Thursday, February 18, 2010

Gmail security


Update (15/12/2010): Gmail vừa có thêm tính năng delagate, nghĩa là cho phép một account khác truy cập (đọc và gửi mail) từ account của mình. Như vậy cách này đơn giản hơn nhiều cách tôi trình bày bên dưới. Nếu bạn cần bảo vệ account chính của mình bây giờ chỉ cần delegate cho một account phụ quyền truy cập vào account chính. Nếu chẳng may bị mất password account phụ thì truy cập vào account chính (từ một máy tính an toàn - tôi dùng portable Linux trên một cái thẻ USB chỉ để làm việc này) và bỏ delegation cho account phụ là xong.



Mấy ngày vừa rồi sau khi nhận được cảnh báo của một người bạn tôi đã rà soát lại và nâng cấp các biện pháp bảo mật máy tính của mình. Mặc dù tôi mất nhiều thời gian và rất mệt mỏi, may mà tôi đã được cảnh báo vào đã check máy tính vì nhờ vậy tôi phát hiện ra gmail account của tôi có lẽ đã bị xâm nhập trái phép. Địa chỉ recovery email đã bị đổi sang một địa chỉ lạ, nghĩa là người chủ của địa chỉ đó có thể reset password gmail account của tôi và chiếm quyền kiểm soát các dịch vụ Google mà tôi sử dụng (trong đó có blog). Rất may tôi đã phát hiện kịp thời, đã đổi lại recovery email, đã reset password và hạn chế quyền admin vào blog. Các bạn cũng nên thường xuyên reset password và kiểm tra địa chỉ recovery email cho Google account của mình.

Nhân đây tôi xin giới thiệu với các bạn một biện pháp bảo mật cho gmail account mà tôi vừa áp dụng, hi vọng sẽ giúp ích cho những ai thường xuyên phải logon vào gmail account từ những máy lạ có nguy cơ bị keylogger trộm password cao. Cách này đòi hỏi bạn vẫn phải có một máy tính tuyệt đối an toàn để setup ban đầu và reset lại sau khi bị hack. Các bước tiến hành như sau:

- Giả sử bạn có một gmail account tên là accountAA, bạn cần tạo một gmail account thứ hai với tên gọi bất kỳ, giả sử là accountBB.

- Vào Setting/Forwarding and POP/IMAP/ của accountAA và forward toàn bộ incoming mails vào accountBB, giữ lại copy trên accountAA.

- Vào Setting/Accounts and Import/ của accountBB và click vào "Send mail form another address", gõ vào địa chỉ của accountAA. Thực hiện các bước confirmation theo yêu cầu và chọn option "Reply from the same address the message was sent to". Bạn cần LƯU LẠI email confirmation gửi vào accountAA, điều này rất quan trọng (xem tiếp bên dưới).

- Vào Setting/Filters/ của accountBB tạo một filter mới cho tất cả các incoming mails từ accountAA vào TRASH. Từ giờ trở đi bạn vào Trash của accountBB để đọc tất cả các email gửi đến accountAA và khi bạn bấm reply thì email đó cũng được gửi đi bằng địa chỉ accountAA. Sở dĩ bạn cho tất cả incoming mails vào Trash để nó sẽ tự động xóa đi trong vòng 30 ngày, hoặc bạn có thể permanent delete các mails đó sau khi đọc xong.

- Như vậy mặc dù bạn logon vào accountBB, đọc và trả lời emails từ accountBB nhưng thực chất bạn làm việc trên accountAA. Những người gửi và nhận thư của bạn chỉ biết accountAA, trong khi đó hacker/keylogger chỉ biết password của accountBB.

- Trong trường hợp xấu nhất bạn bị mất quyền kiểm soát accountBB, bạn cần dùng một máy tính tuyệt đối an toàn logon vào accountAA và quay lại email confirmation ban đầu gửi vào accountAA mà bạn đã LƯU LẠI. Bấm vào link cancel để accountBB không còn link với accountAA nữa, tất nhiên trước đó bạn phải cancel forwarding mails từ accountAA sang accountBB. Tiếp theo là thay accountBB bằng một accountCC mới. Thiệt hại duy nhất chỉ là những emails trong Trash của accountBB mà bạn chưa kịp xóa.


Tất nhiên biện pháp bảo mật này không an toàn tuyệt đối, nếu bạn bị hack accountAA thì vô phương cứu chữa. Tuy nhiên nếu accountAA được cất kỹ thì xác suất bị hack sẽ giảm đi nhiều.


No comments:

Post a Comment