Securitywatch: bạn có thể giữ google ra khỏi gmail của bạn không?

Tuần này, tôi đang theo dõi một tin nhắn từ một người đọc trước đây đã viết về cách không bị khóa tài khoản của bạn khi bạn đang sử dụng xác thực hai yếu tố hoặc 2FA. Jeremy từ Capetown cũng đã viết thư để hỏi liệu có thể sử dụng 2FA để ngăn Google khỏi Gmail hay không. Lá thư của ông đã được chỉnh sửa cho ngắn gọn.

Có một số loại bảo mật được thiết lập mà người ta có thể thực hiện có thể ngăn Google tự truy cập Gmail của một người không?

Xác thực hai yếu tố là gì?

Để xem xét: xác thực hai yếu tố là khi bạn sử dụng hai yếu tố xác thực từ danh sách ba yếu tố có thể xảy ra: Thứ gì đó bạn biết, thứ gì đó bạn có hoặc thứ gì đó bạn đang có. Ví dụ, mật khẩu là thứ bạn biết và dấu vân tay là thứ bạn đang có. Khi bạn sử dụng cả hai cùng nhau, bạn đang sử dụng 2FA.

Về mặt thực tế, 2FA bao gồm một bước bổ sung mà bạn thực hiện sau khi nhập mật khẩu để hoàn toàn chứng minh bạn là người bạn nói bạn là ai. Điều này thường liên quan đến việc sử dụng mã một lần được tạo từ ứng dụng hoặc gửi qua SMS, nhưng có nhiều tùy chọn khác, bao gồm các ứng dụng nhấn để đăng nhập như Duo hoặc khóa bảo mật phần cứng như của Yubico và các nhà sản xuất khác.

2FA là tốt. Bạn nên sử dụng nó. Đó là một cách tuyệt vời để ngăn chặn những kẻ xấu ra khỏi tài khoản của bạn, nhưng có vẻ như nó sẽ không làm được gì nhiều để ngăn chặn Google.

Ai thấy gì?

Nói chung, Google dường như có quyền truy cập vào nội dung email của bạn. Christopher Cường Nguyễn, người tự nhận mình là cựu nhân viên Google, đã viết trên Quora vào năm 2010 rằng một số lượng rất nhỏ nhân viên có thể truy cập nội dung email và tồn tại một đường dẫn được kiểm soát chặt chẽ để lấy thông tin. Bây giờ, thông tin này đã gần một thập kỷ tại thời điểm này, nhưng nó chứng minh rằng có, tại một thời điểm, có những người có thể truy cập vào tài khoản Gmail của bạn.

Là một công ty tuân thủ luật pháp, Google nói rằng cần phải tuân thủ các yêu cầu pháp lý về thông tin từ chính phủ và cơ quan thực thi pháp luật. Điều này có thể bao gồm nội dung thư email của bạn, mặc dù Google chỉ ra rằng họ cố gắng thu hẹp phạm vi yêu cầu mà họ nhận được và yêu cầu lệnh khám xét trước khi bàn giao ảnh, tài liệu, tin nhắn email của bạn và hơn thế nữa.

Có nhiều cách khác Google sử dụng thông tin Gmail của bạn. Mặc dù công ty không còn quét các tin nhắn để tạo nội dung quảng cáo tùy chỉnh, nhưng nó đã nổi tiếng trong nhiều năm. Ngay cả bây giờ, Gmail phân tích thông điệp của bạn đủ để lấy ra và làm nổi bật thông tin du lịch và tạo các đề xuất trước khi bạn viết tin nhắn. Tùy thuộc vào mức độ thoải mái của bạn, điều này có thể hoàn toàn tốt hoặc xâm lấn dữ dội.

Google dường như mã hóa email của bạn, nhưng chủ yếu là trong khi những tin nhắn đó đang được chuyển. Ngay cả khi những tin nhắn đó được mã hóa trong khi nghỉ ngơi trên các máy chủ của Google, nếu Google đang quản lý các khóa mã hóa, và những gì tôi thấy có nghĩa là thì Google vẫn có thể truy cập tin nhắn của bạn.

2FA không phải là câu trả lời

Tôi có thể thấy Jeremy đến từ đâu với câu hỏi của anh ấy. Vì tôi kiểm soát Yubikey của mình và Google thì không, nếu tôi bật 2FA, Google sẽ không thể truy cập vào tài khoản Gmail của tôi. Tuy nhiên, Google có thể thay đổi hiệu lực đối với các tài khoản được bảo mật bằng 2FA.

Khai thác một trong những tài khoản Gmail không hoạt động của tôi, tôi đã nhấp vào tùy chọn Quên mật khẩu của tôi. Nó ngay lập tức nhảy lên các tùy chọn thay thế để đăng nhập: gửi văn bản tới điện thoại của tôi, sử dụng Yubikey của tôi, nhấn vào một cảnh báo trên điện thoại đã được xác minh, gửi email đến địa chỉ email khôi phục của tôi, trả lời câu hỏi bảo mật, nhập ngày tôi tạo Gmail của mình và cuối cùng là để lại một địa chỉ email mà Google có thể liên hệ với tôi để giải quyết vấn đề của tôi trực tiếp. Nếu Google có thể cấp cho tôi quyền truy cập vào tài khoản của riêng tôi mà không nhất thiết phải có mật khẩu hoặc yếu tố thứ hai, điều đó có nghĩa là Google có thể tự làm điều đó.

Ngay cả Chương trình bảo vệ nâng cao của Google dành cho Gmail cũng có một loại tùy chọn khôi phục. Khi được bật, Advanced Protection yêu cầu bạn đăng ký hai khóa bảo mật phần cứng khác nhau, một khóa để đăng nhập và khóa khác làm bản sao lưu. Nếu bạn mất cả hai khóa, Google sẽ nói điều này về việc lấy lại quyền kiểm soát tài khoản Chương trình bảo vệ nâng cao của bạn:

Nếu bạn vẫn có quyền truy cập vào phiên đăng nhập, bạn có thể truy cập vào tài khoản.google.com và đăng ký khóa thay thế thay cho khóa bị mất. Nếu bạn bị mất cả hai khóa và không có quyền truy cập vào phiên đăng nhập, bạn sẽ cần gửi yêu cầu để khôi phục tài khoản của mình. Google sẽ mất vài ngày để xác minh đó là bạn và cấp cho bạn quyền truy cập vào tài khoản của bạn.

Về mặt cân bằng, có vẻ như 2FA, ngay cả phiên bản cực đoan của nó được sử dụng trong Advanced Protection, cũng không đủ để ngăn Google khỏi email của bạn. Đối với hầu hết mọi người, đó có lẽ là một điều tốt. Tài khoản email là một phần cực kỳ quan trọng trong cơ sở hạ tầng bảo mật của một cá nhân. Nếu bạn mất mật khẩu hoặc phải thay đổi mật khẩu, một email được gửi đến tài khoản được xác minh thường là một phần của quy trình. Nếu kẻ tấn công giành được quyền truy cập vào tài khoản email của bạn, họ có thể tiếp tục sử dụng tùy chọn khôi phục tài khoản trên các trang web để có quyền truy cập vào nhiều tài khoản hơn. Điều quan trọng là người dùng phải có phương tiện để lấy lại quyền kiểm soát tài khoản của họ.

Tin nhắn thật sự riêng tư

Khi chúng ta nói về những gì có thể và không thể nhìn thấy trong các hệ thống nhắn tin, chúng ta đang nói về mã hóa, không phải xác thực. Hầu hết các dịch vụ sử dụng mã hóa tại các điểm khác nhau trong quá trình gửi và lưu trữ tin nhắn. Gmail, ví dụ, sử dụng TLS khi gửi thư để đảm bảo nó không bị chặn. Khi bất kỳ loại dịch vụ nhắn tin nào giữ lại các khóa được sử dụng để mã hóa tin nhắn của bạn khi chúng nằm trên máy chủ, đó là một giả định an toàn rằng công ty có thể tự truy cập các tin nhắn đó.

Nếu bạn muốn giữ tài khoản Gmail của mình nhưng muốn làm cho tin nhắn của bạn không thể đọc được, bạn có thể tự mã hóa các tin nhắn đó. Có rất nhiều plugin mã hóa cho Chrome hoặc bạn có thể định cấu hình Thunderbird để mã hóa tin nhắn của mình bằng PGP, một sơ đồ mã hóa thường được sử dụng cho email. Các mô hình Yubico đắt tiền hơn cũng có thể được cấu hình để nhổ khóa PGP của bạn, khi cần.

Tôi sẽ thành thật và nói rằng trong khi tôi chắc chắn một số trong những công việc này, tôi chưa bao giờ có thể hiểu chúng đầy đủ. Người tạo ra PGP nổi tiếng nói rằng thậm chí anh ta thấy quá trình này quá phức tạp để hiểu.

Điều có thể dễ dàng hơn là sử dụng các công cụ mã hóa để mã hóa tin nhắn, sau đó đính kèm hoặc dán đầu ra được mã hóa vào Gmail. Bạn sẽ phải điều phối quá trình giải mã ở đầu bên kia, nhưng nội dung của email sẽ không thể đọc được cho Google hoặc bất kỳ ai khác cho vấn đề đó. Keybase.io là một dịch vụ khác có thể mã hóa, giải mã hoặc ký văn bản có thể được sử dụng trong email.

Nếu bạn hoàn toàn phải chắc chắn rằng không ai ngoài bạn có quyền truy cập vào email của bạn, có một vài lựa chọn. Đầu tiên và quan trọng nhất là bỏ qua Gmail. ProtonMail, từ những người tạo ra ProtonVPN, là một dịch vụ nhằm tôn trọng quyền riêng tư của bạn và làm như vậy bằng cách mã hóa tất cả các tin nhắn email của bạn, kể cả những người bạn gửi và nhận từ những người sử dụng các nhà cung cấp email khác. Dưới đây là cách ProtonMail mô tả hoạt động của nó:

Tất cả các tin nhắn trong hộp thư đến ProtonMail của bạn được lưu trữ được mã hóa nối đầu. Điều này có nghĩa là chúng tôi không thể đọc bất kỳ tin nhắn nào của bạn hoặc chuyển chúng cho bên thứ ba. Điều này bao gồm các thư được gửi cho bạn bởi những người dùng không phải là ProtonMail, mặc dù hãy nhớ rằng nếu một email được gửi cho bạn từ Gmail, Gmail cũng có thể giữ lại một bản sao của tin nhắn đó.

• Xác thực hai yếu tố: Ai có nó và làm thế nào để thiết lập nó Xác thực hai yếu tố: Ai có nó và làm thế nào để thiết lập nó
• Gói bảo mật Google Titan Gói bảo mật Google Titan
• SecurityWatch: Làm thế nào để không bị khóa với xác thực hai yếu tố SecurityWatch: Làm thế nào để không bị khóa với xác thực hai yếu tố

Một lựa chọn khác là nhìn xa hơn email. Cuối những năm 2010 đã mang đến một loạt các dịch vụ nhắn tin vượt trội, sử dụng kết nối dữ liệu của bạn thay vì gói SMS của bạn để gửi tin nhắn giữa các thiết bị. Trong những năm gần đây, nhiều dịch vụ trong số đó đã áp dụng mã hóa đầu cuối, nghĩa là chỉ bạn và người nhận dự định của bạn mới có thể đọc tin nhắn của bạn. Tín hiệu là nổi tiếng nhất, và một ứng dụng tuyệt vời theo đúng nghĩa của nó. WhatsApp đã áp dụng giao thức Signal và hiện mã hóa các tin nhắn của mình từ đầu đến cuối. Facebook Messenger, hơi mỉa mai thay, cũng sử dụng giao thức Tín hiệu cho chế độ Tin nhắn bí mật.

Nền tảng Tin nhắn của Apple có thể được biết đến nhiều nhất với nhãn dán và karaoke hoạt hình, nhưng đây cũng là một hệ thống nhắn tin an toàn đáng chú ý. Điều này cũng đáng chú ý vì không giống như các dịch vụ nhắn tin khác, bạn có thể gửi và nhận tin nhắn trên điện thoại hoặc máy tính của mình mà không cấp cho Apple quyền truy cập vào nội dung tin nhắn của bạn.

Khi nói đến việc sử dụng Gmail, tôi khuyên mọi người nên lắng nghe sự can đảm của họ. Nếu bạn lo lắng sâu sắc về tin nhắn của mình bị con người hoặc bot đọc, hãy thử một cách khác. Nếu Gmail thực sự tiện lợi cho bạn và bạn thích các tính năng mà nó cung cấp, hãy gắn bó với nó. Cố gắng uốn cong Gmail theo hướng hoàn toàn an toàn là điều hoàn toàn có thể, nhưng có rất nhiều lựa chọn thay thế dễ dàng hơn. Cuối cùng, 2FA là một giải pháp tuyệt vời để ngăn chặn kẻ xấu ra khỏi tài khoản của bạn và đó là về nó. Tôi sẽ không dựa vào nó để khóa chủ sở hữu dịch vụ.