Trong phần này Security 365 sẽ trình bày các chủ đề của CS50 Cyber Security – Lesson 0 Secure Account hay Bảo Mật Tài Khoản để các học viên ở mọi cấp độ có thể dễ dàng học tập và hiểu và áp dụng các kiến thức thu được vào cuộc sống hàng ngày, ứng dụng các bài học để hoàn thành đề tài cuối khóa và lấy chứng chỉ danh gái CS50 của đại học Harvard.

Nếu bạn chưa có tài khoản để theo dõi các bài học mới nhất của khóa học CS50 Cyber Security trên EDX hãy đăng kí tại đây (lưu ý các bạn có thể học hay xem các bài giảng hoàn toàn miễn phí, nhưng để lấy chứng chỉ của Harvard cấp cho khóa học CS50 Cyber Security cần phải nâng cấp và trả phí hãy xe chi tiết trên trang chủ của EDX)

Giới thiệu về An ninh mạng
Giảng viên: David J. Malan
Email: malan@harvard.edu

  1. Bảo mật tài khoản

1.1. Xác thực (Authentication)

Xác thực là quá trình xác minh danh tính của người dùng trong môi trường kỹ thuật số. Đây là bước đầu tiên để đảm bảo rằng chỉ những người được ủy quyền mới có thể truy cập vào hệ thống hoặc tài khoản.

Ví dụ thực tế:
Khi bạn đăng nhập vào tài khoản ngân hàng trực tuyến, bạn cần nhập tên đăng nhập và mật khẩu. Đây là quá trình xác thực cơ bản để ngân hàng biết rằng đó thực sự là bạn đang cố gắng truy cập tài khoản.

1.2. Ủy quyền (Authorization)

Sau khi xác thực, ủy quyền xác định những gì người dùng được phép làm trong hệ thống. Đây là bước quan trọng để đảm bảo rằng người dùng chỉ có thể truy cập vào những phần của hệ thống mà họ được phép.

Ví dụ thực tế:
Trong một công ty, sau khi đăng nhập vào hệ thống, một nhân viên kế toán có thể được ủy quyền để xem báo cáo tài chính, trong khi một nhân viên IT có thể được ủy quyền để truy cập vào cài đặt hệ thống. Mặc dù cả hai đều đã được xác thực, nhưng họ có quyền truy cập khác nhau dựa trên vai trò của họ.

1.3. Tên người dùng

Tên người dùng là một định danh duy nhất cho mỗi tài khoản trong hệ thống. Nó thường là công khai và có thể là địa chỉ email, số điện thoại, hoặc một chuỗi ký tự do người dùng chọn.

Ví dụ thực tế:
Trên mạng xã hội Twitter, tên người dùng (ví dụ: @example_user) là công khai và được sử dụng để định danh tài khoản của bạn.

1.4. Mật khẩu

Mật khẩu là một chuỗi ký tự bí mật được sử dụng để xác thực người dùng. Nó nên được giữ bí mật và chỉ người dùng mới biết.

Ví dụ thực tế:
Khi tạo tài khoản email, bạn sẽ chọn một mật khẩu. Mật khẩu tốt có thể là “Tr0ng!2023@Email” – nó bao gồm chữ hoa, chữ thường, số, và ký tự đặc biệt, làm cho nó khó đoán hơn.

  1. Các kiểu tấn công mật khẩu

2.1. Tấn công từ điển (Dictionary Attack)

Trong loại tấn công này, hacker sử dụng một danh sách các từ phổ biến (như trong từ điển) để thử làm mật khẩu.

Ví dụ thực tế:
Nếu bạn sử dụng mật khẩu là “password123”, một cuộc tấn công từ điển có thể dễ dàng phá vỡ nó vì “password” là một trong những từ phổ biến nhất được sử dụng làm mật khẩu.

2.2. Tấn công vét cạn (Brute-force Attack)

Trong tấn công vét cạn, hacker thử tất cả các kết hợp có thể cho đến khi tìm ra mật khẩu đúng.

Ví dụ thực tế:
Giả sử bạn sử dụng mã PIN 4 chữ số cho điện thoại của mình. Một cuộc tấn công vét cạn sẽ thử tất cả 10,000 khả năng từ 0000 đến 9999. Đây là lý do tại sao nhiều thiết bị giới hạn số lần nhập sai PIN.

  1. Tiêu chuẩn bảo mật của NIST

3.1. Độ dài mật khẩu tối thiểu

NIST khuyến nghị mật khẩu nên có ít nhất 8 ký tự.

Ví dụ thực tế:
Thay vì sử dụng “cat123” (6 ký tự), bạn nên sử dụng “my_cat_loves_fish_2023” (21 ký tự). Mật khẩu dài hơn này không chỉ đáp ứng yêu cầu của NIST mà còn dễ nhớ hơn.

3.2. Cho phép sử dụng nhiều loại ký tự

NIST khuyến nghị cho phép sử dụng tất cả các ký tự ASCII và Unicode, với độ dài tối đa 64 ký tự.

Ví dụ thực tế:
Một mật khẩu như “Tôi♥CS50!2023” sử dụng cả chữ tiếng Việt, biểu tượng cảm xúc, và số, làm cho nó khó đoán hơn đáng kể.

3.3. Kiểm tra mật khẩu với danh sách mật khẩu phổ biến

Hệ thống nên từ chối các mật khẩu quá phổ biến hoặc đã bị lộ trong các vụ rò rỉ dữ liệu.

Ví dụ thực tế:
Khi bạn tạo tài khoản mới và chọn mật khẩu là “123456”, hệ thống nên cảnh báo bạn rằng đây là một mật khẩu quá phổ biến và yêu cầu bạn chọn mật khẩu khác.

3.4. Không yêu cầu thay đổi mật khẩu định kỳ

NIST không còn khuyến nghị việc bắt buộc người dùng thay đổi mật khẩu định kỳ.

Ví dụ thực tế:
Thay vì yêu cầu nhân viên thay đổi mật khẩu mỗi 90 ngày, công ty nên tập trung vào việc giáo dục nhân viên về cách tạo mật khẩu mạnh và sử dụng xác thực hai yếu tố.

  1. Xác thực hai yếu tố (2FA) hoặc Xác thực đa yếu tố (MFA)

4.1. Yếu tố kiến thức

Đây là thông tin mà chỉ người dùng biết, thường là mật khẩu hoặc câu hỏi bảo mật.

Ví dụ thực tế:
Khi đăng nhập vào tài khoản Google, bước đầu tiên là nhập mật khẩu của bạn.

4.2. Yếu tố sở hữu

Đây là một thiết bị hoặc vật phẩm mà người dùng sở hữu.

Ví dụ thực tế:
Sau khi nhập mật khẩu, Google có thể gửi một mã xác nhận đến điện thoại của bạn thông qua ứng dụng Google Authenticator.

4.3. Yếu tố sinh trắc học

Đây là đặc điểm sinh học duy nhất của người dùng.

Ví dụ thực tế:
Nhiều điện thoại thông minh hiện nay cho phép bạn mở khóa bằng vân tay hoặc nhận dạng khuôn mặt.

  1. Mật khẩu một lần (OTP – One-Time Password)

5.1. OTP qua SMS

Mã xác thực được gửi qua tin nhắn SMS.

Ví dụ thực tế:
Khi bạn thực hiện giao dịch ngân hàng trực tuyến, ngân hàng có thể gửi một mã 6 chữ số qua SMS để xác nhận giao dịch.

5.2. OTP qua ứng dụng

Mã xác thực được tạo ra bởi một ứng dụng trên điện thoại của người dùng.

Ví dụ thực tế:
Ứng dụng Google Authenticator tạo ra một mã mới mỗi 30 giây, bạn nhập mã này khi đăng nhập vào các dịch vụ hỗ trợ.

  1. Các mối đe dọa khác

6.1. SIM Swapping

Kẻ tấn công lừa nhà mạng để chuyển số điện thoại của nạn nhân sang SIM của họ.

Ví dụ thực tế:
Một kẻ tấn công có thể gọi điện cho nhà mạng, giả danh bạn và nói rằng họ đã mất điện thoại. Họ yêu cầu chuyển số của bạn sang SIM mới. Sau đó, họ có thể nhận được tất cả các OTP gửi qua SMS của bạn.

6.2. Keylogging

Phần mềm độc hại ghi lại tất cả các phím bạn nhấn.

Ví dụ thực tế:
Bạn có thể vô tình tải về một phần mềm có chứa keylogger. Khi bạn đăng nhập vào tài khoản ngân hàng, keylogger sẽ ghi lại tên đăng nhập và mật khẩu của bạn.

6.3. Credential Stuffing

Kẻ tấn công sử dụng thông tin đăng nhập bị lộ từ một website để thử trên các website khác.

Ví dụ thực tế:
Nếu bạn sử dụng cùng một mật khẩu cho cả tài khoản email và tài khoản mạng xã hội, và mật khẩu email của bạn bị lộ trong một vụ rò rỉ dữ liệu, kẻ tấn công có thể dùng thông tin này để truy cập vào tài khoản mạng xã hội của bạn.

6.4. Kỹ thuật xã hội (Social Engineering)

Kẻ tấn công lợi dụng tâm lý con người để lừa lấy thông tin.

Ví dụ thực tế:
Một kẻ tấn công có thể gọi điện cho bạn, giả danh nhân viên IT của công ty, nói rằng họ cần mật khẩu của bạn để “khắc phục sự cố”.

6.5. Lừa đảo (Phishing)

Kẻ tấn công tạo ra các trang web hoặc email giả mạo để đánh cắp thông tin đăng nhập.

Ví dụ thực tế:
Bạn nhận được một email có vẻ đến từ ngân hàng của mình, yêu cầu bạn “xác nhận” thông tin tài khoản bằng cách nhấp vào một liên kết. Liên kết này dẫn đến một trang web giả mạo trông giống hệt trang web của ngân hàng.

6.6. Tấn công trung gian (Man-in-the-Middle)

Kẻ tấn công chặn và có thể thay đổi thông tin truyền giữa hai bên.

Ví dụ thực tế:
Khi bạn kết nối với Wi-Fi công cộng tại một quán cà phê, một kẻ tấn công có thể thiết lập một điểm truy cập Wi-Fi giả mạo. Nếu bạn kết nối với điểm truy cập này, họ có thể theo dõi tất cả hoạt động trực tuyến của bạn.

  1. Một số giải pháp

7.1. Đăng nhập một lần (SSO – Single Sign-On)

SSO cho phép bạn sử dụng một tài khoản để đăng nhập vào nhiều dịch vụ khác nhau.

Ví dụ thực tế:
Khi bạn sử dụng tài khoản Google để đăng nhập vào YouTube, Gmail, và Google Drive, đó là một ví dụ về SSO.

7.2. Trình quản lý mật khẩu (Password Managers)

Đây là phần mềm giúp tạo, lưu trữ và quản lý mật khẩu an toàn.

Ví dụ thực tế:
Sử dụng LastPass, bạn chỉ cần nhớ một mật khẩu chính. LastPass sẽ tạo và lưu trữ các mật khẩu phức tạp cho tất cả các tài khoản khác của bạn.

7.3. Passkeys

Công nghệ mới sử dụng mã hóa khóa công khai để xác thực mà không cần nhập mật khẩu.

Ví dụ thực tế:
Với Passkeys của Apple, bạn có thể đăng nhập vào một trang web bằng cách sử dụng Face ID hoặc Touch ID trên iPhone của mình, thay vì phải nhập mật khẩu.

Bằng cách áp dụng các biện pháp bảo mật này và hiểu rõ các mối đe dọa, bạn có thể bảo vệ tốt hơn các tài khoản trực tuyến của mình. Sau đây là một số lời khuyên và ứng dụng thực tế:

  1. Các biện pháp bảo mật tổng hợp

8.1. Sử dụng mật khẩu mạnh và duy nhất cho mỗi tài khoản

Thay vì sử dụng “123456” hoặc “password” cho nhiều tài khoản, hãy tạo mật khẩu mạnh và riêng biệt cho từng tài khoản.

Ví dụ thực tế:

  • Tài khoản email: “Em@il_An_Toan_2023!”
  • Tài khoản ngân hàng: “Ng@nH@ng_B@oM@t_2023$”
  • Mạng xã hội: “X@H0i_M@ng_2023#”

8.2. Kích hoạt xác thực hai yếu tố (2FA) cho tất cả các tài khoản quan trọng

Bật 2FA cho tất cả các tài khoản hỗ trợ tính năng này, đặc biệt là tài khoản email, ngân hàng và mạng xã hội.

Ví dụ thực tế: Khi đăng nhập vào Gmail, sau khi nhập mật khẩu, bạn sẽ được yêu cầu nhập mã 6 số từ ứng dụng Google Authenticator trên điện thoại của mình.

8.3. Sử dụng trình quản lý mật khẩu

Thay vì cố gắng nhớ nhiều mật khẩu phức tạp, hãy sử dụng một trình quản lý mật khẩu để tạo và lưu trữ mật khẩu an toàn.

Ví dụ thực tế: Sử dụng LastPass, bạn có thể tạo một mật khẩu phức tạp như “q3X#9Kp$mF2@bN7” cho tài khoản Amazon của mình. LastPass sẽ lưu trữ mật khẩu này an toàn và tự động điền khi bạn đăng nhập.

8.4. Cập nhật phần mềm thường xuyên

Luôn cập nhật hệ điều hành, trình duyệt web và các ứng dụng khác để đảm bảo bạn có các bản vá bảo mật mới nhất.

Ví dụ thực tế: Khi iPhone của bạn thông báo có bản cập nhật iOS mới, đừng trì hoãn. Hãy cập nhật ngay để nhận được các tính năng bảo mật mới nhất.

8.5. Cảnh giác với các email và tin nhắn đáng ngờ

Không bao giờ nhấp vào các liên kết hoặc tải về tệp đính kèm từ các nguồn không đáng tin cậy.

Ví dụ thực tế: Nếu bạn nhận được một email có vẻ đến từ ngân hàng của mình yêu cầu bạn “xác nhận thông tin tài khoản”, thay vì nhấp vào liên kết trong email, hãy mở trình duyệt và truy cập trực tiếp vào trang web chính thức của ngân hàng.

8.6. Sử dụng mạng riêng ảo (VPN) khi kết nối với Wi-Fi công cộng

VPN mã hóa dữ liệu của bạn, giúp bảo vệ thông tin khi sử dụng mạng Wi-Fi công cộng không an toàn.

Ví dụ thực tế: Khi làm việc tại một quán cà phê, trước khi kết nối với Wi-Fi công cộng, hãy bật VPN như NordVPN hoặc ExpressVPN để bảo vệ dữ liệu của bạn.

8.7. Kiểm tra các quyền truy cập của ứng dụng

Thường xuyên xem xét và hạn chế quyền truy cập của các ứng dụng trên điện thoại và máy tính của bạn.

Ví dụ thực tế: Kiểm tra cài đặt quyền trên điện thoại Android của bạn. Nếu một ứng dụng trò chơi yêu cầu quyền truy cập vào danh bạ của bạn, hãy từ chối quyền này vì nó không cần thiết cho chức năng của ứng dụng.

8.8. Sao lưu dữ liệu thường xuyên

Tạo bản sao lưu cho dữ liệu quan trọng để phòng trường hợp bị tấn công ransomware hoặc mất dữ liệu.

Ví dụ thực tế: Sử dụng Google Drive hoặc iCloud để tự động sao lưu ảnh và tài liệu quan trọng từ điện thoại và máy tính của bạn.

8.9. Giáo dục bản thân và người khác về an ninh mạng

Thường xuyên cập nhật kiến thức về các mối đe dọa mới và chia sẻ thông tin với gia đình và bạn bè.

Ví dụ thực tế: Tham gia các khóa học trực tuyến miễn phí về an ninh mạng như CS50’s Introduction to Cybersecurity trên edX và chia sẻ những gì bạn học được với người thân.

8.10. Sử dụng thiết bị phần cứng bảo mật

Đối với các tài khoản đặc biệt quan trọng, hãy xem xét sử dụng thiết bị phần cứng bảo mật.

Ví dụ thực tế: Sử dụng YubiKey, một thiết bị USB nhỏ, làm yếu tố thứ hai khi đăng nhập vào tài khoản Google hoặc GitHub của bạn. Bạn cần cắm YubiKey vào máy tính và chạm vào nó để xác thực, cung cấp một lớp bảo mật bổ sung mạnh mẽ.

Kết luận:

An ninh mạng là một quá trình liên tục, không phải là một điểm đến. Bằng cách áp dụng các biện pháp bảo mật này và luôn cảnh giác, bạn có thể giảm đáng kể nguy cơ bị tấn công mạng. Hãy nhớ rằng, mục tiêu không phải là tạo ra một hệ thống hoàn toàn không thể xâm nhập (điều này gần như không thể), mà là làm cho việc tấn công trở nên khó khăn và tốn kém đến mức kẻ tấn công sẽ từ bỏ và tìm kiếm mục tiêu dễ dàng hơn.

Bằng cách áp dụng những kiến thức này vào thực tế hàng ngày, bạn không chỉ bảo vệ được bản thân mà còn góp phần tạo nên một môi trường internet an toàn hơn cho tất cả mọi người. Hãy bắt đầu từ những bước nhỏ và dần dần xây dựng thói quen bảo mật tốt. Với thời gian, những thực hành này sẽ trở thành bản năng thứ hai của bạn, giúp bạn tự tin hơn trong thế giới số ngày càng phức tạp.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Trending