Posts

Showing posts from May, 2018

Thư ngỏ gửi Quốc hội về dự thảo luật An Ninh Mạng

Một bản tóm gọn của lá thư này đã đăng trên tờ Một Thế Giới.

Tôi xin lỗi vì thư dài. Tôi đã cố gắng viết ngắn lại, đã chỉnh sửa nhiều lần và đây là phiên bản vừa ý nhất. Hi vọng mọi người sẽ đọc hết, cho ý kiến và chia sẻ với nhiều người khác. Dự thảo Luật An Ninh Mạng, nếu được Quốc hội thông qua vào ngày 12/6/2018, sẽ ảnh hưởng trực tiếp đến tất cả chúng ta, không chừa một ai, nên tôi hi vọng sẽ có nhiều người hơn hiểu các vấn đề dự thảo này.

Ở Mỹ người dân có thể gọi điện thoại hoặc email cho dân biểu của họ để phản ánh vấn đề mà họ quan tâm. Ở Việt Nam mỗi thành phố hay tỉnh đều có Văn phòng đoàn Đại biểu Quốc hội. Nếu bạn đồng ý với những gì tôi viết trong thư, tôi đề nghị scan rồi gửi email, hoặc gửi fax, hoặc in ra và gửi thư đến văn phòng nơi bạn đang sinh sống.

Chân thành cảm ơn những người bạn không tiện nêu tên ở đây đã đọc và chỉnh sửa các bản nháp.

Cập nhật: thư ngỏ thứ hai, trước giờ Quốc hội bấm nút.

--

Kính thưa Quốc Hội,
Tôi là Dương Ngọc Thái, kỹ sư an ninh mạng đang làm vi…

Băm mật khẩu đúng cách

1/ Sử dụng scrypt, bcrypt, PBKDF2 hoặc argon2. Thuật toán nào trong số này cũng được, cứ chọn một cái mà dùng, thay thế cho MD5, SHA2, v.v.
2/ Băm _mỗi_ mật khẩu với một "muối" (salt) ngẫu nhiên dài 64 bit. Muối này không cần phải giữ bí mật, lưu chung với chỗ lưu mật khẩu cũng được.
3/ (Nâng cao) Băm _tất cả_ mật khẩu với một "tiêu" (pepper) ngẫu nhiên dài 128 bit. Tiêu này cần được giữ bí mật, lưu ở một máy chủ khác với chỗ lưu mật khẩu.
Tại sao phải làm những bước này? Tại sao thêm muối thôi không đủ? Tại sao cần phải có cả tiêu?
Các câu hỏi này tôi để dành cho các bạn sinh viên như là bài tập về nhà. Các bạn có thể trả lời vào phần comment bên dưới hoặc là email cho tôi ở thaidn@gmail.com.

Khoe cho các bạn sinh viên có cảm hứng trả lời câu hỏi: tôi thiết kế thuật toán băm mật khẩu đang được Google sử dụng để bảo vệ mật khẩu của tất cả người dùng.

Người Việt Nam chọn mật khẩu như thế nào?

(vào đây để kiểm tra xem thông tin cá nhân của bạn có bị lộ hay không - công cụ này do anh Quân Nguyễn Đức xây dựng)

Trong số 160 triệu tài khoản VNG bị lộ có gần 75 triệu tài khoản là của những người có thể xác định được chính xác ngoài đời. Gắn với 75 triệu tài khoản này là hơn 22 triệu mật khẩu (vì ý tưởng lớn gặp nhau, người ta hay chọn mật khẩu giống nhau -- các bạn có biết là có website hẹn hò chuyên ghép đôi những người chọn cùng mật khẩu?)

Các mật khẩu này được mã hóa với một thuật toán rất dễ bị bẻ gãy (dành cho dân trong nghề: thuật toán MD5, một round duy nhất, không salt gì cả). Tôi tin đây là vụ lộ mật khẩu của người Việt Nam lớn nhất từ xưa đến nay và việc bẻ khóa các mật khẩu này sẽ cung cấp một nguồn thông tin hiếm hoi về cách mà người Việt Nam chọn những bí mật riêng tư nhất của mình. Việc phân tích các mật khẩu sẽ giúp chúng ta biết được mật khẩu nào yếu và từ đó chọn cho mình mật khẩu tốt nhất. Và đương nhiên ai mà không muốn biết thằng Tèo nhà hàng xóm chọn mật khẩu…