩu.
Nếu bạn đang có thói quen chọn mật khẩu rất dễ dàng vì nó chỉ đơn giản là bạn dễ nhớ hơn, bạn có lẽ nên bắt đầu sử dụng trình quản lý mật khẩu vì ngoài việc ghi nhớ mật khẩu của bạn, các trình quản lý mật khẩu này cũng giúp dễ dàng tạo mật khẩu mới. Bạn nhấp vào một nút, và về cơ bản nó sẽ tạo một mật khẩu ngắn hoặc dài tùy ý bạn muốn với một số chữ hoa, chữ thường, ký hiệu, số, bất kể những gì một trang web yêu cầu. Nó sẽ chỉ tạo nó cho bạn. Và tốt hơn nữa, nó sẽ lưu mật khẩu đã tạo đó cho bạn. Vì vậy, bạn, con người, không cần phải ghi nhớ nó, và bạn chắc chắn không cần phải viết nó ra trên giấy ghi chú hoặc bất kỳ tệp nào khác.
Ví dụ thực tế: Khi đăng ký một trang web mới, trình quản lý mật khẩu của Mike tự động tạo một mật khẩu duy nhất và phức tạp như “Tr8$xQ9!mF”. Mike không cần cố gắng nghĩ ra một mật khẩu mạnh, cũng không cần phải lo lắng về việc ghi nhớ nó. Trình quản lý mật khẩu lưu mật khẩu một cách an toàn và tự động điền nó vào lần sau khi anh truy cập trang web. Điều này cho phép Mike có các mật khẩu khác nhau, phức tạp cho mọi tài khoản mà không cần phải ghi nhớ bất cứ điều gì ngoài mật khẩu chính cho chính trình quản lý mật khẩu.
Vì vậy, các trình quản lý mật khẩu theo đúng nghĩa đen là làm điều đó. Và chúng còn có nhiều tính năng hơn thế. Nói chung, nếu bạn đang sử dụng trình quản lý mật khẩu và bạn truy cập một trang web lần thứ hai hoặc thứ ba, bạn thường có thể nhấn một phím tắt sẽ tự động đăng nhập cho bạn. Nó sẽ điền tên người dùng và mật khẩu của bạn. Nhưng tốt hơn nữa, nó sẽ chỉ làm như vậy nếu bạn đang ở trang gmail.com thực sự hoặc facebook.com thực sự hoặc paypal.com thực sự. Các trình quản lý mật khẩu này cũng ghi nhớ URL mà bạn đã tạo hoặc sử Dụng tên người dùng và mật khẩu đó lần cuối, để nếu bạn bằng cách nào đó bị một cuộc tấn công lừa đảo – bạn đã bị lừa nhấp vào một liên kết và truy cập vào một trang web trông giống như Google, giống như Facebook, nhưng thực sự không phải – trình quản lý mật khẩu sẽ bỏ qua các thao tác bàn phím của bạn và thực sự không đăng nhập cho bạn, dán vào biểu mẫu đó tên người dùng và mật khẩu thực tế của bạn vì nó không nhận ra cùng một URL.
Ví dụ thực tế: Lan nhận được email có vẻ như đến từ PayPal, yêu cầu cô “đăng nhập” vào tài khoản của mình bằng cách nhấp vào một liên kết. Mà không suy nghĩ, cô nhấp vào liên kết và được đưa đến một trang web trông giống hệt như trang đăng nhập PayPal. Khi cô bắt đầu gõ tên người dùng của mình, trình quản lý mật khẩu của cô không tự động điền như bình thường. Điều này là một dấu hiệu cho Lan biết rằng đây không phải là trang web PayPal thực sự, mà là một trang lừa đảo. Cô nhanh chóng đóng trang web giả mạo mà không nhập bất kỳ thông tin nào. Trình quản lý mật khẩu của cô đã bảo vệ cô khỏi việc vô tình tiết lộ thông tin đăng nhập của mình cho kẻ lừa đảo.
Vì vậy, có rất nhiều điểm tích cực của các trình quản lý mật khẩu này. Điểm hạn chế duy nhất là bạn có trách nhiệm nhớ một mật khẩu chính bảo vệ chính trình quản lý mật khẩu của bạn. Nghĩa là, nếu đây là một phần mềm lưu trữ tất cả các tên người dùng và mật khẩu mà bạn có hàng chục, hàng trăm, hàng nghìn, thì bạn đang đặt tất cả trứng vào một giỏ, nói một cách ví von. Đó là bạn muốn bảo vệ trình quản lý mật khẩu này bằng mật khẩu tốt nhất mà bạn có thể nghĩ ra. Điều này có lẽ nên dài. Nó nên có một số phức tạp.
Nó nên hơi khó chịu khi nhập vì bạn không muốn kẻ xấu xâm nhập và truy cập vào mọi thứ khác. Nhưng đó chỉ là một mật khẩu mà chúng tôi thực sự yêu cầu bạn chọn thật tốt và hợp lý lâu để bạn bảo vệ mọi thứ khác.
Ví dụ thực tế: Anh Nguyễn sử dụng một trình quản lý mật khẩu để lưu trữ tất cả các đăng nhập trực tuyến của mình, bao gồm cả các tài khoản rất nhạy cảm như ngân hàng và email. Anh biết rằng nếu ai đó có thể truy cập vào trình quản lý mật khẩu của mình, họ sẽ có thể kiểm soát toàn bộ cuộc sống kỹ thuật số của anh. Vì vậy, anh chọn một mật khẩu chính rất dài và phức tạp cho trình quản lý mật khẩu: “Correct-Horse-Battery-Staple-Crane-87$”. Mặc dù hơi khó nhớ và gõ, nhưng anh biết rằng điều quan trọng là phải giữ khóa chính này an toàn nhất có thể. Anh cũng bật xác thực hai yếu tố cho trình quản lý mật khẩu như một biện pháp bảo mật bổ sung.
Bây giờ, các trình quản lý mật khẩu này hơi khác một chút so với những gì bạn có thể đã quen với trình duyệt của mình. Trong nhiều năm, các trình duyệt thường ghi nhớ tên người dùng và mật khẩu của bạn bằng cách chỉ hiển thị cho bạn các dấu chấm như dấu chấm, dấu chấm, dấu chấm, trong trường nhập. Vì vậy, bạn chỉ cần nhấn Enter. Điều đó là tốt. Nhưng thông tin đó thường chỉ liên kết với một trình duyệt đó. Nó không lan truyền đến điện thoại của bạn hoặc thiết bị khác mà bạn đăng nhập. Không dễ để chia sẻ nó với người khác nếu bạn có tài khoản gia đình, chẳng hạn, hoặc một cái gì đó tương tự.
Ví dụ thực tế: Mai và chồng cô ấy chia sẻ một máy tính xách tay, và họ sử dụng tính năng “Ghi nhớ mật khẩu” tích hợp sẵn của trình duyệt để lưu các mật khẩu của họ. Điều này thuận tiện trên máy tính xách tay đó, nhưng khi Mai cố gắng truy cập vào cùng một tài khoản trên điện thoại của mình, cô ấy không thể tìm thấy mật khẩu ở đâu. Cô cũng không thể chia sẻ dễ dàng các mật khẩu đó với chồng khi anh ấy cần đăng nhập trên thiết bị của mình. Nếu họ sử dụng trình quản lý mật khẩu chuyên dụng, các mật khẩu của họ sẽ được đồng bộ hóa an toàn trên tất cả các thiết bị và dễ dàng chia sẻ khi cần thiết.
Vì vậy, các trình quản lý mật khẩu thường cung cấp các tính năng bổ sung ngoài điều đó và thực sự bảo vệ tất cả mọi thứ bạn đang sử dụng, và cũng giúp bạn tạo các mật khẩu tương tự. Rất may, may mắn thay ngày nay, chúng ngày càng trở nên tiêu chuẩn. Có các tùy chọn của bên thứ ba mà bạn có thể tìm thấy trực tuyến hoặc thậm chí mua. Nhưng chúng ngày càng được tích hợp vào chính các hệ điều hành của chúng ta, mà nếu tôi phải lựa chọn, đặc biệt là đối với khán giả ít kỹ thuật hơn, sử dụng những gì đi kèm với máy tính của bạn từ các nhà sản xuất lớn có lẽ là một điều tốt so với việc sử dụng của bên thứ ba trừ khi các bên thứ ba cung cấp cho bạn các tính năng bổ sung có thể đặc biệt có lợi trong các công ty và gia đình hoặc những nơi tương tự.
Ví dụ thực tế: Một công ty nhỏ quyết định bắt đầu sử dụng trình quản lý mật khẩu chuyên dụng dành cho doanh nghiệp thay vì dựa vào tính năng ghi nhớ mật khẩu tích hợp trong trình duyệt. Với trình quản lý mật khẩu này, họ có thể:
- Dễ dàng chia sẻ các mật khẩu tài khoản nhất định với các nhân viên có liên quan, trong khi vẫn giữ các mật khẩu khác riêng tư.
- Đảm bảo tất cả mật khẩu tuân thủ các chính sách bảo mật của công ty, chẳng hạn như độ dài tối thiểu và độ phức tạp.
- Ngay lập tức từ chối quyền truy cập của một nhân viên vào tất cả các tài khoản liên quan khi họ rời công ty.
- Theo dõi ai đã truy cập vào tài khoản nào và khi nào để kiểm tra.
Chuyển đổi sang một giải pháp dành cho doanh nghiệp tăng cường đáng kể tính bảo mật, kiểm soát và khả năng sử dụng so với việc sử dụng các tính năng quản lý mật khẩu tích hợp sẵn thông thường.
Vì vậy, Apple có cái mà họ gọi là iCloud Keychain, qua đó bạn không chỉ có thể lưu mật khẩu trên một thiết bị, mà chúng có thể truyền một cách an toàn đến thiết bị khác của bạn, như điện thoại của bạn. Google có trình quản lý mật khẩu của riêng mình. Microsoft có trình quản lý thông tin đăng nhập của họ. Và chắc chắn còn có các lựa chọn khác nữa.
Ví dụ thực tế: Bảo sử dụng tính năng iCloud Keychain trên iPhone, iPad và MacBook của mình. Khi anh đăng ký một trang web mới trên máy tính xách tay của mình, anh chọn một mật khẩu phức tạp và duy nhất được tạo bởi công cụ đề xuất mật khẩu. Mật khẩu này tự động được lưu vào iCloud Keychain của anh. Sau đó, khi anh cố gắng truy cập cùng một trang web trên iPhone của mình, mật khẩu đã được tự động điền, cho phép anh dễ dàng đăng nhập mà không cần phải nhớ hoặc nhập lại mật khẩu phức tạp. iCloud Keychain đồng bộ hóa an toàn các mật khẩu của anh trên tất cả các thiết bị, giúp việc sử dụng nhiều thiết bị trở nên dễ dàng mà vẫn duy trì bảo mật cao.
Tuy nhiên, bài học rút ra cho hôm nay nên là nếu bạn không sử dụng trình quản lý mật khẩu, có lẽ đã đến lúc bắt đầu làm như vậy, ít nhất là đối với các tài khoản quan trọng nhất của bạn, có thể là những thứ đặc biệt cá nhân, y tế, tài chính, bất cứ điều gì mà bạn hoặc gia đình bạn thực sự sẽ khó chịu nếu tài khoản đó bị xâm phạm bằng cách nào đó. Ít nhất hãy tìm hiểu cách bắt đầu di chuyển các loại tài khoản đó sang trình quản lý mật khẩu và cũng bật một số thực hành tốt nhất khác của chúng tôi, chẳng hạn như xác thực hai yếu tố. Tốt hơn nữa, đừng chỉ bật xác thực hai yếu tố. Đừng sử dụng SMS nếu có thể. Thay vào đó, hãy sử dụng một ứng dụng gốc trên điện thoại của bạn hoặc thậm chí một khóa phần cứng chỉ để giảm xác suất của các mối đe dọa đó.
Ví dụ thực tế: Ana quyết định tăng cường bảo mật cho các tài khoản trực tuyến của mình. Cô bắt đầu bằng cách đăng ký một trình quản lý mật khẩu và bắt đầu di chuyển các tài khoản quan trọng nhất của mình, như ngân hàng và email, sang đó. Khi thiết lập mỗi tài khoản trong trình quản lý mật khẩu, cô cũng bật xác thực hai yếu tố bất cứ khi nào có thể. Đối với hầu hết các tài khoản, cô sử dụng một ứng dụng xác thực chuyên dụng trên điện thoại thay vì tin nhắn văn bản, vì cô biết rằng điều này an toàn hơn. Đối với các tài khoản cực kỳ nhạy cảm của mình, cô thậm chí còn sử dụng một khóa bảo mật phần cứng như yếu tố thứ hai. Bằng cách thực hiện các bước này từng bước một, Ana đã cải thiện đáng kể tổng thể tình trạng bảo mật trực tuyến của mình mà không cảm thấy quá sức.
Và tôi khuyến khích bạn, bởi vì một điều là ngồi trong một lớp học như thế này và nói, ồ, vâng, tôi nên làm điều đó. Nhưng sau đó, nó chỈ cảm thấy như rất nhiều công việc phải làm để đi và thay đổi tất cả hàng trăm hoặc hàng nghìn tài khoản của tôi. Một lần nữa, hãy thực hiện từng bước nhỏ. Cắn những tài khoản quan trọng, dễ dàng nhất trước. Và theo thời gian, lần tiếp theo bạn đăng nhập vào trang web khác, OK, hãy thay đổi mật khẩu thành một cái gì đó tốt hơn, đưa nó vào trình quản lý mật khẩu và hoàn tất.
Lần tiếp theo bạn truy cập một trang web khác, hãy làm điều đó. Bạn có thể thực hiện những điều này từng bước bởi vì, một lần nữa, với lời khuyên này, tôi chỉ đang cố gắng giúp bạn cá nhân đạt được sự cân bằng giữa khả năng sử dụng và bảo mật bởi vì nếu thông điệp bạn rút ra là tôi phải đi thay đổi 1.000 mật khẩu tối nay, bạn có thể sẽ không làm thực tế. Vì vậy, tốt hơn là thay đổi một vài trong số chúng và dần dần giải quyết vấn đề này theo thời gian.
Ví dụ thực tế: Tùng biết rằng anh cần cải thiện thói quen bảo mật mật khẩu của mình, nhưng với hàng trăm tài khoản trực tuyến, nhiệm vụ này có vẻ áp đảo. Thay vì cố gắng sửa mọi thứ cùng một lúc, anh quyết định thực hiện nó từng bước một. Mỗi tuần, anh chọn 5 tài khoản để chuyển sang trình quản lý mật khẩu của mình. Anh ưu tiên các tài khoản nhạy cảm nhất, như ngân hàng và email, trước. Khi anh đăng nhập vào mỗi tài khoản, anh cũng dành thời gian để bật xác thực hai yếu tố. Mặc dù quá trình này mất vài tháng, nhưng bằng cách chia nó thành các khối có thể quản lý được, Tùng có thể cải thiện bảo mật của mình một cách ổn định mà không bị choáng ngợp hay nản chí.
Hãy để tôi tạm dừng ở đây và xem liệu có bất kỳ câu hỏi nào không.
Người nghe: Nếu một công cụ quản lý mật khẩu hữu ích như vậy, thì tại sao chúng ta lại sử dụng phần mềm diệt vi-rút cho các trang web?
David Malan: Ồ, bạn chắc chắn nên sử dụng phần mềm chống vi-rút vì những lý do khác mà chúng ta sẽ nói đến trong một lớp học khác. Vi-rút, sâu và phần mềm độc hại có thể gây ra bất kỳ số lượng điều xấu nào, bao gồm mã hóa dữ liệu của bạn, xóa dữ liệu của bạn, gửi thư rác từ máy tính của bạn. Có nhiều lý do khác khiến bạn muốn chạy nó. Tuy nhiên, nếu bạn có phần mềm độc hại, chẳng hạn như vi-rút trên máy tính của mình và nó đang ghi lại tất cả các thao tác bàn phím của bạn, về mặt lý thuyết, bạn vẫn có thể dễ bị tấn công nếu chúng cũng đang ghi lại mã hai yếu tố của bạn có thể vì bạn bị mất tập trung, bạn không nhấn Enter đủ nhanh và chúng cũng có thể sử dụng điều đó.
Ví dụ thực tế: Máy tính của Khánh nhiễm phần mềm độc hại ghi lại các thao tác bàn phím. Khi anh nhập mật khẩu và mã xác thực hai yếu tố của mình để truy cập tài khoản ngân hàng, phần mềm độc hại ghi lại tất cả. Tin tặc sử dụng thông tin này để truy cập vào tài khoản của anh ngay trước khi anh kịp đăng nhập, chuyển tiền của anh đi. Mặc dù Khánh đã sử dụng xác thực hai yếu tố, nhưng anh vẫn bị hack vì phần mềm độc hại trên máy tính của mình. Điều này cho thấy tầm quan trọng của việc có phần mềm chống vi-rút tốt để bảo vệ chống lại các cuộc tấn công như thế này, ngay cả khi bạn có thói quen mật khẩu tốt.
Đó là một mối đe dọa có xác suất thấp hơn. Đó là một mối đe dọa về mặt lý thuyết. Nhưng cũng trong lợi ích của thực hành tốt nhất, bạn không muốn bất kỳ phần mềm nào trên máy tính của mình có thể đang làm những điều xấu. Bạn chỉ muốn nâng cao tiêu chuẩn càng nhiều càng tốt cho những kẻ thù này mà không làm cho tài khoản của chính bạn không thể sử dụng được. Một câu hỏi khác.
Người nghe: Ồ, vâng. Tôi có một câu hỏi về kỹ thuật xã hội, nếu được. Và chúng ta biết rằng sự gia tăng của công nghệ AI, giờ đây AI có thể ghi lại giọng nói của bạn và lấy mẫu nó. Và đó có thể là một mối đe dọa thực sự trong kỹ thuật xã hội vì bây giờ ai đó có thể mạo danh sếp của bạn và gọi cho bạn hoặc ai đó có thể mạo danh giọng nói của bạn và gọi cho ngân hàng của bạn. Vậy có cách nào để chống lại điều này không? Hay có công nghệ nào để ngăn chặn điều này xảy ra không?
David Malan: Đó là một câu hỏi rất hay và một lời khuyên khác mà tôi nên phản ánh lại. Nếu trên bất kỳ tài khoản nào của bạn, đặc biệt là tài khoản ngân hàng, bạn đang sử dụng công nghệ nhận dạng giọng nói, theo đó khi bạn thiết lập tài khoản, bạn được nhắc nói một cụm từ vào điện thoại, chẳng hạn, để gợi lại một bộ phim cũ có tên Sneakers- giọng nói của tôi là mật khẩu của tôi– bạn nên vô hiệu hóa các tính năng đó và ngừng sử dụng chúng, giả sử có một giải pháp thay thế, chẳng hạn như xác thực hai yếu tố, theo đó họ gửi cho bạn thông báo đẩy đến một ứng dụng hoặc tương tự.
Ví dụ thực tế: Ngân hàng của anh Nam sử dụng xác thực bằng giọng nói, yêu cầu anh nói cụm từ “Giọng nói của tôi là khóa của tôi” để truy cập tài khoản qua điện thoại. Tuy nhiên, anh đọc được một bài báo về cách công nghệ AI hiện có thể tạo ra âm thanh giống hệt giọng nói của một người từ chỉ một vài mẫu. Lo lắng rằng ai đó có thể giả mạo giọng nói của mình để truy cập tài khoản, anh đã yêu cầu ngân hàng tắt xác thực bằng giọng nói và chuyển sang xác thực hai yếu tố bằng một ứng dụng trên điện thoại thay thế. Mặc dù hơi bất tiện khi phải lấy điện thoại ra để truy cập tài khoản, nhưng anh Nam cảm thấy an toàn hơn nhiều khi biết rằng giọng nói của mình không còn có thể được sử dụng làm yếu tố bảo mật.
Lý do là chính xác như vậy, như bạn có thể đã thấy trong thời đại của AI, có những công nghệ được gọi là deepfake, theo đó bạn có thể tạo ra video, mà còn cả âm thanh của mọi người. Điều này rất phổ biến được thực hiện cho người nổi tiếng, cho các chính trị gia và những giọng nói mà bạn thấy rất nhiều trên internet.
Nhưng sẽ không quá khó nếu ai đó có quyền truy cập vào các bản ghi âm giọng nói của bạn để sử dụng một số phần mềm hoặc ứng dụng để tạo ra nói, giọng nói của tôi là mật khẩu của tôi, mặc dù bạn có thể đã không nói điều đó kể từ khi bạn thiết lập tài khoản. Và vì vậy, tài khoản của bạn cũng có thể bị xâm phạm.
Ví dụ thực tế: Một hacker đã tập hợp nhiều đoạn ghi âm giọng nói của CEO Lê Minh từ các cuộc phỏng vấn và bài phát biểu công khai. Sử dụng công nghệ AI, họ tổng hợp các đoạn âm thanh này để tạo ra một đoạn âm thanh giống hệt giọng nói của ông Minh nói “Chuyển một triệu đô la vào tài khoản sau”. Họ gọi điện cho kế toán của công ty, giả danh ông Minh, và phát đoạn âm thanh. Vì giọng nói có vẻ chính xác và kế toán đã quen với việc CEO gọi điện yêu cầu chuyển tiền, nên cô thực hiện giao dịch. Chỉ khi CEO thực sự gọi lại sau đó trong ngày, họ mới nhận ra mình đã bị lừa bởi một deepfake audio.
Vì vậy, lời khuyên của riêng tôi ở đó sẽ là không sử dụng công nghệ nhận dạng giọng nói nữa, nếu có một giải pháp thay thế tốt hơn. Các câu hỏi khác?
Người nghe: Việc có một trình quản lý mật khẩu, vì vậy một cách tượng trưng là giữ tất cả chìa khóa của bạn trong một két sắt, làm mất mục đích của việc có các mật khẩu khác nhau? Bởi vì nếu bạn mất một chiếc chìa khóa két bạn, thì tất cả đều biến mất.
David Malan: Đó là một trực giác rất tốt, và đó chính xác là sự đánh đổi cần suy nghĩ. Tôi sẽ xem xét khi quyết định cho chính mình, nếu bạn muốn nghe lời khuyên đó, giải pháp thay thế là gì. Vì nếu bạn đang sử dụng mật khẩu khá dễ đoán ở mọi nơi, đây có thể là một lợi ích ròng để chuyển sang trình quản lý mật khẩu. Nếu bạn đang sử dụng lại cùng một mật khẩu trên nhiều trang web và ứng dụng, đây có thể là một lợi ích ròng khi chuyển sang trình quản lý mật khẩu.
Ví dụ thực tế: Hải đã nhận ra rằng việc sử dụng lại cùng một mật khẩu trên nhiều tài khoản khác nhau của mình là một thực hành không an toàn, nên anh quyết định bắt đầu sử dụng trình quản lý mật khẩu. Mặc dù anh hơi lo lắng về việc đưa tất cả “trứng vào một giỏ”, nhưng anh nghĩ rằng đây là một sự cải thiện so với tình trạng trước đó của mình. Anh đặt một mật khẩu dài, phức tạp và duy nhất cho chính trình quản lý mật khẩu, và bật xác thực hai yếu tố như một biện pháp bảo mật bổ sung. Với mỗi mật khẩu anh thêm vào trình quản lý, anh cảm thấy an toàn hơn một chút nữa, biết rằng mỗi tài khoản hiện đều có thông tin đăng nhập riêng, ngay cả khi trình quản lý mật khẨu của anh bị xâm phạm, tất cả các tài khoản khác của anh sẽ vẫn an toàn. Đây là một sự cải thiện đáng kể so với việc sử dụng lại mật khẩu.
Tuy nhiên, nếu bạn thực sự đã là một công dân internet rất tốt và bạn đã chọn các mật khẩu duy nhất, khó đoán cho tất cả các trang web khác nhau – chúng không được viết ra trên giấy ghi chú hoặc dễ dàng truy cập – thì việc đưa tất cả những thứ đó, vào một giỏ, có thể là một nhược điểm ròng, do đó làm cho chúng dễ bị tổn thương hơn. Từ kinh nghiệm và từ những cái gật đầu và thú nhận mà chúng tôi nhận được từ các sinh viên qua nhiều năm, tôi đoán rằng hầu hết chúng ta trong phòng này sẽ được hưởng lợi ích ròng từ trình quản lý mật khẩu. Nhưng ở đó, bạn cũng nên tự quyết định cho mình. Và một lần nữa, một trong những bài học của chúng tôi cho hôm nay là đừng chỉ tin vào điều gì đó mà một anh chàng trên internet nói với bạn. Hãy tự quyết định cho mình dựa trên những đánh đổi này, những mặt tích cực và tiêu cực này.
Ví dụ thực tế: Lan đã rất cẩn thận trong việc tạo mật khẩu mạnh, duy nhất cho mỗi tài khoản của mình và không bao giờ viết chúng ra. Tuy nhiên, cô bắt đầu tìm thấy việc ghi nhớ tất cả các mật khẩu phức tạp này ngày càng khó khăn hơn khi số lượng tài khoản trực tuyến của cô tăng lên. Bạn bè của cô đề nghị cô sử dụng trình quản lý mật khẩu, nhưng cô không chắc liệu việc đưa tất cả mật khẩu vào một nơi có thực sự an toàn hơn việc cô đang làm hay không. Sau khi cân nhắc các rủi ro và lợi ích, Lan quyết định rằng với thực hành mật khẩu tốt của mình, một trình quản lý mật khẩu có thể thực sự làm giảm tính bảo mật tổng thể của cô. Thay vào đó, cô tiếp tục thói quen tạo mật khẩu mạnh, duy nhất và chỉ dựa vào trí nhớ của mình.
Bây giờ, các trình quản lý mật khẩu không phải là tất cả các mặt tích cực. Thực sự, nếu bạn mất hoặc quên mật khẩu chính đó, bạn có thể mất quyền truy cập vào tất cả các tài khoản khác của mình. Rất may, có một giải pháp thay thế ngày càng có sẵn trên các trang web và ứng dụng được gọi là passkeys (khóa mật khẩu). Và điều tuyệt vời về khóa mật khẩu là trong tương lai, chính Mac, PC hoặc điện thoại của bạn sẽ tạo ra một khóa mật khẩu cho một trang web hoặc ứng dụng mới mà bạn đang đăng ký. Chính bạn không cần phải nhớ khóa mật khẩu đó là gì, và thực sự nó thậm chí không chỉ là một giá trị.
Thay vào đó, nó là một cặp giá trị, một giá trị riêng và một giá trị công khai, có mối quan hệ toán học giữa hai giá trị đó. Và hai giá trị đó được sử dụng. Lần tiếp theo bạn cố gắng truy cập trang web hoặc ứng dụng đó, Mac, PC hoặc điện thoại của bạn sẽ sử dụng các giá trị đó để tự động xác thực bạn sau này. Và tốt hơn nữa, các giá trị đó được đồng bộ hóa khi cần thiết trên các thiết bị của bạn để bạn có thể sử dụng Mac, PC, điện thoại hoặc bất kỳ thiết bị nào khác để xác thực. Nhưng để hiểu rõ hơn về những khóa mật khẩu này, chúng ta sẽ cần biết một chút về thế giới mật mã. Và vì vậy, để biết thêm về điều đó, chúng ta sẽ chờ đợi cuộc thảo luận của chúng ta về bảo mật dữ liệu của bạn. Vì vậy, thêm về điều đó vào lần tới.
Ví dụ thực tế: Công ty của Minh quyết định chuyển từ mật khẩu sang khóa mật khẩu (passkeys) để xác thực nhân viên. Với hệ thống mới, mỗi nhân viên đăng ký thiết bị tin cậy của họ, chẳng hạn như điện thoại thông minh hoặc laptop, với hệ thống. Khi họ cố gắng truy cập vào các tài nguyên của công ty, thiết bị của họ sử dụng một cặp khóa mật mã, một khóa công khai và một khóa riêng tư, để chứng minh danh tính của họ, mà không cần nhân viên phải nhập mật khẩu. Các khóa này được tự động đồng bộ hóa trên tất cả các thiết bị đã đăng ký của nhân viên, giúp việc đăng nhập trở nên liền mạch. Nếu một thiết bị bị mất hoặc bị đánh cắp, nó có thể dễ dàng bị thu hồi mà không ảnh hưởng đến các thiết bị khác. Hệ thống khóa mật khẩu cải thiện cả tính bảo mật và tính tiện dụng so với mật khẩu truyền thống.
Tóm lại, ngày nay việc bảo mật tài khoản trực tuyến của chúng ta là vô cùng quan trọng. Bằng cách hiểu các mối đe dọa như tấn công vét cạn, tấn công nhồi thông tin đăng nhập, lừa đảo và kỹ thuật xã hội, chúng ta có thể thực hiện các bước để bảo vệ bản thân. Một số biện pháp phòng thủ chính bao gồm:
- Sử dụng mật khẩu dài, phức tạp và duy nhất cho mỗi tài khoản
- Bật xác thực hai yếu tố bất cứ khi nào có thể, tốt nhất là thông qua một ứng dụng thay vì SMS
- Sử dụng một trình quản lý mật khẩu đáng tin cậy để tạo và lưu trữ mật khẩu an toàn
- Cảnh giác với các nỗ lực lừa đảo hoặc kỹ thuật xã hội để có được thông tin cá nhân hoặc đăng nhập của bạn
- Cập nhật phần mềm chống vi-rút để bảo vệ chống lại phần mềm độc hại như bàn phím ảo
Bằng cách thực hiện từng bước một, chúng ta có thể cải thiện đáng kể tình trạng bảo mật tổng thể của mình và giữ an toàn cho cuộc sống kỹ thuật số của chúng ta trong thế giới ngày càng kết nối này. Tuy nhiên, điều quan trọng cần nhớ là không có giải pháp bảo mật hoàn hảo, và chúng ta phải cảnh giác và thích ứng liên tục để đối phó với các mối đe dọa mới nổi. Thông qua giáo dục, thực hành tốt nhất và cảnh giác liên tục, chúng ta có thể điều hướng an toàn trên thế giới trực tuyến.
Như vậy, chúng ta đã đi qua tất cả các chủ đề và khái niệm chính được đề cập trong bài thuyết trình của Giáo sư Ma Làng (Malan). Các bạn đã cùng Security365 thảo luận về các mối đe dọa và biện pháp bảo vệ khác nhau để bảo mật tài khoản trực tuyến, từ mật khẩu và xác thực hai yếu tố đến các trình quản lý mật khẩu và khóa mật khẩu (passkeys).
Để tóm tắt, một số điểm chính mà Security365 đã đề cập bao gồm:
- Tầm quan trọng của việc sử dụng mật khẩu mạnh, duy nhất cho mỗi tài khoản để phòng ngừa các cuộc tấn công vét cạn và nhồi thông tin đăng nhập.
- Lợi ích của việc bật xác thực hai yếu tố, tốt nhất là thông qua một ứng dụng chuyên dụng thay vì SMS, như một lớp bảo mật bổ sung.
- Tiện ích của việc sử dụng một trình quản lý mật khẩu để tạo, lưu trữ và tự động điền mật khẩu phức tạp một cách an toàn.
- Các mối nguy hiểm của kỹ thuật xã hội và lừa đảo, và cách nhận biết và tránh chúng.
- Sự xuất hiện của các giải pháp mới như đăng nhập một lần (SSO) và khóa mật khẩu (passkeys) để đơn giản hóa và bảo mật quá trình xác thực.
Với mỗi chủ đề này, Security365 đã cung cấp các ví dụ thực tế để minh họa các khái niệm và cách chúng áp dụng trong các tình huống trong thế giới thực. Mục đích là để làm cho những ý tưởng này dễ tiếp cận và dễ hiểu hơn cho mọi người ở mọi cấp độ kỹ thuật.
Tổng thể, bài học này cung cấp một cái nhìn toàn diện về việc bảo mật tài khoản trong kỷ nguyên kỹ thuật số, với các chiến lược thiết thực mà mọi người có thể áp dụng để giữ an toàn cho dữ liệu và danh tính trực tuyến của họ. Bằng cách nâng cao nhận thức và áp dụng các thực hành tốt nhất này, chúng ta mỗi người có thể đóng một vai trò tích cực trong việc tạo ra một không gian mạng an toàn và bảo mật hơn cho tất cả chúng ta.
Điều tiếp theo, các bạn cần thực hành cho tốt và ứng dụng những kiến thức này vào thực tế. Khóa học Security365 dựa trên nền tảng CS50 Cyber Security cùng với ứng dụng Trí Tuệ Nhân Tạo sẽ cung cấp các hướng dẫn cần thiết cho học viên. Hãy tham gia khóa học cùng chúng tôi để hỗ trợ dự án này.
Lưu ý : Các bài học CS 50 Cyber Security được BQT Viện Đào Tạo An Toàn Thông Tin cung cấp miễn phí qua website AT3 EDU VN. Các bạn chỉ trả một khoản phí thích hợp khi tham gia khóa học ứng dụng thực tế sẽ được chúng tôi công bố vào quý 3 năm 2024 có tên gọi là Security365 – CS50 Cyber Kungfu. Một khi hoàn thành khóa học của chúng tôi các bạn không nhưng được trang bị đầy đủ kỹ năng về Cyber Security dựa trên CS 50 mà còn được hướng dẫn bảo mật thông tin với AI hay trí tuệ nhân tạo. Và đặc biệt, các học viên sẽ hoàn toàn tự tin đăng kí nâng cấp chương trình CS50 (đăng kí nâng cấp trực tiếp qua web EDX với chi phí 449 $) và hoàn thành Final Project (có hướng dẫn trong khóa học Security365) để lấy chứng chỉ danh giá về An Ninh Mạn – An Toàn Thông Tin từ đại học Harvard.
Khóa Học CS50 Cyber Kugfu
Chương Trình Đào Tạo An Toàn Thông Tin Quốc Tế Tại Việt Nam 
Bình luận về bài viết này