Bảo mật tiền mã hóa: mật khẩu và xác thực

Buổi phát trực tiếp này bao gồm các thực hành bảo mật thiết yếu dành cho những người nắm giữ tiền mã hóa, từ các nguyên tắc cơ bản về quản lý mật khẩu đến xác thực đa yếu tố. Andreas Antonopoulos hướng dẫn các nguyên tắc cân bằng giữa bảo mật và tính dễ sử dụng, giải thích lý do tại sao trình quản lý mật khẩu là cần thiết, giới thiệu khái niệm cụm mật khẩu XKCD và trình bày chi tiết về hệ thống phân cấp của các phương thức xác thực hai yếu tố.

Bản ghi lời thoại này là một bản sao dễ tiếp cận của bản ghi lời thoại video gốc (opens in a new tab) được xuất bản bởi aantonop. Nó đã được chỉnh sửa đôi chút để dễ đọc hơn.

Các nguyên tắc cơ bản về bảo mật và cân bằng rủi ro (3:05)

(tiếng bíp) - Xin chào mọi người và chào mừng đến với buổi phát trực tiếp vào thứ Bảy này. Buổi phát trực tiếp bổ sung này có chủ đề về mật khẩu, trình quản lý mật khẩu, xác thực, xác thực đa yếu tố và tất cả những thứ liên quan đến bảo mật tài khoản của bạn. Hiện tại chúng ta đã có rất nhiều câu hỏi đang chờ, nhưng tôi sẽ không nhất thiết phải tập trung chủ yếu vào các câu hỏi trong buổi này, vì tôi muốn giải thích một số chủ đề khó. Và có lẽ sẽ hợp lý hơn nếu tôi nói về một chủ đề dài hơn bình thường một chút, hoặc có thể ngắn hơn bình thường một chút và tự định hình cách tiếp cận của riêng mình qua các chủ đề này. Chúng hơi phức tạp. Bảo mật là một chủ đề phức tạp. Vì vậy, thay vì cố gắng tìm ra một câu hỏi hoàn hảo, tôi có thể sẽ không làm vậy. Mặt khác, tôi cũng có một số câu hỏi tuyệt vời để chúng ta bắt đầu. Vì vậy, trước hết, cảm ơn tất cả các bạn đã tham gia. Thật là một niềm vinh hạnh

như mọi khi được dành những buổi sáng thứ Bảy của mình để cùng các bạn tìm hiểu các chủ đề mới và thú vị liên quan đến Bitcoin và các Blockchain mở. Vậy, mật khẩu và xác thực đa yếu tố liên quan như thế nào đến Bitcoin và các Blockchain mở? Chà, bạn biết đấy, để duy trì tính bảo mật cho tiền mã hóa của mình, bạn phải duy trì tính bảo mật cho tất cả các tài khoản của mình. Một điều rất thú vị về tiền mã hóa là đối với nhiều người, đây là lần đầu tiên họ phải suy nghĩ cẩn thận về tính bảo mật của danh tính trực tuyến và các thiết bị trực tuyến của mình. Bởi vì bây giờ có tiền ở đó và điều đó khiến nó trở thành một mục tiêu béo bở hơn nhiều. Trước đây, mọi người không có nhiều động lực để bảo vệ an ninh của chính mình vì khi bạn mất quyền riêng tư, khi thông tin của bạn bị hack, bạn không thực sự cảm nhận được điều đó ngay lập tức. Và nó có rất nhiều hậu quả tồi tệ, nhưng những hậu quả đó không trực tiếp

hiển hiện và không thể cảm nhận ngay lập tức. Nếu ai đó xâm nhập và đánh cắp vài trăm đô la hoặc vài nghìn đô la hoặc tệ hơn là hàng chục nghìn đô la từ các thiết bị kỹ thuật số của bạn, bạn sẽ cảm nhận được điều đó, và bạn cảm nhận được điều đó ngay lập tức. Và bạn có thể liên hệ nó một cách hữu hình, à cụ thể là vô hình. Bạn có thể liên hệ nó một cách vô hình, nhưng rất, rất rõ ràng với bảo mật của bạn. Vì vậy, thật không may, đó là một trong những bài học mà người ta chỉ thực sự học được qua một trải nghiệm đau đớn. Và vì vậy, tôi có thể dành nhiều thời gian để nói với những người mới cách thức và lý do tại sao phải bảo mật tài khoản của họ. Cho đến khi họ cài đặt một ví nóng tiền mã hóa trên một trong các thiết bị của mình, và sau đó mất số tiền trong ví nóng đó. Rất khó để hiểu, hoặc có động lực từ những gì tôi đang nói. Bây giờ, một điều khác thực sự quan trọng cần hiểu trong toàn bộ cuộc trò chuyện này là bảo mật

là một sự cân bằng. Tất cả đều xoay quanh sự cân bằng. Đó là quản lý rủi ro. Không có gì gọi là bảo mật 100%. Không có gì gọi là bảo mật hoàn hảo. Và bạn không thể bảo vệ khỏi mọi mối đe dọa. Bạn phải tìm ra những mối đe dọa mà bạn phải đối mặt. Bạn phải tìm ra bao nhiêu trong số những mối đe dọa đó mà bạn thực sự có thể phòng vệ và bạn sẽ bỏ ra bao nhiêu nỗ lực để bảo vệ khỏi những mối đe dọa đó, tùy thuộc vào những gì bạn thực sự đang bảo vệ. Bạn cũng phải nhận ra khi nào giải pháp mà bạn đang xây dựng, các hệ thống mà bạn đang sử dụng trở nên quá phức tạp, đến mức bản thân nó trở thành một rủi ro bảo mật. Và chúng ta thường thấy những người mới, đặc biệt là trong không gian tiền mã hóa, tạo ra các giải pháp quá phức tạp. Và sau đó chúng ta kết thúc ở phía sai lầm của sự cân bằng về khả năng phục hồi bảo mật. Nơi mà cơ chế bảo mật tiền mã hóa của bạn phức tạp đến mức trên thực tế, bạn lại

đánh mất nó vì bạn đang sử dụng một thứ gì đó không theo tiêu chuẩn, vì bạn quên mật khẩu, vì không ai biết chính xác bạn đã làm gì và bạn không có mặt để giúp họ. Vì vậy, bảo mật không thể đạt được một trăm phần trăm và tất cả đều xoay quanh sự cân bằng. Và sự đơn giản thường là một yếu tố then chốt của bảo mật. Các giải pháp bảo mật đơn giản mà bạn có thể áp dụng trong khả năng kỹ thuật của mình và bạn có thể áp dụng một cách nhất quán. Và bạn có thể khôi phục nếu gặp sự cố, sẽ tốt hơn các giải pháp bảo mật phức tạp buộc bạn phải vượt quá trình độ kỹ năng của mình, đưa bạn vào vùng lãnh thổ chưa được khám phá và khiến bạn dễ mắc sai lầm hơn. Đây thường là điều mà bạn nghe thấy, với rất nhiều lời khuyên tồi tệ. Mọi người sẽ khuyên bạn triển khai một cơ chế bảo mật có vẻ rất, rất phức tạp. Và vì nó quá phức tạp, nó mang lại cảm giác an toàn. Cảm giác như có một

Giữ cho bảo mật đơn giản (8:40)

có rất nhiều thứ đang diễn ra, vì vậy nó hẳn phải rất phức tạp và nghiêm túc. Và trong nhiều trường hợp, bạn sẽ vượt quá khả năng kỹ thuật của mình và thực sự mất tiền, không phải do bị trộm, mà do một sai lầm bạn mắc phải vì bạn đang hoạt động ngoài mức kỹ năng của mình. Vì vậy, hãy giữ cho nó đơn giản. Hãy giữ cho nó dựa trên các tiêu chuẩn. Hãy sử dụng các phương pháp hay nhất, các công cụ phổ biến và sử dụng chúng một cách nhất quán. Như vậy chúng ta có thể rất an toàn. Chúng ta sẽ đi thẳng vào, chúng ta sẽ đi thẳng vào câu hỏi đầu tiên. Đã có 220 người trên luồng phát sóng cho đến nay. Cảm ơn các bạn đã phản hồi cho tôi về video và âm thanh. Thật tốt khi biết điều đó. Chỉ để các bạn biết, chúng tôi đã gặp một chút sự cố gián đoạn điện sớm hơn vào hôm nay tại địa điểm này, và nếu chúng tôi mất điện, các bạn sẽ biết vì luồng phát sóng sẽ dừng lại. Và phải mất tối thiểu năm phút để bộ định tuyến internet và wifi

khởi động lại. Tôi có thể quay lại, ngay cả khi chỉ mất điện một giây, tôi sẽ phải đợi năm phút trước khi có thể quay lại. Nếu tôi không thể quay lại, chúng tôi sẽ cho các bạn biết trong phần trò chuyện. Vì vậy, xin hãy kiên nhẫn và tôi hy vọng chúng ta không bị cắt kết nối. Nhưng bạn biết đấy, đó là một trong những rủi ro mà chúng ta phải quản lý hôm nay. Hãy đến với câu hỏi đầu tiên của chúng ta trong ngày. Câu hỏi đầu tiên đến từ một người ẩn danh và việc chọn từ ẩn danh để đặt câu hỏi là cơ chế bảo mật đầu tiên và rất tốt. Cách tốt nhất để quản lý nhiều mật khẩu mạnh, độc nhất là gì nếu tôi mắc chứng khó đọc và không giỏi ghi nhớ các mật khẩu dài? Đây là một câu hỏi tuyệt vời. Nó là một câu hỏi tuyệt vời vì nó đề cập đến một vấn đề rộng hơn, đó là sự khó khăn trong việc ghi nhớ mọi thứ. Và tất cả chúng ta đều nghĩ rằng mình có thể nhớ tốt hơn

khả năng thực tế của mình. Và một số người trong chúng ta gặp khó khăn với trí nhớ hoặc việc đọc, viết hoặc bất kỳ kỹ năng nào khác giúp chúng ta ghi nhớ mật khẩu. Và có thể biết rằng họ không thể nhớ tốt lắm. Vì vậy, người ẩn danh hỏi điều này từ góc độ của một người mắc chứng khó đọc, nhưng, điều này áp dụng như nhau cho tất cả mọi người. Bất kỳ ai có trí nhớ dễ mắc sai lầm của con người. Con người thực sự rất tệ trong việc ghi nhớ trong thời gian dài, đặc biệt là những thứ không đáng nhớ vì chúng không gắn liền với hình ảnh, trải nghiệm hoặc cảm xúc. Việc ghi nhớ những thứ không có mối liên hệ nào với cuộc sống của chúng ta gần như là không thể vì bộ não của chúng ta rất giỏi trong việc tối ưu hóa và loại bỏ những thông tin không liên quan. Nếu bạn không có một cảm xúc, một trải nghiệm, một hình ảnh kết nối với những gì bạn đang cố gắng ghi nhớ, bộ não sẽ nói rằng, điều này không còn liên quan đến thuật toán lưu trữ bộ nhớ đệm của tôi nữa và sẽ loại bỏ nó. Và rất nhiều

người quên mật khẩu chính xác là vì lý do đó. Vì vậy, tôi thực sự sẽ sử dụng một vài tài nguyên ở đây để trả lời câu hỏi này một cách rộng hơn và giúp mọi người có được nền tảng về các nguyên tắc cơ bản của mật khẩu. Vì vậy, đối với điều đó, tôi sẽ sử dụng một số công cụ hỗ trợ trực quan. Tôi không thường sử dụng các công cụ hỗ trợ trực quan, nhưng tôi nghĩ chúng sẽ hữu ích trong trường hợp cụ thể này. Hãy xem nó diễn ra như thế nào. Được rồi, vậy điều đầu tiên chúng ta sẽ nói đến, là các hệ thống quản lý mật khẩu. Trong nhiều thập kỷ, chúng ta đã đào tạo người dùng tạo ra các mật khẩu chữ và số ngẫu nhiên, dài với nhiều loại ký tự trong đó. Đây là những mật khẩu mà con người không thể nhớ được. Đây là những mật khẩu thực sự khuyến khích hành vi xấu. Chúng khuyến khích hành vi mà cuối cùng bạn sử dụng cùng một mẫu lén lút, Satoshi Nakamoto với các chữ O được thay thế bằng số không và chữ cái đầu tiên của từ thứ hai được viết hoa và chữ T được thay thế

bằng số bảy và dấu thăng ở cuối. Và bây giờ bạn đã có số, chữ thường, chữ hoa và chữ cái. Nhưng nếu bạn phải sử dụng nó ở nhiều trang web, bạn sẽ thực hiện một thay đổi nhỏ. Sau đó, bạn có thể phải thêm một số ở cuối. Và rồi bạn kết thúc với vấn đề trí nhớ thực sự hóc búa này, đó là các trang web đang thúc đẩy bạn tạo ra sự biến thể, nhưng sự biến thể khiến bạn không thể thực sự nhớ được, đặc biệt là với mật khẩu có độ phức tạp như thế này. Và vì vậy, cuối cùng bạn sử dụng lại mật khẩu của mình trên nhiều trang web. Đây là điều mà hầu như mọi người đều làm. Và điều này rất, rất tồi tệ đối với bảo mật. Bây giờ, một trong những tài nguyên tốt nhất để hiểu cách giải quyết vấn đề này thực ra là một bộ phim hoạt hình. Vì vậy, những gì tôi sẽ làm là cung cấp cho bạn hai lời khuyên. Lời khuyên đầu tiên là đừng cố gắng tự tạo mật khẩu của riêng bạn,

Trình quản lý mật khẩu (13:50)

hãy sử dụng trình quản lý mật khẩu. Trình quản lý mật khẩu là một phần mềm tạo ra các mật khẩu ngẫu nhiên cho bạn và ghi nhớ chúng giúp bạn. Những hệ thống này giải quyết hai vấn đề: trí nhớ của con người có thể sai sót và khả năng tạo tính ngẫu nhiên của con người thậm chí còn tệ hơn. Chúng ta rất kém trong việc tạo ra sự ngẫu nhiên. Chúng ta rất kém trong việc ghi nhớ và chúng ta còn tệ gấp đôi trong việc ghi nhớ những thứ ngẫu nhiên. Vì vậy, bạn không thể khắc phục vấn đề này bằng cách kỷ luật hơn, thông minh hơn hay cẩn thận hơn. Bạn không thể giải quyết nó bằng cách dán giấy nhớ lên màn hình và làm tất cả những việc bạn thấy ở đây, đúng không? Những điều mà bạn luôn thấy ở các văn phòng. Viết mật khẩu ra giấy không phải là một ý tồi. Miễn là vị trí bạn ghi lại thực sự an toàn. Vì vậy, hình thức cơ bản nhất của trình quản lý mật khẩu là một cuốn sổ nhỏ, một cuốn sổ mật khẩu. Và, bạn biết đấy, dù tôi có nói rằng nó không hiện đại cho lắm, nó

không tiên tiến về mặt công nghệ và không giải quyết được vấn đề tạo mật khẩu ngẫu nhiên. Thành thật mà nói, đó là giải pháp mà bố mẹ tôi sử dụng. Bởi vì nếu họ viết ra, họ có thể có nhiều mật khẩu đa dạng hơn. Và nếu họ cất giữ cuốn sổ nhỏ đó ở một vị trí an toàn, ví dụ như ở nhà, trong một ngăn kéo có khóa hay thứ gì đó tương tự, thì đó là một cơ chế khá bền vững. Bây giờ, hầu hết các bạn có lẽ am hiểu công nghệ hơn bố mẹ tôi. Vì vậy, hãy nói về một giải pháp tốt hơn cho bạn. Một giải pháp tốt hơn là tải phần mềm để làm việc này thay bạn. Có rất nhiều trình quản lý mật khẩu. Và tin tuyệt vời là đối với các chức năng cơ bản, chúng đều miễn phí. Bạn có thể sử dụng một sản phẩm như LastPass, 1Password, Bitwarden và rất nhiều sản phẩm khác như KeePass, v.v. Bây giờ, những phần mềm này sẽ

có một loạt các tính năng khác nhau và bạn sẽ cần tìm ra những tính năng nào bạn thực sự cần. Lời khuyên của tôi là hãy bắt đầu bằng việc xác định loại thiết bị nào bạn cần sử dụng, bởi vì một trong những lợi thế lớn của việc sử dụng trình quản lý mật khẩu thực tế là bạn có thể đồng bộ hóa tất cả mật khẩu trên tất cả các thiết bị của mình. Vì vậy, nếu bạn sử dụng Windows, Android và iOS, thì có lẽ khá dễ dàng. Tất cả các trình quản lý mật khẩu sẽ hỗ trợ tất cả các nền tảng đó và bạn sẽ ổn thôi. Bạn cũng muốn nó hỗ trợ trên các trình duyệt mà bạn sử dụng. Chẳng hạn như Chrome, Firefox, Edge, Opera, Brave, hoặc bất kỳ trình duyệt nào khác mà bạn đang sử dụng dưới dạng tiện ích mở rộng, để bạn có thể tự động điền và gửi mật khẩu vào các biểu mẫu trên web. Tôi nghĩ tất cả các bạn đều thấy máy quay video của tôi vừa báo đầy thẻ nhớ. Ngay trên luồng phát trực tiếp, điều đó

thật là "hữu ích". Vâng, thẻ SD của tôi vừa đầy, vì vậy tôi không còn ghi hình trên máy quay nữa. Rất tiếc. Ồ, thôi, đừng bận tâm. Hãy tiếp tục. Vì vậy, một trong những cách bạn cần làm để chọn trình quản lý mật khẩu là xác định những thiết bị nào bạn cần hỗ trợ. Và nếu bạn có một số thiết bị lạ thì điều đó sẽ trở nên phức tạp hơn một chút. Ví dụ, tôi sử dụng Linux trên máy tính để bàn. Tôi đã sử dụng Linux trên máy tính để bàn trong một thời gian rất dài. Và, bạn biết đấy, tôi nghĩ năm nay thực sự là năm của Linux trên máy tính để bàn. Điều đó sẽ xảy ra mọi người ạ. Không, không phải đâu. Nhưng dù sao đi nữa, tôi sử dụng nó, nó hiệu quả với tôi, nhưng nó không được hỗ trợ rộng rãi. Vì vậy, không phải tất cả các trình quản lý mật khẩu đều hoạt động hoặc hoạt động tốt trên máy tính để bàn Linux. May mắn thay, hầu hết các trình quản lý mật khẩu đều hoạt động trong trình duyệt dưới dạng tiện ích mở rộng, điều này khiến chúng hầu như đa nền tảng. Vì vậy, đối với tôi, một

Chọn trình quản lý mật khẩu trên nhiều thiết bị (18:22)

trình quản lý mật khẩu cần phải hoạt động trên Android, Windows, Linux, Chrome, Firefox, iOS, vân vân. Để tôi có thể cài đặt nó trên tất cả các thiết bị của mình và do đó có thể truy cập tất cả mật khẩu trên mọi thiết bị. Được rồi. Vậy để trả lời câu hỏi của một bạn ẩn danh, cách tốt nhất để quản lý nhiều mật khẩu mạnh, duy nhất nếu tôi mắc chứng khó đọc và không giỏi nhớ các mật khẩu dài là gì? Cách tốt nhất là sử dụng một trình quản lý mật khẩu, nó sẽ tạo ra các mật khẩu mạnh, duy nhất một cách ngẫu nhiên cho bạn. Và, một khi bạn đã chọn được một trình quản lý mật khẩu, thì bạn chỉ cần thiết lập một mật khẩu và mật khẩu duy nhất đó chính là mật khẩu cho trình quản lý mật khẩu của bạn. Tôi cũng khuyên bạn nên sử dụng cơ chế xác thực hai yếu tố để không ai có thể dễ dàng đăng nhập và tải xuống tệp mật khẩu của bạn chỉ bằng một mật khẩu đó. Bạn cần một yếu tố xác thực thứ hai. Chúng ta sẽ nói

về điều đó trong phần hai của video hôm nay. Chúng ta cũng có một câu hỏi tiếp theo từ khán giả, đó là làm sao tôi có thể tin tưởng phần mềm này? Chà, câu trả lời đơn giản là bạn hãy tìm kiếm phần mềm được sử dụng rộng rãi, được đánh giá và kiểm toán bởi các chuyên gia bảo mật, hoặc là mã nguồn mở, hoặc tất cả những điều trên. Và tôi nghĩ tất cả những phần mềm tôi đã đề cập trước đó đều đáp ứng các yêu cầu này. Bây giờ hãy quay lại điều tôi đã đề cập trước đó, đó là, hãy nhớ khi tôi nói rằng bảo mật không bao giờ là 100% và bảo mật là vấn đề cân bằng và giảm thiểu rủi ro. Vậy bây giờ hãy đặt hai rủi ro này lên bàn cân. Rủi ro thứ nhất, tôi có thể tin tưởng trình quản lý mật khẩu không? Và điều gì sẽ xảy ra nếu trình quản lý mật khẩu tôi tải xuống bị xâm phạm hoặc có nguy cơ bị xâm phạm, hoặc có một lỗi mà không được nhận ra bởi hàng triệu người dùng khác và các chuyên gia bảo mật đang

đánh giá nó? Rủi ro thứ hai, tôi có thể tin tưởng bộ não của mình không? Chà, nếu bạn đặt vấn đề theo cách đó, thì rõ ràng là bất kỳ trình quản lý mật khẩu nào cũng tốt hơn là không có trình quản lý mật khẩu. Đây cũng chính là kiểu quản lý rủi ro mà chúng ta thực hiện khi nói về ví phần cứng so với ví phần mềm trong lĩnh vực tiền mã hóa. Tôi có thể tin tưởng nhà sản xuất ví phần cứng không? Chà, ở một mức độ nào đó, chứ không phải 100%. Vẫn có một số rủi ro ở đó. Những rủi ro đó so với việc không có ví phần cứng thì như thế nào? Và một lần nữa, câu trả lời là bất kỳ ví phần cứng nào cũng tốt hơn là không có ví phần cứng. Vậy những rủi ro mà bạn thực sự có thể quản lý là gì? Điều quan trọng khi bạn tìm nguồn tải trình quản lý mật khẩu này là bạn phải đảm bảo mình có đúng phần mềm chuẩn. Rằng bạn không chỉ tải nó xuống từ một trang web ngẫu nhiên nào đó, với một mã giảm giá Groupon, cho một thứ vốn dĩ đã miễn phí, và

sau đó rước luôn một Trojan vào hệ thống của bạn. Nhưng quay lại vấn đề chính, bất kỳ trình quản lý mật khẩu nào cũng tốt hơn là không có. Và vì vậy, bạn không nên cố gắng tự tạo ra các mật khẩu duy nhất. Nếu một trang web yêu cầu bạn nhập mật khẩu gồm chữ và số dài từ tám ký tự trở lên, hãy làm như tôi. Bạn nhấp vào cái nút nhỏ có ghi là tạo mật khẩu an toàn. Bạn đặt độ dài thành 31 ký tự, 75 ký tự, 213 ký tự. Tôi thích trêu đùa với các trang web để xem tôi có thể làm cho mật khẩu dài đến mức nào trước khi chúng bắt đầu la lên rằng thế là quá dài. Sau ngần ấy năm các trình quản lý mật khẩu và hệ thống la hét vào mặt tôi rằng, thế là chưa đủ dài. Thế là chưa đủ phức tạp. Tôi muốn thấy các trang web bắt đầu la lên rằng thế là quá dài. Thế là quá phức tạp. Thôi nào anh bạn, anh đang làm cái quái gì vậy? Cơ sở dữ liệu của tôi không thể chứa nổi thứ đó. Vì vậy, hãy tạo một mật khẩu ngẫu nhiên và mạnh. Bây giờ, tôi có thể nhớ được mật khẩu này không?

Tất nhiên là không. Tôi có 800 mật khẩu trong các trình quản lý mật khẩu của mình, tất cả đều dài hơn 20 ký tự, hoàn toàn là chữ và số ngẫu nhiên với các ký hiệu, chữ hoa, chữ thường và số. Tôi không thể nào nhớ nổi một trong số đó, huống hồ là cả 800 cái, nhưng tôi nhớ mật khẩu chính của mình. Được rồi, hãy xem chúng ta còn những câu hỏi nào khác. Và chuyển sang câu hỏi tiếp theo, điều này sẽ cho tôi cơ hội để nói về chủ đề tiếp theo mà tôi muốn đề cập. Một bạn ẩn danh hỏi, liệu có tiêu chuẩn bảo mật khả thi tối thiểu nào cho mật khẩu hoặc cụm mật khẩu không, khi tôi sử dụng trình tạo mật khẩu mạnh thì nó lại không hoạt động cho nhiều thứ. Đúng vậy. Các trang web có những kỳ vọng nực cười đối với mật khẩu, và thường thì đó là những kỳ vọng tồi tệ. Ví dụ, chúng khuyến khích những thông tin mâu thuẫn nhau. Để tôi cho bạn một ví dụ. Mật khẩu phải dài hơn tám ký tự, gồm chữ và số cùng với các ký hiệu và chữ số, nhưng chúng tôi đã vô hiệu hóa tính năng dán vào biểu mẫu. Cái gì cơ

Các chính sách mật khẩu tồi tệ (24:02)

bạn đang làm gì vậy? Bạn đang làm cái quái gì vậy? Tại sao bạn lại yêu cầu tôi chọn một mật khẩu phức tạp mà rõ ràng là tôi sẽ dùng trình tạo mật khẩu, rồi sau đó lại không cho phép tôi dán nó vào. Hoặc không cho phép tôi dán nó vào phần xác nhận của biểu mẫu? Bạn bị điên à? Bạn đang làm gì vậy? Dừng việc đó lại đi. Hoặc những mật khẩu khác yêu cầu từ 8 đến 12 ký tự. Thật sao? Bạn muốn tôi tạo mật khẩu phức tạp, nhưng không được quá phức tạp. Vậy nên tôi không thể dùng 13 ký tự, điều đó thật vô lý. Hoặc những sự kết hợp ký hiệu kỳ quặc. Ồ vâng, chúng tôi cho phép dùng ký hiệu, nhưng chỉ được dùng dấu thăng, dấu chấm than và dấu sao. Dấu nháy đơn và dấu a còng (@) thì chúng tôi không nhận vì điều đó sẽ làm rối regex (biểu thức chính quy) của chúng tôi. Tất cả những điều này thực sự, thực sự là những chính sách mật khẩu rất tồi tệ. Hoặc chính sách yêu cầu thay đổi mật khẩu mỗi tháng, nhưng không được sử dụng lại bất kỳ mật khẩu nào từ tháng trước và phải giữ cho chúng

phức tạp một cách kỳ quặc như vậy. Đây đều là những chính sách mật khẩu kỳ lạ và bạn sẽ bắt gặp rất nhiều chính sách như thế này. Điểm mấu chốt là bạn không thể kỳ vọng các trang web khác nhau của các công ty khác nhau, với các đội ngũ bảo mật, chính sách bảo mật và mức độ nhận thức về bảo mật khác nhau, có thể tìm ra một chính sách tốt phù hợp với hầu hết người dùng của họ. Hãy nhớ rằng, họ đang cố gắng phục vụ những người dùng trải dài từ việc "tôi đang cố nhập một mật khẩu ngẫu nhiên dài 37 ký tự được tạo từ trình quản lý mật khẩu của mình" cho đến "12345678". Đây dường như là mật khẩu phổ biến nhất trên internet, hoặc "password1234", mà tôi nghĩ là mật khẩu phổ biến thứ hai trên internet. Vì vậy, việc tìm ra một chính sách phù hợp với tất cả những người này là rất, rất khó đối với các trang web. Vậy nên những gì tôi làm

là tôi cứ tiếp tục thử. Tôi sẽ ném vào một mật khẩu được tạo ngẫu nhiên theo kiểu tôi thích, bạn biết đấy, 37 ký tự và đủ loại ký hiệu. Và rồi trang web sẽ phàn nàn và nói, tôi không thực sự thích dấu sao, tại sao bạn lại làm thế với tôi? Vậy là tôi sẽ tắt một vài ký hiệu, hoặc nó sẽ nói mật khẩu quá dài, nên tôi sẽ làm cho nó ngắn lại. Hoặc nó sẽ nói, thực ra tôi cũng cần ít nhất hai chữ in hoa, nhưng không được bắt đầu bằng một con số. Và tôi kiểu, Ugh, thôi nào. Tôi sẽ cứ thử đi thử lại cho đến khi được thì thôi. Nhưng dù tôi có nhận được kết quả nào đi chăng nữa, nó sẽ luôn có hai sự đảm bảo. Nó sẽ dài và phức tạp, đồng thời nó sẽ được tạo hoàn toàn ngẫu nhiên chứ không dựa vào bộ não con người để tạo ra hay ghi nhớ nó. Và tôi đang sử dụng mức độ phức tạp cao nhất có thể. Được rồi, vậy một người ẩn danh

đã đặt câu hỏi tiếp theo cho chúng ta, điều này cho phép tôi tiếp tục câu chuyện này. Có thể là một câu hỏi ngớ ngẩn, nhưng chẳng phải trình quản lý mật khẩu được đặt trên đám mây và do đó có thể dễ dàng trở thành mục tiêu của các hacker sao? Câu hỏi rất hay, người ẩn danh. Đây là cách các công cụ này hoạt động. Một bản sao lưu cơ sở dữ liệu mật khẩu của bạn được lưu trữ trên đám mây. Tuy nhiên, bản sao lưu đó đã được mã hóa và nó được mã hóa đầu cuối (end-to-end). Nghĩa là nó được mã hóa trên máy cục bộ của bạn. Nó được gửi lên đám mây dưới dạng đã mã hóa, và nó chỉ được giải mã lại trên máy cục bộ của bạn. Cách nó được mã hóa và giải mã là sử dụng mật khẩu chính (master password) của bạn. Và bản thân mật khẩu chính đó được đưa qua một thứ gọi là bộ kéo dài (stretcher). Và những gì bộ kéo dài làm là nó sử dụng một thuật toán kéo dài mật khẩu nếu bạn muốn gọi như vậy, thực ra nó là một thuật toán băm (hashing algorithm). Những gì nó làm là lấy các từ hoặc ký tự mà bạn nhập vào làm mật khẩu chính

của mình, và sau đó đưa nó qua hàng ngàn vòng băm. Quá trình này mất thời gian và kết quả là tạo ra một mật khẩu không thể bị tấn công brute force. Bởi vì giả sử tôi nhập một mật khẩu và mã hóa nó hoặc băm nó một lần rồi gửi nó đến máy chủ. Tuyệt vời, điều đó sẽ dễ bị tấn công bởi một phương pháp khá dễ dàng, được gọi là bảng cầu vồng (rainbow table). Những gì sẽ xảy ra tiếp theo là kẻ tấn công sẽ lấy tất cả các mật khẩu phổ biến nhất mà bạn có thể tưởng tượng, băm chúng và tạo ra một cơ sở dữ liệu gồm các mã băm của mật khẩu có thể được sử dụng cho cuộc tấn công đó. Mặt khác, hoặc tôi có thể cứ thử đi thử lại các mật khẩu khác nhau cho đến khi tìm được mật khẩu đúng. Một cuộc tấn công brute force điển hình. Nhưng nếu mỗi mật khẩu được băm 25.000 lần hoặc 50.000 lần, hoặc một trăm ngàn lần, mỗi khi tôi

Cách các cơ sở dữ liệu mật khẩu được mã hóa (29:19)

việc gõ nó vào máy tính của tôi mất hai đến ba giây. Điều này không thành vấn đề đối với tôi. Hai đến ba giây cho lần đầu tiên tôi đăng nhập vào trình duyệt hoặc máy tính của mình để khởi động trình quản lý mật khẩu, chỉ hai đến ba giây. Nhưng nếu bạn phải thêm hai đến ba giây mỗi lần gõ mật khẩu, chà, điều đó hoàn toàn phá hỏng phương pháp tấn công brute force (dò mật khẩu). Nó cũng khiến việc tạo ra cơ sở dữ liệu gồm các mã băm mật khẩu được tính toán trước trở nên bất khả thi, bởi vì sẽ mất quá nhiều thời gian để thử nghiệm dù chỉ vài nghìn tổ hợp. Và nếu mật khẩu chính của bạn đủ phức tạp, sẽ cần nhiều hơn vài nghìn tổ hợp mật khẩu để tạo ra nó. Vì vậy, cơ sở dữ liệu mật khẩu thường được mã hóa bằng một thuật toán mã hóa dựa trên tiêu chuẩn khá đơn giản. AES256 có lẽ là thuật toán phổ biến nhất được sử dụng cho việc này, nhưng nó đại loại như

vậy. Đó là một thuật toán mã hóa đối xứng sử dụng một khóa duy nhất, một khóa riêng tư để mã hóa và giải mã dữ liệu. Cùng một khóa được sử dụng cho cả quá trình mã hóa và giải mã, đó là lý do tại sao nó được gọi là thuật toán mã hóa đối xứng. Và khóa đó được tạo ra bằng cách băm liên tục cụm mật khẩu chính của bạn. Vì vậy, miễn là bạn chỉ nhập cụm mật khẩu chính trên thiết bị cục bộ và thiết bị đó đáng tin cậy, thì bạn sẽ có được mức độ an toàn cao. Đúng vậy, cơ sở dữ liệu mật khẩu nằm trên đám mây, nhưng nó đã được mã hóa và không ai có thể mở được trừ khi họ có cụm mật khẩu chính của bạn, thứ mà bạn không bao giờ gõ trên bất kỳ thiết bị nào khác ngoài thiết bị của chính mình. Tất nhiên, vẫn có một số vấn đề ở đó. Bởi vì nếu bạn có một phần mềm theo dõi thao tác bàn phím (keylogger) trên thiết bị cục bộ của mình, thì nó có thể bắt được lúc bạn gõ cụm mật khẩu chính. Nhưng thú vị thay, điều đó sẽ không

đủ đối với một kẻ tấn công nếu bạn có xác thực hai yếu tố và lý do nó không đủ đối với kẻ tấn công là vì họ có thể lấy được cụm mật khẩu chính của bạn, nhưng họ không thể tải xuống cơ sở dữ liệu đã mã hóa từ đám mây nếu không có xác thực yếu tố thứ hai, thứ mà hy vọng là được gắn với máy tính của bạn hoặc một thứ gì đó khác. Và họ không có yếu tố thứ hai đó, chúng ta sẽ nói thêm về xác thực hai yếu tố trong chốc lát. Chúng ta đang xây dựng các lớp bảo vệ. Tôi không biết bạn có thấy những gì chúng ta đang làm ở đây không, nhưng đúng vậy, chúng ta đang xem xét từng vấn đề có thể xảy ra và thêm vào các lớp bảo mật. Bảo mật không phải là kiểu 'đây là một thứ có thể ngăn chặn mọi rủi ro'. Bảo mật là đặt các rào cản trên đường đi của kẻ tấn công. Và đúng vậy, bạn có thể phá vỡ rào cản này, nhưng ngay phía sau nó là một rào cản khác. Và rồi nếu bạn phá vỡ rào cản đó, ngay phía sau nó lại có

một rào cản khác. Và nếu tôi làm cho các rào cản đủ mạnh, đồng thời có vô số lớp bảo mật chồng lên nhau, và tôi cũng đảm bảo rằng các kỹ năng bạn cần để phá vỡ một lớp sẽ khác với các kỹ năng bạn cần để phá vỡ một lớp khác. Và tôi đảm bảo rằng các công cụ và ngân sách bạn cần để phá vỡ một lớp sẽ khác với lớp kia. Thì cơ hội để bạn vượt qua tất cả các lớp này mà tôi không nhận ra, mà tôi không ngăn chặn và vượt qua thành công, hoặc thậm chí thực hiện điều đó trên quy mô lớn nhắm vào rất, rất nhiều nạn nhân sẽ bị giảm đi rất, rất nhiều. Và đó là toàn bộ mục đích. Được rồi, tôi sẽ uống nhanh một ngụm cà phê ở đây và trò chuyện với các bạn một chút trên khung chat trong khi tôi đi tìm các câu hỏi khác mà, vâng, các câu hỏi khác mà bạn có thể muốn hỏi. Để tôi đưa lên một

trang nhỏ, tôi muốn cảm ơn tất cả những người ủng hộ (patron) đã giúp tôi có thể thực hiện loại tài liệu giáo dục này trong khi tôi uống cà phê từ chiếc cốc mới của mình có dòng chữ 'rules without rulers' (luật lệ không cần người cai trị). Một trong những bài nói chuyện phổ biến hơn của tôi gần đây. Nó đi kèm với một biểu tượng Bitcoin nhỏ màu cam. Ôi Chúa ơi, ngừng quảng cáo cho chúng tôi đi, chúng tôi sẽ mua đồ lưu niệm của anh mà. Hãy tiếp tục với nội dung hay đi. Một giây thôi. Và chúng ta đã quay lại. Được rồi, tôi có thể đặt cái này sang một bên. Tôi sẽ xoay nó lại để trông cho đẹp. Xong rồi. Được rồi. Vì vậy, tôi đang xem qua các câu hỏi để cố gắng tìm một câu cho phép tôi tiếp tục câu chuyện nhỏ này một cách súc tích nhất có thể. Vậy bây giờ chúng ta hãy nói về các cụm mật khẩu và để làm điều đó, tôi sẽ nhờ đến sự trợ giúp từ Bruce, người đã hỏi: suy nghĩ về việc sử dụng các mật khẩu mạnh làm cụm mật khẩu cho ví.

Cụm mật khẩu ví và BIP-39 (35:02)

Và những gì Bruce đang nói ở đây là cụm mật khẩu tùy chọn có sẵn cho những người sử dụng cụm từ gợi nhớ BIP-39. Nó cũng được biết đến như là từ thứ 25 vì các cụm từ gợi nhớ thường có 24 từ. Và về mặt lý thuyết, nếu bạn thêm một từ thứ 25, nhưng thay vì thêm một từ thứ 25, chúng ta sẽ gọi nó đúng với bản chất thực sự, đó là một cụm mật khẩu tùy chọn, và có thể bao gồm nhiều hơn một từ. Vì vậy, đó là một cụm mật khẩu ví. Đó là một cụm mật khẩu tùy chọn bổ sung mà bạn thêm vào cụm từ gợi nhớ của mình để làm cho cụm từ gợi nhớ có thêm yếu tố xác thực thứ hai. Để nếu ai đó đánh cắp 24 từ được viết trên một mảnh giấy trong văn phòng của bạn chẳng hạn, thì họ không thể ngay lập tức lấy tiền của bạn vì còn có cụm mật khẩu ví. Bây giờ, hãy nhớ lại khi chúng ta nói về một mật khẩu duy nhất, mật khẩu chính được

sử dụng trong trình quản lý mật khẩu. Và chúng ta đã nói rằng mật khẩu đó được băm liên tục và điều đó giúp ngăn chặn việc tấn công dò mật khẩu. Chà, điều tương tự cũng được thực hiện với cụm mật khẩu tùy chọn và cụm từ gợi nhớ trong tiêu chuẩn BIP-39. Một thuật toán kéo dài mật khẩu có tên là PBKDF2 được sử dụng để kéo dài nó bằng SHA-512 thông qua việc áp dụng 2000 vòng SHA-512. Bây giờ đây là một sự thỏa hiệp, đó là một sự thỏa hiệp trong tiêu chuẩn BIP-39 bởi vì tiêu chuẩn BIP-39, tiêu chuẩn cụm từ gợi nhớ cho các ví phải có khả năng chạy trên các thiết bị ví phần cứng, vốn là những thiết bị USB nhỏ cỡ này và không có nhiều sức mạnh xử lý. Vì vậy, việc thực sự chạy 2000 vòng SHA-512 mất vài giây. Hai, ba giây. Bây giờ điều đó có nghĩa là, thật không may, nó không phải là sự bảo vệ quá tốt, nó đủ dùng, nhưng nó có thể bị dò

mật khẩu nếu bạn có một máy tính mạnh hơn nhiều. Vì vậy, nếu bạn sử dụng GPU chẳng hạn, hoặc thậm chí tốt hơn là một ASIC được thiết kế cho SHA-512 hoặc một thiết bị FPGA cho SHA-512, thì bạn thực sự có thể thực hiện 2000 vòng chỉ trong một phần nhỏ của giây. Và do đó, bạn có thể thử hàng trăm, có lẽ hàng nghìn mật khẩu hoặc cụm mật khẩu mỗi giây, trên cùng một seed. Điều này sẽ cho phép bạn tấn công một cụm từ gợi nhớ BIP-39 có cụm mật khẩu tùy chọn, với một lượng phần cứng phù hợp trong ngân sách. Nhưng một lần nữa, điều đó không hề đơn giản. Vì vậy, chúng ta đang nói về các lớp bảo mật. Vậy hãy nói về các cụm mật khẩu. Chúng ta sử dụng thuật ngữ cụm mật khẩu (passphrase) thay vì mật khẩu (password) để biểu thị rằng nó không phải là một từ duy nhất. Nó thực sự là một cụm từ. Giống như cụm từ gợi nhớ là một cụm từ. Đó là một chuỗi các từ, được phân tách bằng dấu cách. Và điều đó làm cho nó dễ nhớ hơn rất nhiều, cũng như

dễ viết ra và đọc lại, ngay cả khi nó bị mờ đi một chút thì vẫn có thể đọc được. Hóa ra con người thực sự, thực sự giỏi trong việc nhận dạng mẫu. Vì vậy, nếu bạn tự tay viết ra một chuỗi các từ bằng chữ thường, bạn có thể đọc nó, ngay cả khi hai phần ba từ đó bị nhòe, hoặc bạn có thể đoán khá chính xác. Và nếu các từ đó có ý nghĩa nào đó đối với bạn, hoặc bạn có thể tạo ra một hình ảnh tưởng tượng với những từ đó, bạn thực sự có thể nhớ một cụm từ tốt hơn nhiều so với việc nhớ một mật khẩu được tạo ngẫu nhiên bao gồm các chữ cái viết hoa, viết thường và số. Nhưng để giải thích điều này rõ hơn một chút, tôi sẽ nhờ đến sự trợ giúp từ Randall Monroe. Có thể bạn đã từng nghe tôi nhắc đến Randall Monroe trước đây. Randall Monroe là một nghệ sĩ đồ họa, người vẽ bộ truyện tranh có tên là

XKCD. Và XKCD là một bộ truyện tranh đồ họa thể hiện các khái niệm kỹ thuật khác nhau, đồng thời cũng có những lời phê phán xã hội hài hước và đủ loại ý tưởng tuyệt vời. Có những ý tưởng thực sự rất thông minh được trình bày cực kỳ tốt. Và bạn biết đấy, đây là một trong những tình huống mà luôn có một bức tranh XKCD cho hầu hết mọi khái niệm mà bạn muốn giải thích cặn kẽ. Vì vậy, tôi sẽ sử dụng một bức tranh mà nhiều người trong số các bạn có lẽ đã từng nghe qua, và nó được biết đến với cái tên "correct horse battery staple". Và nếu điều đó nghe có vẻ vô nghĩa thì hãy nán lại một chút. Được rồi, vậy hãy cùng xem bức tranh đó trên màn hình của chúng ta ở đây. Bức tranh này được gọi là, bức tranh này có tên là mật khẩu. Trải qua 20 năm nỗ lực, chúng ta đã huấn luyện thành công mọi người sử dụng những mật khẩu khó nhớ đối với con người, nhưng lại dễ đoán đối với máy tính. Và nếu bạn nhìn lên đây tại

Khái niệm cụm mật khẩu XKCD (40:47)

ở góc trên cùng bên trái, đây là một mật khẩu điển hình mà bạn được yêu cầu trên một trang web. Vì vậy, đây là các chữ cái viết hoa, viết thường, số và ký hiệu theo một thứ tự nào đó. Những gì bạn thấy ở đây là điều điển hình mà người dùng làm để tạo và ghi nhớ chúng, đó là họ cố gắng làm xáo trộn một từ. Vì vậy, đây là từ Troubadour. Một nhạc sĩ du mục hát về những chiến công của các anh hùng. Tôi nghĩ đó là ý nghĩa của từ Troubadour. Một Troubadour và số ba. Vì vậy, trong trường hợp này, bạn thấy một thứ trông có vẻ ngẫu nhiên, nhưng thực sự không hề ngẫu nhiên. Bây giờ, điều cụ thể này có thể được phân tích trên cơ sở máy tính. Từ góc độ toán học, từ góc độ lý thuyết thông tin, để xem thứ này ngẫu nhiên đến mức nào. Hoặc loại này chứa bao nhiêu tính ngẫu nhiên. Vì vậy, trong trường hợp cụ thể này, chúng ta có khoảng 28 bit entropy. Điều đó có nghĩa là

mức độ phức tạp này có thể được biểu diễn bằng một số nhị phân gồm 28 chữ số nhị phân, hai lũy thừa 28. Nếu bạn có thể đoán với tốc độ một nghìn lần đoán mỗi giây, sẽ mất ba ngày để bẻ khóa (brute force). Vì vậy, về cơ bản đây là một dịch vụ web hoặc thứ gì đó tương tự, nơi bạn đang thử nhiều lần đoán mỗi giây. Nếu bạn có một cơ sở dữ liệu mà bạn đã đánh cắp từ một trang web, tất nhiên bạn có thể áp dụng nhiều hơn một nghìn lần đoán mỗi giây trên một máy tính trung bình. Nhưng trong mọi trường hợp, điều này thực sự dễ dàng để máy tính đoán được. Và máy tính dễ dàng đoán được vì 28 bit entropy là không đủ, nhưng mặc dù máy tính dễ dàng đoán và bẻ khóa chỉ bằng cách thử tất cả các kết hợp có thể có của các chữ cái viết hoa và viết thường trong chuỗi này, nó thực sự rất khó để con người ghi nhớ. Và ngay

bên dưới, Randal Monroe chỉ cho chúng ta một cách tiếp cận khác, đó là sử dụng các từ tiếng Anh thông thường, được phân tách bằng dấu cách. Đây là một cụm mật khẩu gợi nhớ, không phải là một mật khẩu thông thường. Và trong trường hợp này, chỉ cần chọn ngẫu nhiên bốn từ, chỉ bốn từ. Bốn từ ngẫu nhiên thực sự tạo ra, nếu bạn giả định nó từ một từ điển lớn, có thể là một từ điển tiếng Anh, bao gồm một trăm nghìn từ. Khi đó bạn nhận được khoảng 44 bit entropy. 44 bit entropy mang lại cho bạn 550 năm với tốc độ một nghìn lần đoán mỗi giây. Và 55 năm ở mức 10.000 lần đoán một giây. Năm năm ở mức 100.000 lần đoán một giây. Điều này thực sự khó để bẻ khóa và nó chỉ có bốn từ. Nhưng quan trọng nhất, nó dễ dàng để con người ghi nhớ. Đây là lý do tại sao chúng ta sử dụng các cụm từ gợi nhớ trong bit 39. Vì vậy, nếu bạn nghĩ về "correct horse battery staple", bạn có thể tạo ra điều này, mặc dù đây là những từ ngẫu nhiên

bạn có thể tạo ra hình ảnh tưởng tượng kỳ lạ này, mang lại cho bạn cơ sở để liên tưởng. Và liên tưởng là cách trí nhớ của con người hoạt động. Vì vậy, bạn có bức vẽ nhỏ đang được thực hiện ở đây. Đó là một chiếc ghim pin (battery staple), chính xác (correct). Vì vậy, đó là một con ngựa (horse) đang nói đó là một chiếc ghim pin và ai đó nói chính xác, đó là một chiếc ghim pin, một "correct horse battery staple". Và nếu bạn chỉ nói bốn từ này với một người đam mê công nghệ, họ sẽ ngay lập tức biết bạn đang nói về điều gì vì cụm từ này quá dễ nhớ đến mức hàng triệu người trên internet đã ghi nhớ thành công nó từ một bức tranh biếm họa và ví dụ duy nhất này. Vì vậy, với những điều to lớn, Xkcd.org, là nơi bạn có thể truy cập và xem loạt tranh biếm họa này. Một tác phẩm tuyệt vời. XKCD. Nhưng tôi nghĩ điều đó giúp bạn hiểu được vấn đề. Vì vậy, đây là một cụm mật khẩu, và đây là một cách tốt hơn nhiều để tạo ra một

Sử dụng cụm mật khẩu cho ví và mã hóa (45:27)

mật khẩu chính cho trình quản lý mật khẩu của bạn, cũng như một cụm mật khẩu tùy chọn cho ví của bạn. Vì vậy, bạn thực sự có thể tạo một cụm mật khẩu tùy chọn cho các ví của mình bằng cách này. Điều đó thực sự rất khó để tấn công brute force, ngay cả với GPU hoặc FPGA. Ngay cả khi bạn có thể thực hiện 2000 vòng SHA-512, bạn vẫn sẽ mất hàng tháng nếu không muốn nói là hàng năm, trước khi ai đó có thể tấn công brute force một thứ chỉ có bốn hoặc năm từ. Nếu bạn dùng đến sáu từ, bạn thực sự có một cơ chế rất mạnh. Bây giờ bạn sẽ không chỉ sử dụng điều này. Giả sử bạn có một cụm từ gợi nhớ BIP-39, và bạn muốn thêm một cụm mật khẩu tùy chọn và bạn nói, được rồi, tôi sẽ chọn ngẫu nhiên bốn từ từ một cuốn từ điển. Và sau đó đó sẽ là cụm mật khẩu tùy chọn của tôi, và tôi có thể học thuộc bốn từ đó và ghi nhớ chúng. Và tôi cũng sẽ sao lưu chúng

đến một vị trí thứ hai bởi vì mặc dù tôi có thể nhớ chúng, nhưng lỡ có chuyện gì xảy ra với tôi thì sao. Tôi có muốn tài sản thừa kế của mình biến mất vào hư vô vì không ai có thể tìm thấy cụm mật khẩu tùy chọn mà tôi đã sử dụng không. Không, rõ ràng là tôi không muốn. Vì vậy, tôi cũng sẽ phải sao lưu cụm mật khẩu, tôi sẽ sao lưu cụm từ gợi nhớ, tức là seed. Và tôi cũng sẽ sao lưu cụm mật khẩu tùy chọn và giữ chúng ở hai vị trí khác nhau. Tôi cũng sẽ làm sao để nếu ai đó nhìn trộm được seed của tôi, tôi biết họ đã lấy được seed của tôi để tôi biết đường chuyển tiền của mình đi trước khi họ có thể chạy qua tất cả các tổ hợp có thể có của một cụm mật khẩu bằng cách sử dụng một máy tính mạnh. Cách tôi làm điều đó là chúng tôi sử dụng công nghệ rất, rất thấp. Đó là một chiếc túi nilon, một chiếc túi nilon có dấu hiệu nhận biết bị cạy mở (tamper-evident). Bạn có thể mua chúng theo

gói một trăm cái từ các nhà bán lẻ trực tuyến ở khắp mọi nơi. Chúng được sử dụng cho các khoản quyên góp tiền mặt cho các trò chơi bingo, nhà thờ và những thứ tương tự. Chúng được sử dụng để ngăn chặn nhân viên ăn cắp. Và chúng mờ đục, và một khi bạn niêm phong chúng, cách duy nhất bạn có thể mở niêm phong mà không bị lộ là xé hoặc cắt chúng, bạn sẽ để lại dấu vết. Bạn không thể đóng băng, làm nóng hoặc mở niêm phong rồi niêm phong lại mà không để lại dấu vết. Và vì vậy, nếu bạn đặt cụm từ gợi nhớ và cụm mật khẩu tùy chọn của mình vào một chiếc túi có dấu hiệu nhận biết bị cạy mở như vậy, và ai đó nhìn trộm, bạn sẽ biết họ đã nhìn trộm. Vì vậy, nếu bạn kiểm tra các vị trí lưu trữ của mình vài tháng một lần, bạn đã có một nền tảng bảo mật tốt. Được rồi, tôi sẽ tóm tắt lại mọi thứ. Chúng ta sẽ tiếp tục trong khoảng 45 phút nữa, bởi vì tôi vẫn còn rất nhiều điều để nói, về hai yếu tố

xác thực. Nhưng tôi muốn bạn hiểu cách chúng tôi thực hiện khái niệm cụm mật khẩu này. Vì vậy, trong phần tiếp theo, tôi sẽ nói về cách tạo một cụm mật khẩu một cách an toàn. Hãy đến với một cơn bão biểu tượng cảm xúc và tôi kêu gọi tất cả các thành viên cộng đồng YouTube hãy chứng minh cho mọi người thấy sức mạnh sáng tạo và biểu đạt đáng kinh ngạc của các biểu tượng cảm xúc tùy chỉnh từ kênh của tôi bằng cách tạo ra một cơn bão biểu tượng cảm xúc, bắt đầu nào. Được rồi, và tôi đã trở lại. Vậy là bạn muốn tạo một cụm mật khẩu. Và bạn biết rằng cụm mật khẩu này có lẽ tốt nhất nếu nó ở dạng mà chúng ta biết đến như một cụm mật khẩu XKCD, ví dụ như 'correct horse battery staple'. Một chuỗi các từ tiếng Anh được chọn ngẫu nhiên, mà bạn có thể tạo ra một sự liên tưởng trong tâm trí, một hình ảnh đi kèm với chúng. Bạn sẽ sử dụng cụm mật khẩu này, có thể cho mật khẩu chính của bạn, cho trình quản lý mật khẩu của bạn, thứ mà bạn sẽ phải gõ

Tạo cụm mật khẩu một cách an toàn (50:25)

nhiều lần mỗi ngày trên các thiết bị khác nhau. Tôi sử dụng các cụm mật khẩu tương tự cho các mục đích khác và tôi không lặp lại cùng một cụm mật khẩu. Nhưng tôi nhận thấy rằng mình có thể nhớ được ba hoặc bốn cụm mật khẩu trước khi mọi thứ trở nên phức tạp. Vì vậy, tôi sẽ cần một cụm mật khẩu như vậy làm cụm mật khẩu tùy chọn cho ví bit 39 của mình. Tôi cũng sẽ cần một cụm mật khẩu như vậy để mã hóa ổ cứng trên máy tính xách tay của mình. Tôi thích sử dụng ổ cứng được mã hóa. Và trước khi bạn khởi động máy tính xách tay hoặc bất kỳ thiết bị nào của tôi, thực sự, bạn cần phải nhập một cụm mật khẩu. Và cụm mật khẩu đó cũng có dạng như vậy. Đó là một cụm mật khẩu gợi nhớ. Nó sử dụng một chuỗi các từ tiếng Anh, được phân tách bằng dấu cách. Để đảm bảo tính nhất quán, tôi luôn gõ các cụm mật khẩu gợi nhớ của mình hoàn toàn bằng chữ thường với các dấu cách đơn giản ở giữa. Vì vậy, từ viết thường, dấu cách, từ viết thường, dấu cách, từ viết thường, nhấn enter. Và chúng có thể

có độ dài từ bốn đến tám từ. Bạn phải quyết định mức độ bảo mật mà mình cần, và điều đó phụ thuộc vào nơi bạn sử dụng nó. Có bao nhiêu vòng của quá trình băm được sử dụng trong việc tạo ra khóa mã hóa bắt nguồn từ cụm mật khẩu đó và mức độ đe dọa mà bạn đang phải đối mặt đối với những thứ này là gì. Nhưng bốn có lẽ nên là số lượng từ tối thiểu bạn sử dụng và tám có lẽ sẽ là số lượng tối đa trước khi bạn bắt đầu quên và trở nên bối rối. Đặc biệt là đối với một cụm mật khẩu mà bạn không thường xuyên sử dụng. Bạn càng sử dụng một cụm mật khẩu thường xuyên, bạn càng gõ nó nhiều, thì bạn càng có thể làm cho nó dài hơn. Bởi vì khi đó bạn sẽ buộc phải nhớ nó thông qua việc thực hành. Vì vậy, tôi có thể sử dụng một cụm mật khẩu dài hơn một chút trên trình quản lý mật khẩu của mình vì tôi gõ nó mỗi ngày. Tôi sẽ sử dụng một cụm mật khẩu ngắn hơn một chút,

ví dụ, làm cụm mật khẩu tùy chọn trên một ví, và một cụm mật khẩu ngắn hơn nữa làm cụm mật khẩu tùy chọn trên các thiết bị của tôi, khởi động được mã hóa cho ổ cứng của tôi, bởi vì tôi chỉ gõ nó khoảng một lần một tháng và tôi có thể dễ quên hơn. Vậy làm thế nào để chúng ta chọn những từ này? Có một số cách để làm điều đó, nhưng bạn muốn chúng mang tính ngẫu nhiên. Bạn không muốn chúng là một bài hát. Lời của một bài hát, tôi không biết nữa. Tôi định nói tên một bài hát, nhưng tôi nghĩ điều đó sẽ tạo ra quá nhiều tranh cãi. Vì vậy, tôi sẽ bỏ qua điều đó. Bạn không muốn nó là tiếng hô hào của đội bóng đá của bạn. Bạn không muốn nó là khẩu hiệu của bang bạn. Bạn không muốn nó là một câu nói từ Star Trek. Tại sao? Bởi vì tất cả những cụm từ đó đều tồn tại trong các từ điển mà

các tin tặc đã thu thập. Bất cứ thứ gì mà bạn có thể tìm thấy kết quả nếu bạn gõ vào Google như một cụm từ, mà tất nhiên, bạn sẽ không gõ vào Google vì điều đó phá vỡ tính bảo mật mà bạn không bao giờ nên sử dụng. Bạn không bao giờ nên sử dụng một cụm từ đã từng được nói ra, hoặc có khả năng sẽ được ai đó nói ra. Vì vậy, thay vào đó, bạn muốn chọn các từ ngẫu nhiên và sau đó cố gắng tạo ra một hình ảnh hoặc sự liên tưởng trong tâm trí có ý nghĩa đối với bạn. Và nó có thể rất kỳ lạ và quái dị miễn là nó có ý nghĩa với bạn và bạn có thể lặp lại hình ảnh đó trong đầu và thực hành một chút. Đó là một cách tốt để làm điều đó. Vậy làm thế nào để bạn chọn các từ ngẫu nhiên? Chà, có một số cách bạn có thể làm điều đó. Bạn có thể mở một cuốn từ điển ở các trang khác nhau và đặt ngón tay xuống mà không nhìn, không quá

tốt. Bạn có khả năng sẽ dành phần lớn thời gian để chọn một phần ba số trang ở giữa của cuốn từ điển và một phần ba ở giữa của trang giấy bằng ngón tay của mình. Nhưng thực ra như vậy là đủ tốt vì từ điển có rất nhiều từ trong đó. Một cuốn từ điển hay, lớn và dày. Vì vậy, bạn sẽ có đủ tính ngẫu nhiên. Đó là một cách dễ dàng mà bạn có thể thực hiện ngay tại nhà mà không cần thêm bất kỳ nỗ lực nào. Nếu bạn muốn tiến xa hơn một chút, bạn có thể sử dụng một kỹ thuật gọi là diceware. D-I-C-E-W-A-R-E. Và diceware là một cơ chế nơi bạn có một danh sách các từ mà bạn có thể tải xuống. Bạn có thể tải xuống danh sách chỉ số diceware, trang web bạn sẽ tìm thấy là... Bạn có thể tìm thấy điều này trên Google khá dễ dàng. Kết quả đầu tiên hiện ra, đó là diceware.D-M-U-T-H dmuth.org là trang chính xác. Và nếu bạn sử dụng trang web đó, bạn có thể tải xuống danh sách. Bây giờ điều gì

Phương pháp diceware (55:27)

điều thú vị về danh sách đó là nó được đánh chỉ số bằng các con số có các chữ số từ một đến sáu, điều này cho phép bạn sử dụng xúc xắc, xúc xắc thông thường, xúc xắc tiêu chuẩn. Bạn tung xúc xắc năm lần và tạo ra một số có năm chữ số, trong đó tất cả các chữ số đều nằm trong khoảng từ một đến sáu, sau đó bạn tra cứu từ tương ứng với chỉ số đó trong danh sách diceware, rồi viết nó xuống và bạn đã có được tính ngẫu nhiên. Bạn có được tính ngẫu nhiên được thiết kế để sử dụng với xúc xắc thông thường, điều này rất tiện lợi. Nếu bạn có sẵn vài viên xúc xắc, bạn có thể dễ dàng thực hiện việc này. Đây là phương pháp phi kỹ thuật số, bạn tải danh sách xuống máy tính của mình và chỉ cần chọn ngẫu nhiên các từ trong danh sách đó. Một lần nữa, đó là một cách tuyệt vời để tạo ra một trong những cụm mật khẩu ngẫu nhiên này. Và tất nhiên, bạn cũng có thể sử dụng một chương trình trên máy tính của mình. Vấn đề tất nhiên là

nếu máy tính của bạn đã bị nhiễm phần mềm độc hại Trojan hoặc trình ghi thao tác bàn phím (keylogger), điều đó có thể gây ra một số khó khăn. Tôi sử dụng một chương trình có tên là XKCD pass, chương trình này thực sự tạo ra các cụm mật khẩu tương thích với XKCD. Tôi tạo ra một loạt các cụm mật khẩu. Và sau đó tôi chọn ngẫu nhiên một cụm từ danh sách rất, rất dài đó. Và tôi không để lại bất kỳ dấu vết nào trên máy tính về việc tôi đã chọn cụm nào. Tôi chỉ cuộn, cuộn và cuộn qua một danh sách rất dài. Cách này khiến việc đánh cắp trở nên khó khăn hơn nhiều. Một lần nữa, đây là vấn đề về các lớp bảo mật. Nó không hoàn hảo. Có rất nhiều khó khăn và lỗ hổng trong toàn bộ quá trình này. Được rồi. Vậy là chúng ta đã nói về bảo mật mật khẩu và chúng ta đã kết hợp một số chủ đề lại với nhau. Chúng ta đã nói về độ phức tạp của mật khẩu. Chúng ta đã nói về bảo mật nhiều lớp. Chúng ta đã nói về những điểm yếu của trí nhớ con người và tính ngẫu nhiên của con người. Chúng ta đã nói về lý do tại sao

sử dụng phần mềm lại tốt hơn là không sử dụng phần mềm, mặc dù bạn không thể tin tưởng phần mềm một trăm phần trăm. Chúng ta đã nói về cách tạo cụm mật khẩu chính và loại cụm mật khẩu chính nào bạn nên sử dụng, sau đó bạn có thể sử dụng nó để tạo ra từ trình quản lý mật khẩu của mình các mật khẩu phiên hoặc mật khẩu trang web phức tạp, bao gồm cả chữ và số, ngẫu nhiên, không thể nhớ được và để trình quản lý mật khẩu của bạn ghi nhớ chúng. Vì vậy, chủ đề tiếp theo là xác thực hai yếu tố. Vậy, xác thực hai yếu tố là gì? Xác thực hai yếu tố là khi bạn sử dụng hai cách khác nhau để xác thực bản thân. Về cơ bản, xác thực có nghĩa là chứng minh bạn đúng là người mà bạn tuyên bố. Và xác thực hai yếu tố có nghĩa là sử dụng hai cơ chế riêng biệt để chứng minh bạn đúng là người mà bạn tuyên bố. Và trong bảo mật máy tính, chúng tôi mô tả xác thực đa yếu tố và các yếu tố xác thực là một trong ba điều. Ba yếu tố có thể có mà bạn

có thể có là thứ bạn biết, ví dụ như mật khẩu là một thứ bạn biết. Bạn ghi nhớ nó, do đó, bạn biết nó. Xác thực dựa trên kiến thức cũng là một dạng của yếu tố "thứ bạn biết" này, chẳng hạn như bạn sinh ra ở đâu? Thương hiệu máy trộn bột đầu tiên của bạn là gì? Ai là người đầu tiên bạn hôn ở trường? hay bất cứ điều gì tương tự. Bây giờ, rõ ràng thứ bạn biết là một yếu tố, và nó là một yếu tố tốt. Chỉ khi thứ nhất, bạn có thể nhớ nó và không ai khác có thể dễ dàng đoán được nó. Và đây chính là lúc tất cả những sự phức tạp mà chúng ta đã nói về mật khẩu phát huy tác dụng. Một hình thức xác thực thứ hai. Một yếu tố xác thực là chính con người bạn. Và chính con người bạn thường đề cập đến sinh trắc học, một phép đo bất biến về cơ thể vật lý của bạn mà không thể bị làm giả. Vì vậy, dấu vân tay, quét mống mắt, âm thanh giọng nói của bạn khi bạn

lặp lại cụm từ mà bạn được yêu cầu lặp lại. Dáng đi, chiều cao, khuôn mặt của bạn để nhận dạng khuôn mặt, tất cả những thứ này đều là các yếu tố sinh trắc học. Tức là chính con người bạn. Các yếu tố sinh trắc học có những ưu điểm và nhược điểm. Chúng có thể được sử dụng bổ sung cho một yếu tố khác. Tất nhiên, nhược điểm lớn của sinh trắc học là nếu nó bị sao chép hoặc bị mất, nó không thể được thay thế. Vì vậy, ví dụ, nếu dấu vân tay của tôi bị rò rỉ và mọi người đều có quyền truy cập vào dấu vân tay của tôi và có thể tạo lại chúng bằng cao su như bạn đã thấy trên tất cả các bộ phim điệp viên đó, thì tôi không thể thay đổi dấu vân tay của mình. Và do đó, sinh trắc học này không còn hữu ích với tôi nữa. Và chúng ta đã thấy sinh trắc học khá khó áp dụng, nhưng lại rất hữu ích khi đóng vai trò là yếu tố thứ hai, không bao giờ là yếu tố chính. Tôi sẽ không bao giờ sử dụng sinh trắc học làm cách duy nhất để xác thực bản thân, chẳng hạn như đối với

Xác thực sinh trắc học (1:00:44)

điện thoại. Bởi vì như bạn đã thấy, như mọi đứa trẻ tám tuổi đều biết, nếu bạn cầm chiếc iPhone của mẹ áp vào ngón tay của bà ấy khi bà ấy đang ngủ trên ghế sofa, bạn có thể lên mạng và mua đồ trên Amazon. Bạn có thể trở thành ông già Noel của riêng mình. Miễn là bạn có thể tiếp cận được ngón tay cái của mẹ hoặc khuôn mặt của bố bằng cách giơ thiết bị nhận diện khuôn mặt ra trước mặt bố. Trong khi bố đang ngáy khò khò sau bao nhiêu công việc ở bữa tiệc nướng. Chỉ riêng sinh trắc học là không đủ, nhưng nó tạo thành một yếu tố thứ hai rất tốt. Yếu tố cuối cùng là thứ bạn có, thứ bạn sở hữu. Và yếu tố sinh trắc học này thường được tích hợp trong một thiết bị bổ sung. Đó là một thiết bị đóng vai trò như một yếu tố bảo mật mà bạn nắm giữ. Một khóa là một yếu tố xác thực thuộc loại "thứ bạn sở hữu". Một khóa kỹ thuật số, một khóa riêng tư, thậm chí là một chiếc

chìa khóa vật lý để mở cửa nhà bạn. Và ngày nay, chúng ta ngày càng có nhiều yếu tố thứ hai dựa trên "thứ bạn sở hữu" được chế tạo thành các thiết bị USB. Thực tế, tôi có một cái luôn được cắm thường trực vào máy tính xách tay của mình. Nhiều người trong số các bạn có lẽ đã từng nghe tôi nói về những thiết bị này trước đây. Đây là một chiếc YubiKey, và chiếc YubiKey này là một thiết bị nhỏ đến mức khi tôi cắm nó vào cổng USB của máy tính xách tay, thứ duy nhất nhô ra là một mấu kim loại nhỏ có cảm ứng chạm. Khi tôi cố gắng sử dụng nó, nó yêu cầu tôi phải chạm vào. Và khi tôi chạm vào, tôi kích hoạt nó và nó gửi một mã từ máy tính của tôi. Giờ đây, bạn không thể đăng nhập vào máy tính của tôi và nhiều dịch vụ khác mà tôi sử dụng nếu không chạm để xác thực ở cạnh máy tính của tôi. Bây giờ, nếu bạn đánh cắp cơ sở dữ liệu hoặc cụm mật khẩu chính của tôi, hoặc

bạn đoán được mật khẩu của tôi, bạn vẫn không thể giải mã hoặc mở các thiết bị này hay truy cập vào các tài khoản khác nhau của tôi vì bạn không có thứ này. Tôi có thứ này. Và tất nhiên đó là một yếu tố bảo mật bổ sung. Chỉ riêng nó thì không đủ bởi vì nếu ai đó có thể đánh cắp máy tính xách tay của tôi, giờ họ đã có thứ này, nhưng may mắn là họ không có mật khẩu của tôi, đó là yếu tố còn lại. Vì vậy, nhìn chung, khi chúng ta nói về xác thực đa yếu tố, điều chúng ta đang làm là thừa nhận rằng không có yếu tố xác thực đơn lẻ nào là đủ nếu chỉ đứng một mình. Tất cả các yếu tố xác thực đều có những rủi ro thất bại. Nhưng nếu bạn sử dụng xác thực đa yếu tố và các yếu tố xác thực của bạn đa dạng, thì rủi ro thất bại của một yếu tố xác thực này vẫn còn yếu tố kia làm lớp bảo vệ cho bạn. Vì vậy, bạn có nhiều lớp bảo vệ. Bạn biết đấy, trong mọi bộ phim điệp viên, khi họ chặt ngón tay của

kẻ xấu và đưa nó lên máy quét vân tay rồi dùng nó để mở cửa, chà, không có cánh cửa nào hoạt động như vậy cả. Tất cả chúng cũng yêu cầu một mã PIN, chính xác là để nếu bạn đánh cắp được mã PIN, bạn không có ngón tay. Và nếu bạn đánh cắp ngón tay và chặt nó đi, bạn lại không biết mã PIN. Nó cần cả hai. Không có nhà sản xuất thiết bị nào như vậy lại thiết kế để bạn có thể mở nó chỉ bằng một yếu tố. Và thực tế, khi mọi người thiết lập điện thoại của họ chỉ mở bằng sinh trắc học, điều đó cực kỳ nguy hiểm và bạn cần đảm bảo rằng mình có một cơ chế bổ sung. Một câu hỏi tiếp theo rất hay trong phần trò chuyện, chuyện gì sẽ xảy ra nếu tôi làm mất YubiKey, khóa bảo mật của mình? Chà, thực ra tôi có vài cái. Tôi có ba cái. Và tôi có một cái được cất giữ ở một địa điểm bên ngoài như là bản sao lưu tối hậu của mình.

Tôi có cái thứ hai không cắm vào máy tính xách tay mà tôi mang theo bên mình. Đó thường là thứ bạn sẽ thấy những người làm bảo mật đeo trên dây đeo quanh cổ, hoặc gắn vào móc khóa. Những thiết bị này khá chắc chắn vì chúng thường được thiết kế để gắn vào móc khóa. Vì vậy, bạn có thể mang chúng cùng với chìa khóa của mình, điều này rất hợp lý. Mô hình bảo mật tương tự, chúng gần như không thể bị phá hủy. Bạn có thể lái xe tải cán qua chúng và chúng vẫn hoạt động. Vì vậy, tôi đã đăng ký cả ba khóa bảo mật này, để bất kỳ cái nào cũng có thể hoạt động và tôi sẽ phải làm mất cả ba cái trước khi mất quyền truy cập. Nhưng cả ba cái đều ở những vị trí khó lấy. Và rủi ro chính, mối đe dọa chính mà tôi đang cố gắng giải quyết ở đây là sự xâm nhập từ xa. Đúng vậy, nếu bạn đột nhập vào nhà, văn phòng của tôi

Khóa bảo mật và YubiKey (1:05:51)

hoặc địa điểm bí mật số năm, và bạn là một cô hầu phòng xấu xa đột nhập vào phòng khách sạn của tôi hay gì đó, bạn có thể tìm thấy những thiết bị này, nhưng sau đó bạn có thể không có mật khẩu của tôi. Nếu bạn hack vào hệ thống của tôi và lấy được mật khẩu, bạn lại không có thiết bị. Nếu bạn cố gắng sử dụng mật khẩu để đăng nhập vào một trong các thiết bị của tôi, tôi sẽ không chạm vào cạnh máy tính để cấp quyền truy cập cho bạn. Và thành thật mà nói, bạn biết đấy, khi tôi để máy tính mà không có người trông coi, tôi sẽ rút YubiKey ra và mang theo bên mình. Vì vậy, một lần nữa, đây là vấn đề về các lớp bảo mật. Do đó, xác thực hai yếu tố có nghĩa là sử dụng ít nhất hai yếu tố để xác thực bản thân bạn với bất kỳ dịch vụ hoặc thiết bị nào. Và đó là những thứ bạn biết, những thứ bạn có và những thứ thuộc về bạn. Bất kỳ yếu tố nào trong ba yếu tố này đều có thể được sử dụng làm yếu tố thứ hai. Và tất nhiên bạn có thể

sử dụng xác thực ba yếu tố, nếu bạn muốn, mặc dù điều đó khá bất thường, nó trở nên cồng kềnh và phức tạp ở mức độ đó. Khó khôi phục, dễ bị khóa quyền truy cập. Vì vậy, hai thường là con số kỳ diệu, và đó là lý do tại sao chúng ta gọi nó là 2FA, xác thực hai yếu tố. Những người khác gọi nó là MFA, viết tắt của xác thực đa yếu tố (multiple factor authentication hoặc multi-factor authentication). Nó hoàn toàn giống nhau. Có một tiêu chuẩn khác, đó là tiêu chuẩn cho định dạng phổ quát dành cho các khóa bảo mật giống như chiếc YubiKey nhỏ mà tôi đã cho bạn xem, được sử dụng trong ngành. Hiện nay, nó là một tiêu chuẩn được tạo ra bởi một tổ chức tiêu chuẩn có tên là Fido Alliance, và nó được gọi là U2F, xác thực hai yếu tố phổ quát (universal two factor). Nếu bạn chú ý trên slide mã của tôi có dòng chữ tìm hiểu về U2F xác thực hai yếu tố phổ quát. Chữ U, số hai, chữ F, U2F. Đó đơn giản là một tiêu chuẩn cho một thiết bị đa yếu tố dựa trên phần cứng có thể được cắm vào, kết nối hoặc

truyền qua Bluetooth hoặc NFC tới một thiết bị mà bạn đang cố gắng xác thực. Được rồi, vậy hãy chuyển sang một câu hỏi. Không phải câu đó. Nó đâu rồi? Có lẽ là bây giờ? Được rồi, đợi một giây. Có vẻ như câu hỏi không được làm nổi bật. Không chắc tại sao. Xin vui lòng cho tôi một giây. Tôi sẽ sửa lỗi này. Tôi cần làm mới trình duyệt của mình. Hãy hy vọng nó không yêu cầu tôi nhập một mật khẩu phức tạp. Được rồi, có vẻ như có một loại... ồ đợi đã, chờ một chút. Có gì đó không ổn với Slido của tôi, nên tôi thực sự không thể nhìn thấy các câu hỏi được làm nổi bật. Tôi không biết tại sao điều đó lại xảy ra. Chưa từng thấy điều đó trước đây. Ồ, có một cuộc thăm dò ý kiến. Rõ ràng là có một cuộc thăm dò ý kiến đang hoạt động và hiện đang cản trở tôi nhìn thấy các câu hỏi. Tôi không biết tại sao. Xin lỗi nhé. Ồ, đây rồi. Nó tự sửa được rồi. Xin lỗi mọi người vì những khó khăn kỹ thuật. Tại sao một tin nhắn

văn bản lại là xác thực hai yếu tố yếu, nó có tốt hơn là không có gì không? Rất nhiều ngân hàng sử dụng SMS như một người khác đã chỉ ra, họ sử dụng tin nhắn văn bản SMS làm xác thực hai yếu tố. Vậy tại sao một tin nhắn văn bản lại là xác thực hai yếu tố yếu? Được rồi. Vậy một tin nhắn văn bản là loại yếu tố nào? Hãy xem liệu chúng ta có thể tìm ra điều này không. Nó có phải là thứ bạn biết không? Không, bạn không biết nó vào thời điểm đó. Có vẻ như có một cuộc thăm dò ý kiến nào đó đang chạy và gây gián đoạn. Xin lỗi. Slido đã bắt đầu bằng một cuộc thăm dò ý kiến vì lý do nào đó. Thật kỳ lạ. Được rồi. Tin nhắn văn bản có phải là một yếu tố thứ hai tốt không. Nó là loại yếu tố nào? Nó có phải là thứ bạn biết không? Không, bởi vì bạn không biết nó, khi nó được gửi cho bạn dưới dạng một tin nhắn văn bản, bạn không biết nó, bạn mới nhận ra nó. Vì vậy, nó không phải là thứ bạn biết. Nó có phải là

Tại sao SMS là phương thức xác thực hai yếu tố yếu kém (1:11:00)

là một thứ gì đó thuộc về bạn? Không, nó không phải là thứ thuộc về bạn. Nó có phải là thứ bạn sở hữu không? Có thể coi là vậy. Bạn có thể nghĩ, được rồi, đó là thứ tôi sở hữu, tôi sở hữu chiếc điện thoại đang nhận tin nhắn văn bản. Nhưng tin nhắn văn bản không được gửi đến một chiếc điện thoại, nó được gửi đến một số điện thoại. Bạn có sở hữu số điện thoại đó không? Và câu trả lời thực sự là số điện thoại chính là thẻ SIM, hay đúng hơn là tài khoản mà thẻ SIM trong điện thoại của bạn được kết nối tới và ai sở hữu tài khoản đó? Và câu trả lời là Vodafone hoặc Verizon hoặc AT&T hoặc T-Mobile hoặc bất kỳ ai. Vì vậy, vấn đề với xác thực hai yếu tố bằng tin nhắn văn bản là bạn không sở hữu số điện thoại. Công ty viễn thông mới là người sở hữu. Và công ty viễn thông có hệ thống bảo mật cực kỳ tệ hại. Chỉ vậy thôi, thực sự đơn giản như vậy. Vì vậy, tất cả những gì bạn phải làm là gọi cho bộ phận chăm sóc khách hàng tại công ty viễn thông,

bật tiếng trẻ con khóc ở chế độ nền, giả vờ như bạn đang nói chuyện với một người trông trẻ đang bực bội trong khi đứa bé đang la hét. Và chồng hoặc vợ của bạn đang hét vào mặt bạn ở phía sau. Và bạn đang suy sụp và có một ngày thực sự tồi tệ. Và những nhân viên chăm sóc khách hàng rất nhiệt tình và rất đồng cảm sẽ bỏ qua tất cả các bước kiểm tra bảo mật vì bạn không biết vợ/chồng mình đã đặt mật khẩu gì cho tài khoản, và đây thực sự là một trường hợp khẩn cấp và bạn thực sự cần phải liên lạc. Và họ sẽ vui vẻ chuyển số điện thoại sang chiếc điện thoại mới của bạn cần được kích hoạt ngay bây giờ, vì đó là trường hợp khẩn cấp. Bây giờ, nếu điều này nghe có vẻ giống như một cuộc tấn công trên lý thuyết, thì thực tế có một màn trình diễn tuyệt vời diễn ra tại Def Con và Black Hats cùng các hội nghị hacker khác, nơi họ thực hiện những cái gọi là tấn công phi kỹ thuật (social engineering). Và

một trong những ví dụ điển hình nhất là một video trong đó một hacker phi kỹ thuật cực kỳ điêu luyện đã chứng minh cho một nhà báo thấy họ có thể chiếm đoạt số điện thoại nhanh như thế nào bằng cách gọi điện cho một công ty viễn thông, bật đoạn ghi âm tiếng trẻ con la hét ở chế độ nền và cầu xin sự giúp đỡ của họ trong trường hợp khẩn cấp này. Và theo đúng nghĩa đen, chưa đầy 10 phút sau, họ đã chiếm được số điện thoại, sau đó sử dụng nó để đặt lại tài khoản email, rồi dùng nó để đặt lại tất cả các tài khoản khác và về cơ bản là xâm phạm toàn bộ danh tính kỹ thuật số của họ trong vòng chưa đầy 15 phút. Đó là lý do tại sao tin nhắn văn bản là một hình thức xác thực hai yếu tố yếu kém. Và điều thực sự quan trọng là bạn không nên sử dụng nó nếu có thể tránh được. Nhưng đối với câu hỏi ẩn danh, liệu nó có tốt hơn là không có gì không? Nó tốt hơn là không có gì. Nó tốt hơn là không có gì nếu

bạn có thể tránh sử dụng nó trên các tài khoản mà bạn có thể chọn những lựa chọn tốt hơn. Vì vậy, với bất kỳ tài khoản nào mà bạn có thể sử dụng thứ gì đó khác ngoài tin nhắn văn bản, hãy sử dụng thứ đó. Một điều khác là hãy suy nghĩ thật kỹ xem nhà cung cấp dịch vụ điện thoại của bạn là ai. Rất nhiều chuyên gia bảo mật sử dụng các nhà cung cấp dịch vụ điện thoại không có nhân viên chăm sóc khách hàng là con người để tránh bị tấn công phi kỹ thuật và bản thân các tài khoản đó được bảo vệ bằng xác thực hai yếu tố mạnh mẽ. Ví dụ: dự án Fi của Google, F-I, là một nhà điều hành mạng lưới ảo, không có con người để bạn có thể nói chuyện cùng. Và bạn kết nối, truy cập cũng như cấu hình tài khoản điện thoại đó thông qua một tài khoản Google mà bạn có thể bảo mật bằng xác thực hai yếu tố mạnh mẽ, chẳng hạn như một token xác thực hai yếu tố phổ quát. Điều đó có nghĩa là số của bạn không thể bị chuyển đổi, đồng nghĩa với việc bạn có thể sử dụng số đó an toàn hơn để bảo mật dựa trên tin nhắn văn bản

xác thực hai yếu tố giống như ngân hàng của bạn, nơi có hệ thống bảo mật rất tệ. Vì vậy, xét về những công ty có hệ thống bảo mật tệ nhất, đó là các ngân hàng, công ty viễn thông, và sau đó là các nhà cung cấp dịch vụ thực sự có đội ngũ bảo mật tốt. Vì vậy, tất cả là về các lớp bảo vệ. Nếu bạn không có lựa chọn nào khác ngoài việc sử dụng tin nhắn văn bản làm xác thực yếu tố thứ hai, thì tôi sẽ nói với bạn rằng có một số dịch vụ tôi sử dụng mà tôi không có lựa chọn nào khác ngoài việc dùng tin nhắn văn bản. Khi đó, hãy đảm bảo rằng tin nhắn văn bản đó được gửi đến một tài khoản được bảo mật tốt. Ngay cả với nhà mạng điện thoại của bạn, bạn cũng có thể đặt mã PIN cho tài khoản của mình. Bạn có thể tắt khả năng chuyển số. Bạn có thể thực hiện mọi cách để tăng cường bảo mật cho tài khoản đó. Nhưng nếu có thể, tốt hơn hết là hãy chuyển số của bạn sang một nhà điều hành mạng lưới ảo hoặc nhà cung cấp dịch vụ không có con người, những người có thể

Bảo mật số điện thoại của bạn (1:16:25)

bị tấn công phi kỹ thuật để chuyển đổi số điện thoại của bạn. Và điều đó có xác thực mạnh mẽ đối với các yếu tố kiểm soát số điện thoại của bạn. Và nếu bạn có thể tránh được điều đó. Đặc biệt tránh điều đó nếu nó là yếu tố thứ hai để kết nối với sàn giao dịch của bạn, nơi bạn lưu trữ hàng triệu đô la tiền mã hóa. Và tất nhiên, tôi đang ám chỉ đến một chuyên gia tiền mã hóa khá tai tiếng, người thực sự đã lưu trữ hàng triệu đô la tiền mã hóa trên một ví sàn giao dịch, trên một ví nóng có tính chất lưu ký (không phải coin của bạn) với xác thực hai yếu tố qua SMS được cung cấp bởi AT&T và hiện đang kiện AT&T vì khoản lỗ khoảng, tôi không biết nữa, 50 triệu, một trăm triệu đô la, một con số nực cười nào đó đại loại vậy. Thành thật mà nói, đó là loại vụ án pháp lý mà với tư cách là một nhân chứng chuyên môn, tôi sẽ đứng trước bục và cười vào mặt họ suốt 30 phút

của nguyên đơn. Khi họ nói rằng đó là lỗi của người khác khi họ đặt hàng triệu đô la trên một sàn giao dịch được bảo vệ bằng tin nhắn văn bản, xác thực hai yếu tố của AT&T. Tôi sẽ không có nhiều sự đồng cảm cho điều đó. Được rồi. Vậy hãy nói về xác thực hai yếu tố thực sự hiệu quả. Tôi đã nói về khóa bảo mật, đó là một thiết bị phần cứng, nhưng cũng có một cơ chế khác rất phổ biến mà tất cả các bạn đã từng sử dụng, đó là khi bạn có một dãy số gồm sáu chữ số. Neeraj đã rất hữu ích khi hỏi tôi một câu hỏi cụ thể về chủ đề đó. Chào Andreas, Google hoặc Microsoft Authenticator hoạt động như thế nào? Có hệ thống phi tập trung nào có thể thay thế chúng không? Neeraj, đây chính là các hệ thống phi tập trung. Mặc dù ứng dụng được tạo ra bởi một thực thể tập trung, nhưng bản thân ứng dụng thực sự khá đơn giản. Và kết quả là, nó thực sự phi tập trung. Các bí mật được lưu trữ trên các trình xác thực này

chỉ được lưu trữ trên thiết bị cục bộ của bạn. Tất nhiên, có một số biến thể. Một số ứng dụng này, ví dụ như Offi, cho phép bạn sao lưu và chuyển các bí mật vốn là cơ sở của xác thực hai yếu tố sang một thiết bị khác. Điều này làm cho chúng tiện lợi, nhưng nguy hiểm. Nếu bạn đã bật hỗ trợ cho nhiều thiết bị trong Offi hoặc các hệ thống hỗ trợ sao lưu khác, bạn phải tắt tính năng đó đi và chỉ bật lên khi bạn đang chuyển sang một điện thoại hoặc thiết bị khác, ví dụ như khi bạn nâng cấp điện thoại thông minh và cần chuyển tất cả các tài khoản đó sang thiết bị mới. Google Authenticator thực sự đã giới thiệu tính năng sao lưu và chuyển đổi trong phiên bản mới nhất của họ. Tôi không biết nó hoạt động như thế nào, nhưng nếu nó hoạt động theo cách đó, hãy đảm bảo rằng bạn đã tắt nó theo mặc định. Để chỉ có thiết bị cục bộ đó

mới có thể sử dụng các mã bảo mật đó. Nếu không thì nó không thực sự là hai yếu tố, đúng không? Nó không phải là thứ bạn sở hữu. Nó là một mật khẩu sao lưu. Nó là thứ mà bạn biết, và điều đó có thể dễ dàng bị đánh cắp, hoặc nó được gắn với số điện thoại của bạn. Trong trường hợp đó, chúng ta lại quay về với bảo mật bằng tin nhắn văn bản mà chúng ta đã nói trước đó. Ai đó chuyển đổi SIM của bạn, họ chiếm quyền kiểm soát số điện thoại của bạn. Họ cài đặt phần mềm xác thực trên điện thoại thông minh. Sau đó, họ tải xuống bản sao lưu và chuyển nó sang thiết bị đó. Và họ có tất cả các xác thực hai yếu tố của bạn mà thực chất không phải là xác thực hai yếu tố. Vì vậy, đây là một điểm yếu, nhưng trước tiên hãy nói về cách thức hoạt động của thứ này. Vậy Google hoặc Microsoft Authenticator hoạt động như thế nào? Đầu tiên, hãy gọi tên thứ này. Đây là một cơ chế được gọi là mật khẩu dùng một lần hay OTP. Mật khẩu dùng một lần đã có từ nhiều thập kỷ trước và chúng đã được sử dụng, à, để tôi đính chính lại. Mật khẩu dùng một lần kỹ thuật số

trên các thiết bị di động, đã có từ nhiều thập kỷ trước. Bản thân mật khẩu dùng một lần thực sự đã có từ hàng ngàn năm trước. Khái niệm chung ở đây là nếu bạn tạo ra một chuỗi các số ngẫu nhiên và hai bên tham gia giao tiếp đều có một bản sao của chuỗi đó, hoặc có thể tạo ra chuỗi đó và không ai khác có thể làm được. Thì sẽ không có gì để đánh cắp hay đoán được. Hệ mật mã dùng một lần (One-time pads) là một phương pháp mã hóa không thể bị phá vỡ miễn là bạn có thể tạo ra những bí mật này và không để chúng bị đánh cắp. Và mật khẩu dùng một lần dạng số, mã sáu chữ số là rất, rất khó để đánh cắp. Miễn là bạn có thể giữ bí mật cho các bí mật gốc tạo ra chúng. Hiện nay, Google và Microsoft Authenticator là một phân lớp cụ thể của mật khẩu dùng một lần được gọi là mật khẩu dùng một lần dựa trên thời gian (time-based one-time passwords). Và nếu bạn muốn tìm một ứng dụng hỗ trợ tiêu chuẩn mật khẩu dùng một lần dựa trên thời gian, bạn sử dụng từ viết tắt

Mật khẩu dùng một lần dựa trên thời gian (1:21:56)

T-O-T-P. OTP là mật khẩu dùng một lần (one-time password), còn T-OTP là mật khẩu dùng một lần dựa trên thời gian (time-based one-time password). Và dựa trên thời gian đơn giản có nghĩa là mã này được gắn với thời gian hiện tại và thay đổi mỗi 30 giây. Vì vậy, những công cụ này sử dụng một bí mật và một đồng hồ, vốn phải được đồng bộ hóa tương đối chính xác với thời gian hiện tại, để tạo ra mã cụ thể cho thời gian cụ thể mà bạn muốn sử dụng. Và vì đây là khoảng thời gian 30 giây, bạn có thể bị lệch một chút và bạn có một chút thời gian để nhìn thấy nó trên màn hình và nhập nó vào trang web. Bây giờ, vì trang web mà bạn đang kết nối hoặc thiết bị mà bạn đang kết nối có cùng một bí mật và đồng hồ được đồng bộ hóa tương đối. Nó có thể tìm ra mã mà bạn phải nhập. Nó thường xem xét mã trước và mã sau đó để biết liệu bạn có bị lệch một chút hay không,

chẳng hạn như chỉ hơn 30 giây. Nó sẽ chấp nhận những mã đó. Và sau đó bạn thấy trên màn hình của mình, mã hiện tại, và bạn sẽ thấy một đồng hồ đếm ngược nhỏ. Và sau 30 giây, nó thay đổi và bạn có một số gồm sáu chữ số mới. Vì vậy, cách thức hoạt động của nó là sử dụng một khóa riêng tư. Và từ khóa riêng tư đó, nó sử dụng một hàm dẫn xuất, có thể là nhiều thứ khác nhau. Tôi không biết tiêu chuẩn sử dụng cho T-OTP là gì. Tôi đoán nó là một loại cơ chế băm với thời gian. Và với hàm dẫn xuất đó, nó tạo ra các mã số mới, mỗi 30 giây. Và bạn có thể tính toán từ chuỗi, xin lỗi, từ các bí mật và thời gian hiện tại, mã chính xác cho thời gian hiện tại. Bản thân bí mật nằm trong mã QR mà dịch vụ bạn đang cố gắng sử dụng hiển thị lần đầu tiên. Vì vậy, khi bạn bắt đầu sử dụng một trong

những thiết bị này, và tất cả chúng đều tương thích, vì vậy cho dù bạn sử dụng Google Authenticator hay Microsoft Authenticator hay Offi hay Duo hoặc bất kỳ ứng dụng nào khác, và hầu hết các trình quản lý mật khẩu cũng có tích hợp sẵn một trong những dịch vụ T-OTP này. Tất cả những gì bạn phải làm là quét mã QR từ trang web hoặc dịch vụ mà bạn đang cố gắng thêm xác thực hai yếu tố. Và mã QR đó chứa một bí mật. Bí mật đó là một chuỗi chữ và số được tạo ngẫu nhiên gắn liền với tài khoản của bạn. Và trang web tạo ngẫu nhiên cho bạn. Nó hiển thị dưới dạng mã QR. Bạn quét nó bằng thiết bị Google Authenticator của mình, thiết bị Google Authenticator của bạn ghi lại nó như là bí mật, và sau đó bắt đầu tạo mã cho thời gian hiện tại. Sau đó, bạn nhập một trong những mã này vào trang web. Nó có thể xác nhận rằng bạn đã nhập chính xác bằng cách theo dõi và nói rằng, đúng vậy, đó là mã mà tôi đang mong đợi

trong khoảng thời gian 30 giây này. Và bây giờ bạn đã thiết lập xác thực hai yếu tố. Tất nhiên, khó khăn với những thứ này là việc sao lưu. Và có một số cách bạn có thể thực hiện sao lưu. Một cách bạn có thể sao lưu, thực sự có lẽ là cách an toàn nhất mà bạn có thể sao lưu một cách trung thực, là một bản in vật lý. Vì vậy, khi bạn có mã QR đó trên màn hình, hãy nhấn in. Tôi nói bản in vật lý, bởi vì bạn có thể có xu hướng làm một việc khác, đó là chụp ảnh nó. Và tất nhiên, để chụp ảnh nó, bạn sẽ sử dụng điện thoại thông minh của mình. Vấn đề là bức ảnh đó sẽ được lưu trữ trên đám mây. Tại thời điểm đó, nó không còn chỉ nằm trên thiết bị trong Google Authenticator, trong trình xác thực T-OTP nữa. Và tại thời điểm đó, nó không còn là yếu tố thứ hai an toàn nữa. Việc sao lưu trên

đám mây cho các bí mật xác thực hai yếu tố của bạn là một ý tưởng tồi. Thực tế, tốt hơn là sử dụng tính năng sao lưu mà phần mềm hai yếu tố có thể có, ít nhất là được mã hóa bằng mật khẩu do bạn chọn. Bạn đặt mật khẩu đó ở đâu trong trình quản lý mật khẩu của mình? Chúng ta đang đi vòng quanh ở đây nếu bạn có thể thấy, và đôi khi nó có thể trở nên khó hiểu. Vì vậy, hãy in mã QR ra nếu bạn muốn sao lưu hoặc không, với hầu hết các dịch vụ, nếu bạn mất token hoặc ứng dụng xác thực hai yếu tố, bạn có thể yêu cầu họ đặt lại. Và họ sẽ bắt bạn phải làm nhiều thủ tục phức tạp, cầm giấy tờ tùy thân và chụp ảnh tự sướng và xác nhận thông qua nhiều cơ chế khác như email và cuộc gọi điện thoại và những thứ tương tự. Nhiều dịch vụ trong số này cũng sẽ cung cấp cho bạn một loạt các mã dự phòng, là các mã số được tính toán trước mà bạn có thể nhập thay vì các mã động

Hệ thống phân cấp của xác thực hai yếu tố (1:26:44)

được tạo ra là tĩnh. Và những mã này dùng cho trường hợp bạn làm mất thiết bị xác thực của mình. Và bạn lưu trữ chúng ở đâu? Trong trình quản lý mật khẩu của bạn chính là nơi bạn lưu trữ chúng. Vì vậy, xác thực hai yếu tố với ứng dụng mật khẩu dùng một lần dựa trên thời gian là một cơ chế mạnh mẽ, hiệu quả, dễ sử dụng mà bạn có thể thêm vào tất cả các tài khoản của mình ngay hôm nay. Bây giờ hãy cùng xem xét hệ thống phân cấp của bảo mật. Khóa bảo mật hai yếu tố phổ quát, dựa trên mã hóa rất, rất mạnh. Nếu bạn đăng ký một vài khóa và giữ chúng ở những vị trí an toàn, sẽ rất khó để bị xâm phạm. Rất dễ để sao lưu, nó là một vật lý. Bạn sao lưu nó bằng cách giữ một vật lý khác ở gần đó. Không thể sao chép và không thể bị đánh cắp mà bạn không nhận ra. Cấp độ thứ hai là mật khẩu dùng một lần dựa trên thời gian mà bạn sử dụng bằng cách quét mã QR và một ứng dụng giống như ứng dụng mà Neeraj đã thảo luận. Chúng cung cấp cho bạn một mã sáu chữ số

mỗi 30 giây. Một lần nữa, điều đó biến điện thoại của bạn, thứ mà bạn sở hữu, thành yếu tố thứ hai, và những thứ này hơi khó để sao lưu. Và nếu điện thoại của bạn bị đánh cắp, chúng có thể dễ dàng bị xâm phạm. Tôi thích đặt dấu vân tay trên chính ứng dụng xác thực hai yếu tố để bạn không thể nhìn thấy các mã số mà không sử dụng dấu vân tay. Giờ đây, điều này về cơ bản là yếu tố thứ ba nằm trên yếu tố thứ hai, giúp bảo vệ tôi trong trường hợp ai đó đánh cắp điện thoại của tôi khi nó đang mở và họ có thể truy cập vào ứng dụng hai yếu tố của tôi nhưng thực tế là họ không thể. Và cuối cùng, cấp độ thấp nhất là xác thực hai yếu tố bằng tin nhắn văn bản, tất nhiên là không an toàn trừ khi bạn không có lựa chọn nào khác, trong trường hợp đó thì có còn hơn không. Vậy đó là các cấp độ của xác thực hai yếu tố. Hãy xem chúng ta còn những câu hỏi nào khác trong khi

tôi nghỉ giải lao một chút ở đây. Và tôi sẽ phát một video từ những người ủng hộ (patron) của tôi, video này sẽ cho bạn biết lý do tại sao bạn nên ủng hộ công việc trực tuyến của tôi. Vì vậy, những gì chúng ta đang làm hôm nay, và những gì tôi luôn cố gắng làm là cung cấp cho bạn tài liệu giáo dục chất lượng cao về Bitcoin và các Blockchain mở theo một cách trung lập, không có nhà tài trợ, không có sự chứng thực, không bán mình cho các nhà quảng cáo hoặc bị ràng buộc bởi lợi ích của các tập đoàn. Không ai trả tiền cho việc này ngoài bạn. Và vì vậy, nếu bạn thích chương trình giáo dục này, nếu bạn đã hưởng lợi từ chương trình giáo dục này, hoặc thậm chí nếu bạn chỉ đơn giản là muốn đền đáp và giúp đỡ những người khác, nhận được nền giáo dục này và giúp tôi cùng đội ngũ của mình tiếp tục làm điều này, làm tốt hơn và rộng rãi hơn, thì xin hãy cân nhắc ủng hộ tôi bằng tư cách hội viên YouTube hoặc tốt hơn nữa là đăng ký ủng hộ hàng tháng trên Patreon. Và theo lời của những người ủng hộ tôi, đây là lý do tại sao.

• Tôi là một người ủng hộ của Andreas vì tôi tình cờ xem được các video của anh ấy trên mạng và đó là cách tôi biết về Bitcoin. Đó là cách tôi được giới thiệu về Bitcoin. - Tối nay tôi đang tham gia một sự kiện giao lưu do Andreas tổ chức, như một phần trong chương trình hỗ trợ những người ủng hộ trả phí của anh ấy. Vừa uống vài ly ở trung tâm London, nên đây là một buổi tối thực sự vui vẻ. Được gặp gỡ rất nhiều người cùng chí hướng. - Chúng ta nên ủng hộ công việc mà Andreas đang làm. Anh ấy đang làm rất nhiều việc để đưa những người mới đến với Bitcoin và giáo dục về Bitcoin. - Anh ấy là một giáo viên tuyệt vời. Anh ấy có thể giải thích những chủ đề rất phức tạp theo cách dễ hiểu. Anh ấy rất trung thực và rất chính xác. Họ có thể được chuẩn bị kỹ lưỡng và trung thực về mặt trí tuệ. Tôi nghĩ đó là đặc điểm tốt nhất của anh ấy. - Anh ấy mang lại sự rõ ràng cho một chủ đề thực sự phức tạp là Bitcoin và ngành công nghiệp xung quanh nó. - Nó đã

là một nguồn cảm hứng rất, rất tốt đối với tôi và mỗi Bitcoin tôi trao cho anh ấy, nó sẽ được sử dụng rất tốt trong việc giúp chúng ta hiểu về Bitcoin. Và tôi nghĩ nó sẽ cải thiện thế giới vào một thời điểm nào đó. - Là một người ủng hộ, tôi được gặp Andreas và đó là lý do tại sao tôi thích trở thành người ủng hộ và tôi sẽ tiếp tục là một người ủng hộ. - Tôi nghĩ đó chỉ là một điều tốt. Nếu bạn quan tâm đến việc học hỏi những điều mới và cũng muốn ủng hộ cộng đồng Bitcoin, thì bạn phải trở thành một người ủng hộ. - Trở thành người ủng hộ khiến bạn cảm thấy đặc biệt. Bạn có thể tham dự các phiên hỏi đáp trực tiếp của anh ấy. Bạn có thể gặp anh ấy tại các buổi giao lưu. Thật sự rất tuyệt vời, hoàn toàn xứng đáng. Tôi rất, rất nhiệt tình với việc trở thành một người ủng hộ. - Tôi muốn anh ấy có thể sản xuất nội dung tuyệt vời và có giá trị của mình trong một tương lai không có quảng cáo và chỉ

Hỏi đáp: chuyển đổi số điện thoại và bảo mật ứng dụng (1:31:37)

với sự giúp đỡ của những người ủng hộ anh ấy. Và đó là lý do tại sao tôi đang ủng hộ anh ấy trên Patreon. (nhạc nhẹ) - Được rồi, trước khi chúng ta chuyển sang câu hỏi tiếp theo, có một vài câu hỏi tiếp nối rất hay trong phần trò chuyện. Mà nhà sản xuất của tôi đã giúp đăng lên cho tôi. Đầu tiên, chúng ta có một câu hỏi tiếp nối từ Lucia, liệu có thể chuyển bất kỳ số điện thoại nào sang dịch vụ chăm sóc khách hàng không có người thật không? Điều này phụ thuộc vào quốc gia nơi bạn đăng ký. Các quốc gia khác nhau có luật khác nhau về khả năng chuyển đổi giữa các nhà cung cấp viễn thông. Nhưng thành thật mà nói, hầu hết các quốc gia châu Âu và chắc chắn là Bắc Mỹ, tôi biết điều này đúng ở Hoa Kỳ và Canada, đều bắt buộc các nhà mạng phải tôn trọng các yêu cầu chuyển đổi. Và điều đó có nghĩa là với quy trình chính xác, bạn có thể chuyển số của mình mà không bị mất và chuyển sang một nhà mạng mới. Và sau đó bạn có thể chuyển sang một nhà mạng mà không có dịch vụ chăm sóc

khách hàng, không có nhân viên trực. Google Fi là nhà mạng tôi nghe nói đến nhiều nhất về vấn đề này. Có thể có nhiều nhà mạng khác cũng an toàn tương tự trước các cuộc tấn công chuyển đổi số điện thoại. Tôi khá thích điều đó, mặc dù nó có một số rủi ro về quyền riêng tư vì những lý do hiển nhiên. Câu hỏi thứ hai đến từ Ben và Ben hỏi làm sao để biết rằng ứng dụng của bạn không làm rò rỉ khóa bí mật. Ben, bạn không thể biết chắc rằng ứng dụng của bạn không làm rò rỉ khóa bí mật. Bạn chỉ có thể chọn các ứng dụng được nhiều người sử dụng trong môi trường bảo mật, được kiểm toán, đánh giá, có thể là mã nguồn mở đã được kiểm toán mã, được xây dựng bởi các công ty đáng tin cậy. Những công ty coi trọng vấn đề bảo mật, có bề dày thành tích trong việc không làm hỏng mọi thứ. Điều này đòi hỏi sự tin tưởng vào một bên đối tác. Tuy nhiên, hầu như mọi thứ tôi đã nói đều đòi hỏi sự tin tưởng vào một bên đối tác. Vậy thì câu hỏi đặt ra là bạn đặt bao nhiêu niềm tin

vào bên đối tác đó và bên đối tác này là ai? Và giải pháp thay thế là gì? Và nếu giải pháp thay thế là không sử dụng ứng dụng và cố gắng dựa vào trí nhớ, thì thực ra giải pháp thay thế đó còn tồi tệ hơn. Và đây là sự cân bằng cẩn thận mà bạn phải đạt được trong bảo mật. Ngày càng có nhiều công ty cố gắng triển khai các cơ chế khác nhau cho xác thực phi tập trung, danh tính phi tập trung (DID), xác thực phi tập trung, an toàn hơn. Ví dụ, đa chữ ký trên Bitcoin hoặc Ethereum thường là nền tảng của các dịch vụ như vậy. Nhưng hiện tại, các dịch vụ này còn tương đối non trẻ, chưa được triển khai rộng rãi và chưa phù hợp với các loại giải pháp này. Vì vậy, tôi rất hy vọng vào tương lai trong lĩnh vực đó. Trong thời gian chờ đợi, câu hỏi bạn nên tự hỏi là, điều gì tốt hơn: sử dụng một dịch vụ tập trung có bề dày thành tích tốt hay không sử dụng dịch vụ nào cả, và cố gắng dựa vào

trí nhớ? Và tôi có thể trả lời dứt khoát rằng tốt hơn là nên sử dụng trình quản lý mật khẩu từ một công ty đáng tin cậy hoặc một công ty có bề dày thành tích tốt, còn hơn là không sử dụng trình quản lý mật khẩu và cố gắng dựa vào trí nhớ dễ sai sót, tính ngẫu nhiên dễ sai sót và các giải pháp tự làm (DIY) có thể vượt quá khả năng kỹ thuật của bạn. Hãy chuyển sang câu hỏi tiếp theo. Câu hỏi đến từ Trixie: Andreas, tôi thích cặp kính này. Tôi cũng vậy. Cảm ơn Trixie. Với cặp kính này, tôi thực sự có thể đọc được những gì trên máy tính xách tay của mình. Có hai loại phát trực tiếp (livestream) mà tôi thực hiện. Một số mang tính ngẫu hứng hơn, dựa nhiều vào các câu hỏi. Tôi không cần phải đọc nhiều những gì đang diễn ra trên máy tính xách tay của mình. Tôi có một màn hình studio đẹp ở đằng kia, đủ xa để tôi có thể đọc được với thị lực đang kém đi của mình. Và một số buổi như hôm nay thì phức tạp hơn một chút. Tôi cần phải làm rất nhiều

Hỏi đáp: chuyển đổi SMS ngân hàng sang phương thức xác thực mạnh hơn (1:36:01)

...để đọc. Tôi đang để laptop trên bàn. Và vì vậy tôi cần những thứ này. Nhưng cảm ơn bạn, chúng ta đang đi lạc đề. Quay lại với trọng tâm của câu hỏi này. Tôi sẽ bắt đầu lại cho biên tập viên của chúng ta. Trixie hỏi, có cách nào tôi có thể chuyển đổi những tin nhắn văn bản ngân hàng ngớ ngẩn đó sang offi hoặc thứ gì đó tương tự không? Một hệ thống mật khẩu dùng một lần dựa trên thời gian. Offi là một trong những hệ thống TOTP dựa trên thời gian, mật khẩu dùng một lần dựa trên thời gian. Trixie, không, không có cách nào cả. Trừ khi ngân hàng của bạn có một cơ chế hỗ trợ thứ gì đó khác ngoài tin nhắn văn bản, bạn không thể sử dụng mật khẩu dùng một lần dựa trên thời gian. Câu trả lời chính xác trong trường hợp này là sử dụng tin nhắn văn bản, nhưng hãy đổi nhà cung cấp dịch vụ điện thoại của bạn sang một nhà cung cấp yêu cầu cơ chế xác thực mạnh, chẳng hạn như mật khẩu dùng một lần dựa trên thời gian, hoặc thậm chí tốt hơn là xác thực hai yếu tố phổ quát với một khóa bảo mật hoặc nơi bạn có thể cấu hình các tùy chọn đó. Để số điện thoại của bạn không thể bị chuyển đổi vì điều đó yêu cầu xác thực mạnh. Và

nếu số của bạn có thể được chuyển đổi, thì tin nhắn văn bản ngân hàng của bạn sẽ an toàn hơn rất, rất nhiều. Đó là một câu hỏi tuyệt vời từ Trixie. Hãy xem chúng ta còn những câu hỏi nào khác ở đây. Tôi không thấy quá nhiều câu hỏi khác, vì vậy, Ồ, và đây rồi. Ồ, các điều phối viên hiện đang điên cuồng, điên cuồng kéo các câu hỏi lên và xếp hàng chúng cho tôi, để chúng ta có thể tìm thêm một vài câu hỏi nữa. Tôi hy vọng bạn đang thích thú với buổi học hôm nay. Vậy hãy để tôi tóm tắt nhanh những gì chúng ta đã học được cho đến nay. Bảo mật không bao giờ là một trăm phần trăm, bảo mật là về việc quản lý các rủi ro thực tế trong khả năng kỹ thuật của bạn bằng giải pháp đơn giản nhất và được áp dụng nhất quán nhất mà bạn có thể tìm thấy, được xếp lớp với các giải pháp khác để cung cấp một loạt các rào cản chống lại một kẻ tấn công kiên quyết. Nếu bạn thực hiện bảo mật đúng cách, thì bạn sẽ trở nên thoải mái với các biện pháp này. Bạn có thể áp dụng chúng một cách nhất quán, và bạn

có đủ các lớp phù hợp cẩn thận với cả kỹ năng và môi trường đe dọa của bạn để làm cho kẻ tấn công không có thời gian, nguồn lực, ngân sách, hoặc sự quan tâm, phần thưởng, để thực sự tấn công bạn. Và thay vào đó, chúng tấn công một ai đó là mục tiêu dễ dàng hơn, và đó về cơ bản là bảo mật. Bạn không thể hoàn hảo về điều đó. Thực tế, bạn là con người. Vì vậy, theo định nghĩa, bạn sẽ không hoàn hảo. Bạn phải có khả năng thực hiện nó một cách nhất quán và trong mức độ kỹ năng của mình, điều đó có nghĩa là nó phải đủ đơn giản. Nó không thể được giải quyết bằng một công cụ, kỹ thuật, thực hành hoặc hành động duy nhất, vì vậy bạn phải sử dụng nhiều công cụ, nhiều kỹ thuật, nhiều hành động, được xếp lớp cùng nhau, tốt nhất là các cơ chế bảo mật đa dạng đòi hỏi các kỹ năng khác nhau từ những kẻ tấn công để bảo vệ khỏi các mối đe dọa khác nhau để bạn có thể xếp lớp chúng và tạo ra một hệ thống toàn diện. Và điều đó vẫn sẽ không mang lại cho bạn

sự bảo mật một trăm phần trăm, nhưng, bạn biết đấy, nếu bạn làm điều đó một cách nhất quán, và nếu bạn làm điều đó có chủ đích, và nếu bạn điều chỉnh nó tốt, cho cả nhu cầu về mối đe dọa và mức độ kỹ năng của bạn, bạn có thể tham gia vào nhóm những người ưu tú có thể thành thật nói rằng, tôi đã không bị hack trong nhiều năm. Đó là điều tốt nhất bạn có thể làm, nhưng điều đó thường là khá tốt. Và nó đưa bạn vượt lên trên rất nhiều người khác. Một người ẩn danh hỏi, bạn có thể chia sẻ bất kỳ mối quan tâm hoặc đề xuất nào về các trình quản lý mật khẩu cho một người chưa có thời gian để tìm hiểu so sánh kỹ lưỡng hoặc dùng thử bất kỳ trình quản lý nào không. Tôi đã sử dụng nhiều trình quản lý mật khẩu khác nhau trong nhiều năm qua, có một số trình quản lý được sử dụng rất, rất phổ biến nhưng không phải là mục yêu thích của tôi. Mà tôi miễn cưỡng sử dụng thỉnh thoảng hoặc mọi lúc, tùy thuộc vào thiết bị tôi đang sử dụng. Có một số trình quản lý đã

được ưa chuộng hoặc không còn được ưa chuộng. Và có một số cái mới đang trở nên nổi bật. Tôi không thể thực sự nói cho bạn biết điều gì sẽ phù hợp với bạn. Tôi có thể nói với bạn rằng có lẽ hai hệ thống phổ biến nhất là một hệ thống có tên là LastPass và một hệ thống có tên là 1Password, số một, theo sau là từ password, tất cả viết liền thành một từ. 1Password và LastPass có lẽ là những cái tên được biết đến nhiều nhất. Ngoài ra, còn có một số hệ thống khác ngoài kia với các khả năng và điểm khác biệt khác nhau. Một trong những hệ thống mới hơn một chút mà tôi đang quan tâm theo dõi là Bitwarden, vì đây là một hệ thống mã nguồn mở đa nền tảng và có kiến trúc khá tốt. Nhưng suy cho cùng, giống như tôi đã đưa ra lời khuyên tương tự đối với các nhà sản xuất ví phần cứng, chẳng hạn, tôi sẽ cung cấp cho bạn lời khuyên tương tự đối với các trình quản lý mật khẩu của chúng ta. Sự khác biệt giữa, giả sử, ba hoặc bốn cái tên hàng đầu,

Hỏi đáp: so sánh các trình quản lý mật khẩu (1:41:43)

có năm công ty trong lĩnh vực này mà các sản phẩm của họ chỉ có những khác biệt rất nhỏ. Tất cả đều khá tốt. Tất cả đều khá an toàn. Tất cả đều khá nhất quán. Sự khác biệt giữa việc sử dụng một trong bốn hoặc năm trình quản lý mật khẩu hàng đầu so với việc không có trình quản lý mật khẩu nào cả, hoặc cố gắng dựa vào trí nhớ của bạn hay tự xây dựng giải pháp riêng là rất lớn. Vì vậy, câu hỏi không phải là tôi nên sử dụng cái nào trong số này? Mà là liệu tôi có nên sử dụng một cái hay không, câu trả lời là có, và đừng lãng phí quá nhiều thời gian. Một cách để suy nghĩ về điều này là những người khác trong gia đình bạn đang sử dụng cái gì? Để bạn có thể dễ dàng chia sẻ mật khẩu với họ. Hầu hết những thứ này là các hệ sinh thái khép kín. Vì vậy, nếu mọi người trong gia đình bạn đều dùng Bitwarden, thì tốt hơn là bạn cũng nên dùng Bitwarden. Nếu công ty hoặc nhà tuyển dụng của bạn đang sử dụng một cái, thì có lẽ bạn

nên sử dụng cùng một loại cho các mục đích cá nhân của mình, miễn là bạn có thể giữ hai tài khoản riêng biệt, chỉ để bạn không phải chạy quá nhiều ứng dụng và tránh sự phức tạp. Một lần nữa, hãy giữ cho nó đơn giản. Câu hỏi duy nhất bạn nên đặt ra là tôi có thể thiết lập và chạy một trong những thứ này nhanh đến mức nào, sau đó bảo mật nó đúng cách, rồi đi thay đổi tất cả mật khẩu trên tất cả các trang web, bắt đầu từ những trang quan trọng nhất trước. Một người ẩn danh hỏi liệu thiết lập ban đầu của Google Authenticator và việc triển khai khóa đối xứng có khác với Bitcoin, vốn sử dụng mã hóa bất đối xứng hay không. Đúng vậy. Và tôi không biết tiêu chuẩn T-OTP là gì vì tôi chưa bao giờ xem xét nó. Nó thậm chí có thể không phải là mã hóa đối xứng. Nó có thể là một thuật toán kéo dài mật khẩu. Trên thực tế, rất có thể nó là một loại chuỗi nào đó dựa trên

việc dẫn xuất sử dụng các mã băm. Nhưng tôi không biết, tôi chưa tìm hiểu sâu về nó. Nó không phải là bất đối xứng, tôi có thể khẳng định với bạn điều đó. Vì vậy, nó không phải là một hệ thống khóa công khai và khóa riêng tư. Mã hóa đối xứng là gì? Mã hóa bất đối xứng là gì? Đó là một câu hỏi khác xuất hiện trên khung chat. Mã hóa bất đối xứng là khi có hai khóa trong một cặp và chúng ta gọi đó là khóa riêng tư và khóa công khai, và bất cứ thứ gì được mã hóa bằng khóa này thì chỉ có thể được giải mã bằng khóa kia và ngược lại. Vì vậy, nếu bạn mã hóa một thứ gì đó bằng khóa riêng tư của mình, nó chỉ có thể được giải mã bằng khóa công khai của bạn. Và nếu bạn mã hóa một thứ gì đó bằng khóa công khai, chỉ người có khóa riêng tư mới có thể giải mã nó. Và sự kết hợp của các kỹ thuật này được sử dụng cho các chữ ký kỹ thuật số. Và nó được sử dụng cho việc mã hóa và giải mã dữ liệu giữa hai người nhận. Tuy nhiên, điều đó có nghĩa là

nếu bạn muốn giải mã một thứ gì đó cho tôi, bạn cần khóa công khai của tôi. Nếu bạn mã hóa nó bằng khóa công khai của tôi, vốn là công khai và dễ chia sẻ, thì chỉ tôi mới có thể giải mã nó. Nếu bạn muốn mã hóa nó cho nhiều người, bạn cần tất cả các khóa công khai của họ và bạn cần mã hóa nó riêng biệt cho tất cả các khóa công khai của họ. Mã hóa đối xứng là nơi bạn có một khóa dùng cho cả việc mã hóa và giải mã. Và trên thực tế, cho đến những năm 1970, mã hóa đối xứng là cơ chế mã hóa duy nhất. Mã hóa bất đối xứng chưa được phát minh, tôi tin là vậy nếu tôi không nhầm, cho đến những năm 1970. Vì vậy, đó là sự khác biệt giữa đối xứng và bất đối xứng. Để tôi xem, tôi nghĩ tôi có một câu hỏi khác ở đây. Một câu hỏi tiếp theo từ Carlos. Khi nào chúng ta sẽ sử dụng các chữ ký Bitcoin để xác thực? Bạn có thể sử dụng các chữ ký Bitcoin để xác thực ngay hôm nay. Vấn đề là bạn phải

cẩn thận về cách cấu trúc nó và hiểu chính xác những gì bạn đang chứng minh. Một chữ ký Bitcoin và nói chung là việc sử dụng các chữ ký kỹ thuật số để xác thực chứng minh một tập hợp những điều rất cụ thể và rất hẹp. Vì vậy, hãy xem bạn yêu cầu tôi ký một thông điệp bằng khóa riêng tư Bitcoin của mình và tạo ra một chữ ký, sau đó chia sẻ nó với thế giới. Chà, đây là một vài điều mà tôi chứng minh. Tôi chứng minh rằng tại thời điểm chữ ký được tạo ra, tôi đã sở hữu khóa riêng tư. Tất nhiên, điều đó không có nghĩa là tôi đã không tạo ra chữ ký đó từ nhiều năm trước. Bạn không biết chữ ký được tạo ra khi nào. Một điều khác là để sử dụng điều đó trong một kế hoạch khả thi, người yêu cầu chữ ký cần thực hiện cái được gọi là phản hồi thử thách (challenge response). Tôi không thể chỉ nói hãy ký một cái gì đó, bởi vì nếu tôi nhận được

Hỏi đáp: Chữ ký Bitcoin để xác thực (1:47:01)

để chọn thông điệp, về cơ bản tôi có thể chọn một thông điệp mà ai đó đã ký từ rất lâu trong quá khứ, đưa ra chữ ký mà họ đã áp dụng và nói với bạn rằng tôi vừa làm điều đó. Và bạn không có cách nào để biết điều đó có đúng hay không. Vì vậy, thay vào đó trong kịch bản này, bạn cần phản hồi thử thách. Vì vậy, những gì tôi sẽ nói là xin vui lòng, CarlosM, hãy ký một thông điệp nói rằng, tôi là CarlosM vào ngày 5 tháng 12 hôm nay phải không? Tôi thậm chí không biết nữa, vào ngày 5 tháng 12 năm 2020, tôi đang sở hữu khóa riêng tư của mình. Và tôi đang ký thông điệp này theo yêu cầu của Andreas. Bạn có hiểu ý tôi ở đây không? Việc làm đó là để neo nó vào một thời điểm cụ thể. Bạn sẽ không biết thông điệp là gì cho đến khi tôi yêu cầu bạn ký một thông điệp cụ thể. Bạn liên kết nó với một hoạt động cụ thể. Tôi đã yêu cầu

bạn đưa thông tin về thời gian bạn đã ký nó và danh tính của người ký vào đó. Điều đó làm cho việc giả mạo khó khăn hơn rất nhiều, nhưng tôi vẫn không biết liệu Carlos có thực sự ký cái này hay không. Chúng ta đã có một cuộc trò chuyện tương tự khi nói về việc ký bằng ví để chứng minh rằng bạn sở hữu một địa chỉ cho các quy tắc đi lại mới đang được đề xuất ở Mỹ và đã được triển khai ở EU. Và tất nhiên, nếu Carlos muốn chứng minh rằng họ sở hữu một địa chỉ và tôi đưa cho họ một thông điệp như vậy, tất cả những gì họ phải làm là đưa thông điệp đó cho Jimmy, nhờ Jimmy ký vào đó và nói rằng, đây là Carlos, đưa lại cho Carlos, Carlos đưa nó cho tôi, và tôi nghĩ điều đó chứng minh rằng Carlos có khóa riêng tư trong khi thực tế Jimmy mới là người có và họ đang làm việc cùng nhau. Vì vậy, điều này rất phức tạp. Nó

không hề đơn giản như thoạt nhìn. Được rồi, hãy xem nào. Tôi sẽ trả lời thêm khoảng một câu hỏi nữa. Ồ, đây là một câu hỏi hay. Tôi thực sự thích câu này. Đây là một câu hỏi từ Jeff. Jeff Tezos hỏi, còn những mật khẩu bạn cần nhập thủ công bằng điều khiển từ xa trên TV hoặc các dịch vụ tương tự như Amazon, Netflix thì sao. Nó nên dài và khó đến mức nào? Jeff, tôi đã từng chật vật với điều này. Và tôi có câu trả lời cho vấn đề này, tôi sẽ cho bạn biết ngay bây giờ. Bây giờ, hãy tưởng tượng kịch bản mà Jeff đang nói đến, bạn đã sử dụng trình quản lý mật khẩu của mình để tạo ra một khóa duy nhất gồm 32 ký tự chữ và số cùng với các ký hiệu cho tài khoản Netflix của bạn. Bây giờ bạn phải nhập nó trên bàn phím của một chiếc TV thông minh Roku, nơi mỗi chữ cái phải được nhập bằng cách di chuyển con trỏ nhỏ của bạn đến đúng chữ cái trên bàn phím, nhấn enter,

rồi di chuyển lại và đi xuống phím caps lock, bật caps lock lên, di chuyển lên và đi đến chữ in hoa, sau đó tắt caps lock, rồi di chuyển đến ký hiệu và chuyển sang bàn phím số. Ôi trời ơi, sẽ mất hàng giờ, hàng giờ đồng hồ. Và vì vậy, đúng vậy, trong những trường hợp đó, tôi cũng sẽ nói điều tương tự trong những trường hợp mà tính bảo mật của bạn không quá quan trọng, bạn cần làm điều gì đó khi bạn thường xuyên phải chia sẻ khóa này với người khác. Một ví dụ điển hình sẽ là mật khẩu wifi của bạn, đúng không? Vì vậy, trong những trường hợp đó, những gì tôi sẽ làm là sử dụng một mật khẩu số hoặc chữ cái đơn giản. Tất cả cùng một loại ký tự và làm cho nó dài hơn một chút. Vì vậy, tôi không quan tâm nếu ai đó hack vào Netflix của tôi và nhận ra rằng tôi đang xem Queen's Gambit. Tất nhiên là tôi đang xem Queen's Gambit rồi. Mọi người đều

đang xem Queen's Gambit. Đây là tuần lễ của Queen's Gambit. Điều đó không thực sự quan trọng đối với tôi, mặc dù có một số cân nhắc về bảo mật, chẳng hạn như việc có thể tìm ra tôi đang ở đâu khi tôi xem phim đó. Vì vậy, tôi vẫn cần một mật khẩu. Nhưng nó không cần phải quá dài vì khó có khả năng ai đó sẽ cố gắng bẻ khóa nó. Vấn đề thực sự là tôi có nhớ đặt lại TV Roku khi rời khỏi Airbnb hay không. Aha. Đó là một câu hỏi hay. Vậy tôi phải làm gì? Tôi thường chọn một mật khẩu bằng số hoặc một mật khẩu bằng chữ cái hoặc chữ thường và tôi nhóm nó thành các nhóm. Vì vậy, một cách cổ điển mà tôi sẽ làm là 12 con số được phân tách bằng dấu trừ hoặc dấu gạch ngang. Điều đó có nghĩa là tôi sẽ tạo ba nhóm bốn chữ số hoặc bốn nhóm ba chữ số. Vì vậy, mật khẩu của tôi sẽ giống như chín ba bảy gạch ngang ba một hai gạch ngang ba

Hỏi đáp: mật khẩu cho điều khiển TV và các thiết bị có độ bảo mật thấp (1:52:10)

ba một gạch ngang bốn một năm. Lúc này tôi chỉ đang chọn các con số một cách ngẫu nhiên. Nhân tiện thì tính ngẫu nhiên này không tốt lắm. Tôi sẽ sử dụng trình tạo số ngẫu nhiên trong trình quản lý mật khẩu của mình. Tôi sẽ yêu cầu nó chỉ cung cấp cho tôi các chữ số và có độ dài là 12. Và sau đó tôi sẽ viết nó với các dấu gạch ngang ở giữa, được nhóm thành các nhóm bốn số đẹp mắt, vì như vậy tôi sẽ dễ đọc từ màn hình và gõ vào bàn phím hơn. Và thông thường các con số và dấu gạch ngang nằm trên cùng một bàn phím và chúng ở khoảng cách rất gần nhau, vì vậy tôi có thể gõ chúng nhanh chóng hoặc thậm chí tốt hơn, nhiều điều khiển từ xa cho phép bạn sử dụng phần phím số của bàn phím, phần này vốn dành cho... Ngày xưa, chúng ta từng có các kênh trên tivi và những kênh đó được chọn bằng số kênh. Tôi biết đó là một công nghệ gây kinh ngạc.

Vì vậy, nhiều điều khiển từ xa có bàn phím số trên đó. Điều này một lần nữa giúp việc nhập cụm mật khẩu dễ dàng hơn nhiều. Cảm ơn bạn, Jeff. Đó là một câu hỏi rất hay. Và là một câu hỏi rất thực tế về việc cân bằng tính bảo mật. Bạn có thực sự, thực sự muốn trải qua tất cả những rắc rối đó để bảo vệ một tài khoản không quá bảo mật và nơi rủi ro lớn hơn là bạn quên xóa hoặc đặt lại mật khẩu đó khi rời khỏi Airbnb và để người khác tìm thấy, lúc đó, mọi chuyện có thể hơi rắc rối. Một câu hỏi tương tự từ Jeff. Rất tiếc. Ồ không, không phải Jeff. Xin lỗi, đợi một chút. Được rồi. Nó có hoạt động không? Hôm nay các ứng dụng của tôi hơi lag một chút. Mike hỏi, việc chỉ sử dụng mã PIN bốn chữ số, chẳng hạn như mã được sử dụng trên tất cả các thẻ ngân hàng, thì bảo mật đến mức nào? Mike, điều đó còn tùy, nó

phụ thuộc vào nơi bạn có thể nhập mã PIN đó. Lý do mã PIN bốn chữ số an toàn trên thẻ ngân hàng là vì bạn chỉ được nhập mã này vào một thiết bị bảo mật, chẳng hạn như bàn phím nhập mã PIN hoặc máy ATM. Các thiết bị này được thiết kế để ngăn bạn thử quá một số lần nhất định. Và nếu chúng là các thiết bị được giám sát, nghĩa là bạn đang ở trạm xăng, bạn đang ở quầy thanh toán của siêu thị, hay bất cứ nơi nào có người đứng đó và bạn nhập sai quá vài lần. Họ có thể thấy bạn làm điều đó và họ sẽ gọi bảo vệ, nếu bạn cố gắng nhập 4.000 tổ hợp khác nhau. Và khi đó là một thiết bị không được giám sát, nơi bạn có thể chỉ ngồi đó và thử hàng giờ đồng hồ tất cả các tổ hợp có thể, nó sẽ thực sự khóa và nuốt thẻ của bạn như bạn biết đấy, với các máy ATM. Vì vậy

nếu tôi nhập sai bốn lần, hoặc sai sáu lần, hoặc sai ba lần, tùy thuộc vào chính sách của ngân hàng, nó sẽ "ực" một cái và nuốt chửng thẻ của tôi và không cho tôi cơ hội thử lại. Vì vậy, vấn đề không chỉ là mã PIN, mà là bối cảnh mã PIN đó được sử dụng như thế nào. Nơi nó được nhập, số lần bạn có thể thử và điều gì sẽ xảy ra nếu bạn không vượt qua được các cơ chế bảo mật nhiều lớp này. Vì vậy, đúng vậy, mã PIN bốn chữ số là đủ an toàn trong bối cảnh các thiết bị kiểm soát truy cập như máy ATM và bàn phím nhập mã PIN, nơi có các lớp bảo mật bổ sung như nuốt thẻ của bạn nếu bạn nhập sai, hoặc không cho phép bạn thử quá nhiều lần. Tôi nghĩ như vậy là ổn rồi. Chúng ta đã đề cập đến rất nhiều chủ đề. Cảm ơn các bạn rất nhiều vì tất cả những câu hỏi tuyệt vời này. Cảm ơn các bạn đã để lại những bình luận rất hay. Hãy cho tôi biết bạn thích điều gì về

phiên thảo luận cụ thể này. Nó hơi khác một chút so với những phiên khác mà chúng ta đã thực hiện. Hãy cho tôi biết bạn muốn tìm hiểu thêm điều gì để giúp bạn trong hành trình khám phá Bitcoin và các Chuỗi khối mở này. Và đừng quên, chúng ta sắp có một số phiên thảo luận như thế này. Để tôi cho bạn xem các sự kiện tiếp theo sắp diễn ra của chúng ta là, Những cuộc trò chuyện khó xử trong kỳ nghỉ (Awkward Holiday Conversations), Những cuộc trò chuyện khó xử trong kỳ nghỉ. Đó là sự kiện tiếp theo sắp diễn ra. Tôi sẽ trang bị cho bạn những câu trả lời đúng và cả những câu chuyện hài hước từ những người khác hiện đang chia sẻ trong phần bình luận trên Patreon và các nền tảng khác, về những cuộc trò chuyện khó xử trong kỳ nghỉ của gia đình họ. Chủ yếu là về Bitcoin và các Chuỗi khối mở, đôi khi về những chủ đề khiến nó trở nên khó xử hơn nhiều mà chúng ta sẽ không đề cập trong buổi phát trực tiếp. Sau đó, chúng ta có buổi Hỏi đáp chủ đề mở tháng 12, nơi bạn có thể hỏi bất kỳ câu hỏi nào và tôi có thể chọn để trả lời. Và

Lời kết (1:57:25)

cuối cùng chúng ta có Sự kiện Extravaganza 2021. Vì vậy, để biết khi nào những sự kiện này diễn ra và tìm hiểu về chúng, vui lòng đăng ký kênh của tôi. Bật thông báo bằng cách nhấn vào biểu tượng quả chuông, và bằng cách đó bạn sẽ là người đầu tiên biết về những sự kiện mới này. Cảm ơn các bạn đã tham gia cùng tôi hôm nay, chúng ta đã có hơn 300 người trên kênh trong buổi phát trực tiếp hôm nay, những người đã tham gia cùng chúng ta trong buổi thuyết trình dài gần hai giờ này, nhưng chúng ta đã có rất nhiều nội dung cần đề cập. Bây giờ, trong khi tôi đang làm việc này, bạn có thể nhận thấy tôi có một chồng sách với nhiều màu sắc tuyệt đẹp khác nhau. Và chà, bạn sẽ cần phiên bản in của những cuốn sách này để thưởng thức màu sắc, nhưng bạn thực sự có thể đọc nội dung dưới dạng sách điện tử (ebook). Và bạn có thể mua sách điện tử đó trên cửa hàng của tôi tại antonov.com/shop. Bạn cũng có thể mua những chiếc cốc như thế này. Và

nhân tiện, đây là những chiếc cốc thực sự tuyệt vời. Chúng to, nặng và giữ nhiệt tốt. Chúng rất khó vỡ. Tôi biết vì tôi đã thử rồi. Tôi đã làm rơi chúng vài lần và chúng chứa được rất nhiều cà phê, thứ mà tất cả chúng ta sẽ cần để vượt qua những cuộc trò chuyện gượng gạo trong kỳ nghỉ. Vì vậy, cho đến thứ Hai, trong hai ngày tới, chúng tôi có chương trình giảm giá dịp lễ, giảm giá 20% cho toàn bộ sản phẩm. Một trong những thứ bạn cũng có thể mua là hội thảo chọn tiền mã hóa của bạn. Và mức giảm giá 20% cũng áp dụng cho hội thảo đó. Chương trình giảm giá dịp lễ 2020 hiện có trên cửa hàng, hãy truy cập trang chủ của cửa hàng để tìm mã giảm giá tại antonov.com/shop. Đừng quên để lại bình luận bên dưới cho video này. Cảm ơn các bạn rất nhiều vì đã theo dõi. Chúc các bạn một ngày cuối tuần tuyệt vời. Tạm biệt mọi người.