Bảo vệ thông tin nhạy cảm của bạn

Cập nhật13 March 2024

Mục lục

...Đang tải mục lục...

    Những kẻ xâm nhập có thể đọc hoặc sửa đổi dữ liệu của bạn nếu họ nắm trong tay thiết bị của bạn. Tốt nhất là bạn nên chuẩn bị nhiều lớp bảo vệ để chống lại những mối nguy tiềm ẩn này. Mã hóa toàn bộ thiết bị của bạn và các tập tin riêng lẻ là một cách thức bảo vệ tối ưu.

    Mã hóa là một cách để phần mềm xáo trộn thông tin của bạn bằng cách sử dụng công thức toán cao cấp, để bạn và chỉ bạn có chìa khóa giải mã thông tin đó (dưới dạng mật khẩu, cụm từ mật khẩu hoặc khóa mã hóa). Vì vậy, mã hóa thiết bị của bạn cũng giống như giữ thông tin của bạn trong một chiếc két an toàn có khóa mà chỉ mình bạn biết mở.

    Thực hiện các bước sau để bảo vệ dữ liệu lưu trữ trên thiết bị của bạn.

    Cân nhắc xóa dữ liệu cũ thay vì lưu giữ nó

    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Việc lưu trữ tài liệu mật có thể gây rủi ro cho bạn và những người bạn làm việc cùng. Mã hóa làm giảm rủi ro này nhưng không loại bỏ nó hoàn toàn. Bước đầu tiên để bảo vệ thông tin nhạy cảm là giảm lượng thông tin bạn lưu trữ. Trừ khi bạn có lý do chính đáng để lưu trữ một tệp cụ thể hoặc một danh mục thông tin cụ thể trong một tệp, ngoài ra, hãy xóa nó đi (đọc phần Cách hủy thông tin nhạy cảm để hiểu thêm về cách thức huỷ thông tin một cách an toàn).

    Tìm hiểu xem liệu mã hóa thông tin có phải là hành vi bất hợp pháp hoặc đáng ngờ ở nơi bạn đang cư trú hay không

    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Mã hóa dữ liệu là hành vi bất hợp pháp ở một số quốc gia. Nếu hành động đó được coi là phạm pháp ở quốc gia của bạn thì việc tải xuống, cài đặt hoặc sử dụng phần mềm mã hóa có thể bị coi là tội phạm. Các cơ quan cảnh sát, quân đội hoặc tình báo có thể sử dụng việc bạn dùng phần mềm mã hóa làm cái cớ để điều tra các hoạt động của bạn hoặc khởi tố tổ chức của bạn. Dù họ không biết thông tin bạn mã hoá là gì, và những thông tin này có hợp pháp tại nơi bạn ở hay không, họ vẫn có thể nghi ngờ bạn.

    Vì vậy, hãy tìm hiểu cách cơ quan thực thi pháp luật xử lý hành động mã hoá dữ liệu ở quốc gia của bạn và suy nghĩ cẩn thận xem liệu các công cụ mã hóa dữ liệu có phù hợp với hoàn cảnh của bạn hay không.

    Bạn có thể bắt đầu tìm hiểu xem mã hoá dữ liệu có hợp pháp tại quốc gia của bạn không trong Bản đồ pháp luật và chính sách về mã hóa của Global Partners Digital World.

    Nếu mã hóa không phải là hành vi bất hợp pháp tại quốc gia của bạn hoặc tại quốc gia bạn sắp đến, bạn có thể đọc luôn mục Cân nhắc mã hóa toàn bộ thiết bị.

    Nếu mã hóa là bất hợp pháp ở quốc gia của bạn, hãy cân nhắc các lựa chọn thay thế dưới đây

    Chỉ lưu trữ thông tin không nhạy cảm

    Lưu trữ thông tin trên dịch vụ đám mây được mã hóa

    • Hãy cân nhắc xem việc sử dụng tài khoản dịch vụ đám mây được mã hóa có phải là chiến thuật tốt trước những mối đe dọa mà bạn gặp phải hay không. Mặc dù các dịch vụ này bảo vệ dữ liệu của bạn bằng cách sử dụng mã hóa và lưu trữ dữ liệu của bạn trên các máy chủ mà phe đối lập với bạn khó truy cập, nếu phe đối lập với bạn có quyền truy cập vào các máy chủ đó, họ sẽ có nhiều thời gian hơn để đột nhập vào dữ liệu của bạn, và có thể bạn sẽ không phát hiện ra điều này.

    Sử dụng hệ thống mật mã

    • Bạn có thể lưu trữ các tệp một cách bình thường nhưng sử dụng các từ ở dạng mật mã để gắn nhãn tên, vị trí, hoạt động nhạy cảm, v.v.

    Lưu dữ liệu vào ổ đĩa di động được mã hóa

    • Bạn có thể bảo vệ thông tin nhạy cảm của mình bằng cách lưu trữ thông tin đó trên USB hoặc ổ cứng di động có mã hoá. Để tìm hiểu cách mã hóa toàn bộ thiết bị lưu trữ của bạn, hãy đọc phần Cân nhắc mã hóa thiết bị lưu trữ ngoài của bạn dưới đây.

    • Xin lưu ý rằng các thiết bị ngoại vi thường dễ bị mất và tịch thu hơn máy tính, do đó, việc mang theo thông tin nhạy cảm trên các thiết bị này có thể rất nguy hiểm. Khi mã hóa chúng, hãy đảm bảo sử dụng mật khẩu mạnh, khó đoán hoặc khó bẻ khóa. Đọc phần Tạo và duy trì mật khẩu mạnh để tìm hiểu cách tạo mật khẩu mạnh.

    Cân nhắc việc mã hóa toàn bộ thiết bị của bạn

    • Xin lưu ý rằng mã hóa toàn bộ ổ đĩa (FDE) chỉ hoạt động đầy đủ nếu thiết bị của bạn tắt nguồn hoàn toàn chứ không ở chế độ ngủ (còn được gọi là "tạm ngừng hoạt động" hoặc "ngủ đông"). Nếu thiết bị của bạn vẫn bật, thì người nào nắm giữ thiết bị có thể đọc hoặc sửa đổi các tệp và thông tin liên lạc của bạn.

    Dành cho Android

    • Hầu hết các thiết bị dùng hệ điều hành Android 10 trở lên đều phải sử dụng mã hóa dựa trên tập tin.

      Để kiểm tra tính năng này, bạn hãy xem trong phần Cài đặt > Bảo mật > Mã hóa & xác thực rồi tìm đến Mã hóa hoặc Mã hóa điện thoại. Xin lưu ý rằng các tùy chọn cài đặt có thể khác nhau trên các điện thoại khác nhau.

    Dành cho iOS

    Dành cho Linux

    • Bạn chỉ có thể kích hoạt mã hóa toàn bộ ổ đĩa khi cài đặt Linux, do đó bạn sẽ cần phải cài đặt lại nếu FDE chưa được bật trên máy tính của bạn. Trước khi bạn tiến hành, hãy thực hiện:

      • Sao lưu tất cả dữ liệu của bạn. Quá trình cài đặt sẽ thay thế tất cả dữ liệu được lưu trữ trên hệ điều hành trước đó của bạn.
      • Kết nối máy tính với nguồn điện để máy không bị tắt trong quá trình cài đặt.
      • Luôn kết nối thiết bị với Internet qua dây cáp để bạn có thể nhận được các bản cập nhật mới nhất trong khi cài đặt Linux. Nếu bạn chưa kết nối với Internet qua dây cáp, bạn sẽ được yêu cầu chọn mạng không dây, nếu có.

    • Để cài đặt Ubuntu, hãy đọc hướng dẫn cài đặt trong tài liệu chính thức của Ubuntu.

    • Để cài đặt, bạn cũng cần tạo một ổ USB có khả năng khởi động máy tính và nạp hệ điều hành (bootable USB).

    Dành cho macOS

    Dành cho Windows

    Bạn có thể mã hóa toàn bộ máy tính Windows của bạn bằng BitLocker. Đây là hệ thống mã hóa tích hợp sẵn trên các thiết bị sử dụng Windows 10 hoặc 11 Pro, Enterprise hoặc Education.

    • Để mã hóa máy tính Windows của bạn bằng BitLocker, hãy đọc tài liệu chính thức của Windows tại đây
    • Mã hóa các thiết bị cũ hơn
      • Nếu bạn gặp thông báo lỗi "Thiết bị này không thể sử dụng Module nền tảng đáng tin cậy" thì nó có nghĩa là máy tính của bạn không có chip Module nền tảng đáng tin cậy (Trusted Platform Module - TPM) được sử dụng để mã hóa. Tuy nhiên, với những điều chỉnh cấu hình sau đây, BitLocker vẫn có thể sử dụng được trên các máy tính không có chip TPM:
        1. Chọn Khởi động. Nhập từ bàn phím "gpedit.msc" và nhấn Enter. Trong cửa sổ mới, nhấn đúp vào Ổ đĩa hệ điều hành (Operating System Drives).
        2. rong bảng điều khiển bên phải của cửa sổ này, nhấn đúp vào Yêu cầu xác thực bổ sung khi khởi động, sau đó một cửa sổ mới sẽ mở ra. (Lưu ý: cũng có tùy chọn "Yêu cầu xác thực bổ sung khi khởi động (đối với Windows Server 2008 và Windows Vista)"; đó KHÔNG phải là tùy chọn bạn muốn.)
        3. Chọn Kích hoạt. Đảm bảo rằng bạn đã chọn Cho phép BitLocker không có TPM tương thích (Yêu cầu mật khẩu hoặc khóa khởi động trên ổ flash USB). Sau đó, chọn OK.
        4. Đóng cửa sổ Trình chỉnh sửa chính sách nhóm cục bộ (Local Group Policy Editor).
        5. Ở bước cuối của quy trình bạn có thể bật mã hóa thiết bị.
    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Nếu thiết bị của bạn bị mất, bị đánh cắp hoặc bị tịch thu bởi những người muốn truy cập vào dữ liệu của bạn, thì bạn sẽ cần có biện pháp bảo vệ để ngăn chặn điều này. Mã hóa toàn bộ thiết bị của bạn với mật khẩu mạnh sẽ giúp bảo vệ dữ liệu tốt hơn.

    Nếu máy tính của bạn không hỗ trợ mã hóa toàn bộ ổ đĩa hoặc nếu bạn muốn sử dụng một công cụ sử dụng mã nguồn mở và miễn phí để kích hoạt mã hóa ổ đĩa, bạn có thể sử dụng VeraCrypt để mã hóa toàn bộ thiết bị của bạn.

    Cân nhắc việc mã hoá thiết bị lưu trữ ngoại vi của bạn

    • Lưu thông tin nhạy cảm trong thiết bị lưu trữ được mã hóa như USB hoặc ổ cứng di động có thể bảo vệ dữ liệu quan trọng nhất của bạn nếu có ai cố tình lục lọi máy tính của bạn.
    • Hãy lưu ý rằng các thiết bị ngoại vi thường dễ bị mất và tịch thu hơn máy tính, vì vậy hãy đảm bảo mã hóa chúng bằng mật khẩu mạnh, khó đoán hoặc khó bẻ khóa hơn. Xem phần Tạo và duy trì mật khẩu mạnh để tìm hiểu cách tạo mật khẩu mạnh.
    • Đối với máy tính để bàn và máy tính xách tay, bạn có thể có tùy chọn mã hóa tích hợp cho thiết bị lưu trữ ngoại vi. Ngoài ra, bạn có thể sử dụng VeraCrypt để kích hoạt lớp bảo vệ bổ sung này.

    Dành cho Linux, macOS, and Windows

    Bất kể bạn dùng hệ điều hành nào, bạn đều có thể sử dụng VeraCrypt để bảo vệ các tệp nhạy cảm trong thiết bị lưu trữ ngoại vi. Bạn có thể tạo một ổ đĩa được mã hóa trên thiết bị ngoại vi hoặc mã hóa toàn bộ thiết bị lưu trữ.

    Dành cho macOS

    Đối với macOS, bạn có thể sử dụng tính năng Disk Utility được tích hợp để mã hóa các thiết bị lưu trữ ngoại vi. Lưu ý rằng nếu bạn chọn giải pháp này, bạn sẽ chỉ có thể truy cập các thiết bị được mã hóa của mình trên hệ điều hành macOS.

    Dành cho Windows

    Trên Windows, bạn có thể sử dụng Bitlocker tích hợp - có sẵn trên Windows 10 và Windows 11 Pro, Enterprise hoặc Education - để mã hóa các thiết bị lưu trữ ngoại vi của bạn. Lưu ý rằng nếu bạn chọn giải pháp này, bạn sẽ chỉ có thể truy cập các thiết bị được mã hóa của mình trên hệ điều hành Windows.

    Dành cho Tails

    Tails là hệ điều hành chạy trên ổ USB được kết nối với máy của bạn. Nó bảo vệ tất cả các kết nối internet của bạn bằng cách sử dụng Tor mọi lúc và xóa lịch sử của bạn khi bạn tắt máy, không để lại dấu vết nào trên máy tính của bạn. Hơn nữa, bạn có thể tạo một ổ đĩa được mã hóa bên trong ổ USB để lưu trữ thông tin nhạy cảm mà những kẻ xâm nhập không thể truy cập được khi họ truy cập vào USB chứa hệ điều hành Tails trong trường hợp bạn làm mất hoặc bị tịch thu USB này.

    Hãy cân nhắc chỉ mã hóa một số tập tin nhạy cảm

    Trên máy tính để bàn và máy tính xách tay, thiết bị của bạn có thể có các tùy chọn mã hóa được tích hợp để cung cấp khả năng bảo vệ bổ sung cho các tệp cụ thể. Ngoài ra, bạn có thể sử dụng Cryptomator để kích hoạt lớp bảo vệ bổ sung này trên bất kỳ hệ điều hành nào, bao gồm cả thiết bị di động. Một tùy chọn khác để mã hóa dữ liệu nhạy cảm của bạn trên máy tính là VeraCrypt, tùy chọn này cũng giúp bạn có thể ẩn thư mục đã mã hóa.

    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Không mã hóa dữ liệu không nhạy cảm trên thiết bị của bạn cũng có thể hữu ích trong trường hơp thiết bị của bạn bị lục soát, bạn sẽ không bị nghi ngờ vì thiết bị chứa các tệp và thông tin thông thường. Trong trường hợp này, bạn có thể mã hóa một số tệp của bạn.

    Windows, macOS, Linux, Android, iOS

    Cho dù bạn cần mã hóa các tập tin trên máy tính hay thiết bị di động, bạn có thể sử dụng Cryptomator. Đây là một ứng dụng miễn phí sử dụng mã nguồn mở được tạo ra chuyên biệt để bảo vệ dữ liệu bạn lưu trên các nền tảng lưu trữ trực tuyến nhưng cũng có thể được sử dụng để mã hóa các tập tin bạn lưu trên thiết bị của mình.

    Để tìm hiểu cách sử dụng Cryptomator, hãy đọc tài liệu của nhà phát triển, đặc biệt là Hướng dẫn sử dụng cho máy tính.

    Dành cho Windows

    Dành cho macOS

    Dành cho Linux, macOS, and Windows

    Bạn có thể cân nhắc xem có nên lưu các tệp trong một thư mục ẩn hay không

    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Khi bạn mã hóa thông tin của mình, người khác không thể đọc được thông tin đó nhưng ai đó vẫn có thể nhìn ra có dữ liệu được mã hóa. Tiếp đến, họ có thể cố gắng đe dọa, tống tiền, thẩm vấn hoặc tra tấn bạn để khiến bạn mở khóa dữ liệu mã hóa đó.

    VeraCrypt giúp bạn tránh rủi ro này bằng cách tạo một "ổ đĩa ẩn." Để mở một ổ đĩa ẩn, bạn chỉ cần nhập một mật khẩu khác với mật khẩu bạn đã đặt cho ổ đĩa thông thường. Vì vậy, nếu kẻ xâm nhập nghi ngờ về các tệp được mã hóa của bạn, họ cũng sẽ không thể chứng minh được sự tồn tại của các tập tin ẩn.

    VeraCrypt ngụy trang thông tin được mã hóa của bạn thành dữ liệu ẩn, ít nhạy cảm hơn (như file nhạc hoặc tài liệu thông thường), do đó, trông nó không có gì bất thường. Tóm lại, nếu nhìn qua thì không thể biết được liệu một ổ đĩa được mã hóa có chứa ổ đĩa ẩn hay không. Vì vậy, nếu kẻ xâm nhập đánh cắp chìa khóa của bạn, đưa bạn ra tòa hoặc đe dọa để bạn khai mật khẩu, bạn có thể cung cấp cho họ mật khẩu mở ổ đĩa thông thường của bạn và họ sẽ tìm thấy tài liệu "mồi nhử" chứ không phải thông tin bạn đang bảo vệ.

    Ổ đĩa ẩn giống như một chiếc két sắt có “đáy giả”: chỉ có bạn mới biết két sắt của mình chứa một ngăn bí mật. Điều này cho phép bạn phủ nhận rằng bạn đang giữ bất kỳ bí mật nào ngoài những gì bạn đã cung cấp và có thể giúp bảo vệ bạn trong những trường hợp bạn phải tiết lộ mật khẩu. Vì thế ổ đĩa ẩn giúp bạn có cơ hội thoát khỏi một tình huống nguy hiểm tiềm ẩn. Tuy nhiên, hãy nhớ rằng điều này sẽ ít hữu ích hơn nếu việc sử dụng mã hóa là bất hợp pháp ở quốc gia của bạn hoặc việc bạn sử dụng nó có thể gây nghi ngờ.

    Hãy cảnh giác rằng phe đối lập với bạn biết VeraCrypt có thể che giấu thông tin theo cách này; không có gì đảm bảo họ sẽ bỏ cuộc nếu bạn tiết lộ mật khẩu mồi nhử của mình, ngay cả khi có nhiều người sử dụng VeraCrypt mà không dùng đến tính năng mã hoá ổ đĩa ẩn.

    Bạn cũng phải đảm bảo rằng bạn không vô tình tiết lộ ổ đĩa ẩn của mình bằng cách để lộ sơ hở hoặc cho phép các ứng dụng khác tạo lối tắt đến các tập tin chứa trong ổ đĩa ẩn đó.

    Bảo vệ ổ đĩa hoặc thư mục được mã hóa của bạn

    Đóng và ngắt kết nối thư mục hoặc ổ đĩa được mã hóa

    • Khi thư mục hoặc ổ đĩa mã hoá của bạn được 'mở'--nói cách khác, bất cứ khi nào bạn tự mình truy cập -- dữ liệu của bạn có thể dễ bị tấn công. Vì vậy hãy đóng ổ đĩa và thư mục khi bạn không chủ động đọc hoặc sửa đổi các tệp bên trong nó.
    • Nếu bạn lưu ổ đĩa hoặc thư mục được mã hóa trên USB hoặc ổ đĩa ngoài, hãy nhớ rằng chỉ ngắt kết nối thiết bị lưu trữ ngoài không thể ngay lập tức khiến ổ đĩa biến mất khỏi hệ thống. Ngắt kết nối đột ngột có thể làm hỏng dữ liệu trên thiết bị lưu trữ. Trước tiên, bạn cần phải đóng ổ đĩa hoặc thư mục, sau đó ngắt kết nối thiết bị với hệ điều hành, và rút ngắt thiết bị ra khỏi máy tính. Lưu ý rằng để đóng một ổ đĩa, tất cả các tệp lưu trên đó cần phải được đóng lại. Vì vậy, nếu bạn đang chỉnh sửa tài liệu hoặc xem ảnh, bạn cần đóng các tệp đó hoặc thoát chương trình trước khi đóng ổ đĩa. Hãy thực hành điều này cho đến khi bạn có thể thực hiện dễ dàng, nhờ đó bạn sẽ sẵn sàng trong trường hợp khẩn cấp.

    Đảm bảo đã đóng và ngắt kết nối thư mục hoặc ổ đĩa được mã hóa trong tất cả các trường hợp sau:

    • Bạn nên ngắt kết nối ổ đĩa tước khi rời thiết bị của mình vào bất kỳ lúc nào. Điều này đảm bảo bạn không để những tấn công có thể truy cập các tệp nhạy cảm của mình khi không có ở đó.
    • Trước khi bạn đặt máy tính ở chế độ ngủ (còn được gọi là "tạm dừng" hoặc "ngủ đông"), bằng cách sử dụng tùy chọn đó hoặc gập máy tính xách tay lại.
    • Trước khi cho phép người khác xử lý máy tính của bạn. Khi mang máy tính xách tay qua cửa khẩu, bạn cần phải ngắt kết nối tất cả các ổ đĩa được mã hóa và tắt máy tính hoàn toàn.
    • Trước khi kết nối máy tính của bạn với USB hoặc thiết bị lưu trữ bên ngoài khác, bao gồm cả thiết bị của bạn bè hoặc đồng nghiệp.

    Bảo vệ thiết bị của bạn khỏi phần mềm độc hại

    Mã hóa chỉ có thể bảo vệ các tệp của bạn nếu không ai theo dõi bạn khi bạn nhập mật khẩu để giải mã chúng. Phần mềm độc hại như phần mềm gián điệp và các dạng mã độc khác có thể làm giảm hiệu quả của bất kỳ bước nào bạn thực hiện để bảo vệ dữ liệu và thông tin liên lạc của mình, vì vậy hãy cố gắng giữ cho thiết bị của bạn an toàn bằng cách làm theo các khuyến nghị trong Hướng dẫn của Security in a Box về cách bảo vệ chống lại phần mềm độc hại.

    Không truy vào cập ổ đĩa hoặc thư mục mã hóa của bạn trên thiết bị mà bạn không tin tưởng

    • Kẻ xâm nhập có thể đã cài đặt phần mềm độc hại để rình mò một thiết bị không nằm trong tầm kiểm soát của bạn, chẳng hạn như máy tính dùng chung ở quán cà phê Internet. Họ có thể lợi dụng điều này để đánh cắp mật khẩu của bạn và truy cập vào ổ đĩa được mã hóa hoặc tài liệu nhạy cảm khác lưu trên thiết bị.
    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Theo phép ẩn dụ "két sắt bị khóa", cho dù két sắt của bạn có chắc chắn đến đâu thì cũng sẽ không giúp ích được gì nếu bạn để cửa mở toang hoặc có người có thể theo dõi bạn khi bạn nhập mã để mở khóa.

    Sử dụng các đại lý và cửa hàng sửa chữa đáng tin cậy

    • Nếu bạn mua một thiết bị đã qua sử dụng, hãy nhờ người mà bạn tin tưởng xóa sạch thiết bị và kiểm tra xem có phần mềm độc hại hay không.
    • Nếu bạn cho rằng ai đó có thể có quyền truy cập, nguồn lực hoặc động cơ nhắm mục tiêu vào bạn bằng cách cài đặt sẵn phần mềm độc hại trên thiết bị trước khi bạn mua, hãy suy nghĩ cẩn thận về cách tìm một cửa hàng mà bạn có thể tin tưởng.
    • Nếu bạn cần sửa chữa thiết bị, hãy chắc chắn rằng bạn tin tưởng cửa hàng sửa chữa hoặc người mà bạn giao thiết bị cho.
    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Khi bạn nhận được một thiết bị đã qua sử dụng hoặc gửi thiết bị của mình đi sửa chữa, điều đó sẽ tạo cơ hội cho người lạ truy cập vào các tệp của bạn. Rất tiếc, các thiết bị đã qua sử dụng có thể chứa phần mềm độc hại hoặc phần mềm gián điệp, vì vậy, nếu có thể, tốt hơn hết bạn nên mua một thiết bị mới. Nhiều cáo buộc cho rằng có cửa hàng sửa chữa đã thực hiện theo dõi thiết bị hoặc sao chép và bán dữ liệu của khách hàng. Hãy chắc chắn chọn một cửa hàng sửa chữa mà bạn tin tưởng.

    Nếu bạn là người nổi tiếng, tốt nhất là không nên trực tiếp liên hệ với nhà cung cấp dịch vụ sửa chữa mà thay vào đó, hãy nhờ người đáng tin cậy liên hệ với cửa hàng để tránh khiến người khác tò mò về những gì có trong thiết bị của bạn.