01/08/2021
Giới thiệu về An ninh mạng - Cybersecurity.
Chương 3: Bảo vệ dữ liệu và quyền riêng tư của bạn.
Ngăn mật khẩu của bạn bị tấn công - To prevent your passwords from being hacked:
Để ngăn mật khẩu của bạn bị tấn công bởi kỹ thuật xã hội, vũ lực hoặc phương pháp tấn công từ điển và giữ an toàn cho tài khoản trực tuyến của bạn, bạn nên lưu ý rằng:
1. Không sử dụng cùng một mật khẩu, câu hỏi bảo mật và câu trả lời cho nhiều tài khoản quan trọng.
2. Sử dụng mật khẩu có ít nhất 16 ký tự, sử dụng ít nhất một số, một chữ hoa, một chữ thường và một ký hiệu đặc biệt.
3. Không sử dụng tên của gia đình, bạn bè hoặc vật nuôi trong mật khẩu của bạn.
4. Không sử dụng mã bưu điện, số nhà, số điện thoại, ngày sinh, số chứng minh nhân dân, số an sinh xã hội, v.v. trong mật khẩu của bạn.
5. Không sử dụng bất kỳ từ từ điển nào trong mật khẩu của bạn. Ví dụ về mật khẩu mạnh: ePYHc ~ dS *) 8 $ + V- ', qzRtC {6rXN3N \ RgL, zbfUMZPE6`FC%) sZ. Ví dụ về mật khẩu yếu: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, Nortonpassword.
6. Không sử dụng hai hoặc nhiều mật khẩu giống nhau mà hầu hết các ký tự của chúng đều giống nhau, ví dụ: ilovefreshflowersMac, ilovefreshflowersDropBox, vì nếu một trong những mật khẩu này bị đánh cắp, thì có nghĩa là tất cả các mật khẩu này đều bị đánh cắp.
7. Không sử dụng thứ có thể nhân bản (nhưng bạn không thể thay đổi) làm mật khẩu, chẳng hạn như dấu vân tay của bạn.
8. Không để các trình duyệt Web (FireFox, Chrome, Safari, Opera, IE, Microsoft Edge) lưu trữ mật khẩu của bạn, vì tất cả mật khẩu được lưu trong trình duyệt Web đều có thể bị lộ dễ dàng.
9. Không đăng nhập vào các tài khoản quan trọng trên máy tính của người khác hoặc khi được kết nối với điểm truy cập Wi-Fi công cộng, Tor, VPN miễn phí hoặc proxy web.
10. Không gửi thông tin nhạy cảm trực tuyến qua các kết nối không được mã hóa (ví dụ: HTTP hoặc FTP), bởi vì các thông báo trong các kết nối này có thể bị phát hiện mà không tốn nhiều công sức. Bạn nên sử dụng các kết nối được mã hóa như HTTPS, SFTP, FTPS, SMTPS, IPSec bất cứ khi nào có thể.
11. Khi đi du lịch, bạn có thể mã hóa các kết nối Internet của mình trước khi chúng rời khỏi máy tính xách tay, máy tính bảng, điện thoại di động hoặc bộ định tuyến của bạn. Ví dụ: bạn có thể thiết lập VPN riêng tư (với MS-CHAP v2 hoặc các giao thức mạnh hơn) trên máy chủ của riêng bạn (máy tính gia đình, máy chủ chuyên dụng hoặc VPS) và kết nối với nó. Ngoài ra, bạn có thể thiết lập một đường hầm SSH được mã hóa giữa máy tính và máy chủ của riêng mình và định cấu hình Chrome hoặc FireFox để sử dụng proxy vớ. Sau đó, ngay cả khi ai đó nắm bắt dữ liệu của bạn khi dữ liệu được truyền giữa thiết bị của bạn (ví dụ: máy tính xách tay, iPhone, iPad) và máy chủ của bạn bằng trình kiểm tra gói, họ sẽ không thể đánh cắp dữ liệu và mật khẩu của bạn từ dữ liệu phát trực tuyến được mã hóa.
12. Mật khẩu của tôi an toàn đến mức nào? Có lẽ bạn tin rằng mật khẩu của bạn rất mạnh, khó bị hack. Nhưng nếu một tin tặc đã đánh cắp tên người dùng và giá trị băm MD5 của mật khẩu của bạn từ máy chủ của công ty và bảng cầu vồng của tin tặc có chứa băm MD5 này, thì mật khẩu của bạn sẽ nhanh chóng bị bẻ khóa. Để kiểm tra độ mạnh của mật khẩu và biết liệu chúng có nằm trong các bảng cầu vồng phổ biến hay không, bạn có thể chuyển đổi mật khẩu của mình sang hàm băm MD5 trên trình tạo mã băm MD5, sau đó giải mã mật khẩu của bạn bằng cách gửi các hàm băm này tới dịch vụ giải mã MD5 trực tuyến. Ví dụ: mật khẩu của bạn là "0123456789A", sử dụng phương pháp brute-force, máy tính có thể mất gần một năm để bẻ khóa mật khẩu của bạn, nhưng nếu bạn giải mã nó bằng cách gửi mã băm MD5 (C8E7279CD035B23BB9C0F1F954DFF5B3) tới trang web giải mã MD5, thì làm thế nào nó sẽ mất bao lâu để crack nó? Bạn có thể tự mình thực hiện kiểm tra.
13. Bạn nên thay đổi mật khẩu của mình 10 tuần một lần.
14. Bạn nên nhớ một vài mật khẩu chính, lưu trữ các mật khẩu khác trong tệp văn bản thuần túy và mã hóa tệp này bằng 7-Zip, GPG hoặc phần mềm mã hóa ổ đĩa như BitLocker hoặc quản lý mật khẩu của bạn bằng phần mềm quản lý mật khẩu.
15. Mã hóa và sao lưu mật khẩu của bạn vào các vị trí khác nhau, sau đó nếu bạn mất quyền truy cập vào máy tính hoặc tài khoản của mình, bạn có thể lấy lại mật khẩu của mình một cách nhanh chóng.
16. Bật xác thực 2 bước bất cứ khi nào có thể.
17. Không lưu trữ các mật khẩu quan trọng của bạn trên đám mây.
18. Truy cập trực tiếp các trang web quan trọng (ví dụ: Paypal) từ bookmark, nếu không, vui lòng kiểm tra kỹ tên miền của nó, bạn nên kiểm tra mức độ phổ biến của một trang web bằng thanh công cụ Alexa để đảm bảo rằng đó không phải là trang web lừa đảo trước khi nhập mật khẩu của bạn.
19. Bảo vệ máy tính của bạn bằng tường lửa và phần mềm chống vi-rút, chặn tất cả các kết nối đến và tất cả các kết nối đi không cần thiết với tường lửa. Chỉ tải xuống phần mềm từ các trang có uy tín và xác minh tổng kiểm tra MD5 / SHA1 / SHA256 hoặc chữ ký GPG của gói cài đặt bất cứ khi nào có thể.
20. Giữ nguyên hệ điều hành (ví dụ: Windows 7, Windows 10, Mac OS X, iOS, Linux) và trình duyệt Web (ví dụ: FireFox, Chrome, IE, Microsoft Edge) trên thiết bị của bạn (ví dụ: Windows PC, Mac PC, iPhone, iPad , Máy tính bảng Android) được cập nhật bằng cách cài đặt bản cập nhật bảo mật mới nhất.
21. Nếu có các tập tin quan trọng trên máy tính của bạn và nó có thể bị người khác truy cập, hãy kiểm tra xem có các keylogger phần cứng (ví dụ: trình dò tìm bàn phím không dây), keylogger phần mềm và camera ẩn khi bạn cảm thấy cần thiết hay không.
22. Nếu có bộ định tuyến WIFI trong nhà bạn, thì bạn có thể biết mật khẩu bạn đã nhập (ở nhà hàng xóm) bằng cách phát hiện cử chỉ của ngón tay và bàn tay của bạn, vì tín hiệu WIFI mà họ nhận được sẽ thay đổi khi bạn di chuyển ngón tay và bàn tay. Bạn có thể sử dụng bàn phím ảo để nhập mật khẩu của mình trong những trường hợp như vậy, sẽ an toàn hơn nếu bàn phím ảo này (hoặc bàn phím mềm) thay đổi bố cục mỗi lần.
23. Khóa máy tính và điện thoại di động của bạn khi bạn rời khỏi chúng. Mã hóa toàn bộ ổ cứng bằng LUKS hoặc các công cụ tương tự trước khi đưa các tệp quan trọng vào đó và phá hủy ổ cứng của các thiết bị cũ nếu cần thiết.
25. Truy cập các trang web quan trọng ở chế độ riêng tư hoặc ẩn danh, hoặc sử dụng một trình duyệt Web để truy cập các trang web quan trọng, sử dụng một trình duyệt khác để truy cập các trang khác. Hoặc truy cập các trang web không quan trọng và cài đặt phần mềm mới bên trong máy ảo được tạo bằng VMware, VirtualBox hoặc Parallels.
26. Sử dụng ít nhất 3 địa chỉ email khác nhau, sử dụng địa chỉ email đầu tiên để nhận email từ các trang web và Ứng dụng quan trọng, chẳng hạn như Paypal và Amazon, sử dụng địa chỉ thứ hai để nhận email từ các trang web và Ứng dụng không quan trọng, sử dụng địa chỉ thứ ba (từ một nhà cung cấp email, chẳng hạn như Outlook và GMail) để nhận email đặt lại mật khẩu của bạn khi email đầu tiên (ví dụ: Yahoo Mail) bị tấn công.
27. Sử dụng ít nhất 2 số điện thoại khác mạng, KHÔNG cho người khác biết số điện thoại bạn sử dụng để nhận tin nhắn văn bản có mã xác minh.
28. Không nhấp vào liên kết trong email hoặc tin nhắn SMS, không đặt lại mật khẩu của bạn bằng cách nhấp vào chúng, ngoại trừ việc bạn biết những tin nhắn này không phải là giả mạo.
29. Không nói mật khẩu của bạn cho bất kỳ ai trong email.
30. Có thể một trong những phần mềm hoặc Ứng dụng bạn tải xuống hoặc cập nhật đã bị tin tặc sửa đổi, bạn có thể tránh sự cố này bằng cách không cài đặt phần mềm hoặc Ứng dụng này ngay lần đầu tiên, ngoại trừ việc nó được xuất bản để sửa các lỗ hổng bảo mật. Thay vào đó, bạn có thể sử dụng các ứng dụng dựa trên Web, an toàn hơn và di động hơn.
31. Hãy cẩn thận khi sử dụng các công cụ dán trực tuyến và công cụ chụp ảnh màn hình, đừng để chúng tải mật khẩu của bạn lên đám mây.
32. Nếu bạn là quản trị viên web, không lưu trữ mật khẩu người dùng, câu hỏi bảo mật và câu trả lời dưới dạng văn bản thuần túy trong cơ sở dữ liệu, bạn nên lưu trữ các giá trị băm muối (SHA1, SHA256 hoặc SHA512) của các chuỗi này. Bạn nên tạo một chuỗi muối ngẫu nhiên duy nhất cho mỗi người dùng. Ngoài ra, bạn nên đăng nhập thông tin thiết bị của người dùng (ví dụ: phiên bản hệ điều hành, độ phân giải màn hình, v.v.) và lưu các giá trị băm muối của chúng, sau đó khi họ cố gắng đăng nhập bằng mật khẩu chính xác nhưng thiết bị của họ thông tin KHÔNG khớp với thông tin đã lưu trước đó, hãy cho phép người dùng này xác minh danh tính của mình bằng cách nhập mã xác minh khác được gửi qua SMS hoặc email.
33. Nếu bạn là nhà phát triển phần mềm, bạn nên xuất bản gói cập nhật được ký bằng khóa cá nhân bằng GnuPG và xác minh chữ ký của gói đó bằng khóa công khai đã xuất bản trước đó.
34. Để giữ an toàn cho công việc kinh doanh trực tuyến của bạn, bạn nên đăng ký một tên miền của riêng mình và thiết lập một tài khoản email với tên miền này, sau đó bạn sẽ không bị mất tài khoản email và tất cả các địa chỉ liên hệ của mình, vì bạn có thể lưu trữ thư của mình máy chủ ở bất kỳ đâu, tài khoản email của bạn không thể bị vô hiệu hóa bởi nhà cung cấp email.
35. Nếu một trang mua sắm trực tuyến chỉ cho phép thanh toán bằng thẻ tín dụng, thì bạn nên sử dụng thẻ tín dụng ảo để thay thế.
36. Đóng trình duyệt web của bạn khi bạn rời khỏi máy tính, nếu không, các cookie có thể bị chặn bằng thiết bị USB nhỏ dễ dàng, giúp bạn có thể bỏ qua xác minh hai bước và đăng nhập vào tài khoản của mình bằng cookie bị đánh cắp trên các máy tính khác.
37. Không tin cậy và xóa các chứng chỉ SSL không hợp lệ khỏi trình duyệt Web của bạn, nếu không bạn sẽ KHÔNG thể đảm bảo tính bí mật và tính toàn vẹn của các kết nối HTTPS sử dụng các chứng chỉ này.
38. Mã hóa toàn bộ phân vùng hệ thống, nếu không, vui lòng vô hiệu hóa tệp trang và chức năng ngủ đông, vì bạn có thể tìm thấy các tài liệu quan trọng của bạn trong tệp pagefile.sys và hiberfil.sys.
39. Để ngăn chặn các cuộc tấn công đăng nhập brute force vào các máy chủ chuyên dụng, máy chủ VPS hoặc máy chủ đám mây của bạn, bạn có thể cài đặt phần mềm ngăn chặn và phát hiện xâm nhập như LFD (Login Failure Daemon) hoặc Fail2Ban.
