Posts

Thư ngỏ thứ hai gửi Quốc hội về Dự thảo Luật An Ninh Mạng

Image
Kính thưa Quốc hội,
Cách đây 10 ngày, thông qua báo chí và mạng xã hội, với tư cách một chuyên gia an ninh mạng, tôi đã gửi đến Quốc hội một lá thư ngỏ, đề nghị không thông qua Dự thảo Luật An Ninh Mạng và đề xuất những điều chỉnh cụ thể giúp kiện toàn an ninh mạng quốc gia và đồng thời đảm bảo phát triển kinh tế và tự do của người dân. Lá thư của tôi đã lan truyền nhanh chóng và nhận được sự ủng hộ mạnh mẽ của dư luận. Đại biểu Nguyễn Lân Hiếu nói rằng lá thư đã giúp ông có thêm nhiều thông tin hữu ích.
Dẫu vậy chỉ trong vài giờ nữa Quốc hội, nhiều khả năng, sẽ vẫn bỏ phiếu thông qua Dự thảo Luật. Tôi viết lá thư thứ hai này, với tâm thức của một người con xa nhà nhưng không lúc nào thôi trăn trở, mong muốn đất mẹ Việt Nam giàu có, thịnh vượng. Tôi xin kể những câu chuyện, những suy tư về mối liên hệ giữa tự do, phát triển và công nghệ, chỉ với hi vọng Quốc hội sẽ hiểu thêm về tầm quan trọng của tự do trên Internet và từ đó hoãn thông qua Dự thảo Luật.
Kính thưa Quốc hội,
Tôi may mắn thu…

Thư ngỏ gửi Quốc hội về dự thảo luật An Ninh Mạng

Một bản tóm gọn của lá thư này đã đăng trên tờ Một Thế Giới.

Tôi xin lỗi vì thư dài. Tôi đã cố gắng viết ngắn lại, đã chỉnh sửa nhiều lần và đây là phiên bản vừa ý nhất. Hi vọng mọi người sẽ đọc hết, cho ý kiến và chia sẻ với nhiều người khác. Dự thảo Luật An Ninh Mạng, nếu được Quốc hội thông qua vào ngày 12/6/2018, sẽ ảnh hưởng trực tiếp đến tất cả chúng ta, không chừa một ai, nên tôi hi vọng sẽ có nhiều người hơn hiểu các vấn đề dự thảo này.

Ở Mỹ người dân có thể gọi điện thoại hoặc email cho dân biểu của họ để phản ánh vấn đề mà họ quan tâm. Ở Việt Nam mỗi thành phố hay tỉnh đều có Văn phòng đoàn Đại biểu Quốc hội. Nếu bạn đồng ý với những gì tôi viết trong thư, tôi đề nghị scan rồi gửi email, hoặc gửi fax, hoặc in ra và gửi thư đến văn phòng nơi bạn đang sinh sống.

Chân thành cảm ơn những người bạn không tiện nêu tên ở đây đã đọc và chỉnh sửa các bản nháp.

Cập nhật: thư ngỏ thứ hai, trước giờ Quốc hội bấm nút.

--

Kính thưa Quốc Hội,
Tôi là Dương Ngọc Thái, kỹ sư an ninh mạng đang làm vi…

Băm mật khẩu đúng cách

1/ Sử dụng scrypt, bcrypt, PBKDF2 hoặc argon2. Thuật toán nào trong số này cũng được, cứ chọn một cái mà dùng, thay thế cho MD5, SHA2, v.v.
2/ Băm _mỗi_ mật khẩu với một "muối" (salt) ngẫu nhiên dài 64 bit. Muối này không cần phải giữ bí mật, lưu chung với chỗ lưu mật khẩu cũng được.
3/ (Nâng cao) Băm _tất cả_ mật khẩu với một "tiêu" (pepper) ngẫu nhiên dài 128 bit. Tiêu này cần được giữ bí mật, lưu ở một máy chủ khác với chỗ lưu mật khẩu.
Tại sao phải làm những bước này? Tại sao thêm muối thôi không đủ? Tại sao cần phải có cả tiêu?
Các câu hỏi này tôi để dành cho các bạn sinh viên như là bài tập về nhà. Các bạn có thể trả lời vào phần comment bên dưới hoặc là email cho tôi ở thaidn@gmail.com.

Khoe cho các bạn sinh viên có cảm hứng trả lời câu hỏi: tôi thiết kế thuật toán băm mật khẩu đang được Google sử dụng để bảo vệ mật khẩu của tất cả người dùng.