Nhân xem Ready Player One, nói một chút về bảo mật thông tin

Huyền thoại ★ ★

  Người quay số

Ready Player One là một phim hay, đúng vậy, nhưng không có nghĩa là nó không có sạn, thậm chí còn là sạn khá to. RPO là một thế giới tương lai nơi người ta sống trong thế giới ảo nhiều hơn thế giới thật, có nghĩa là một vấn đề cực kỳ quan trọng mà mỗi một người cần có, đó là sự bảo mật thông tin cá nhân. Vốn dĩ trong thời điểm hiện tại nó đã là thứ mà chả mấy ai tin là bảo mật 100% rồi, nhưng tôi phải nói là trong RPO thì coi bộ chả ai thèm quan tâm đến vấn đề này luôn. Bài viết này không mang nhiều tính học thuật, chỉ là bình loạn về một số vấn đề cơ bản mà dân chuyên hay không chuyên cũng đều có thể nhìn ra và hiểu được. Và tất nhiên, bài viết này sẽ phải đề cập đến tình tiết của phim, nên, dĩ nhiên là SPOILER ALERT.

Vấn đề số 1, đó là tính định danh, nghĩa là nếu bạn xác định là bạn éo muốn thằng nào biết mình là ai, đặc biệt khi bạn đang bị một cái công ti ác ma dí đuôi, thì bạn nên nói tạm biệt với mấy cái như thói quen thường ngày, sở thích cá nhân hay hơn nữa là mấy cái dấu hiệu đặc trưng trên cơ thể như vết bớt hay hình xăm đi là vừa. Thật tình thì có ai đang bị truy nã mà hiên ngang bước ra đường đi chợ, trên mặt cái hình xăm to lồ lộ như kiểu: “Ey, tao ở đây này, tụi bay khỏi mất công tìm kiếm nha!”. Có mấy cái dễ nhận dạng như vậy thì giấu cmn đi, che nó lại, thay kiểu tóc, đổi xe, thay chỗ ở luôn đi, cái này tưởng đơn giản mà éo ai thèm để ý luôn. Nếu bạn xem RPO sẽ nhận ra bên team của main dính cái vụ này 2-3 lần mà vẫn éo biết rút kinh nghiệm, seriously?

Vấn đề số 2, password. Cái này quá nhiều người nói và cũng quá nhiều vụ rò rỉ thông tin do password rồi. Password nên để dài ra, khó nhớ vừa thôi, nhưng cũng đừng để nó quá dễ đoán. Mấy pass ngắn ngắn rất dễ bị dò ra, nhất là khi sử dụng Brute-force (nghĩa là chạy hết các trường hợp khả dĩ), việc tìm ra pass chỉ là vấn đề thời gian, mà cũng khá nhanh. Phần mềm nó khôn thấy mẹ luôn chứ éo ngu đâu, ví dụ thay vì để pass là “Assassin”, bạn đổi thành “@ss@ss!n123” hay gì đó tương tự thế thì vẫn có giải thuật để giải ra thôi. Hơn nữa, cũng đã có thống kê khả năng dùng pass và độ phổ biến cả rồi, vì thế tốt nhất nên đặt pass kết hợp giữa chữ hoa, chữ thường, số, ký tự đặc biệt, blah blah, và nên để xen kẽ nhau. Có một điều khá là khó hiểu khi rất nhiều người, nhấn mạnh là rất nhiều người, đặt pass theo kiểu sinh nhật, tên tuổi, ngày crush ra đời, 123456 này nọ, đùa đấy à? Những cái như vậy là những cái bị dò ra đầu tiên luôn ấy. Sao bạn không thử đặt pass theo dãy số Fibonacci, số Pi, cấp số nhân, dãy số nguyên tố hay chơi hẳn một cái anagram (đảo chữ một cụm từ có nghĩa này thành một cụm từ có nghĩa khác) cho khó nhằn? Và nên thường xuyên update password, cái này khuyên thật, hơi rắc rối tí nhưng không hề thừa. Vài tuần nên thay pass 1 lần, kiểu như thêm 1 số, bớt 1 chữ, thay đổi vị trí vài ký tự, cho nó phức tạp thêm (nhưng đừng để phức tạp quá mà chính mình cũng éo nhớ nổi). Còn một chuyện nữa là password của bạn đủ dài và đủ phức tạp và dẫn đến cái tính lười là dùng 1 pass đó cho nhiều tài khoản khác nhau, rủi ro cũng có khi một tài khoản không đủ tính bảo mật. Vì vậy, đừng lười chuyện nghĩ pass và update pass, có lợi cho chính bản thân bạn thôi.

(Có 1 tips là nếu bạn muốn check xem cái password của mình có thể bị phá trong bao lâu thì bạn có thể vào trang https://howsecureismypassword.net/ để check thử. Dĩ nhiên sẽ có một số thuật toán khác để phá mã nhanh hơn nhưng hiện giờ thì việc dò ra được cũng còn tùy vào đặc điểm ngôn ngữ, cá tính các thứ của người dùng pass. Chứ nói thật thử hết mọi khả năng chắc mất đến vài triệu năm)

Cũng còn một cách khá là lầy lội, đó là dùng pass 2 tầng. Nói nôm na thế này: dùng 1 pass dài thấy mẹ (ta tạm gọi là pass A) + 1 key 4-5 chữ, dùng tool để mã hóa nó và tạo 1 pass B. Ta dùng pass B để làm pass cho những tài khoản mình muốn. Làm thế hơi mất thời gian và nói thật nếu thằng nào muốn phá pass của mình nó cũng chơi lầy thì nó vẫn có thể tìm được pass của mình. Nhưng ít ra thì cũng giảm thiểu khả năng pass bị dò ra bởi mấy phương pháp cổ điển (dựa trên đặc điểm ngôn ngữ, tính cách người đặt pass này nọ). Vì bản chất pass B là một dãy các ký tự ngẫu nhiên lộn xộn bỏ mẹ, đố nó dò theo cách thông thường được. Tool thì không thiếu, bạn có thể dùng https://aesencryption.net/ hay đơn giản hơn, đổi qua hệ nhị phân hay hệ hexa là xong.

Vấn đề thứ 3: đừng có làm lộ pass, và cũng đừng ghi pass ra giấy để bị lấy được, đặc biệt khi bạn là admin hay manager. Tốt nhất nên làm thêm một cái xác minh 2 bước + thường xuyên log out để tăng độ bảo mật. Nhưng thực ra việc xác minh 2 bước bằng OTP (One Time Pass) chỉ là một cách đảm bảo thêm và hạn chế phần nào khả năng bị phá acc thôi. Chứ các hacker trình cao vẫn dư sức phá được bằng kỹ thuật cướp phiên đăng nhập (đại khái là khi đang xác minh OTP thì bay vào phá, giống tình tiết team main hack máy của Sorrento trong phim). Nhưng nói gì thì nói, nhét thêm cái OTP vào vẫn hơn. Thế nhưng, xác minh 2 bước thì lại có cái màn khóa có sẵn để in ra phòng khi không cầm đt hay mail. Cái đó vẫn có thể thành tự tay phá team đấy nếu giữ ko kỹ. Đặc biệt là không sử dụng tính năng lưu password của trình duyệt trừ những acc không có nhiều giá trị. Hiện giờ không thiếu tool để phá pass thông qua tính năng lưu pass của trình duyệt đâu. Không những thế, thường xuyên kiểm tra vị trí đăng nhập của mình. Facebook hay Gmail đều có tính năng đó để người dùng kiểm tra. Và nhớ bật Firewall, dùng Anti Virus, dùng mấy ứng dụng bảo mật web nữa. Lão Nolan Sorrento đường đường là CEO của một tập đoàn công nghệ hẳn hoi mà để pass ngu thấy mẹ (ngắn + dễ dò), để pass công khai, và sao cả cái công ty mà éo ai thèm để ý đến việc lập thêm giao thức bảo mật, để đến nỗi mấy đứa con nít chưa đầy 20 tuổi bay vào hack như đúng rồi. GGWP, Nolan Sorrento.

Vấn đề thứ 4, luôn luôn nên tạo một kết nối an toàn để nói chuyện, nhất là khi có chuyện quan trọng. Dĩ nhiên Facebook hay Google cũng đều có giao thức bảo mật của nó qua kênh truyền. Nhưng vấn đề quan trọng mà bạn khơi khơi nói chuyện ở một mạng công cộng như quán café, trà chanh hay 1 mạng wifi free nào đó thì đúng là chơi dại, nhất là nếu như bạn còn dùng máy public nữa. Và có lỡ đăng nhập vào máy public thì hãy dùng ngay combo thần thánh “Ctrl + Shift + N” hoặc dùng Tor Browser. Và nếu bạn dùng chế độ bình thường thì dùng xong xóa cookie lẹ lẹ đi, vì dù bạn có log out thì thông tin acc, phiên đăng nhập các thứ vẫn còn lưu cả ở trong cookie. Tốt nhất là dùng xong xóa lịch sử duyệt web gấp, click chọn xóa tất cả và thế là xong. Giả sử nếu như trong OASIS, nếu tôi có trò gì quan trọng, như manh mỗi kiếm chìa khóa chẳng hạn, thì điều đầu tiên tôi làm, chắc chắn là xây 1 kết giới hay một giao thức mã hóa thông tin nào đó thì tùy cơ chế, rồi muốn nói sao thì nói. Chứ không có vô tư vào quán bar nhạc sàn các thứ, vừa nhảy vừa nói như thanh niên Parzival để bị mò ra trong 5s đâu. Ở ngoài đời cũng vậy, chắc cùng lắm chỉ là ở 1 chỗ khó nghe lén hay không có thiết bị ghi âm + sắm mấy thiết bị chặn sóng, phá sóng hay gì thôi. Thật sự có một số người có tư duy kiểu kiếm chỗ nào kín kín mà nói, thì cái đó hơi ngu vì mấy chỗ kín thật ra là mấy chỗ dễ nghe lén nhất. Còn mấy chỗ đông, ồn ào nhiều khi lại hay vì tạp âm rất nhiều, thành ra ít bị để ý (trừ phi đang bị ai đó dí sát vô nghe, vụ này thì hên xui)

Vấn đề thứ 5, cái này nói mãi rồi, đó là làm ơn đừng có truy cập link lạ, không rõ nguồn (lỡ mà dính trojan hay malware thì bỏ mẹ)! Thêm nữa là hạn chế hiển thị thông tin cá nhân ra public, thiết lập quyền riêng tư,… Xài phần mềm diệt virus, bảo mật mạng, giao thức, fake id ở mấy máy public cho mấy thằng nghe lén khỏi dò chơi. Không nên cài các app trên điện thoại không rõ nguồn gốc hoặc nếu ham quá thì cũng coi chừng cái phần cấp quyền cho nó (như Flappy Bird mà đòi cấp quyền xem danh bạ hay tin nhắn là có mùi nguy hiểm rồi đó) – và đặc biệt né né mấy cái app của các anh Tàu ra cho nó lành. Cái chuyện này cũng hên xui lắm, lỡ đâu cho người yêu mượn điện thoại rồi nó cài bậy bạ các thứ thì cũng chết. Thằng bạn tôi từng mượn điện thoại người yêu chừng 1 tiếng và hôm sau nó cho tôi xem ké một chút các file ghi âm và video người yêu nó làm cái mẹ gì trong phòng tắm luôn, đm best friend!

Chốt lại, tôi vẫn khuyên các bạn là nên tư duy như một thằng hacker, nghĩa là đứng góc độ người tấn công để xem có khả năng sẽ phá pass mình kiểu nào và từ đấy cứ phòng thủ. Cái này không cần bạn phải có trình độ cao hay gì cả. Ấy thế mà vẫn có (cơ số) người dù bảo mật cao đến đâu vẫn bị phá như thường, chỉ vì pass quá ngu hay ghi lên giấy và dán ở 1 nơi để thiên hạ nhìn vào là biết ráo. Những cái phương pháp ở trên cũng chỉ mang tính tương đối, vì xưa giờ chưa có hệ thống nào gọi là an toàn 100% cả (mà nếu có thì không thực tế). Vấn đề là bạn bảo mật ra làm sao để nếu bị lộ, hoặc là thông tin vô giá trị so với công sức dành ra để chôm, hoặc thông tin lỗi thời (kiểu như thông tin úp sọt team địch lúc CN tuần này, mà phá ra thì đến tuần sau mới thành công thì lúc đấy mọi sự xong cmnr).

Bài viết này, ý tưởng gốc là của bạn Quang Huy Nguyễn, edit, chỉnh sửa bởi Hải Stark tôi. Hy vọng nó giúp ích phần nào cho các bạn.

Hải Stark

Huyền thoại ★ ★

  Người quay số
They can keep their own heaven, their own galaxy. To me, when I'm gone, I'd sooner go to Middle-Earth, to a galaxy far, far away...

Gửi bài cho HSBT!

Không cần là một người viết chuyên nghiệp, không cần văn trên 7 điểm. Tất cả những gì chúng tui cần là các bạn cứ thoải mái tâm sự về tựa game bạn yêu thích. Bài viết của bạn sẽ được đăng trên website với hơn 150.000 lượt xem mỗi tháng.

Trò chuyện