TẠI SAO MẬT KHẨU ICLOUD LẠI BỊ MẤT VÀ LÀM CÁCH NÀO ĐỂ PHÒNG CHỐNG?
Việc mất tài khoản iCloud để bị khống chế máy đòi tiền chuộc ở Úc tưởng chừng không liên quan đến Việt Nam nhưng có vẻ như điều đó không còn đúng nữa sau khi một số bạn thành viên Tinhte.vn báo cáo ngày hôm qua.
Nguyên nhân làm cho tài khoản iCloud bị mất còn là một ẩn số, nó có thể
là lỗi của Apple hoặc lỗi của người dùng. Trong bài viết này mình sẽ
phân tích các ngữ cảnh có thể làm lộ tài khoản iCloud của bạn cũng như
các tài khoản Internet khác và sợ bộ cách khắc phục. Chúng ta sẽ có loạt
bài chi tiết về bảo mật 2 lớp cho các tài khoản Google, Apple,
Facebook, Microsoft và Yahoo trong vài ngày tới.
Trước hết, mời bạn xem qua
mindmap dưới, nó tóm tắt tất cả những gì trong bài viết này, nếu bạn đã
hiểu thì cũng không cần đọc xuống dưới cho mất công
Có 3 phần chính có thể đề cập tới, là lỗi của Apple, lỗi của người dùng hoặc bị bạn bị tấn công
1) Nếu lỗi của Apple:
Trường hợp lỗi của Apple thì chỉ có thể là do máy chủ bị tấn công và làm
mất các file chưa mật khẩu, tài khoản. Thông thường các file này đều
được mã hóa và phải tốn rất nhiều thời gian để giải mã, thậm chí là
không giải được. Hơn thế nữa, hầu hết các hãng lớn đều chứa các file tài
khoản, mật khẩu và thông tin thẻ tín dụng trong những máy chủ khác nhau
nhằm tránh trường hợp bị mất, do vậy bạn cũng không cần lo lắng quá
nhiều về việc này.
Trước đây thì eBay hay Sony từng bị tấn công và lộ hàng loạt tài khoản
nhưng thông tin thẻ tín dụng vẫn được giữ an toàn. Apple cho rằng máy
chủ của họ không bị tấn công và bạn nên tin điều đó, nguyên tắc đạo đức ở
các công ty Âu Mỹ là rất nghiêm ngặt, họ buộc phải công bố nếu bị tấn
công thành công như vụ eBay và Sony trước đó.
Có một số bạn cho rằng lộ iCloud là do nhân viên Apple lấy ra, đó thường
là suy nghĩ của các bạn sinh viên hay học sinh chưa đi làm. Ngay cả ở
một diễn đàn nhỏ như Tinhte.vn thì admin cũng không bao giờ biết được
mật khẩu của bạn (do chức năng mã hóa thông tin của các nền tảng forum
ví dụ như Xenforo hoặc vBulletin). Tất cả các thông tin đó đều được mã
hóa hết và rất khó để bẻ khóa. Ở những công ty lớn như Apple hay Google
thì hệ thống xác thực thông tin còn phức tạp hơn nữa nên việc một/nhiều
nhân viên kết hợp lại tống tiền rất hiếm khi xảy ra.
Giải thích thêm: thực chất các công ty lớn hay website tầm cỡ vẫn có
khả năng để lộ pass hoặc admin vẫn có thể xem được mật khẩu của người
dùng. Bởi vì nếu họ không dùng các nền tảng phổ biến như Xenforo mà lại
tự phát triển một website hoặc một forum riêng (tức là tự viết lại từ
A-Z) thì họ hoàn toàn nằm được hết mọi thông tin do người dùng nhập vào,
dù cho có mã hóa nó đi chăng nữa thì khả năng giải mã được vẫn rất cao.
2) Nếu lỗi của người dùng:
Lỗi đầu tiên là lỗi phổ biến nhất ở Việt Nam: nhờ tạo giùm tài khoản do
không rành hoặc lười tạo. Một khi đã nhờ tạo thì bạn nên đổi hết tất cả
các mật khẩu, thông tin sau khi tạo. Nếu sử dụng các chương trình chia
sẻ game, app miễn phí cũng nên gỡ tài khoản đó ra khỏi máy. Vui lòng xem
chi tiết:
Hướng dẫn tạo tài khoản iTunes (Apple ID, iCloud) hoàn toàn miễn phí
Hướng dẫn thay đổi mật khẩu và thông tin tài khoản iTunes
Các topic nhờ tạo tài khoản có đầy trên các diễn đàn
Lỗi thứ 2 là các bạn tạo mật khẩu xong lại viết ra giấy hoặc lưu
vào những nơi rất dễ truy xuất như ứng dụng Note, Evernote trên máy
tính, điện thoại mà không đòi hỏi mật khẩu để xem. Khắc phục lỗi này rất
dễ, sử dụng iCloud keychain hoàn toàn miễn phí nếu bạn chỉ dùng hệ sinh
thái của Apple hoặc các phần mềm quản lý, tạo mật khẩu như 1Password
iCloud keychain là gì và sử dụng nó hiệu quả
Thông tin về 1Password
Lỗi thứ 3 cùng là một trường hợp hay gặp khác: dùng chung một mật khẩu
cho nhiều tài khoản. Cách khắc phục cũng y như trên, chỉ tạo một mật
khẩu gốc cực kỳ phức tạp và dùng nó quản lý tất cả các mật khẩu con được
tạo ra ngẫu nhiên bằng iCloud keychain hay 1Password.
iCloud keychain trên Mac sẽ tự tạo mật khẩu cho bạn
Có một cách khác khắc phục là dùng bảo mật 2 lớp. Kể cả khi kẻ
trộm đã biết mật khẩu của chúng ta thì họ cũng không thể đăng nhập được
mà phải nhập thêm một dãy 4-6 số nữa được tạo ra từ ứng dụng trên điện
thoại hoặc tin nhắn mà Google, Apple, Microsoft, Facebook… gửi tới.
Hướng dẫn sử dụng bảo mật 2 lớp sẽ có trong vài ngày tới.
3) Bị tấn công:
Đầu tiên, khả năng dễ xảy ra nhất khi bạn bị tống tiền là người thân
biết mật khẩu và tống tiền bạn. Nghe thì có vẻ cay đắng nhưng lại thường
rất chính xác. Nếu bạn đang chia sẻ tài khoản Apple
ID cho nhiều người sử dụng thì chỉ nên dùng tài khoản đó để mua và tải
ứng dụng và tách riêng một tài khoản Apple ID cho iCloud. Mình đang dùng
kiểu này và không bao giờ chia sẻ mật khẩu iCloud với bất cứ ai.
Khả năng thứ 2 là máy bạn bị trojan, Keylogger hay virus. Có nhiều người
tin tưởng rằng máy Mac không bị virus nhưng thỉnh thoảng bạn cũng nên
cài đặt 1 ứng dụng để quét và gỡ bỏ nó ra sau đó. Các máy tính Windows
dễ bị lây nhiễm hơn nên cần kiểm tra thường xuyên hơn. Chú ý: không dùng
phần mềm chống virus ..... vì có thể bạn bị lây nhiễm từ đó.
Khả năng thứ 3 là lỗi cực kỳ dễ gặp: sử dung chế độ lưu mật khẩu trên
các trình duyệt phổ biến: Chrome, Firefox và Safari. Người dùng Firefox
không nên và cũng không bao giờ nên dùng chế độ này, bất cứ ai cũng có
thể xem được mật khẩu bạn đã lưu mà không cần bất cứ một thao tác nhập
mật khẩu hay kiểm tra nào. Với Firefox thì bạn phải sử dụng Master
Password (mặc định không được kích hoạt).
- Người dùng Chrome hay Safari an toàn hơn một chút nhưng chỉ cần nhập
mật khẩu để mở máy là toàn bộ password sẽ hiện ra. Khi cho mượn máy
chúng ta thường hay đưa luôn cả mật khẩu máy, đây là hành vi thiếu khôn
ngoan. Tốt nhất bạn nên tạo một tài khoản Khách (Guest) trước khi cho
mượn hoặc nếu gấp thì nên tự tay mở khóa máy và không nên đưa mật khẩu
đó. Lưu ý là Chrome trên Windows không yêu cầu mật khẩu để xem.
Safari và Chrome yêu cầu nhập mật khẩu máy để coi password nhưng Firefox không cần
Trường hợp cuối cùng: bị quét mạng (sniff). Trên thực tế thì đây là chỗ
chúng ta bị mất mật khẩu rất nhiều, đặc biệt là ở quốc gia wifi miễn phí
khắp mọi nơi như Việt Nam. Tài khoản Apple ID không bị mất theo cách
này vì tất cả mọi thông tin đều được truyền tải theo HTTPS hay vì HTTP
không mã hóa như bình thường. Thế nhưng nếu bạn sử dụng chung một mật
khẩu cho nhiều tài khoản thì sẽ bị dính chắc. Ở một số quán cafe như
Coffee Beans ở Hàn Thuyên thậm chí còn chặn tất cả các trang web không
có HTTPS. Mình sẽ có một bài viết riêng về sniff mạng để các bạn hiểu rõ
hơn.
Để khắc phục sniff thì:
- Bạn chịu khó dùng 3G phát sóng WiFi mỗi khi muốn đăng nhập gì đó rồi chuyển sang WiFi của quán sau
- Không bao giơ đăng nhập vào những quán có WiFi open (WiFi open nhưng bắt phải nhập mã để xài vẫn chấp nhận được).
- Không bao giờ cho mượn máy mà không theo dõi khi ở các quán cafe hay
nơi có WiFi công cộng, chỉ cần 1 phút để đổi gateway máy bạn là họ đã
có thể sniff rồi.
- Nên mua VPN, khi đã dùng VPN thì tất cả các thông tin gửi lên và xuống đều là miễn phí.
Dùng VPN để an toàn hơn khi kết nối Internet
http://www.tinhte.vn/threads/tai-sao-mat-khau-icloud-lai-bi-mat-va-lam-cach-nao-de-phong-chong.2306983/
Không có nhận xét nào:
Đăng nhận xét