Tài liệu Ghi chép về bảo mật Gmail potx

Ghi chép về bảo mật Gmail

(và các webmail khác)

Posted on 29/04/2010

Ghi chép về bảo mật cho Gmail (và các webmail khác).

( Tiếp theo bài Ghi chép về mã hóa, một số khái niệm về mã hóa cần xem

trước trong bài đó)

Gửi, nhận email hoặc dùng webmail (Gmail, Yahoo Mail, …) hoặc dùng

một phần mềmemail client (KMail, Evolution, Thunderbird, Outlook,

Outlook Express, …). Bảo mật cho chúng về cơ bản vẫn là mã hóa và chữ

ký số với các công cụ như đã nói ở bài trước.

1. Bảo mật cho webmail

a- Bảo mật cho mật khẩu

Nếu người khác biết hoặc lấy được mật khẩu hộp thư của bạn, họ sẽ dễ

dàng xem trộm thư, gửi thư mang tên bạn. Vì vậy mật khẩu là cái cần bảo

vệ đầu tiên.

Gmail, Yahoo Mail và Hotmail đều có chế độ đăng nhập https://, tức là mã

hóa, bảo mật được mật khẩu truyền từ trình duyệt lên máy chủ

mail. Nếu mật khẩu truyền đi không mã hóa (http://), nó dễ dàng bị xem

trộm dọc đường truyền.

Mật khẩu có thể bị xem trộm ngay trên máy của bạn. Mật khẩu khi

lưu trong settings của trình duyệt (nếu chọn chế độ nhớ mật khẩu) có thể

bị đọc trộm bởi người (dùng các cách đã nói ở đây) hoặc bởi spyware nếu

không chọn chế độ lưu dùng master password. Khi gõ mật khẩu, phần

mềm trojan lẩn trong máy trạm có thể ghi lại được và gửi về cho hacker.

Vì vậy tốt nhất là không chọn chế độ lưu mật khẩu và tránh các phần

mềm có thể bị cài trojan như đã nói ở đây.

b- Bảo mật cho thư trên đường truyền từ máy trạm đến máy chủ

thư.

Gmail có thể thiết lập trong settings để luôn làm việc với https, kể cả khi

nhận và gửi thư, tức là thư gửi từ trình duyệt lên máy chủ Gmail và nhận

từ máy chủ về đều được mã hóa trên đường truyền giữa trình duyệt

và máy chủ. Yahoo Mail và Hotmail khi đăng nhập dùng https, khi vào

đến màn hình thư lại chuyển sang chế độ http. Như vậy, thư gửi/nhận giữa

trình duyệt và máy chủ không được mã hóa (?).

c- Bảo mật cho thư tại máy chủ thư và truyền đi nơi khác.

Không ai biết thư gửi từ máy chủ các dịch vụ mail đó đến máy chủ

nơi nhận có được mã hóa hay không. Nếu không, tức là thư có thể bị

xem trộm trên đường truyền giữa các máy chủ mail gửi và nhận.

Thư lưu trên máy chủ của Gmail chắc chắn là dưới dạng không mã hóa vì

Gmail dùng phần mềm scan nội dung thư của khách hàng, tìm ra các từ

khóa để có thể cho hiện các nội dung quảng cáo phù hợp ở bên phải màn

hình thư. Yahoo Mail và Hotmail chắc cũng thế. Đây là cái giá bạn trả cho

các dịch vụ miễn phí: cho phép phần mềm đọc thư của bạn. Nhưng như

vậy, về nguyên tắc, nhân viên của Gmail cũng có thể đọc thư của

bạn.

Vì thư lưu không mã hóa, nếu hacker xâm nhập được vào máy chủ

thư (như đã xẩy ra với Gmail và với hệ thống thư của bộ Quốc phòng Mỹ

gần đây), chúng sẽ dễ dàng sao chép và đọc thư. Không có máy chủ nào,

ngay cả của bộ Quốc phòng Mỹ, có thể đảm bảo là không bị hack.

d- Thư mạo danh hoặc bị thay đổi nội dung

Điểm yếu cuối cùng là các thư của các dịch vụ nói trên đều không có chữ

ký số. Vì vậy không có gì để xác định thư gửi từ [email protected] có

đúng là từ đó gửi đi không và còn nguyên bản không. Thư không có chữ

ký số rất có thể là một thư mạo danh hoặc đã bị thay đổi nội dung

trên đường truyền.

2. FireGPG

Hai extension của Firefox: FireGPG và gWebs MailCloak cho phép ký và

mã hóa các webmail. FireGPG tích hợp vào Gmail nhưng cũng có thể dùng

cho các webmail khác, chạy được trên Windows, Linux và MacOS.

MailCloak dùng được cho cả Gmail, Yahoo Mail và Hotmail, không có bản

cho Linux và vẫn còn trong giai đoạn thử nghiệm.

Khi đã ký và mã hóa được thư thì các nhược điểm nói ở trên của webmail

sẽ được khắc phục hoàn toàn.

FireGPG dựa trên phần mềm nguồn mở GPG (xem giải thích tại đây)

để: mã hóa, giải mã, ký và kiểm tra chữ ký đối với thư Gmail.