LOADING...

Category "An ninh, cảnh báo"

18Th8

Lịch sử về sóng không dây Z-Wave và các tiêu chuẩn toàn cầu

by SmartHome SIG

Z-Wave là một giao thức truyền thông không dây được sử dụng chủ yếu để tự động hóa gia đình.
Nó là một mạng lưới sử dụng sóng vô tuyến năng lượng thấp để liên lạc từ thiết bị này sang thiết bị khác, cho phép điều khiển không dây các thiết bị dân dụng như:

  • Điều khiển ánh sáng.
  • Hệ thống an ninh.
  • Bộ điều khiển nhiệt độ.
  • Các cảm biến cửa.
  • Khóa cửa điện tử.
  • Rèm, mành.
  • Cổng cửa nhà để xe.

Giống như các giao thức và các hệ thống khác, Z-Wave nhằm vào thị trường tự động hóa gia đình, các văn phòng vừa và nhỏ. Hệ thống Z-Wave có thể được điều khiển thông qua Internet từ điện thoại thông minh, máy tính bảng hoặc máy tính để bàn và mạng nội bộ thông qua loa thông minh, keyfob không dây hoặc bảng điều khiển treo tường với thiết bị điều khiển trung tâm đóng vai trò là bộ điều khiển chính và là cổng thông tin kết nối ra bên ngoài.

Trong giao thức Z-Wave, lớp ứng dụng (Application) cung cấp khả năng tương tác giữa các thiết bị điều khiển trong gia đình với các thiết bị đến từ các nhà sản xuất khác nhau, và đã hình thành nên Hiệp hội các nhà sản xuất thiết bị Z-Wave với hơn 700 công ty thành viên (https://z-wavealliance.org).

Ngày nay, càng có nhiều sản phẩm Z-Wave hình thành, tạo nên một hệ sinh thái phong phú với hơn:

Lịch sử ra đời

  • Giao thức Z-Wave được phát triển bởi Zensys, một công ty Đan Mạch có trụ sở tại Copenhagen vào năm 1999. Năm đó, Zensys giới thiệu hệ thống điều khiển ánh sáng tiêu dùng, được phát triển thành Z-Wave như một hệ thống độc quyền trên giao thức tự động hóa gia đình dùng chip (SoC) trên dải tần 900 MHz.
  • Bộ chip 100 series của hãng được phát hành vào năm 2003, và bộ 200 series của nó được phát hành vào tháng 5 năm 2005, với chip ZW0201 cung cấp hiệu suất cao với chi phí thấp.

  • Đến chip 500 series, còn được gọi là Z-Wave Plus, được phát hành vào tháng 3 năm 2013, với bộ nhớ gấp bốn lần, phạm vi không dây cùng tuổi thọ pin được cải thiện hơn.

  • Công nghệ này bắt đầu phổ biến ở Bắc Mỹ vào khoảng năm 2005, khi các công ty bao gồm Danfoss, Ingersoll-Rand và Leviton Manufacturing áp dụng Z-Wave. Họ cùng nhau thành lập Liên minh Z-Wave, với mục tiêu là thúc đẩy việc sử dụng công nghệ này cùng với tất cả các sản phẩm của các công ty trong liên minh có thể tương tác với nhau.
  • Vào tháng 5 năm 2006, Intel Capital thông báo rằng họ đang đầu tư vào Zensys, vài ngày sau khi Intel gia nhập Liên minh Z-Wave.
  • Năm 2008, Zensys nhận được các khoản đầu tư từ Panasonic, Cisco Systems, Palamon Capital Partners và Sunstone Capital.
  • Z-Wave được Sigma Designs mua lại vào tháng 12 năm 2008. Sau khi mua lại, trụ sở của Z-Wave tại Fremont, California đã được hợp nhất với trụ sở của Sigma tại Milpitas, California. Ngoài ra còn có một số thay đổi như quyền lợi nhãn hiệu của Z-Wave được Sigma Designs giữ lại tại Hoa Kỳ, và một số khác được mua lại bởi một công ty con của Tập đoàn Aeotec ở Châu Âu.
  • Vào ngày 23 tháng 1 năm 2018, Sigma thông báo họ có kế hoạch bán công nghệ Z-Wave và tài sản kinh doanh cho Silicon Labs với giá 240 triệu đô la, và việc mua bán này hoàn tất vào ngày 18 tháng 4 năm 2018.

 

  • Hiện nay, Silicon Labs đã cho ra đời bộ công cụ phát triển nền tảng Z-Wave 700 series, bao gồm tất cả các công cụ phần cứng và phần mềm cần thiết để nhúng công nghệ Z-Wave vào sản phẩm của bạn.

Khả năng tương tác

  • Khả năng tương tác của Z-Wave ở lớp ứng dụng đảm bảo rằng các thiết bị có thể chia sẻ thông tin cho nhau và cho phép tất cả phần cứng, phần mềm của Z-Wave hoạt động cùng nhau.

  • Công nghệ mạng lưới không dây này của Z-Wave cho phép bất kỳ nút mạng nào cũng có thể nói chuyện với các nút lân cận một cách trực tiếp hoặc gián tiếp, và có thể bổ sung một nút bất kỳ khác vào cùng hệ thống.
  • Các nút nằm trong phạm vi giao tiếp trực tiếp với nhau, nếu không nằm trong phạm vi phủ sóng, nó có thể liên kết với một nút khác nằm trong phạm vi của cả hai để truy cập và trao đổi thông tin.

  • Vào tháng 9 năm 2016, một số mã nguồn của công nghệ Z-Wave đã được công bố công khai bởi chủ sở hữu là Sigma Designs, với phần mềm được thêm vào thư viện mã nguồn mở của Z-Wave. Nhằm tăng tính khả dụng của nguồn mở cho phép các nhà phát triển phần mềm tích hợp Z-Wave vào các thiết bị với ít hạn chế hơn.

  • Bảo mật S2 của Z-Wave, Z/IP để truyền tín hiệu Z-Wave qua mạng IP và phần mềm trung gian Z-Ware đều là mã nguồn mở tính đến năm 2016.

Tiêu chuẩn và Liên minh Z-Wave

  • Z-Wave Alliance (https://z-wavealliance.org) được thành lập vào năm 2005 với tư cách là một liên hiệp các công ty sản xuất các thiết bị được kết nối và điều khiển thông qua các ứng dụng trên điện thoại thông minh, máy tính bảng hoặc máy tính sử dụng công nghệ mạng lưới không dây Z-Wave. Liên minh là một hiệp hội chính thức tập trung vào cả việc mở rộng Z-Wave và khả năng tương tác liên tục của bất kỳ thiết bị nào sử dụng Z-Wave.
  • Vào tháng 10 năm 2013, một chương trình chứng nhận giao thức và khả năng tương tác mới được gọi là Z-Wave Plus đã được công bố, dựa trên các tính năng mới và các tiêu chuẩn tương tác cao hơn được kết hợp với nhau. Yêu cầu đối với hệ thống Z-Wave Plus là dùng chip 500 series trên một con chip (SoC), và nó cũng có tính năng tương thích ngược lại cho các chip SoC dòng 300/400 đã có sẵn từ năm 2012.
  • Vào tháng 2 năm 2014, sản phẩm đầu tiên đã được chứng nhận bởi Liên minh Z-Wave Plus, nhằm mục đích tạo ra cho ngôi nhà thông minh một mạng lưới an toàn hoạt động trên các nền tảng khác nhau.
  • Z-Wave được thiết kế để đạt được giao tiếp và hoạt động đáng tin cậy giữa các thiết bị và đối tượng hỗ trợ cảm biến từ các nhà sản xuất khác nhau trong Liên minh Z-Wave, bao gồm hơn 700 công ty thành viên. Các thành viên chính của liên minh bao gồm ADT Corporation, Assa Abloy, Jasco, Leedarson, LG Uplus, Nortek Security & Control, Ring, Silicon Labs, SmartThings, Trane Technologies và Vivint.

  • Vào năm 2016, Alliance đã triển khai chương trình Đào tạo người cài đặt được chứng nhận Z-Wave nhằm cung cấp cho người cài đặt, nhà tích hợp và đại lý các công cụ để triển khai mạng và thiết bị Z-Wave cho cư dân và thương mại hóa sản phẩm của họ. Năm đó, Liên minh đã công bố bộ Kit công cụ trình cài đặt được chứng nhận Z-Wave (Z-Wave Certified Installer Toolkit), một thiết bị giúp chẩn đoán và khắc phục sự cố có thể được sử dụng trong quá trình thiết lập mạng, và thiết bị cũng có thể hoạt động như một công cụ chẩn đoán từ xa.

  • Chứng nhận Z-Wave Alliance có hai thành phần: chứng nhận kỹ thuật, được quản lý thông qua Phòng thí nghiệm Silicon Lab và Chứng nhận thương mại, được quản lý thông qua Z-Wave Alliance.

Đặc điểm kỹ thuật và tần số vô tuyến

  • Z-Wave được thiết kế để cung cấp khả năng truyền tải các gói dữ liệu nhỏ có độ trễ thấp, đáng tin cậy với tốc độ dữ liệu lên đến 100kbit/s. Băng thông là 40kbit/s (9,6kbit/s sử dụng chip cũ) và thích hợp cho các ứng dụng điều khiển và cảm biến.
  • Không giống như Wi-Fi và các hệ thống mạng LAN không dây dựa trên IEEE 802.11 khác được thiết kế chủ yếu cho tốc độ dữ liệu cao. Khoảng cách giao tiếp giữa hai nút là khoảng 20 mét (40 mét với chip 500 series), nó cung cấp đủ vùng phủ sóng cho hầu hết các ngôi nhà.
  • Z-Wave sử dụng Mục 15 không được cấp phép ở băng tần công nghiệp, khoa học và y tế (ISM). Nó hoạt động ở tần số 868,42 MHz ở Châu Âu, ở 908,42 MHz ở Bắc Mỹ và sử dụng các tần số khác ở các quốc gia khác tùy theo quy định của quốc gia đó. Băng tần này cận kề với một số điện thoại không dây (890 – 960 MHz) và các thiết bị điện tử tiêu dùng khác, nhưng tránh nhiễu với Wi-Fi, Bluetooth và các hệ thống khác hoạt động trên băng tần 2,4 GHz.
  • Các lớp dưới, MAC và PHY, được ITU-T G.9959 mô tả và hoàn toàn tương thích ngược. Vào năm 2012, Liên minh Viễn thông Quốc tế (ITU) đã xác nhận các lớp Z-Wave PHY và MAC như một tùy chọn trong tiêu chuẩn G.9959 cho các thiết bị không dây dưới 1 GHz. Tốc độ dữ liệu bao gồm 9.600 bps và 40 kbps, với công suất đầu ra là 1 mW hoặc 0 dBm.
  • Các chip thu phát Z-Wave chỉ có một mình Silicon Labs cung cấp nên tính tương thích về giao thức là cực kỳ cao.
  • Bảng tần số Z-Wave được cấp phép sử dụng ở nhiều nơi trên thế giới:

Thiết lập mạng, cấu trúc liên kết và định tuyến

  • Z-Wave sử dụng kiến ​​trúc mạng lưới định tuyến nguồn. Mạng lưới này còn được gọi là mạng không dây AD HOC (wireless ad hoc networks – WANET). Trong các mạng như vậy, các thiết bị sử dụng kênh không dây để gửi các thông báo điều khiển, sau đó được chuyển tiếp bởi các thiết bị lân cận theo kiểu sóng. Do đó, thiết bị nguồn muốn truyền được gọi là thiết bị khởi tạo. Có một số giao thức định tuyến lưới do nguồn khởi tạo được đề xuất trong giai đoạn đầu những năm 1990, những cái trước đó là Định tuyến vectơ khoảng cách theo yêu cầu đặc biệt (AODV) và Định tuyến nguồn động (DSR).

  • Các thiết bị có thể giao tiếp với nhau bằng cách sử dụng các nút trung gian để chủ động định tuyến xung quanh và vượt qua các chướng ngại vật trong nhà hoặc các điểm chết vô tuyến có thể xảy ra trong môi trường nhiều vật cản của một ngôi nhà. Một thông báo từ nút A đến nút C có thể được gửi thành công ngay cả khi hai nút không nằm trong phạm vi, với điều kiện là nút B có thể giao tiếp với các nút A và C. Nếu tuyến kết nối chính bị mất hoặc lỗi, các thiết bị trong hệ thống sẽ thử các tuyến khác cho đến khi tìm thấy một đường dẫn đến nút C. Do đó, mạng Z-Wave có thể trải rộng hơn nhiều so với phạm vi vô tuyến của một đơn vị thiết bị. Tuy nhiên, với một số bước nhảy như thế này, có thể có độ trễ nhỏ giữa lệnh điều khiển và thiết bị cần điều khiển, ngoài ra các thiết bị Z-Wave không được thiết kế để có thể đi xuyên qua 4 thiết bị để về bộ điều khiển trung tâm.

  • Mạng Z-Wave cơ bản nhất là gồm một thiết bị và một bộ điều khiển chính. Các thiết bị bổ sung sẽ được thêm vào bất kỳ lúc nào, như thiết bị điều khiển chiếu sáng, các cảm biến, bộ điều khiển cầm tay truyền thống, bộ điều khiển key-fob… và các ứng dụng trên PC được thiết kế để quản lý và điều khiển mạng Z-Wave. Một mạng Z-Wave gồm tối đa 232 thiết bị, ngoài ra nếu yêu cầu nhiều thiết bị hơn có thể mở rộng bằng cách thêm nhiều bộ điều khiển trung tâm.

  • Một thiết bị phải được “đưa vào” mạng Z-Wave trước khi nó có thể được điều khiển thông qua bộ điều khiển trung tâm. Quá trình này (còn được gọi là “ghép nối” và “thêm”) thường đạt được bằng cách nhấn một chuỗi các nút trên bộ điều khiển trung tâm và trên thiết bị cần được thêm vào mạng. Trình tự này chỉ cần thực hiện một lần, sau đó thiết bị luôn được bộ điều khiển nhận dạng. Có thể xóa thiết bị khỏi mạng Z-Wave bằng quy trình tương tự. Bộ điều khiển sẽ tìm hiểu cường độ tín hiệu giữa các thiết bị trong quá trình đưa vào, do đó người thiết kế luôn hy vọng các thiết bị sẽ ở gần nhất có thể so với bộ điều khiển trung tâm khi chúng được “ghép nối” vào hệ thống. Thông thường, bộ điều khiển trung tâm cho phép rút phích cắm tạm thời (nếu có pin dự phòng) và đưa đến vị trí của thiết bị mới để ghép nối, sau đó được đưa trở lại vị trí bình thường và được kết nối trở lại.

  • Mỗi mạng Z-Wave được xác định bằng ID trong mạng và mỗi thiết bị được nhận dạng thêm bằng ID của thiết bị. ID trong mạng (còn được gọi là Home ID) là nhận dạng chung của tất cả các nút thuộc một mạng Z-Wave logic. ID mạng có độ dài 4 byte (32 bit) và được bộ điều khiển chính gán cho mỗi thiết bị, khi thiết bị được “đưa” vào mạng. Các nút có ID mạng khác nhau không thể giao tiếp với nhau. Node ID là địa chỉ của một nút trong mạng. ID node có độ dài 1 byte (8 bit) và phải là duy nhất trong mạng của nó.
  • Chip Z-Wave được tối ưu hóa cho các thiết bị sử dụng pin và phần lớn thời gian vẫn ở chế độ tiết kiệm năng lượng để tiêu thụ ít năng lượng nhất, thiết bị dùng pin chỉ thức dậy để thực hiện chức năng của nó. Với mạng lưới Z-Wave, mỗi thiết bị trong nhà phát tín hiệu không dây xung quanh nhà, dẫn đến tiêu thụ điện năng thấp, cho phép các thiết bị hoạt động trong nhiều năm mà không cần thay pin. Để các thiết bị Z-Wave có thể định tuyến liên tục, chúng không thể ở chế độ ngủ, do đó các thiết bị hoạt động bằng pin không được thiết kế như bộ lặp. Các thiết bị di động, chẳng hạn như điều khiển từ xa, cũng bị loại trừ vì Z-Wave giả định rằng tất cả các thiết bị có khả năng lặp lại trong mạng vẫn ở vị trí được phát hiện ban đầu của chúng.

 

Bảo mật trong hệ thống Z-Wave

  • Chip Z-Wave dựa trên một thiết kế độc quyền, được hỗ trợ bởi Sigma Designs với tư cách là nhà cung cấp chip chính của mình, nhưng đã được Silicon Labs mua lại vào năm 2018.
  • Năm 2014, Mitsumi trở thành nguồn thứ hai được cấp phép cho các chip dòng Z-Wave 500. Mặc dù đã có một số nghiên cứu trên lý thuyết và thực tiễn về bảo mật  của các hệ thống tự động hóa gia đình dựa trên giao thức Zigbee và X10, tuy nhiên nghiên cứu vẫn còn sơ khai để phân tích các lớp giao thức Z-Wave (protocol stack layers). Yêu cầu thiết kế một thiết bị bắt gói tin vô tuyến liên quan và phần mềm chặn liên lạc Z-Wave đã phát hiện ra một lỗ hổng ban đầu đã được phát hiện trong ổ khóa cửa Z-Wave được mã hóa AES, điều đó có thể được hacker khai thác từ xa để mở khóa cửa mà không cần biết về khóa mã hóa. Lỗ hổng bảo mật không phải do lỗ hổng trong đặc điểm kỹ thuật của giao thức Z-Wave mà là lỗi triển khai của nhà sản xuất khóa cửa.

  • Vào ngày 17 tháng 11 năm 2016, Z-Wave Alliance đã công bố các tiêu chuẩn bảo mật mạnh mẽ hơn cho các thiết bị, Chứng nhận Z-Wave này có hiệu lực kể từ ngày 2 tháng 4 năm 2017 và được gọi là Security 2 (hoặc S2). Nó cung cấp bảo mật nâng cao cho các thiết bị nhà thông minh, bộ định tuyến và bộ điều khiển trung tâm. Security 2 đem lại các tiêu chuẩn mã hóa cho việc truyền giữa các nút và yêu cầu các quy trình ghép nối mới cho mỗi thiết bị, với mã PIN hoặc mã QR duy nhất trên mỗi thiết bị, lớp xác thực mới cũng nhằm ngăn chặn tin tặc chiếm quyền kiểm soát các thiết bị không an toàn hoặc bảo mật kém.

  • Theo Z-Wave Alliance, tiêu chuẩn bảo mật mới là tiêu chuẩn bảo mật tiên tiến nhất hiện có trên thị trường cho các thiết bị và bộ định tuyến, bộ điều khiển trung tâm.

Phần cứng chip Z-Wave

  • Các thiết bị dùng chip 500 series hay còn được gọi là Z-Wave Plus:
    – Được xây dựng dựa trên vi điều khiển Intel MCS-51 với xung nhịp hệ thống bên trong là 32 MHz.
    – Phần RF của chip chứa bộ thu phát GisFSK với phần mềm có thể cho phép lựa chọn tần số.
    – Nguồn điện cung cấp cho chip từ 2,2-3,6 volt, nó tiêu thụ 23mA ở chế độ phát.
    – Các tính năng của nó bao gồm mã hóa AES-128, khả năng truyền tải 100kbps, nhận đồng thời trên nhiều kênh và hỗ trợ USB VCP.

  • Hiện nay Silicon labs đã phát triển thành công chip 700 series với nhiều ưu điểm nổi bật hơn (Đang cập nhật)

So sánh giữa Z-Wave với các giao thức khác

Đối với mạng không dây cho nhà thông minh, có rất nhiều công nghệ cạnh tranh để trở thành tiêu chuẩn được lựa chọn.

  • Wi-Fi tiêu thụ rất nhiều năng lượng.
  • Bluetooth bị giới hạn về phạm vi tín hiệu và số lượng thiết bị.

  • Các tiêu chuẩn mạng khác cạnh tranh với Z-Wave bao gồm Wi-Fi HaLow, Bluetooth 5, Insteon, Thread và ZigBee.
    – Z-Wave có phạm vi hoạt động ở bán kính không có vật cản tầm 90 mét (ngoài trời) và 20 mét (trong nhà).
    – Về mặt lý thuyết, Insteon có thể xử lý một khối lượng lên đến 17,7 triệu thiết bị (so với 65.000 của ZigBee và 232 thiết bị của Z-Wave).
    – Thread có tốc độ truyền dữ liệu nhanh ở 250 kbps.
    – Z-Wave có khả năng tương tác tốt hơn ZigBee nhưng ZigBee lại có tốc độ truyền dữ liệu nhanh hơn.
    – Thread và Zigbee hoạt động trên tần số chuẩn Wi-Fi là 2,4 GHz nên dễ bị can nhiễu do có quá nhiều thiết bị cùng làm việc trên tần số này, trong khi Z-Wave hoạt động ở tần số 850 – 920 MHz đã giảm được nhiễu và vùng phủ sóng lớn hơn.
    – Cả ba giao thức đều là mạng mesh.
    – Z-Wave MAC/PHY được tiêu chuẩn hóa toàn cầu bởi Liên minh Viễn thông Quốc tế dưới tên gọi radio ITU 9959 và các thông số kỹ thuật về khả năng tương tác, bảo mật (S2).
    – Phần mềm trung gian và các thông số kỹ thuật của Z-Wave đều được công khai từ năm 2016. Giúp cho các nhà phát triển Internet of Things có thể thông qua giao thức tcp/ip, api… để tiếp cận với Z-Wave nhằm tích hợp chúng vào chung trong một sản phẩm.

(Dịch từ wikipedia)

2Th5

Ring Floodlight Cam

by SmartHome SIG

Ring đã sớm phát minh ra việc tích hợp hệ thống an ninh với wifi. Sản phẩm đầu tiên của họ là hệ thống chuông cửa video, cho phép chủ nhà trả lời khách, hoặc theo dõi phía ngoài nhà mình qua điện thoại di động.

Đến với CES 2017, hệ thống an ninh nhà đã được Ring cải tiến bằng chiếc camera tiêu chuẩn HD trang bị hệ thống đèn pha led, kèm cảm biến chuyển động  bắt hình rất chính xác.

Khi phát hiện có di chuyển, nó sẽ tự động gửi thông báo đến điện thoại di động của bạn, thông qua ứng dụng chạy trên điện thoại thông minh, nó cho phép bạn đọc thông báo ra loa, mở đèn, còi…để xua đuổi kẻ trộm.

27Th9

Cảm biến chuyển động

by SmartHome SIG

Cảm biến chuyển động của Fibaro kết hợp bốn chức năng hữu ích vào một cảm biến Z-Wave không dây nhỏ. Chức năng đa cảm biến thông minh này bao gồm cảm biến chuyển động, cảm biến nhiệt độ, cảm biến ánh sáng và cảm biến rung / gia tốc.

Đèn LED nhiều màu của cảm biến Fibaro giúp gửi thông báo đến cho các thành viên trong gia đình nếu nó phát hiện bất kỳ chuyển động nào hoặc nhiệt độ hiện tại của một căn phòng.

27Th9

August Smart Lock

by SmartHome SIG

Nhà thiết kế Yves Béhar (làm việc cho hãng Jawbone) và nhà kinh doanh công nghệ Jason Johnson mới đây đã ra mắt một ổ khóa thông minh mang tên August Smart Lock. Thiết bị này có thể hoạt động với 90% các ổ khóa tròn (deadbolt) ở Mỹ và các nhà thiết kế nói người dùng chỉ cần “bắt hai con ốc” là đã hoàn tất công đoạn lắp đặt.

Nó sử dụng công nghệ Bluetooth Low Energy(LE) để ghép đôi với:

  • iPhone 4S, iPhone 5
  • Các model Android mới nhất

Từ đó cho phép chủ nhà cũng như tối đa 10 người bạn được phép vào phòng/nhà ngay khi họ vừa đến gần cửa. Tất nhiên là khi đã sử dụng điện thoại để mở cửa rồi thì chúng ta không cần phải dùng chìa khóa nữa, hạn chế tình trạng mất chìa. Thực chất ổ khóa thông minh dạng này không phải là mới, điển hình như ổ khóa không dây Lockitron ra mắt hồi năm ngoái, tuy nhiên August Smart Lock đặc biệt bởi bạn có thể cấp quyền truy cập cho nhiều nhất là 10 vị khách trong một khoảng thời gian nhất định.

August Smart Lock sử dụng pin AA để làm nguồn, do đó thiết bị này vẫn có thể hoạt động tốt ngay cả khi cúp điện. Khi gần hết pin, nó sẽ gửi thông báo cho bạn biết qua email. Còn trong trường hợp xấu nhất là máy đã cạn sạch pin, ổ deadbolt truyền thống vẫn hoạt động để bạn sử dụng chìa khóa và mở cửa một cách bình thường. Nhóm thiết kế cho biết thêm rằng sản phẩm của họ sẽ ghi lại toàn bộ lịch sử ra vào của mọi người, bao gồm luôn cả thời điểm cụ thể. Hệ thống liên lạc giữa August Smart Lock và smartphone thì được mã hóa theo công nghệ được sử dụng bởi các ngân hàng nên đảm bảo an toàn cho ngôi nhà của bạn.

Nguồn: August, Gizmag​, DuyLuan tinhte.vn

26Th5

Lỗ hổng bảo mật – những hiểu biết căn bản

by SmartHome SIG

Nhân sự kiện về lỗ hổng bảo mật của java gần đây, chúng ta sẽ cùng tìm hiểu thêm một chút về các lỗ hổng phần mềm.

Ngày nay,  kiếm được một phần mềm anti virus hoạt động hiệu quả và không tốn quá nhiều tài nguyên máy không còn quá khó như một vài năm trước. Điểm danh những phần mềm miễn phí, ta có AVG, Avast, Avira, thậm chí việc kiếm key bản quyền xịn của những Kaspersky, Bitdefender cũng không còn quá khó và đắt đỏ. Nhưng khi nói đến bảo mật, có rất nhiều khía cạnh ta cần lưu tâm, trong đó tìm kiếm và cài đặt một phần mềm antivirus tốt mới chỉ là một mặt của vấn đề. Hẳn trong các bài viết về bảo mật, bạn đã nghe phát chán những chuyện như tránh website khả nghi, chỉ download phần mềm từ các nguồn chính thức, để ý giao thức mã hóa SSL khi đăng nhập –  sử dụng mật khẩu ở đâu đó, nhớ đăng xuất khi dùng máy công cộng.v.v. .Nhân sự kiện về lỗ hổng bảo mật của java gần đây, chúng ta sẽ cùng tìm hiểu thêm một chút về các lỗ hổng phần mềm.

Lỗ hổng bảo mật - những hiểu biết căn bản 1

Lỗi phần mềm

Ngay cả những phần mềm tầm trung đơn giản, chỉ phục vụ một vài tác vụ chuyên biệt cũng đã tạo thành từ một lượng lớn code. Cấu trúc phần mềm được thiết kế bởi con người, và những dòng code trong đó cũng được viết bởi con người, vì vậy việc xuất hiện lỗi là không thể tránh khỏi. Trong phần lớn trường hợp, nếu một phần mềm được sản xuất một cách chuyên nghiệp – các lỗi này không thể có tác động gì quá lớn, nhất là đến các khía cạnh về bảo mật. Cùng lắm ta sẽ thấy một vài chức năng không hoạt động, đôi lúc phần mềm “treo” khi đang làm việc hoặc làm việc chậm chạp .v.v..

Lỗ hổng bảo mật - những hiểu biết căn bản 2

Nhưng nói vậy không có nghĩa là những lỗi nghiêm trọng liên quan đến bảo mật không thể xảy ra. Nói cụ thể hơn một chút, đó là những lỗi phần mềm mà người ngoài có thể khai thác để tác động thay đổi cách phần mềm vận hành, đưa thêm vào các đoạn mã tự viết, xem các dữ liệu mà phần mềm quản lí.v.v. Ngoài các nguyên nhân chủ quan như sự bất cẩn khi sử dụng của người dùng (click vào đường link lạ, download các phần mềm độc hại), các lỗi này là một trong những khe hở chính mà tin tặc thường tập trung khai thác để xâm nhập vào các hệ thống máy móc – từ các máy chủ đến các máy cá nhân của người dùng cuối. Nếu lỗ hổng này thuộc về một phần mềm không phổ biến, chỉ phục vụ vài tác vụ đơn giản và không có vai trò quan trọng trong hệ thống, hiển nhiên hiểm họa về bảo mật vẫn có nhưng không nghiêm trọng. Nhưng hệ thống phần mềm càng phức tạp, đồ sộ thì hiển nhiên việc kiểm soát sự xuất hiện của những lỗi này càng khó – bất kể các kĩ sư thiết kế có trình độ cao đến đâu. Và chính những phần mềm này lại thường chiếm vai trò chủ chốt, cũng như tác động đến nhiều ngóc ngách của hệ thống. Nhờ len lỏi qua kẽ hở tạo ra bởi lỗi của những phần mềm này, kẻ xấu có thể thực hiện những thay đổi nhất định lên máy móc của người dùng, hay nắm được quyền điều khiển, truy cập các thông tin nhạy cảm.

Zero-Day Exploits – Đòn tấn công âm thầm

Thực tế, các lỗ hổng có thể bị khai thác sử dụng cho mục đích xấu tồn tại trên bất cứ phần mềm nào. Thậm chí có những phần của thiết kế khó có thể bị cho là lỗi cho đến khi xuất hiện những công nghệ cho phép người ngoài khai thác nó – khiến cho tác giả phải thiết kế lại cách sản phẩm của mình vận hành. Khi cập nhật phần mềm mới, ngoài việc đôi lúc thấy xuất hiện các chức năng mới, hay hiệu năng hoạt động được cải thiện, chắc hẳn không ít lần bạn thấy changelog(danh sách các thay đổi) xuất hiện một loạt các sửa chửa lỗi gần đây nhất. Những người tạo ra một sản phẩm dĩ nhiên phải là người hiểu rõ đứa con cưng của mình nhất – và sẽ cố hết sức để sửa chữa lỗi mỗi khi phát hiện ra ( ít nhất thì phần lớn trường hợp là như vậy). Với sản phẩm phổ biến trên thị trường, được phát hành bởi các công ty- tổ chức hoạt động một cách chuyên nghiệp, điều này càng đúng hơn.

Lỗ hổng bảo mật - những hiểu biết căn bản 3

Nhưng không có gì là tuyệt đối. Sẽ có những lúc mà tác giả phát hiện lỗi sau người ngoài, hoặc thậm chí là không đủ khả năng phát hiện ra. Không phải bỗng nhiên mà các hãng lớn thường tổ chức những cuộc thi về khai thác lỗ hổng trên sản phẩm của mình, đồng thời tuyển mộ nhân lực từ các cuộc thi đó, cũng như tuyển mộ các tin tặc hoàn lương. Thực tế vẫn luôn như vậy: có người có tài, có người không. Thậm chí sẽ có những lúc hãng sản xuất phát hiện lỗi, nhưng thời gian để hoàn thành việc sửa chữa lại lâu hơn thời gian tin tặc cần để viết ra công cụ khai thác, đồng thời hoàn thành công việc phá hoại, gián điệp hay trộm cắp bằng công cụ đó. Đó cũng là một trong những lí do khiến ta thấy các bài viết về lỗ hổng bảo mật thường chỉ xuất hiện nhiều tháng sau khi lỗi đã được sửa. Các hacker mũ trắng quá hiểu rằng việc sửa lỗi đôi lúc khó khăn và phức tạp hơn nhiều lần so với việc lợi dụng lỗi cho mục đích xấu, vì vậy họ thường cho hãng sản xuất hàng tháng trời để sửa chữa sai lầm của mình trước khi công bố chi tiết về lỗ hổng mà mình phát hiện ra ngoài để phục vụ mục đích nghiên cứu.

Lỗ hổng bảo mật - những hiểu biết căn bản 4

Còn kịch bản xấu nhất? Kẻ xấu phát hiện ra lỗi…và dĩ nhiên là không công bố cho ai biết, âm thầm đóng cửa tu luyện để hoàn thành công cụ khai thác lỗi và âm thầm phát tán (thường thấy nhất là dưới dạng virus, worm,trojan…). Thậm chí giới tội phạm có thể đem những thông tin này ra giao dịch, trao đổi ngầm với nhau, hay bán kèm trong những bộ kit được viết ra chuyên để phục vụ việc tìm hiểu, khai thác lỗ hổng. Hãng sản xuất hoàn toàn không biết sự tồn tại của lỗ hổng đó chứ đừng nói đến việc tìm cách sửa. Chỉ đến khi hậu quả đã sờ sờ ra trước mắt, họ mới có thể tá hỏa lên tìm cách khắc phục, đền bù cho người dùng, như vụ việc của Sony ngày trước. Cũng chính vì đòn tấn công được thực hiện khi hãng sản xuất hoàn toàn chưa biết đến sự tồn tại của các lổ hổng này, có “0 ngày” để tìm cách vá lỗi mà cái tên “zero-day” ra đời.

Tóm lại, việc một lỗi phần mềm tồn tại vốn không phải việc gì quá kì lạ, hiểm họa chỉ xuất hiện khi hãng sản xuất thua trong cả 2 cuộc đua: phát hiện lỗi và sửa lỗi.

Quá trình khai thác

Cần hiểu rằng, các công cụ về bảo mật hiện đại ngày nay như tường lửa, phần mềm anti-virus, anti-malware…thường có cơ chế hoạt động thông minh để phát hiện khi một đoạn mã nào đó có hành vi đáng ngờ, bất kể đoạn mã đó có sẵn trong cơ sở dữ liệu về virus, malware hay không. Cũng tương tự như một trinh sát dày dạn có thể phát hiện dấu hiệu khả nghi của một kẻ trộm mà không cần lệnh truy nã hay chữ  “trộm” to đùng trước trán. Tuy vậy như đã nói, trường hợp xấu nhất là khi các tin tặc phát hiện lỗi chưa ai biết tới, viết một công cụ hoàn toàn mới để khai thác. Một kẻ nếu đủ khả năng để về đích đầu tiên trong cả 2 cuộc đua này (ở đây không nói đến những đối tượng sử dụng lại công cụ) hẳn nhiên thừa kinh nghiệm trong việc tránh ánh mắt dò xét của các công cụ bảo mật. Vì vậy cho đến khi lỗ hổng hoàn toàn được vá, mọi biện pháp mà các công cụ bảo mật cung cấp đều chỉ mang tính tạm thời. Chuỗi sự kiện điển hình thường là như sau:

1.Xuất hiện một lỗ hổng có thể bị khai thác bằng các công nghệ hiện có.
2.Kẻ tấn công phát hiện lỗ hổng.
3.Kẻ này lập tức tiến hành viết và phát tán công cụ khai thác lỗ hổng này.
4.Hãng sản xuất đồng thời phát hiện lỗi và lập tức tìm cách sửa chữa
5.Lỗ hổng được công bố ra ngoài

6.Các phần mềm anti-virus được cập nhật thông tin để phát hiện khi có các đoạn mã tìm cách khai thác lỗ hổng này
7.Hãng sản xuất hoàn thành bản vá
8.Hãng hoàn tất phát hành bản vá lỗi đến tất cả khách hàng

Thời điểm của đợt tấn công đầu tiênt hiển nhiên nằm giữa bước 3 và 5. Theo một nghiên cứu mới đây của đại học Carnegie Mellon của Mỹ, giai đoạn này trung bình kéo dài 10 tháng. Tuy nhiên không phải lúc nào tất cả người dùng cuối cũng bị nguy hiểm trong giai đoạn này. Dạng tấn công tận dụng thời điểm hãng sản xuất chưa phát hiện (hoặc chưa sửa được lỗi) này có lợi thế lớn nhất là sự kín đáo – phù hợp cho việc lấy trộm thông tin hoặc phá hoại ngầm mà không bị phát hiện. Vì vậy giai đoạn này đối tượng bị nhắm đến thường là một nhóm người có thể đem lại lợi ích cụ thể cho kẻ tấn công để sau đó hắn có thể rút đi êm thấm. Mục tiêu dó có thể là các tổ chức, tập đoàn mà kẻ này muốn phá hoại hoặc các thông tin tài khoản có thể sử dụng để kiếm lời.

Lỗ hổng bảo mật - những hiểu biết căn bản 5

Cũng theo nghiên cứu này, giai đoạn từ bước 5 đến 8 mới thực sự nguy hiểm. Đây là lúc thông tin về lỗ hổng được công bố, và cùng với các công ty phát triển anti-virus, những tin tặc chưa biết đến lỗi này cũng có thể tiếp cận được thông tin. Làn sóng tấn công lúc này không còn âm thầm, mà dồn dập hơn rất nhiều. Nếu ví đợt tấn công trước đó nguy hiểm như một nhát dao đâm sau lưng, thì đợt tấn công lúc này như một chuỗi đòn đánh trực diện, không hiệu quả với những ai cẩn thận đề phòng nhưng vẫn không kém phần nguy hiểm nếu như gặp đúng những người lơ là bảo mật hoặc nhỡ sử dụng công cụ bảo mật kém chất lượng, cập nhật chậm. Những đối tượng không có khả năng phát hiện lỗi, cũng như không có khả năng phát triển công cụ cũng tham gia từ thời điểm này, khiến việc phát tán và tìm đến những cỗ máy có hệ thống bảo mật yếu kém nhanh hơn rất nhiều. Khi số lượng kẻ tham gia tấn công tăng lên, động cơ và phương thức tấn công cũng đa dạng hơn chứ không thể chỉ thuần túy là len lỏi và trộm cắp nữa.

Lỗ hổng bảo mật - những hiểu biết căn bản 6

Sau khi đọc đến đây, chắc bạn đọc cũng hiểu rằng, khi nói đến việc bảo vệ thông tin và hệ thống của mình, ngoài việc cập nhật các biện pháp phòng thủ thì việc cập nhật thông tin cũng quan trọng không kém. Thường thì những lỗi nghiêm trọng  của những hệ thống phổ biến và quan trọng như Java vừa qua sẽ được báo chí đăng tải nhan nhản ngay khi hãng sản xuất công bố. Tuy nhiên những phần mềm có danh tiếng và độ phổ biến “khiêm tốn” hơn thì thường không được ưu ái như vậy. Vì vậy ngoài việc chú ý nâng cấp bản vá lỗi, cần dừng việc sử dụng những phần mềm cũ kĩ không còn được chăm sóc, sửa lỗi ngay khi có thể. Ví dụ? Microsoft vẫn không ngừng kêu gào để những XP, IE6 được yên nghỉ đấy thôi…..

Nguồn: http://genk.vn/do-choi-so/lo-hong-bao-mat-nhung-hieu-biet-can-ban-20130122123248646.chn
26Th2

5 sơ suất về bảo mật người dùng thường gặp phải

by SmartHome SIG

“Phòng bệnh hơn chữa bệnh”.

Từ trước tới nay, chắc hẳn bạn đọc đã gặp qua vô số bài viết về bảo mật khi sử dụng các thiết bị điện tử và tham gia mạng Internet. Nhưng câu chuyện về bảo mật, cả đối với người dùng cuối lẫn đối với các chuyên gia, là một câu chuyện không có hồi kết. Qua bài viết về các lỗ hổng bảo mật, chúng ta đã phần nào nắm được rằng cuộc chạy đua để bảo vệ thông tin cho người dùng đã vẫn luôn diễn ra gắt gao giữa những nhà phát triển phần mềm và giới tội phạm mạng.

Thực lòng mà nói, không phải ai cũng có khả năng thường xuyên cập nhật thông tin về các giải pháp bảo mật chuyên sâu, chứ đừng nói đến chuyện hiểu được chúng. Để bảo vệ bản thân, giải pháp tốt nhất là chúng ta cần nắm được những nguyên tắc cơ bản trong việc bảo mật dữ liệu của mình. Nếu như bạn đã từng nghe qua về những lỗi bảo mật này và vẫn đang mắc phải, đây có thể là thời điểm phù hợp để bắt đầu sửa chữa, trước khi để sự bùng nổ mạnh mẽ của thế giới mạng nói chung và giới tội phạm mạng nói riêng lấy đi các dữ liệu quý báu của mình.

UPnP trên các thiết bị mạng

5 sơ suất về bảo mật người dùng thường gặp phải 1

UPnP (Universal Plug and Play), dành cho những ai chưa biết – là một giao thức mạng cho phép các loại thiết bị điện tử, từ PC, laptop, TV đến các router, tablet, máy in giao tiếp và chia sẻ dữ liệu cho nhau (Genk sẽ có bài viết kĩ hơn về giao thức này trong thời gian tới). Vấn đề là, việc chia sẻ dữ liệu thông thường được thực hiện bằng các giải pháp phổ biến như homegroup của Windows hay ổ cứng di động, USB. Ứng dụng chủ yếu của UpnP chủ yếu thuộc về các mảng multimedia, giúp stream video hay nhạc từ PC sang laptop, hay giúp người dùng quản lý từ xa các thư viện video, ảnh trên máy tính – và rõ ràng là không phải ai cũng dùng hết chức năng của những ứng dụng này.

5 sơ suất về bảo mật người dùng thường gặp phải 2

Nhưng vấn đề chính nằm ở chỗ: các lỗ hổng bảo mật của UPnP không phải ít, và việc khắc phục vấn đề của các giao thức mạng thường không được nhanh chóng như việc khắc phục các lỗi phần mềm thông thường. Cuối tháng 1 vừa qua, giới nghiên cứu lại vừa phát hiện ba lỗ hổng bảo mật nghiêm trọng của UPnP trên các router/modem, đồng thời chỉ ra rằng chỉ riêng ở Mỹ: có đến gần 80 triệu thiết bị có phản hồi với phép thử của họ. Đồng nghĩa với việc 80 triệu thiết bị này có thể bị xâm nhập và nắm quyền điều khiển bất cứ lúc nào, đặc biệt là khi một trong những ứng dụng chính của UPnP là việc điều khiển thư viện multimedia từ xa.

Tuy giới nghiên cứu cũng công bố rằng phần lớn các thiết bị bị ảnh hưởng bởi các lổ hổng này thuộc thế hệ cũ, nhưng với tình hình thiết bị mạng với đủ loại xuất xứ ở Việt Nam, khó mà biết được thiết bị của bạn có thuộc diện bị lỗi hay kkhông. Vì vậy tắt hỗ trợ UPnP trên thiết bị mạng nếu như bạn không dùng đến chức năng này sẽ là giải pháp tối ưu. Những người có nhu cầu dùng UPnP trong mạng LAN không phải lo lắng gì với thay đổi này, vì việc tắt UPnP trên router/modem chỉ ảnh hưởng đến việc truyền dữ liệu hoặc điều khiển thư viện từ ngoài Internet. Dĩ nhiên là trừ trường hợp, bạn có cả một kho phim đồ sộ ở nhà và vẫn muốn có thể thường xuyên truy cập xem lại từ bất cứ đâu ngoài Internet và vì thế sẵn sàng chấp nhận các rủi ro về bảo mật.Mật khẩu Wifi

5 sơ suất về bảo mật người dùng thường gặp phải 3

Như chúng ta đã biết, bảo mật mạng Wifi là vấn đề cần lưu ý bất kể đối với người dùng cuối hay các doanh nghiệp, do cơ chế truyền sóng Wifi khiến dữ liệu dễ bị tiếp cận trái phép hơn. Tuy nhiều người cho rằng việc sử dụng các cơ chế mã hóa tiên tiến thay cho WEP cũ kĩ đã là giải pháp tối ưu, điều này không hoàn toàn chính xác. Trong bối cảnh phần lớn người dùng, kể cả là người dùng tại các mạng doanh nghiệp nhỏ có thói quen sử dụng các mật khẩu “cẩu thả” như abcdef,123456 hay vi phạm các nguyên tắc bảo mật cần thiết như sử dụng số điện thoại, ngày sinh, tên người thân.v.v.., việc dữ liệu Wifi có bị mất hay không hoàn toàn chỉ còn nằm ở việc… kẻ xấu có muốn dò hay không. Một khi mạng wifi nhà hay công ty bạn bị xâm nhập, mất đi một phần băng thông mạng sẽ là hậu quả nhẹ nhất mà bạn có thể “may mắn” được gánh chịu.

Thực hiện các giao dịch cần bảo mật trên web khi không có https

HTTP Secure là một trong những phương thức bảo vệ dữ liệu phổ biến và hiệu quả nhất khi duyệt web. Mỗi khi người dùng nhập vào các thông tin cá nhân nhạy cảm, mật khẩu site/email hay các thông tin tài chính quan trọng như số thẻ visa, tài khoản ngân hàng, website của các hãng uy tín đều được thiết kế tự động kích hoạt HTTPS để mã hóa dữ liệu bảo vệ các thông tin này cho người dùng. Vấn đề nằm ở chỗ, nhiều người vì vậy mà có ấn tượng rằng các dữ liệu nhạy cảm của mình sẽ được bảo vệ ở bất cứ đâu, và điều này không hoàn toàn đúng!

5 sơ suất về bảo mật người dùng thường gặp phải 4

Các website độc hại, dù rằng đã được Google, Microsoft và các hãng bảo mật ra sức ngăn chặn khi bạn duyệt web, vẫn có khả năng xuất hiện và lợi dụng sự ngây thơ của người dùng để lấy hoặc phát tán thông tin cá nhân. Trường hợp đơn giản hơn, có thể chỉ đơn giản là đội ngũ kĩ thuật của website đó lười biếng, chậm cập nhật hoặc tay nghề kém.v.v..v… hoặc những lí do trời ơi đất hỡi nào đó đại loại như vậy, quan trọng là khi các dữ liệu nhạy cảm chưa được mã hóa bảo vệ đã bị đánh cắp, người chịu thiệt đầu tiên sẽ là bạn. Nên nhớ, rất nhiều website chỉ mã hóa dữ liệu khi bạn đăng nhập, còn các thông tin gửi đi sau đó hoàn toàn “mở”, nếu bạn đang truy cập internet từ các điểm công cộng như café wifi, việc đánh cắp các dữ liệu này không hẳn là tốn nhiều công sức. Hơn nữa, sẽ có lúc những thông tin được gửi lên được cho là “nhạy cảm” nếu nhìn từ con mắt của bạn, nhưng lại là thông tin bình thường xét từ góc nhìn của người thiết kế hệ thống, và lúc này hiển nhiên ta không còn cách nào khác là phải tự bảo vệ mình.

Một trong những cách đơn giản nhất để khắc phục tình trạng này là theo dõi sự xuất hiện của giao thức https trên thanh địa chỉ của trình duyệt mỗi khi bạn định nhập vào các thông tin cần được bảo mật, hoặc đơn giản hơn là chỉ sử dụng website của các hãng lớn, uy tín. Tuy vậy, người dùng cẩn thận có thể sử dụng các công cụ dạng như  extension  HTTPS Everywhere 3.0  cho trình duyệt để mã hóa mọi dữ liệu của mình trong mọi trường hợp, đặc biệt là khi vào Internet từ những nơi như sân bay, café wifi, thư viện.v.v.. Đối với người dùng có kinh nghiệm hoặc đã đi làm, nhờ bạn bè/đồng nghiệp tư vấn một giải pháp VPN đơn giản cũng là một giải pháp khá hiệu quả.

Kể cả những hãng công nghệ lớn nhất cũng có thể làm mất dữ liệu của bạn

5 sơ suất về bảo mật người dùng thường gặp phải 5

Như đã trình bày trong bài viết trước, sự xuất hiện của các lỗ hổng bảo mật là không thể tránh khỏi, bất kể tác giả của website/phần mềm/dịch vụ bạn đang sử dụng có lớn đến đâu, gồm nhiều nhân tài đến mấy. Oracle là một ví dụ điển hình nhất cho điều này, khi mà Java luôn là một trong những mục tiêu tìm lỗi số một trên thế giới mạng. Điểm lại những “người khổng lồ” Microsoft, Google, Apple, LinkedIn, Facebook cũng không phải là chưa từng dính “phốt”, đặc biệt là với số lượng dịch vụ các hãng này cung cấp, chỉ là quy mô hậu quả đến đâu mà thôi. Những vụ đánh mất số lượng cực lớn tài khoản và thông tin người dùng của Sony, Steam hay Blizzard vẫn còn đó như lời cảnh báo cho những ai đã trót trao hết thông tin cho các tên tuổi lớn này.

Rất tiếc là, người dùng ngoài việc la ó hoặc kiện tụng đòi bồi thường khi chuyện đã rồi thì chẳng có thể làm gì để khắc phục vấn đề bảo mật của các công ty này. Vì vậy ngoài việc thường xuyên cập nhật phần mềm để có được các bản vá lỗi mới nhất như chúng ta đã nhắc đi nhắc lại, tốt hơn hết là bạn nên cân nhắc về tính nhạy cảm của thông tin đôi ba lần trước khi quyết định đưa lên môi trường trực tuyến. Đối với dữ liệu cá nhân, nên chú ý đến những giải pháp như Sync mà BitTorrent sắp công bố thay vì tin tưởng tuyệt đối vào các công ty cung cấp dịch vụ. Nên nhớ, ngoài những mối lo “nội bộ” như chuyện Google, Facebook sử dụng các thông tin nào của người dùng để bán quảng cáo, chúng ta còn cả một thế giới tội phạm mạng rộng lớn ngoài kia sẵn sàng dạy cho bất kỳ gã khổng lồ lơ đễnh nào một bài học.

Mật khẩu mạnh? Chưa đủ!

5 sơ suất về bảo mật người dùng thường gặp phải 6

Một số người dùng bỏ khá nhiều công sức nghĩ ra một mật khẩu cực kì khó phá, và dựa vào thời gian cần để “giải mã” mật khẩu đó do các công cụ trực tuyến đo được (có khi tính theo tỉ tỉ năm) để tự tin rằng các tài khoản của mình là bất khả xâm phạm. Điều này hoàn toàn nực cười, việc “dò” mật khẩu dựa vào sức mạnh phần cứng chưa bao giờ là giải pháp tối ưu, kể cả khi sử dụng những cỗ máy quái vật với khả năng phá các loại mật khẩu thông thường trong vài phút. Đôi lúc giới tội phạm mạng sẽ sử dụng cách này, nhưng những kẻ thông minh nhất còn vô số cách tiếp cận khác. Từ việc sử dụng các phương pháp kĩ thuật mới để phá hoặc vòng qua các lớp bảo mật cho đến việc tận dụng mọi loại sơ hở có thể tồn tại của cả người dùng lẫn người cung cấp dịch vụ trong quá tình sử dụng máy móc và Internet. Mat Honan,biên tập viên trang tin Wire và là khách hàng của Apple & Amazon, đã tốn khá nhiều giấy mực để kể lại trải nghiệm đau thương của mình với cách đánh cắp này. Xuất phát từ sơ suất trong giao dịch của bản thân Honan và các nhân viên của Apple, Amazon cũng như lỗ hổng trong cơ chế hỗ trợ của 2 hãng này, chỉ trong vòng một giờ, kẻ xấu đã phá hủy hoặc chiếm đoạt toàn bộ các tài khoản và dữ liệu  trực tuyến của anh này. Và công cụ được chúng sử dụng nhiều nhất chỉ trong vụ này chỉ là… chiếc điện thoại.

Trong chuỗi mắt xích về bảo mật, con người đã và đang luôn là mắt xích lớn nhất, nhưng cũng yếu nhất. Luôn thận trọng khi sử dụng các thông tin nhạy cảm như mật khẩu là lời nhắc không bao giời thừa trong mọi hoàn cảnh. Trên hết, bất kể bạn có tự tin về khả năng giữ an toàn thông tin của bản thân hay không, không bao giờ nên sử dụng chung một mật khẩu cho tất cả các tài khoản. Chúng ta là con người, và con người đều sẽ mắc lỗi vào lúc này hay lúc khác, trong hoàn cảnh chỉ một sơ suất nhỏ cũng có thể khiến mật khẩu của bạn rơi vào tay kẻ xấu, tạo điều kiện cho chúng tiếp cận tất cả dữ liệu trực tuyến của chúng là điều cuối cùng một cư dân mạng nên làm.

Nguồn: http://genk.vn/do-choi-so/5-so-suat-ve-bao-mat-nguoi-dung-thuong-gap-phai-20130208105510852.chn