Ghi chú hướng dẫn
Trên thực tế, sẽ không thể bảo vệ tất cả thông tin của bạn khỏi mọi nguy cơ khiến thông tin có thể bị xâm phạm, vì vậy bạn phải xác định ưu tiên. Bạn nên tiến hành một cách có hệ thống dựa trên nguy cơ. Bạn nên xem xét cả giá trị của thông tin đó đối với công việc của bạn và những mối nguy hại tiềm ẩn đối với bạn và những người khác mà có thể phát sinh nếu thông tin bị xâm phạm hoặc bị mất. Bạn cũng có thể xem xét khả năng nhận ra giá trị đó hoặc khả năng xảy ra một mối nguy hại nhất định. Từ đó, bạn sẽ xác định được cơ sở hợp lý để sắp xếp thứ tự ưu tiên xem cần tập trung chú ý vào đâu. Nói chung, bạn có thể lưu trữ những thông tin có giá trị thấp và mối nguy hại thấp, xóa những thông tin có giá trị thấp nhưng mối nguy hại cao và sao lưu những thông tin có giá trị cao và mối nguy hại thấp. Sau đó, bạn có thể tập trung trước tiên vào việc triển khai các biện pháp bảo mật cho những thông tin vừa có giá trị cao, vừa có mối nguy hại cao.
Khi bạn chia sẻ thông tin với người khác, hành động đó mang lại cho kẻ địch cơ hội lớn hơn để truy cập vào thông tin đó – tại thời điểm gửi, trong quá trình chuyển hoặc khi người nhận có thông tin đó. Bạn có thể giảm cơ hội chặn bắt thành công trong quá trình chuyển thông tin bằng cách tiếp trực tiếp trao đổi những thông tin nhạy cảm – lưu ý đến môi trường của bạn – hoặc, nếu điều đó không khả thi, thì thông qua các công cụ sử dụng mã hóa đầu cuối (E2EE), chẳng hạn như như Signal và ProtonMail.
Khi bạn sử dụng công cụ mã hóa đầu cuối để gửi tin nhắn hoặc email, thông tin sẽ được ký (bằng khóa riêng của bạn) và được chuyển đổi thành một dạng mã hóa (bằng khóa công khai của người nhận) trên thiết bị của bạn trước khi được truyền qua nhà cung cấp của bạn và của người nhận cũng như trên thiết bị của người nhận, nơi chữ ký được kiểm tra (bằng khóa công khai của bạn) và tin nhắn hoặc email được giải mã thành văn bản có thể đọc được (bằng khóa riêng của họ). Cả các nhà cung cấp và bất kỳ ai cố chặn bắt thông tin trong quá trình chuyển đều sẽ không thể đọc được tin nhắn nếu không có nỗ lực mà khó có thể thành công.
Vẫn có những rủi ro với phương thức mã hóa đầu cuối. Danh tính của bạn và của người nhận – cũng như mối liên kết giữa hai bạn – sẽ bị lộ, vì hệ thống cần định tuyến tin nhắn hoặc email giữa các bạn một cách chính xác. Dòng tiêu đề của email cũng sẽ không được mã hóa. Ngoài ra, mặc dù tin nhắn hoặc email có thể được bảo mật trong quá trình truyền, nhưng vẫn có thể bị tấn công trên thiết bị của bạn hoặc của người nhận vẫn nếu các thiết bị này bị xâm phạm hoặc bị thu giữ (việc làm thông điệp biến mất có thể làm giảm nguy cơ này nhưng các bản sao vẫn có thể tồn tại). Hơn nữa, bản thân việc sử dụng công nghệ mã hóa đầu cuối có thể gây ra mối nghi ngờ với các cơ quan chức năng, nhất là khi có lệnh cấm sử dụng công nghệ như vậy ở quốc gia của bạn.
Hãy nhớ rằng, cũng giống như trong giao tiếp trực tiếp với người mà bạn chưa gặp trước đây, điều quan trọng là bạn phải xác minh rằng người ở phía bên kia của cuộc giao tiếp nhiều khả năng là người mà bạn nghĩ chứ không phải là kẻ địch. Các công cụ khác nhau cung cấp các cách thức khác nhau để thực hiện việc này; ví dụ như Signal, cho phép bạn xác minh số an toànduy nhất với nhau trực tiếp hoặc thông qua một kênh liên lạc khác để giúp đảm bảo rằng không có cuộc tấn công xen giữa nào đang diễn ra.
Một trong những cách dễ nhất mà kẻ địch có thể truy cập vào thông tin của bạn là có được quyền truy cập vật lý vào các thiết bị của bạn. Sau đó, họ có thể làm những việc như tạo một bản sao chính xác của ổ đĩa của bạn hoặc cài đặt thiết bị giám sát vật lý, chẳng hạn như trình ghi khóa.
Khi nói đến việc ngăn chặn quyền truy cập như vậy, không có quy tắc cứng nhắc nào. Ví dụ: việc mang theo tất cả các thiết bị của bạn đến một cuộc biểu tình có thể là điều không thực tế và làm tăng nguy cơ chúng bị cảnh sát thu giữ. Nhưng để chúng ở nhà sẽ tạo cơ hội cho kẻ địch tiếp cận chúng mà bạn không biết. Bạn nên xem xét hoàn cảnh của mình và ý định cũng như khả năng mà kẻ địch có thể thực hiện và đưa ra phán đoán tốt nhất có thể trong từng tình huống.
Cần phải bảo vệ các tài khoản trên thiết bị của bạn bằng những mật khẩu hoặc mật mã đủ phức tạp để ngăn kẻ địch đoán ra chúng trong một khung thời gian hợp lý. Bạn cũng có thể cân nhắc triển khai tính năng tự động xóa, trong đó thiết bị sẽ xóa khóa mã hóa cho tất cả dữ liệu liên quan nếu mật khẩu hoặc mật mã được nhập không chính xác sau một số lần nhất định. Nhưng hãy lưu ý đến nguy cơ vô tình kích hoạt tính năng này và làm mất dữ liệu của bạn.
Các thiết bị hiện đại cũng thường cho phép nhập một số thông tin sinh trắc học để mở khóa thiết bị, chẳng hạn như nhận dạng vân tay hoặc khuôn mặt. Mặc dù phương thức này có thể hữu ích, nhưng hãy lưu ý rằng bạn có thể dễ dàng bị ép buộc mở khóa thiết bị của mình theo cách này mà không cần phải giao lại mật khẩu hoặc mật mã. Các nhà sản xuất thiết bị đã nhận ra mối quan ngại này và thực hiện một số cách đơn giản để nhanh chóng vô hiệu hóa quyền truy cập sinh trắc học nếu bạn cần.
Bạn nên lưu ý rằng việc kích hoạt mật khẩu hoặc mật mã chỉ có thể ngăn kẻ địch đăng nhập vào tài khoản người dùng của bạn – việc đó có thể không bảo vệ dữ liệu thực sự. Kẻ tấn công vẫn có thể lấy bản sao của phương tiện lưu trữ và loại bỏ hoàn toàn nhu cầu về mật khẩu. Do đó, để giải quyết vấn đề này, bạn cần đảm bảo bật mã hóa toàn bộ ổ đĩa. Cần thực hiện bước này đối với những chiếc máy tính xách tay và máy tính để bàn mà có thể không thực hiện mã hóa toàn bộ ổ đĩa theo mặc định.
Hầu hết mọi phần mềm chạy trên một thiết bị đều có thể là công cụ để thực hiện một cuộc tấn công. Do đó, bạn chỉ nên cài đặt những phần mềm mà bạn thực sự cần trên thiết bị của mình. Bạn cũng nên thường xuyên – và tự động – kiểm tra các bản cập nhật cho hệ điều hành của mình và bất kỳ phần mềm nào đã cài đặt và áp dụng các bản cập nhật càng sớm càng tốt, vì chúng có thể chứa các bản vá bảo mật quan trọng.
Lưu ý rằng những kẻ tấn công có thể cố gắng khai thác lời khuyên này bằng cách giả mạo thông báo cài đặt các bản cập nhật (thông qua một kênh không chính thức) mà thay vào đó sẽ cài đặt phần mềm độc hại trên thiết bị của bạn. Bạn nên coi mọi thông báo như là dấu hiệu cho thấy bạn cần thực hiện cập nhật hệ điều hành theo cách thông thường, và nếu trên thực tế chưa có bản cập nhật thì bạn có thể đã là mục tiêu của một nỗ lực tấn công.
Phương thức mã hóa toàn bộ đĩa (FDE) sẽ mã hóa gần như toàn bộ ổ cứng của thiết bị (hoặc phương tiện lưu trữ bên ngoài, chẳng hạn như ổ đĩa USB flash), bao gồm cả hệ điều hành và dữ liệu của bạn. Điều này có nghĩa là nếu thiết bị của bạn bị mất, bị đánh cắp hay bị thu giữ, kẻ địch sẽ không thể truy cập vào dữ liệu của bạn chỉ bằng cách lấy một bản sao của bộ lưu trữ. Điều quan trọng là bạn phải sử dụng một mật khẩu mạnh, duy nhất khi bật mã hóa toàn bộ ổ đĩa (và khác với mật khẩu bạn sử dụng để đăng nhập vào thiết bị). Tuy nhiên, hãy lưu ý rằng nếu bạn quên mật khẩu này, bạn có thể mất quyền truy cập vào dữ liệu của mình. Cũng xin lưu ý rằng một mật khẩu đăng nhập tài khoản người dùng yếu có thể làm suy yếu một mật khẩu FDE mạnh nếu mật khẩu đăng nhập tài khoản người dùng này cũng có thể mở khóa mã FDE. Mối quan hệ chính xác giữa mật khẩu tài khoản người dùng và khóa giải mã FDE sẽ phụ thuộc vào thiết bị và hệ điều hành của bạn.
Vi-rút là một loại mã hoặc chương trình độc hại làm thay đổi cách thức hoạt động của máy tính. Phần mềm chống vi-rút thường sẽ quét các mẫu dạng biểu thị vi-rút đã biết và phần mềm độc hại khác. Để phương thức này đạt hiệu quả, phải cập nhật các mẫu dạng cần tìm vào phần mềm chống vi-rút và phần mềm độc hại cần tìm phải được ghi vào thiết bị lưu trữ. Mặc dù các cải tiến đã được thực hiện để bổ sung vào cách tiếp cận dựa trên chữ ký này phương pháp kiểm tra heuristic, kiểm tra các chương trình để tìm hành vi đáng ngờ mà có thể cho biết một loại vi-rút mới, không xác định, nhưng phương pháp này vẫn chưa đủ mạnh.
Tường lửa được sử dụng để quản lý các kết nối và luồng dữ liệu đến thiết bị của bạn và từ thiết bị của bạn đến các thiết bị khác. Tường lửa có thể phát hiện ra nỗ lực kết nối độc hại đến thiết bị của bạn và chặn nó. Tuy nhiên, tường lửa ít khi tự động chặn các nỗ lực kết nối từ thiết bị của bạn, vì chúng thường được khởi tạo bởi người dùng hoặc các chương trình hợp pháp. Những kẻ tấn công có thể khai thác điểm này bằng cách gửi cho bạn một loại vi-rút và lừa bạn kích hoạt nó. Sau khi được kích hoạt, phần mềm độc hại sẽ kích hoạt kết nối từ thiết bị của bạn tới một máy chủ để nhận lệnh, mã độc bổ sung và để truyền dữ liệu của bạn.
Giống như mọi biện pháp bảo mật khác, những hạn chế này có nghĩa là cần có cả phần mềm chống vi-rút cập nhật và tường lửa được định cấu hình đúng cách, nhưng thế vẫn chưa đủ.
Nhiều thiết bị di động có sẵn các giới hạn bảo mật; tuy nhiên, những giới hạn này không phải lúc nào cũng được người dùng mong muốn hoặc đánh giá cao. Bạn có thể muốn phá vỡ các giới hạn đó thông qua hành động root (đối với thiết bị Android) hoặc jailbreak (đối với thiết bị iOS), chẳng hạn như nâng cao đặc quyền của người dùng trên thiết bị lên mức tối đa khả dụng (root) hoặc loại bỏ một số hạn chế đối với các lệnh mà họ có thể chạy (jailbreak). Điều này đặt thiết bị vào trạng thái mà các nhà thiết kế đã không tính đến, từ đó có thể dẫn đến việc thiết bị trở nên kém ổn định hơn, các biện pháp bảo mật bị phá hủy và khiến thiết bị dễ bị phần mềm độc hại tấn công.
Có hai yếu tố chính quyết định kẻ tấn công có thể làm gì liên quan đến thông tin của bạn: bề mặt tấn công (không gian) và cửa sổ tấn công (thời gian).
Bề mặt tấn công bao gồm tất cả các thiết bị, phương tiện lưu trữ bên ngoài và các tài liệu viết hoặc in có chứa thông tin của bạn. Khái niệm này cũng bao gồm cả bạn và những người khác biết thông tin. Càng nhiều bản sao của thông tin tồn tại, bề mặt tấn công càng lớn và kẻ tấn công càng có nhiều cơ hội để thành công. Để hạn chế điều này, bạn có thể hạn chế những không gian chứa thông tin của bạn và hình thức của không gian đó.
Cửa sổ tấn công đề cập đến thời gian mà mỗi thành phần của bề mặt tấn công đang dễ bị tấn công. Thông tin trong ghi chú viết tay bị hủy sau một ngày thì chỉ có thể dễ bị tấn công trong ngày hôm đó (với điều kiện bạn không lưu lại thông tin đó trong đầu). Điều này cũng đúng với các thiết bị của bạn; kẻ tấn công từ xa sẽ chỉ có cơ hội tấn công một thiết bị khi thiết bị đó được bật và chạy. Bằng cách tắt hoàn toàn các thiết bị của bạn khi không sử dụng, cửa sổ tấn công sẽ được thu nhỏ.
Còn có một lợi ích bảo mật khác khi tắt thiết bị của bạn. Vi-rút chỉ có thể thực hiện các hành động chừng nào mà phần mềm nó đã khai thác đang chạy. Để giải quyết vấn đề này, những kẻ tấn công sẽ cố gắng bám trụ dai dẳng trên thiết bị bị xâm nhập để vi-rút có thể hoạt động bất cứ khi nào thiết bị đang chạy. Khi bạn tắt thiết bị, điều đó có nghĩa là chỉ những phần mềm độc hại tinh vi hơn và có khả năng bám trụ dai dẳng mới có thể chống lại bạn về lâu dài. Bạn cũng nên cân nhắc xóa sạch mọi thứ trên thiết bị của mình và cài đặt lại thường xuyên nhất có thể để loại bỏ hầu hết – nhưng không phải tất cả – phần mềm độc hại bám trụ dai dẳng. Việc xóa sạch thường xuyên cũng sẽ khuyến khích bạn chỉ cài đặt những phần mềm mà bạn thực sự cần trên thiết bị của mình.
Các dịch vụ trực tuyến, chẳng hạn như dịch vụ lưu trữ đám mây, có thể đảm bảo rằng dữ liệu của bạn luôn sẵn có khi bạn cần. Tuy nhiên, các dịch vụ này có khả năng làm gia tăng cả bề mặt tấn công và cửa sổ tấn công bằng việc sao chép dữ liệu của bạn ở nhiều vị trí và luôn bật.
Do đó, giống như với các thiết bị của bạn, điều quan trọng là phải sử dụng một mật khẩu mạnh, duy nhất cho mọi dịch vụ trực tuyến. Mỗi mật khẩu phải là duy nhất – nếu không, khi một tài khoản bị xâm phạm, kẻ tấn công có thể lợi dụng mật khẩu lấy được để truy cập vào tất cả các dịch vụ khác mà bạn đã sử dụng cùng một mật khẩu. Ngay cả bất kỳ mô típ nào mà bạn sử dụng để tạo mật khẩu cũng có thể hữu ích với kẻ tấn công. (Bạn có thể kiểm tra xem tài khoản nào đó của bạn có bị xâm phạm do vi phạm dữ liệu hay không tại Have I Been Pwned?.)
Với số lượng lớn dịch vụ trực tuyến mà bạn có thể sử dụng, sẽ khó có thể tạo và ghi nhớ nhiều mật khẩu mạnh, duy nhất bằng cách sử dụng lời khuyên truyền thống. Thay vào đó, bạn có thể sử dụng trình quản lý mật khẩu mã hóa, chẳng hạn như 1Password hoặc LastPass, để tạo mật khẩu phù hợp và lưu trữ thông tin đăng nhập của bạn. Lưu ý rằng kẻ tấn công lấy được quyền truy cập vào dữ liệu trong trình quản lý mật khẩu của bạn có thể giành được quyền truy cập vào tất cả các tài khoản trực tuyến của bạn. Do đó, bạn phải đảm bảo rằng mật khẩu mà bạn sử dụng để đăng nhập vào trình quản lý mật khẩu của mình là mật khẩu mạnh, duy nhất và dễ nhớ, đồng thời bạn phải bật xác thực hai yếu tố. Vì bạn không thể sử dụng chính trình quản lý mật khẩu để lưu trữ mật khẩu này, bạn có thể sử dụng một trong hai phương pháp tương tự để tạo một mật khẩu mạnh nhưng dễ nhớ theo cách thủ công. Bạn cũng có thể sử dụng các phương pháp này để tạo mật khẩu cho tài khoản người dùng thiết bị của mình và mã hóa toàn đĩa:
Phương pháp cụm mật khẩu: Chọn một nhóm gồm từ 4 đến 6 từ không liên quan mà từ đó bạn có thể mường tượng ra một hình ảnh nào đó. Sau đó, thay thế số hoặc ký hiệu cho một số chữ cái trong những từ này (tuy nhiên cần tránh những cách thay thế phổ biến, được gọi là "leetspeak" (một phương pháp từ gõ sử dụng ký tự thay thế), chẳng hạn như 4 thay cho A và 3 thay cho E).
Phương pháp câu: Chọn một câu dài mà mà từ đó bạn có thể mường tượng ra một hình ảnh nào đó. Xây dựng mật khẩu từ chữ cái đầu tiên của mỗi từ và sau đó thay thế số hoặc ký hiệu cho một số chữ cái trong số này như đã nói ở trên (xin nhắc lại, tránh các cách thay thế thông thường).
Xin lưu ý rằng nếu bạn đã bật quyền truy cập sinh trắc học vào trình quản lý mật khẩu bằng cách sử dụng vân tay hoặc khuôn mặt, thì điều này cũng có thể cho phép kẻ tấn công có quyền truy cập mà không cần mật khẩu.
Xác thực hai yếu tố (2FA) là một biện pháp bảo mật bổ sung yêu cầu hai hình thức xác thực riêng biệt, khác nhau để có thể truy cập vào một thứ gì đó. Đối với dịch vụ trực tuyến hỗ trợ 2FA, yếu tố đầu tiên là cái gì đó mà bạn biết rồi (mật khẩu của bạn), với thứ gì đó mà bạn có (mã số từ ứng dụng xác thực) hoặc thứ gì đó thuộc về bạn (sinh trắc học sử dụng dấu vân tay, khuôn mặt hoặc giọng nói của bạn). Phương pháp này bổ sung một lớp bảo mật cho các tài khoản trực tuyến của bạn, vì kẻ tấn công sẽ không thể truy cập chỉ bằng mật khẩu của bạn.
Nói một cách chính xác, khi bạn được gửi mã số qua tin nhắn văn bản (thay vì sử dụng ứng dụng trình xác thực), thì đây là xác minh hai bước (2SV), vì đó là thứ được gửi cho bạn, không phải thứ bạn có. Thông tin dễ bị chặn bắt và bạn nên chọn sử dụng một ứng dụng xác thực, chẳng hạn như Authy, thay vì SMS nếu có thể lựa chọn. Nhưng xác minh hai bước vẫn an toàn hơn so với việc chỉ bảo vệ bằng mật khẩu.
Khi bạn truy cập Internet, nhà cung cấp dịch vụ Internet (ISP) của bạn có thể ghi lại các trang web mà bạn truy cập và có thể chia sẻ thông tin với các nhà chức trách. Bạn có thể sử dụng phần mềm, được gọi là VPN hay mạng riêng ảo, chẳng hạn như Mullvad, để gửi lưu lượng truy cập Internet của bạn qua một đường hầm được mã hóa từ thiết bị của bạn đến một trong các máy chủ của nhà cung cấp VPN và sau đó chuyển tiếp đến các trang web mà bạn đang truy cập. Cách này sẽ giúp che đậy địa chỉ IP của bạn khỏi các trang web đó, ISP của bạn và một số hình thức giám sát dựa trên mạng (mặc dù bạn vẫn có thể bị theo dõi theo những cách khác, chẳng hạn như lấy dấu vân tay trên thiết bị và trình theo dõi trang web).
VPN có thể hữu ích khi bạn truy cập Internet qua mạng công cộng hoặc mạng không đáng tin cậy, chẳng hạn như trong quán cà phê hoặc khách sạn. Nếu nhà cung cấp mạng chủ tâm gây hại, họ có thể giám sát lưu lượng truy cập trực tuyến của bạn và thậm chí lấy được mật khẩu truy cập vào các tài khoản trực tuyến của bạn. Vì VPN cung cấp một đường hầm bảo mật từ thiết bị của bạn đến một trong các máy chủ của nhà cung cấp VPN, nhà điều hành mạng sẽ không thể giám sát các hoạt động trực tuyến khác của bạn.
Xin lưu ý rằng nhà cung cấp VPN hoặc bất kỳ trung tâm dữ liệu bên thứ ba nào (và ISP của họ) mà họ sử dụng có thể duy trì nhật ký lưu lượng và những dữ liệu khác mà có thể được sử dụng để nhận diện và/hoặc theo dõi bạn. Máy chủ VPN cũng có thể được đặt tại một khu vực pháp lý có chế độ giám sát hàng loạt hoặc thu thập hàng loạt, chế độ này cũng có thể làm lộ danh tính và các hoạt động của bạn thông qua phân tích dữ liệu. Bạn cũng nên lưu ý rằng bản thân việc sử dụng VPN có thể gây ra cảnh báo hoặc mối nghi ngờ về bạn và ở một số quốc gia, VPN là bất hợp pháp hoặc do chính phủ kiểm soát.
Khi bạn xóa thông tin khỏi thiết bị hoặc phương tiện lưu trữ bên ngoài của mình, hiệu quả của việc này có thể khác nhau. Một ổ đĩa cứng (HDD) hầu như có thể bị xóa bằng cách ghi nhiều lần dữ liệu ngẫu nhiên vào toàn bộ vùng lưu trữ; tuy nhiên, điều này không thể thực hiện được trên các ổ đĩa thể rắn (SSD) hiện đại. Trên SSD, một lượng dữ liệu đáng kể được lưu giữ trong một khu vực dự phòng để hạn chế sự hao mòn của ổ đĩa. Điều này có nghĩa là không thể xóa an toàn phương tiện lưu trữ chứa dữ liệu không được mã hóa chỉ bằng phần mềm; việc tiêu hủy vật lý ổ đĩa đúng cách có thể là lựa chọn an toàn duy nhất. Nếu bạn đang sử dụng phương thức mã hóa toàn bộ ổ đĩa trên một thiết bị – bao gồm cả những thiết bị có SSD – thì nhu cầu xóa an toàn sẽ giảm bớt nhưng vẫn tồn tại.
Lưu ý rằng không phải tất cả thông tin của bạn đều sẽ được lưu trữ trên các thiết bị điện tử. Bạn nên lưu trữ an toàn mọi phương tiện vật lý có chứa thông tin nhạy cảm, chẳng hạn như sổ ghi chép hoặc bản in. Khi thông tin không còn cần thiết hoặc nếu việc tiếp tục duy trì thông tin tiềm ẩn rủi ro quá lớn, bạn nên tiêu hủy thông tin đó bằng cách sử dụng máy hủy tài liệu và đốt tài liệu đi, mặc dù phương pháp hiệu quả nhất sẽ khác nhau tùy từng phương tiện. Phải tiêu hủy sao cho hầu như không thể tái tạo được vật liệu ban đầu từ chất thải sau khi tiêu hủy. Tuyệt đối không bỏ thông tin nhạy cảm vào thùng rác, vì các nhà chức trách thường lục soát phế liệu của các ngôi nhà và văn phòng để phát hiện các tài liệu và thông tin gây tổn hại khác.