Ngày 22: Bảo mật và riêng tư cho thư điện tử
Bảo mật và riêng tư cho thư điện tử
Chào mừng đến với ngày thứ 22 trong “Thử thách 30 ngày bảo mật”, một tháng dài đầy rẫy thử thách do Cyber Space và 7onez thiết kế giúp bạn lấy lại quyền kiểm soát sự riêng tư và bảo mật trên không gian mạng.
Hôm nay chúng ta sẽ cùng bàn về bảo mật và tính riêng tư cho thư điện tử (email). Qua nhiều thập kỷ, email được sử dụng như một phương tiện đơn giản để giao tiếp trong thời đại kỹ thuật số, nhưng qua thời gian email trở thành bằng chứng về quyền sở hữu và là một phần của sự tồn tại kỹ thuật số của bạn. Ngày nay, email được sử dụng để xác thực danh tính trên mạng, để thay đổi mật khẩu và nhiều người sử dụng email như một hình thức để trao đổi riêng tư.
Bạn nghĩ rằng bật xác thực hai yếu tố kèm với một mật khẩu mạnh thì tài khoản của bạn sẽ an toàn và email cũng được bảo mật? Tuy nhiên trường hợp thư điện tử lại không như vậy. Email có thể bị can thiệp ngay tại máy tính của bạn, trong tài khoản của bạn, trên máy chủ email của doanh nghiệp, trong quá trình truyền gửi…. Mình sẽ không làm bạn nhàm chán bằng những thông tin chi tiết về các giao thức mà các nhà cung cấp dịch vụ email sử dụng hay các kỹ thuật mã hóa khác nhau hiện nay (mặc dù vậy mình vẫn sẽ bàn về PGP).
Hôm nay mình sẽ tập trung vào các tính năng bảo mật và riêng tư mà bạn có thể bật lên ngay bây giờ để khiến cho bên thứ ba khó có thể đọc được email của bạn.
Chạy một vài chương trình diệt virus như chúng mình đã cung cấp ở các bài trước sẽ giúp bạn nhận được cảnh báo nếu bất cứ mã độc nào đang chạy trên máy tính. Điều này sẽ gây ảnh hưởng đến tính bảo mật của email, ví dụ, nếu keylogger được cài đặt trên máy tính, chương trình này sẽ sao chép tất cả hành trình phím của bạn để gửi qua cho kẻ tấn công. Chương trình diệt virus hay quét mã độc chỉ phát hiện những vấn đề đã được biết tới trước đó, không nhất thiết phải là các cuộc tấn công hoàn toàn mới, và thi thoảng chương trình này còn cảnh báo nhầm phần mềm hoàn toàn hợp lệ là độc hại, vì vậy hãy để tâm tới lựa chọn phần mềm AV của bạn.
Để bảo vệ email của mình, hãy chắc chắn bạn đã bật xác thực hai yếu tố cùng với mật khẩu mạnh được tạo và lưu trữ trong chương trình quản lý mật khẩu. Như đã được nhắc tới trước đây, mình không lưu mật khẩu email vào Bitwarden bởi vì khi đó đây sẽ trở thành một mục tiêu tiềm năng để kẻ tấn công nhắm tới – cho nên người duy nhất biết được mật khẩu đó chỉ có mình, và mình đã bật xác thực hai yếu tố. À mình nhắc luôn là đừng có ghi mật khẩu đó ra bất cứ chỗ nào. Mình rất cảnh giác trong việc để mật khẩu email vào trình quản lý mật khẩu, tuy nhiên đó là bởi vì mình là một mục tiêu lớn hơn so với phụ thân của mình, ví dụ vậy.
Tuyệt đối, đặc biệt không bao giờ để điện thoại và laptop mà không được bảo vệ. Không được để chúng mở khóa bởi vì đó là cách chắc chắn cho phép kẻ nào đó tiếp cận và dễ dàng xem qua dữ liệu của bạn. Trong khi việc khóa máy tính của bạn và rời khỏi chiếc máy tính đó có thể ngăn chặn những tay trộm cắp vặt xâm nhập, tuy nhiên như vậy là chưa đủ để ngăn cản tội phạm mạng truy xuất dữ liệu của bạn. Hãy luôn nhớ khóa truy cập các thiết bị của mình thật cẩn thận.
Bạn cũng cần phải cẩn thận trước các cuộc tấn công lừa đảo hoặc kỹ nghệ xã hội. Chúng là những đoạn tin nhắn ngắn hay email giả mạo được thiết kế trông rất chân thật mà nạn nhân không thể nào nhận ra. Chúng được tạo ra để khiến bạn tự giao nộp thông tin của cá nhân của bản thân, ví dụ như địa chỉ email, mật khẩu, số thẻ tín dụng, địa chỉ nhà và những thông tin khác. Có bao giờ tự nhiên bạn được một người bạn gửi cho một đường dẫn để tải ứng dụng? Đây có thể là một trò lừa đảo câu trộm thông tin. Bạn nhận được một email từ một công ty yêu cầu bạn nhập số thẻ tín dụng để hoàn thành thanh toán? Nghe có vẻ đáng ngờ, đây cũng có thể là lừa đảo.
Bạn cũng cần xóa những liên lạc và email cũ bạn không còn dùng nữa. Lưu trữ email từ nhiều năm trước có thể là mối đe dọa tiềm tàng. Hãy suy nghĩ về điều này, liệu bạn có lưu một email cũ từ các giao dịch đã được thực hiện nhiều năm trước mà trong email có chứa địa chỉ nhà bạn? Những email cũ có thể chứa mật khẩu dạng văn bản thuần (plaintext) từ các trang web mà bạn sử dụng… Địa chỉ email là một mỏ vàng chứa đựng nhiều thông tin mà tội phạm quan tâm, vậy nên xóa những email không quan trọng là một biện pháp hữu hiệu để giảm thiểu thiệt hại nếu có kẻ nào đó đã có truy cập vào email của bạn.
Nếu bạn có nhiều địa chỉ email, đặc biệt là những địa chỉ cũ, cũng đã đến lúc bạn xóa các tài khoản cũ và cập nhật hồ sơ trên các trang bạn đã đăng nhập bằng tài khoản cũ đó. Mẹo hay: Thay đổi hồ sơ trực tuyến trước rồi mới xóa tài khoản email phòng trường hợp trang web gửi cho bạn email xác thực.
Cuối cùng, bạn hãy cân nhắc đến việc chọn nhà cung cấp dịch vụ email tốt hơn. Mình sử dụng Gmail và Protonmail nên sẽ tập trung vào hai dịch vụ này, thực tế còn rất nhiều nhà cung cấp khác để mình lựa chọn.
Gmail rất tuyệt vì hiện tại có cung cấp tính năng Bảo mật nâng cao (Advanced Protection) phù hợp cho những người hay bị nhắm đến như những người nổi tiếng và nhà báo. Dịch vụ này yêu cầu thêm một bước để đăng nhập (bằng cách sử dụng khóa vật lý xác thực hai yếu tố thay vì gửi mã đến điện thoại) và cũng khiến bạn khó đăng nhập lại hơn nếu vì lý do nào đó mà tài khoản bị khóa. Mặt tiêu cực đó là Gmail có thể bị đọc bởi Google và bạn biết điều này có thật vì Google lọc ra các quảng cáo dành riêng cho bạn, những quảng cáo này lại “vô tình” trùng hợp với các nội dung trong email mà bạn nhận hoặc gửi đi.
Trái ngược với Google, khi sử dụng Protonmail, chỉ một mình bạn mới có thể đọc được nội dung email của mình. Nếu bạn mất mật khẩu, Protonmail cũng không thể giúp được bởi vì chính sách của họ là không lưu trữ bất cứ thứ gì. Họ cũng cung cấp tính năng xác thực hai yếu tố và mã hóa đầu cuối nếu người nhận cũng sử dụng Protonmail. Nếu người nhận không sử dụng Protonmail, bạn vẫn có thể gửi cho họ tin nhắn mã hóa nhưng họ phải ấn vào đường dẫn và nhập mật khẩu bí mật bạn cung cấp. Điều này có vẻ không hoạt động đúng cho lắm nếu bạn không có cách khác để giao tiếp vì nếu bạn để mật khẩu trong email thì ai cũng có thể đọc được.
Protonmail không hoạt động với các phần mềm email có thể tải về. Họ cũng không theo dõi hay ghi lại nhật ký về các email của bạn.
Mỗi dịch vụ từ các nhà cung cấp như Google hay Protonmail đều cung cấp các giải pháp miễn phí cho tới một dung lượng lưu trữ nhất định. Cũng còn một số nhà cung cấp dịch vụ email ngoài kia ý thức về vấn đề riêng tư và khá dễ dàng để nhập và xuất email từ một nhà cung cấp này sang nhà cung cấp khác. Hãy luôn cân nhắc việc mình dễ bị nhắm đến như thế nào và liệu bạn có cần giải pháp email tốt nhất hay không, bởi mình làm về lĩnh vực bảo mật, cho nên mình thường xuyên trở thành mục tiêu. Mình khuyên các bạn nên tưởng tượng và xem xét kỹ lưỡng mọi tình huống khi một cuộc tấn công diễn ra, đến khi đó bạn sẽ không còn quá lo lắng nữa.
Ngày 22 đã hoàn thành! Hẹn gặp các bạn vào ngày 23!
mail[.]google[.]com
protonmail[.]com
Nguồn: Hiếu PC
# Bảo mật và riêng tư