Cách bảo mật trực tuyến hoạt động
Với rất nhiều dữ liệu vi phạm chính trong tin tức gần đây, bạn có thể tự hỏi làm thế nào dữ liệu của bạn được bảo vệ khi bạn đang trực tuyến. Bạn biết đấy, bạn đi đến một trang web để mua sắm, nhập số thẻ tín dụng của bạn, và hy vọng trong một vài ngày một gói hàng đến cửa của bạn. Nhưng trong thời điểm đó trước khi bạn nhấp vào Đặt hàng , bạn có bao giờ tự hỏi về cách bảo mật trực tuyến hoạt động không?
Khái niệm cơ bản về bảo mật trực tuyến
Ở dạng cơ bản nhất, bảo mật trực tuyến - đó là bảo mật diễn ra giữa máy tính của bạn và trang web bạn đang truy cập - được thực hiện thông qua hàng loạt câu hỏi và câu trả lời. Bạn nhập địa chỉ web vào trình duyệt , khi đó trình duyệt của bạn yêu cầu trang web đó xác minh tính xác thực của trang web, trang web phản hồi lại với thông tin thích hợp và khi cả hai đồng ý, trang web sẽ mở trong trình duyệt web của bạn.
Trong số các câu hỏi được hỏi và thông tin được trao đổi là dữ liệu về loại mã hóa được sử dụng để chuyển thông tin trình duyệt, thông tin máy tính và thông tin cá nhân giữa trình duyệt của bạn và trang web. Những câu hỏi và câu trả lời này được gọi là một cái bắt tay. Nếu việc bắt tay đó không diễn ra thì trang web bạn đang cố truy cập sẽ bị coi là không an toàn.
HTTP so với HTTPS
Một điều bạn có thể nhận thấy khi truy cập các trang web trên web là một số có địa chỉ bắt đầu bằng http và một số bắt đầu bằng https . HTTP có nghĩa là Giao thức truyền siêu văn bản ; đó là một giao thức hoặc tập hợp các nguyên tắc chỉ định giao tiếp an toàn qua internet. Thậm chí bạn có thể nhận thấy rằng một số trang web, đặc biệt là các trang web mà bạn được yêu cầu cung cấp thông tin nhận dạng cá nhân hoặc nhạy cảm có thể hiển thị https hoặc bằng màu xanh lá cây hoặc màu đỏ với đường kẻ qua đó. HTTPS có nghĩa là Giao thức Truyền Siêu văn bản Bảo mật và màu xanh lục nghĩa là trang web có chứng chỉ bảo mật có thể kiểm chứng. Màu đỏ với một dòng thông qua nó có nghĩa là trang web không có chứng chỉ bảo mật hoặc chứng chỉ không chính xác hoặc đã hết hạn.
Đây là nơi mọi thứ trở nên khó hiểu một chút. HTTP không có nghĩa là dữ liệu được truyền giữa máy tính của bạn và một trang web được mã hóa. Điều này chỉ có nghĩa là trang web đang kết nối với trình duyệt của bạn có chứng chỉ bảo mật đang hoạt động. Chỉ khi một S (như trong HTTP S ) được bao gồm là dữ liệu đang được chuyển giao an toàn, và có một công nghệ khác được sử dụng để làm cho chỉ định an toàn đó có thể.
Hiểu giao thức SSL
Khi bạn cân nhắc việc chia sẻ một cái bắt tay với ai đó, điều đó có nghĩa là có một bên thứ hai liên quan. Bảo mật trực tuyến cũng giống như vậy. Để bắt tay đảm bảo an ninh trực tuyến diễn ra, phải có một bên thứ hai liên quan. Nếu HTTPS là giao thức mà trình duyệt web sử dụng để đảm bảo có bảo mật thì nửa thứ hai của cái bắt tay đó là giao thức đảm bảo mã hóa.
Mã hóa là công nghệ được sử dụng để che giấu dữ liệu được truyền giữa hai thiết bị trên mạng. Nó được thực hiện bằng cách biến các ký tự có thể nhận ra thành vô nghĩa không thể nhận ra có thể được trả về trạng thái ban đầu của nó bằng cách sử dụng một khóa mã hóa. Điều này ban đầu được thực hiện thông qua một công nghệ được gọi là bảo mật Secure Layer Layer (SSL) bảo mật.
Về bản chất, SSL là công nghệ đã biến bất kỳ dữ liệu nào di chuyển giữa một trang web và trình duyệt thành vô nghĩa và sau đó trở lại vào dữ liệu một lần nữa. Đây là cách nó hoạt động:
- Bạn mở trình duyệt và nhập địa chỉ cho ngân hàng của mình.
- Trình duyệt web của bạn gõ cửa của ngân hàng và giới thiệu bạn.
- Người gác cổng xác minh rằng bạn là người bạn nói bạn là ai và sau đó đồng ý cho bạn trong một bộ điều kiện.
- Trình duyệt web của bạn đồng ý với các điều kiện đó và sau đó bạn được phép truy cập trang web của ngân hàng.
Quá trình lặp lại chính nó khi bạn nhập tên người dùng và mật khẩu của bạn, với một số bước bổ sung.
- Bạn nhập tên người dùng và mật khẩu của bạn để truy cập vào tài khoản của bạn.
- Trình duyệt web của bạn cho người quản lý tài khoản của ngân hàng biết rằng bạn muốn truy cập vào tài khoản của mình.
- Họ trò chuyện và đồng ý rằng nếu bạn có thể cung cấp thông tin đăng nhập chính xác, thì bạn sẽ được cấp quyền truy cập. Tuy nhiên, các thông tin cần được trình bày bằng một ngôn ngữ đặc biệt.
- Trình duyệt web và người quản lý tài khoản của ngân hàng đồng ý với ngôn ngữ sẽ được sử dụng.
- Trình duyệt web chuyển đổi tên người dùng và mật khẩu của bạn thành ngôn ngữ đặc biệt đó và chuyển nó cho người quản lý tài khoản của ngân hàng.
- Người quản lý tài khoản nhận dữ liệu, giải mã nó và so sánh nó với hồ sơ của họ.
- Nếu thông tin đăng nhập của bạn phù hợp, bạn được cấp quyền truy cập vào tài khoản của mình.
Quá trình diễn ra trong nano giây, vì vậy bạn không nhận thấy thời gian cần thiết cho toàn bộ cuộc trò chuyện và bắt tay này diễn ra giữa trình duyệt web và trang web.
SSL vs TLS
SSL là giao thức bảo mật ban đầu được sử dụng để đảm bảo rằng các trang web và dữ liệu được truyền giữa chúng được bảo mật. Theo GlobalSign, SSL đã được giới thiệu vào năm 1995 như là phiên bản 2.0. Phiên bản đầu tiên (1.0) không bao giờ được đưa vào miền công cộng. Phiên bản 2.0 đã được thay thế bằng phiên bản 3.0 trong vòng một năm để giải quyết các lỗ hổng trong giao thức. Năm 1999, một phiên bản SSL khác, được gọi là Transport Layer Security (TLS) đã được giới thiệu để cải thiện tốc độ của cuộc hội thoại và bảo mật của cái bắt tay. TLS là phiên bản hiện đang được sử dụng, mặc dù nó vẫn thường được gọi là SSL vì mục đích đơn giản.
Mã hóa TLS
Mã hóa TLS được giới thiệu để cải thiện bảo mật dữ liệu. Trong khi SSL là một công nghệ tốt, các thay đổi bảo mật ở tốc độ nhanh và điều đó dẫn đến sự cần thiết phải bảo mật tốt hơn, cập nhật hơn. TLS được xây dựng trên khuôn khổ SSL với những cải tiến đáng kể cho các thuật toán chi phối quá trình liên lạc và bắt tay.
Phiên bản TLS nào là phiên bản mới nhất?
Như với SSL, mã hóa TLS đã tiếp tục cải thiện. Phiên bản TLS hiện tại là 1.2, nhưng TLSv1.3 đã được soạn thảo và một số công ty và trình duyệt đã sử dụng bảo mật trong một khoảng thời gian ngắn. Trong hầu hết các trường hợp, họ hoàn nguyên về TLSv1.2 vì phiên bản 1.3 vẫn đang được hoàn thiện.
Khi hoàn thành, TLSv1.3 sẽ mang lại nhiều cải tiến về bảo mật, bao gồm hỗ trợ cải tiến cho nhiều loại mã hóa hiện tại hơn. Tuy nhiên, TLSv1.3 cũng sẽ giảm hỗ trợ cho các phiên bản cũ hơn của giao thức SSL và các công nghệ bảo mật khác không còn đủ mạnh để đảm bảo bảo mật và mã hóa dữ liệu cá nhân của bạn.