thảo luận Thớt về bảo vệ tài khoản (2FA, SMS otp, iCloud, email, fb...).

peachx

peachx

Junior Member
Ngoài kia nguy hiểm quá, ae vào đây chia sẻ, cứu giúp nhau nào.

3 bích đi trước;
Mình là người thường, vì vậy khả năng chỉ ở mức căn bản nên thiếu/sai gì ae khác bổ sung giúp.
Mấy thiết lập dưới dù bạn là ai thì theo mình cũng là điều Bắt buộc:

1. Bật 2FA (Xác thực 2 bước/Two Factor Authentication)
- 2FA thông qua App (Authy, Google Authenticator, Microsoft authenticator, 2fas, dou...). App xác thực tốt nhất là nên có chức năng backup, đồng bộ nhiều thiết bị và mã bảo mật cho chính cái app đó.
Mình đang dùng Authy và thấy ổn.
- 2FA thông qua SMS về điện thoại. Cách này cần phải bảo vệ cái Sim an toàn. Giả sử mất điện thoại thì ai có đt sẽ có Sim -> có mã gửi về Sim đó -> nguy cơ mất tài khoản liên quan chiếc điện thoại đó.
-> Ae cứ tạo cái mã PIN SIM để thêm 1 rào cản cho kẻ gian vì khi tháo sim ra khỏi máy thì phải nhập mã PIN nó mới hoạt động ở máy khác. Hoặc dùng esim.

2. Lưu Mã dự phòng.
Trong trường hợp không thể sử dụng bất cứ phương thức 2FA nào vì mất máy, hỏng phần mềm... thì lôi mã dự phòng ra. Nhớ lưu ở 1 nơi an toàn :LOL:

3. Thêm Email/sđt khôi phục cho Gmail.
4. Thêm thẻ thanh toán vào icloud vì nghe đồn một số trường hợp khi bọn xấu chiếm icloud thì bị vướng ở bước nhập thông tin thẻ.

5. Ae sài iporn thì tốt nhất là không lộ cái email liên kết với icloud.
6. Kiểm tra các thiết bị đang đăng nhập gmail, icloud, facebook... nếu thấy thiết bị đó không phải của mình thì remove/log out nó đi.

7. Riêng với facebook; ngoài các bước trên thì cần:
  • để avatar rõ mặt
  • ẩn sđt/ email. Ẩn bạn bè, ẩn hoạt động các group càng tốt.
8. Quản lý mật khẩu, phần này mình không có kinh nghiệm nhiều. Vài cái không quan trọng mình lưu vào iCloud Keychain cho tiện thôi.
Icloud keychain an toàn miễn là iphone vẫn nằm trong tay ae.

9. Passcode điện thoại khó chút, đừng có 888888, 654321... :LOL:

10. Đăng nhập chậm thôi.
  • Chớp mắt 7 lần, nhìn lại 3 lần địa chỉ website trước khi nhập mật khẩu vô.
  • Chớp mắt 3 lần, nhìn 7 lần trước khi ấn chuột trái hoặc chọt vào bất cứ đường link nào.
11. Tất cả cuộc gọi đến, tin nhắn đến mà yêu cầu cung cấp thông tin tài khoản, số thẻ, mã... đều mặc định là lừa đảo hết. Cái này thế hệ cô bác hay dính lừa lắm.
12. App bank, app thanh toán có phương thức bảo mật nào thì bật toàn bộ.

Ngoài ra, hiện giờ có nhiều công cụ đọc được chữ nên những thứ không mã hóa đều không an toàn. Ae lưu ý cái này khi nhắn tin trao đổi, khéo lộ hết lúc nào không biết.

Mời người ae phía dưới bổ sung thêm 😄
 
Last edited:
  • esim và sim vật lý đều có mã pin cho sim, đã liên hệ trực tiếp tổng đài tạo custom mã PUK trực tiếp trên phôi sim nên các cuộc gọi thông thường yêu cầu mã PUK đều bị từ chối cấp mã PUK.
  • Toàn bộ passowrd đều được quản lý bới passkey của apple
  • Toàn bộ 2fa đều được quản lý bới token apple device và 2 usb token
  • Các pass ngân hàng bằng 6 số pin chấp nhận việc tự tạo cá nhân, nhưng password và token đều được quản lý qua usb token :D
  • Trên điện thoại android của mình có app ngân hàng bắt buộc phải kết nối với tài khoản google tham gia advandted protected ( tham gia bằng cách dùng 2 usb token) nên mọi app cài ngoài đều bị chặn dù là mở quyền root hoặc admin
  • Các app ngân hàng chính chứa tiền tỏi đều trên iphone hết : D
 
ltdh2014 said:
  • esim và sim vật lý đều có mã pin cho sim, đã liên hệ trực tiếp tổng đài tạo custom mã PUK trực tiếp trên phôi sim nên các cuộc gọi thông thường yêu cầu mã PUK đều bị từ chối cấp mã PUK.
  • Toàn bộ passowrd đều được quản lý bới passkey của apple
  • Toàn bộ 2fa đều được quản lý bới token apple device và 2 usb token
  • Các pass ngân hàng bằng 6 số pin chấp nhận việc tự tạo cá nhân, nhưng password và token đều được quản lý qua usb token :D
  • Trên điện thoại android của mình có app ngân hàng bắt buộc phải kết nối với tài khoản google tham gia advandted protected ( tham gia bằng cách dùng 2 usb token) nên mọi app cài ngoài đều bị chặn dù là mở quyền root hoặc admin
  • Các app ngân hàng chính chứa tiền tỏi đều trên iphone hết : D
Click to expand...
người có tiền tỏi thật khác bọt :sleep:
 
peachx said:
người có tiền tỏi thật khác bọt :sleep:
Click to expand...
An toàn là trên hết bác ạ. Giờ có mất điện thoại thì trộm nó cũng ko lấy được sim để hack các ứng dụng bên thứ ba để thu thập thông tin thông qua sms login được bác.
Các app ngân hàng em chưa bao giờ tin tụi android để dùng cả
 
ltdh2014 said:
An toàn là trên hết bác ạ. Giờ có mất điện thoại thì trộm nó cũng ko lấy được sim để hack các ứng dụng bên thứ ba để thu thập thông tin thông qua sms login được bác.
Các app ngân hàng em chưa bao giờ tin tụi android để dùng cả
Click to expand...
mình thiếu cái usb token thì giống y fen. Tiền ít nhưng mình ngại phiền :LOL:
 
peachx said:
mình thiếu cái usb token thì giống y fen. Tiền ít nhưng mình ngại phiền :LOL:
Click to expand...
usb token thì công nhận giá nó đang khá là chát :D
tầm 1tr5 cho 1 con usb token đầy đủ các tính năng bảo mật.
Mà tối thiểu phải 2 usb token mới đạt điều kiện bảo mật cho các ứng dụng lớn đòi hỏi 2 usb token trở lên bác ạ
 
Lúc mất tiền/mất máy thì nhiều người hay mất bình tĩnh lắm, xong nó gửi tin nhắn fake click vào như đúng rồi, điền tài khoản như 1 vị thần
M7EYXjT.png
.
 
ltdh2014 said:
usb token thì công nhận giá nó đang khá là chát :D
tầm 1tr5 cho 1 con usb token đầy đủ các tính năng bảo mật.
Mà tối thiểu phải 2 usb token mới đạt điều kiện bảo mật cho các ứng dụng lớn đòi hỏi 2 usb token trở lên bác ạ
Click to expand...
mình mù tịt. độ bền usb thì sao fen?
 
Wibu Heavy Industries said:
có vde gì mà không tin?
Click to expand...
Bác dùng con android mới ra mắt trong 3 năm đầu thì không sao, nhưng từ năm 3 trở lên ngưng bản vá bảo mật rồi thì mới tòi ra lắm vấn đề sau này.
Trừ thằng google pixcel được vá bảo mật theo 2 tháng ra và duy trì 5 năm , các bên thứ 3 đều ngưng vá bảo mật sau 3 năm. Lúc này khả năng bị khai thác lỗ hổng là rất cao. Chưa kể đến việc android vẫn cho phép đọc thông tin về ước lượng tọa độ theo wifi và múi giờ, cho phép thu thập ẩn danh các thông tin về lịch sử các app, tần suất sử dụng các loại app trong ứng dụng mà ko cần cấp phép cho phép hay không, cho phép các vendor được phép cài đặt các app root toàn quyền cao nhất mà user không thể từ chối quyền được. Ví dụ như xiaomi, realm cho phép đọc toàn bộ thông tin danh bạ, tin nhắn và không biết thông tin gửi về máy chủ có được mã hóa hay không trừ khi để ứng dụng mặc định sang google. Nên là mình không tin vấn đề này. Còn app ios với tài khoản dev mình được phép dev detacch vào ứng ụng và vào network nên là biết được ios nó không gửi thông tin sms đi trừ khi đẻ sao lưu.
 
ltdh2014 said:
  • esim và sim vật lý đều có mã pin cho sim, đã liên hệ trực tiếp tổng đài tạo custom mã PUK trực tiếp trên phôi sim nên các cuộc gọi thông thường yêu cầu mã PUK đều bị từ chối cấp mã PUK.
Click to expand...
Fen nói rõ hơn đoạn này đc ko? Mình cũng muốn làm như vậy.
 
Tôi:
  • Đặt mật khẩu dễ nhớ, có quy tắc xong ném vào mấy trang aes256 mã hóa cái chuỗi đó lại.
  • Dùng ms authenticator để lấy mã xác thực trên từng tk
  • Luôn để ý giao diện web và link
 

iCloud data security overview - Apple Support

iCloud uses strong security methods, employs strict policies to protect your information, and leads the industry in using privacy-preserving security technologies like end-to-end encryption for your data.
support.apple.com support.apple.com
Link này có ghi chi tiết những thứ được mã hóa trong iphone. Thực sự mà nói apple vẫn là 1 cái gì đó khác biệt so với phần còn lại, an toàn và đồng bộ quá tốt.
 
ltdh2014 said:
Bác dùng con android mới ra mắt trong 3 năm đầu thì không sao, nhưng từ năm 3 trở lên ngưng bản vá bảo mật rồi thì mới tòi ra lắm vấn đề sau này.
Trừ thằng google pixcel được vá bảo mật theo 2 tháng ra và duy trì 5 năm , các bên thứ 3 đều ngưng vá bảo mật sau 3 năm. Lúc này khả năng bị khai thác lỗ hổng là rất cao. Chưa kể đến việc android vẫn cho phép đọc thông tin về ước lượng tọa độ theo wifi và múi giờ, cho phép thu thập ẩn danh các thông tin về lịch sử các app, tần suất sử dụng các loại app trong ứng dụng mà ko cần cấp phép cho phép hay không, cho phép các vendor được phép cài đặt các app root toàn quyền cao nhất mà user không thể từ chối quyền được. Ví dụ như xiaomi, realm cho phép đọc toàn bộ thông tin danh bạ, tin nhắn và không biết thông tin gửi về máy chủ có được mã hóa hay không trừ khi để ứng dụng mặc định sang google. Nên là mình không tin vấn đề này. Còn app ios với tài khoản dev mình được phép dev detacch vào ứng ụng và vào network nên là biết được ios nó không gửi thông tin sms đi trừ khi đẻ sao lưu.
Click to expand...
:amazed:

cỏ cao cấp đấy fen
 
Rủi ro bảo mật qua thiết bị nó cực cực kỳ thấp. Rủi ro mất tiền qua tấn công social, lợi dụng điểm yếu của con người mới cao.
Tất cả các vụ "bị hack" mất tiền trong ngân hàng gần đây lỗi đều do con người cả.
Nên chăm chỉ update thông tin, các phương thức mới để phòng tránh là đủ.
Nếu tài khoản ngân hàng trên 1 cái máy android bị lỗi bảo mật bị hack mất mà ko do lỗi con người, thì yên tâm người bị hack đầu tiên ko phải là bạn :)
À anh em nào đang quản lý quỹ lớn tới siêu lớn thì lưu ý thêm thông tin này nữa, hiện tại sms, giọng nói, gương mặt đều tồn tại những điểm yếu chí mạng có thể coi là kém bảo mật. Nên loại bỏ các phương thức xác thực này.
 

Similar threads

pham tuan binh
thắc mắc Nhờ anh em Vozer trợ giúp mở khóa tài khoản Facebook
Replies
0
Views
120
pham tuan binh
pham tuan binh
B.G.F
  • Locked
  • Sticky
chú ý Thông tin bên lề về cơ chế hoạt động của 2FA tại vOz và những nhầm lẫn khi thao tác
Replies
0
Views
217
B.G.F
B.G.F
blueice
thảo luận Tổng hợp app 2FA, ưu và nhược điểm.
2 3
Replies
46
Views
2K
skyfall
skyfall
maimaiyeu52
thảo luận Cách tạo tài khoản google không phải xác minh số điện thoại
Replies
10
Views
838
ntth
ntth
NongDan4.0
Hướng dẫn cách gia hạn bảo hiểm y tế hộ gia đình bằng tài khoản cổng dịch vụ công quốc gia
2 3
Replies
47
Views
2K
NongDan4.0
NongDan4.0

Share this page

Back
Top