Sau khi nâng cấp hệ thống bảo mật cho tài khoản Google; bạn sẽ cảm thấy yên tâm hơn rất nhiều trước nhiều sự tấn công bên ngoài.
Có những thứ quan trọng phải bảo mật, và có những thứ rất quan trọng cần phải được bảo mật kỹ. Tài khoản Google của bạn nên được xếp vào loại thứ 2, loại cần được ưu tiên bảo mật cao ;được thì thêm vài cái asterisks (tạm dịch: dấu hoa thị) và highlight cam lên để nhấn mạnh.
Tôi nghiêm túc đấy: Có bao giờ bạn dừng trong giây lát và chợt nghĩ ra có biết bao nhiêu thứ liên kết với email của bạn chỉ với một lớp bảo mật đăng nhập; tài liệu, hình ảnh, thông tin hồ sơ, lịch sử tìm kiếm hay thậm chí là danh sách danh bạ; tin nhắn và lịch sử địa chỉ; nếu bạn sử dụng hệ điều hành Android – cho rằng đó là một “tài khoản nhạy cảm” thì đó lại đánh giá thấp rồi. Bất kể mục đích của bạn khi sử dụng Google là kinh doanh, mục đích cá nhân hay cả hai; bạn sẽ muốn làm mọi thứ có thể để có thể kiểm soát mọi thông tin không bị rò rỉ.
Bạn hãy đoán thử xem?. Chỉ mỗi cái mật khẩu mà bạn đã cài vội vàng quả thật không đủ. Với ngần ấy thông tin dữ liệu cá nhân quý giá như thế; đó chỉ là bước đệm để bắt đầu thiết lập cài đặt bảo mật thông minh. Và có khi nó lại phải nâng cấp ấy chứ. Sau 10 phút đọc các bước này; bạn có thể yên tâm khi biết rằng tài khoản Google đã được bảo mật nhất có thể.
Phần 1: Nâng cấp cửa chính
Bước 1: Kiểm tra mật khẩu của tài khoản Google
Hãy bắt đầu với những thứ đơn giản nhưng lại vô cùng quan trọng – mật khẩu tài khoản Google. Tự hỏi bản thân những câu hỏi sau:
- Mật khẩu có dựa vô tên bạn, tên người thân, ngày sinh nhật; địa chỉ nhà, hay bất cứ thứ gì mà người ngoài có thể dễ dàng đoán được không?
- Tài khoản Google có sử dụng từ thông dụng hay cấu trúc câu dễ đoán không?
- Độ dài mật khẩu ngắn – tối thiểu 8 ký tự?
- Bạn có dùng mật khẩu tài khoản Google (hay kiểu gần giống); để đăng nhập vào các ứng dụng trang web hay dịch vụ không?
Nếu câu trả lời là có trong những câu hỏi này, thì bạn tự đánh vô mặt thật mạnh. Sau đó đổi mật khẩu ngay lập tức – lần này hãy đổi mật khẩu thật dài, phức tạp; và không liên quan đến các thông tin cá nhân, từ hoặc cấu trúc thông dụng; hay bất cứ thứ gì bạn đã dùng. Bạn hiểu rồi chứ? Đi tới bước tiếp theo nào.
Bước 2: Tạo một lớp bảo mật thứ 2 cho tài khoản Google
Cho dù mật khẩu có bạn có phức tạp hay khó tới đâu; vẫn có khả năng bị bẻ – Nhưng bạn có thể giảm nguy cơ người khác xâm nhập vào tài sản dữ liệu một cách nhanh chóng đó là kích hoạt two-factor authentication (Tạm dịch: xác thực 2 yếu tố) trên tài khoản Google.
Sau khi kích hoạt rồi; bạn sẽ phải nhập loại mật khẩu thứ hai này sau khi đăng nhập – Lý tưởng nhất là yêu cầu một vật gì đó mà chỉ có bạn có. Cách đơn giản, hiệu quả nhất là lời nhắn hoặc đoạn mã gửi qua điện thoại của bạn. Nếu bạn muốn chắc chắn hơn nữa; có thể cân nhắc nút bấm trên actual key (chìa khóa chủ), có thể là một cái USB đặc biệt; thiết bị kết nối Bluetooth hoặc là một vật gì đó chỉ có trên điện thoại bạn. Bạn cũng có thể cân nhắc lựa chọn nhận đoạn mã qua tin nhắn; nhưng cách đó cũng có rủi ro và không khuyến khích áp dụng.
Bất kể lựa chọn của bạn là gì; chỉ cần có thêm lớp bảo mật thứ 2 thì những ai muốn vào tài khoản Google sẽ vô cùng khó khăn; cho dù họ có biết mật khẩu đăng nhập đi nữa. Nếu còn chưa làm thì chần chờ gì mà không đi thay đổi liền
Bước 3: Đảm bảo rằng bạn sẵn sàng xác minh danh tính
Nếu Google phát hiện hành động khả nghi từ tài khoản bạn; thì Google sẽ yêu cầu bạn xác minh danh tính trước khi bạn có thể tiếp tục. Và nếu như bạn lâu rồi chưa (hoặc không bao giờ) cài đặt lại mục xác minh tài khoản. Rất có khả năng thông tin đó đã lỗi thời hoặc thiếu sót.
Chỉ cần bỏ ra 1 phút vào Google account security và kiếm mục “Ways we can verify it’s you”. Bạn có thể thấy 2 lựa chọn:
- Khôi phục bằng điện thoại
- Khôi phục bằng email
Nếu như cả 2 lựa chọn đều không phải của bạn, thì bấm và thay đổi liền. Và qua vài bước đầu, chúng ta có thể đi tới cấp độ bảo mật tài khoản Google tiếp theo.
Phần 2: Liên kết các kết nối lại
Bước 4: Điểm lại các dịch vụ thứ 3 có quyền truy cập vào tài khoản
Khi bạn cài đặt ứng dụng có tương tác với Google bằng nhiều phương thức – Điện thoại; máy tính hay thậm chí trong tính năng của Google như tạo Gmail hay Docs. Ứng dụng đó sẽ được cấp phép truy cập vào dữ liệu tài khoản Google của bạn.
Tùy thuộc vào tình huống, có thể là xem hoạt động trong vài tính năng cụ thể của Google; có thể thấy mọi thứ trong Gmail, Google Calendar, hoặc Google Drive; tệ nhất là có thể thấy toàn bộ trong tài khoản Google.
Chúng ta rất hay bấm những dòng yêu cầu xác nhận cho qua loa mà không hề suy nghĩ kỹ. Bây giờ hãy quay ngược lại và kiểm tra chính xác ứng dụng nào có quyền truy cập và mức độ truy cập tới đâu. Vào trang Google’s third-party app access overview và nhìn lại danh sách đã kết nối. Nếu bạn không còn truy cập hay không nhận ra ứng dụng; bấm vào nó rồi bấm remove.
Chỉ cho phép truy cập những ứng dụng bạn biết hoặc tin tưởng; nhưng chắc chắn rằng bạn sẽ thường xuyên kiểm tra và cố gắng cho gọn danh sách nhất có thể.
Bước 5: Điểm lại những thiết bị truy cập vào tài khoản
Không chỉ ứng dụng mà bạn còn đăng nhập tài khoản Google bằng nhiều thiết bị khác nhau trong vài tháng (hoặc hơn) đổ lại. Và thường khi bạn đăng nhập vào hệ thống; thiết bị vẫn sẽ giữ kết nối với tài khoản – không quan trọng lần cuối bạn vô là bao giờ.
Bạn có thể dừng vòng lặp và lấy lại quyền kiểm soát bằng cách vào Google’s device activity page. Nếu như thiết bị nào không sử dụng nữa hoặc không biết, hãy bấm vào biểu tượng ba chấm và đăng xuất tài khoản ngay và luôn.
Bước 6: Xem qua các quyền cho phép của ứng dụng trên điện thoại
Thêm một cân nhắc quan trọng liên quan tới ứng dụng: Nếu bạn xài hệ điều hành Android; vài cấp độ quyền cho phép – điển hình như liên kết với danh bạ hay lịch – Có thể kiểm soát vài chỗ trong dữ liệu tài khoản Google; vì những dịch vụ như Google Contact hay Google Calendar đồng bộ hóa dữ liệu điện thoại bạn và Cloud.
Vào mục Privacy chỗ cài đặt hệ thống trên điện thoại và kiếm mục có tiêu đề “Permission Manager” (hoặc những thứ tương tự; cách biểu đạt và giao diện có thể khác giữa một thiết bị Android và phiên bản kế tiếp). Sau khi bấm, bạn có thể nhìn thấy mỗi loại quyền và những ứng dụng có quyền đó – và sau vài cú click , thu hồi quyền các ứng dụng mà không còn cần thiết.
Bước 7: Xem qua các quyền tính năng trong trình duyệt
Trên máy tính; các tính năng thêm vào Chrome có thể mở rộng khả năng của trình duyệt của bạn – tuy nhiên cũng có khả năng gây nguy hiểm.
Cho tới cuối năm 2018, các tính năng của Chrome yêu cầu quyền cho phép đọc và thay đổi dữ liệu mỗi trang web mà bạn đã truy cập để xem bất kỳ hành động của bạn. Có nghĩa là một tính năng mở rộng làm việc gì đó đơn giản như nâng cấp giao diện Gmail hoặc cho phép bạn lưu lại bài để luôn có thể truy cập mọi thứ trên trình duyệt – Cho dù chỉ có quyền truy cập giới hạn (vào trang web Gmail hoặc chỉ khi bạn nhấn vào biểu tượng để kích hoạt tính năng mở rộng).
Tới thời điểm này, Google cho phép các tính năng yêu cầu truy cập vào dữ liệu trình duyệt một cách hợp lý – Nhưng đó là sự chuyển đổi chậm chạp. và nhiều tính năng vẫn gắn liền với điều khoản cũ mặc định truy cập tất cả hoặc không có gì.
Điều đó có nghĩa là phụ thuộc vào bạn để tìm cài đặt mỗi tính năng mở rộng bạn đã cài đặt và xác nhận nó không quá rộng tới mức cần thiết. Nếu không; tất cả các hoạt động trình duyệt trong Chrome – thứ gì đó được giữ bảo mật kỹ trong tài khoản – Có thể bị truyền ra ngoài tới các công ty khác với mục đích không chính đáng.
Những gì bạn cần làm là gõ chrome:extension trên thanh địa chỉ trình duyệt và bấm vào ô Detail với mỗi tính năng mở rộng. Bất cứ lúc nào bạn thấy có dòng tiêu đề “Site access”; hãy suy nghĩ thật cẩn thận về cấp độ truy cập và liệu nó có thật sụ cần thiết không – hay là giảm bớt đi là một ý kiến hay.
Xem thêm về bảo mật website: Security headers là gì?
Bước 8: Lược bỏ đi những ứng dụng di động và tính năng mở rộng không cần
Trong khi bạn nghĩ về mục bổ sung của bên thứ ba trên máy tính và điện thoại; tạm dừng và điểm lại mọi thứ bạn đã cài đặt và cân nhắc xem có bao nhiêu ứng dụng mà bạn vẫn đang sử dụng. Tài khoản Google càng ít xuất hiện trên nhiều cửa sổ càng tốt. Và nếu bạn không sử dụng thì không có lý do gì bạn giữ lại cả. Cuối cùng, chúng ta đã sẵn sàng tiếp tục 2 phần cuối vê khả năng bảo vệ tài khoản
Phần 3: Lên kế hoạch cho tình huống tệ nhất
Bước 9: Cài đặt và xác nhận mong muốn cho tài khoản Google
Nghĩ về viễn cảnh xấu nhất chưa bao giờ vui vẻ cả – thà tôi làm cái việc gì khác có ích hơn. Nhưng nó rất quan trọng để lên kế hoạch đề phòng cho những tài sản bạn sở hữu; tạo ra mong muốn sau này cho tài khoản Google sẽ khiến cho mọi thứ dễ dàng hơn nhiều cho những người thân của bạn khi mà bạn chết bất ngờ.
Google có một hệ thống để xử lý những vụ này: Mở mục Inactive Account Manager; và bạn sẽ tìm được công cụ xác định chính xác chuyện gì sẽ xảy ra nếu tài khoản của bạn không hoạt động cho một khoản thời gian nhất định. Bạn có thể cụ thể số tháng khi bạn không đăng nhập; kèm với những địa chỉ email và số điện thoại Google liên lạc để xác nhận. Và bạn cũng có thể đưa những địa chỉ này cho Google để thông báo rằng tài khoản này cũng như bạn không còn khả dụng.
Sau đó, bạn có thể chọn lọc cụ thể loại thông tin nào mà bạn muốn gửi lại cho những người này. Bạn cũng có thể để lại lời nhắn nhủ nếu muốn; kể cả lựa chọn tạo tin nhắn tự động cho những ai gửi mail qua cho bạn kể từ khi bạn không còn hoạt động (Đáng sợ!)
Cho dù bạn đã trải qua giai đoạn này rồi; bạn cũng nên thường xuyên kiểm tra lại các lựa chọn của mình vẫn đầy đủ và chính xác. Bây giờ khi mà tôi nhìn lại trường hợp của mình; ví dụ – sau vài năm khi cài đặt xong hệ thống; những tài khoản mới không được chọn để được nhận thông báo; có thể là do những tài khoản chưa tồn tài kể từ lần cuối tôi kiểm tra. Tôi phải thủ công kiểm tra lại tất cả để đảm bảo rằng họ cũng sẽ trong danh sách thông báo.
Phần 4: Thiết lập bảo mật tài khoản Google của bạn lên mức tối đa
Bước 10: Cân nhắc về Google’s Advanced Protection Program
Cuối cùng là bước mà có thể sẽ không đúng với nhiều người nhưng có thể có hậu quả lớn cho những người sử dụng Google. Với những ai có nguy cơ cao là mục tiêu; Google sẽ đề xuất một hình thức cao cấp bảo mật tài khoản với tên gọi Advanced Protection Program.
Được xem là phù hợp với các đối tượng là lãnh đạo kinh doanh, IT admin, nhà hoạt động; nhà báo và những ai trong mắt công chúng và là đối tượng mục tiêu để gây tổn thất. Hình thức này sẽ đặt hàng loạt giới hạn nặng cho tài khoản Google của bạn để biến nó cực kì khó khăn cho bất kỳ ai khác muốn truy cập – nhưng đồng thời, nó cũng sẽ gây khó khăn cho bạn
Cốt lõi của Advanced Protection Program là yêu cầu phải có khóa bảo mật ngay khi bạn đăng nhập lần đầu vào bất cứ thiết bị mới nào. Nghĩa là ngoài cái mật khẩu thông thường ra; bạn cũng sẽ cần hệ thống xác thực 2 yếu tố – bằng cái khóa bảo mật trong điện thoại hoặc cái standalone dongle – để có thể truy cập vào email; tài liệu hay bất kì tính năng khác trong tài khoản Google của bạn.
Ngoài những bảo mật được thêm, bạn cũng sẽ không thể kết nối với hầu hết ứng dụng thứ ba bằng tài khoản Google – Kể cả những cái yêu cầu quyền truy cập vào Gmail hoặc Drive để có thể hoạt động. Đây có thể là thử thách (chẳng hạn như đăng nhập vào thiết bị TV Android) và yêu cầu vài thỏa hiệp (Như là không thể sử dụng các email khách hàng bằng Gmail). và nếu bạn không thể vào tài khoản với lý do gì; bạn sẽ phải tốn thời gian trong quá trình khôi phục để có thể lấy lại quyền truy cập.
Suy cho cùng, chỉ có bạn mới có thể quyết định xem những bất tiện thêm vào có đáng để đảm bảo thêm hay không. Nhưng nếu bạn muốn bảo mật tối đa cho tài khoản Google của mình – và đặc biệt nếu bạn là người có nguy cơ bị nhắm mục tiêu cao hơn người khác – thì đây là điều đáng cân nhắc.
Việc bạn cần làm lúc này là phải xem lại quyền truy cập Gmail gần đây, lịch sử đăng nhập trình duyệt và hoạt động tài khoản Google của bạn để đảm bảo không ai khác ngoài bạn đã sử dụng tài khoản của mình.
Khi máy tính nằm ngoài tầm nhìn và sự kiểm soát thì có khả năng người khác sẽ truy cập vào tài khoản Google của bạn. Một người trở về sau chuyến đi tự hỏi, liệu máy tính và tài khoản của họ có bị truy cập trong thời gian vắng mặt hay không. Bạn có thể nhận thấy hoạt động kỳ lạ trong Gmail mà không biết rằng mật khẩu của mình đã được đặt ở chế độ công khai (hoặc “được pwned”). Ngoài ra, trong một số trường hợp, bạn có thể được khảo sát bởi đối tác, thành viên trong gia đình, đồng nghiệp hoặc thậm chí một bên không xác định.
Để bảo mật tài khoản, trước tiên bạn có thể thay đổi mật khẩu, bật xác thực hai yếu tố hoặc thậm chí đăng ký Chương trình Bảo vệ nâng cao của Google. Các bước đó sẽ giúp bạn bảo mật tài khoản của mình.
Các bước sau đây có thể giúp bạn xác định xem ai đó đang truy cập vào tài khoản Gmail hoặc Google của bạn.
Tài khoản Gmail của tôi đã bị ai đó truy cập?
Trong trình duyệt web trên máy tính để bàn, Gmail cho phép bạn xem lại hoạt động truy cập email gần đây. Chọn Chi tiết (Details) ở khu vực phía dưới bên phải, dưới các email được hiển thị và bên dưới Hoạt động tài khoản cuối cùng (Last Account Activity) như (Hình A).
Hình A
Hệ thống sẽ hiển thị cho bạn thông tin về 10 lần truy cập gần đây nhất của tài khoản Gmail, cùng với hình thức truy cập (trình duyệt, POP, di động, v.v.), vị trí (địa chỉ IP) và ngày giờ truy cập. Điều này có thể giúp bạn xác định quyền truy cập nào trong số này là từ một thiết bị, địa điểm hoặc thời gian khác không phải của bạn.
Lưu ý: Nếu bạn sử dụng mạng riêng tư ảo hoặc hosted desktop thì dữ liệu vị trí có thể phản ánh thông tin liên quan đến nhà cung cấp dịch vụ của bạn thay vì địa chỉ thực tế.
Đôi khi, điều này chỉ đơn giản là do họ đã bật máy tính với trình duyệt của họ hoặc thư khách hàng đang mở: Hệ thống có thể được định cấu hình để tự động kiểm tra thư theo định kỳ. Nếu truy cập xảy ra sau khi mất điện, họ sẽ định cấu hình hệ thống để tự động bật nguồn sau khi cúp điện. Vì vậy, hệ thống sẽ đăng nhập và tải xuống thư mới ngay sau khi có điện trở lại.
Ai đó đã truy cập trình duyệt của tôi?
Trong trình duyệt Chrome – và trên bất kỳ thiết bị Chromebook hoặc Chrome OS nào, hãy nhấn Ctrl + H để hiển thị lịch sử trình duyệt. Ngoài ra, nhập chrome://history vào thanh địa chỉ hoặc chọn menu ba chấm dọc ở phía trên bên phải, sau đó chọn History | Lịch sử. Trên macOS, nhấn Command + Y. Bạn có thể lướt qua tất cả các trang web đã truy cập. Mục đích làm điều này là để xem có bất kỳ trang web bất thường nào được hiển thị hay không.
Ngoài ra, bạn có thể nhập các cụm từ tìm kiếm vào thanh hiển thị phía trên các URL trong phần lịch sử. Ví dụ: tìm kiếm “đăng nhập” hoặc sao chép và dán liên kết này vào thanh địa chỉ của trình duyệt: chrome://history/?q=sign%20in để hiển thị hết các trang mà trang web đăng nhập (Hình B). Một lần nữa, hãy xem lại kết quả cho bất kỳ trang web nào bạn không mong đợi. Bạn cũng có thể tìm kiếm “gmail.com”.
Hình B
Hãy truy cập https://myactivity.google.com/ để vào lịch sử tài khoản Google của bạn trên tất cả các thiết bị và dịch vụ của Google, chẳng hạn như YouTube, Google Maps, Google Play, v.v. (Hình C). Tùy thuộc vào cài đặt bảo mật mà bạn cần phải xác thực lại khi cố gắng truy cập thông tin này. Một lần nữa, hãy xem lại mọi dữ liệu đã ghi, để đảm bảo dữ liệu đó tương ứng với mức độ sử dụng của bạn.
Hình C
Tương tự, bạn hãy truy cập https://myaccount.google.com/device-activity để xem lại danh sách các thiết bị mà bạn đã đăng nhập bằng tài khoản Google của mình (Hình D). Bạn có thể chọn dấu ba chấm dọc ở phía trên bên phải của bất kỳ thiết bị nào. Sau đó chọn đăng xuất để ngăn các truy cập trong tương lai mà không cần xác thực lại trên thiết bị.
Hình D
Tiếp đến là kiểm tra bảo mật của Google, bạn hãy truy cập vào (https://myaccount.google.com/security-checkup) để từng bước xem xét mọi mục mà hệ thống của Google xác định là một vấn đề bảo mật tiềm ẩn (Hình E).
Hình E
Sử dụng Google Workspace (G Suite)? Yêu cầu giúp đỡ từ quản trị viên.
Nếu bạn sử dụng Gmail và Google Workspace (G Suite) của một tổ chức (ví dụ: cơ quan hoặc trường học), quản trị viên có thể xem xét bổ sung dữ liệu truy cập tài khoản của bạn. Để thực hiện việc này, quản trị viên cần đăng nhập vào bảng điều khiển dành cho quản trị viên tại https://admin.google.com. Từ Bảng điều khiển dành cho quản trị viên, họ có thể truy cập https://admin.google.com/ac/, chọn tài khoản của bạn, sau đó xem lại cài đặt bảo mật cũng như các ứng dụng và thiết bị được kết nối. Tiếp theo, họ có thể xem xét tất cả thông tin đăng nhập bằng cách truy cập báo cáo đăng nhập tại https://admin.google.com/ac/reporting/audit/login. Sau đó lọc tài khoản của bạn (Hình F). Vì thông tin này được hệ thống ghi tập trung lại thành một nhóm nên các bản ghi truy cập vẫn còn, ngay cả khi người truy cập cố gắng che dấu vết của họ trên tài khoản của bạn (ví dụ: bằng cách xóa cục bộ lịch sử trình duyệt).
Đối với tài khoản của tổ chức, quản trị viên Google Workspace có thể xem xét cài đặt tài khoản (ví dụ: bảo mật, ứng dụng và thiết bị) và nhật ký kiểm tra (ví dụ: đăng nhập tài khoản), như được hiển thị trong hai ảnh chụp màn hình bên dưới.
Hình F
Kinh nghiệm của bạn khi tài khoản Google bị xâm nhập?
Nếu bạn tự hỏi, liệu người khác đã truy cập vào tài khoản Google của mình hay chưa thì nếu gặp phải tình huống này bạn sẽ thực hiện các bước nào? Bạn đã học được gì khi hoàn thành bài đánh giá quyền truy cập ở trên cho tài khoản Google của mình?
Nguồn tham khảo:
