12 ổ USB có thể giữ an toàn dữ liệu cho bạn
Nhiều người đã nhận thấy được sự thuận tiện khi sử dụng các ổ USB để
mang theo thông tin giữa nhà, văn phòng hay trong một chuyến đi nghỉ
hoặc đi công tác. Tuy nhiên sự thuận tiện ở đây cũng có những rủi ro
của riêng nó. Những giải pháp gì có thể được thực hiện để bảo đảm dữ
liệu doanh nghiệp được bảo vệ một cách an toàn cho dù ổ đĩa này bị
mất?
Các hãng sản xuất USB đưa ra rất nhiều các thiết bị “an toàn”, nhắm đến
nhu cầu an toàn cho dữ liệu trong các sản phẩm di động dễ bị mất hay thất
lạc này. Ở đây chúng tôi giới thiệu một số thứ mà chúng ta cần tìm kiếm:
Sự thẩm định: Mật khẩu, sinh trắc học hoặc cả hai? Nếu là mật khẩu
thì một mật khẩu có chiều dài bao nhiêu để đủ độ an toàn? Chúng cần phải
thực thi việc áp đặt các mật khẩu mạnh và các mật khẩu luân phiên nhau như
thế nào? Bao nhiêu lần thử không thành công đối với một người dùng trong
việc thực hiện nhập mật khẩu trước khi tự tẩy trắng thiết bị?
Mã hóa: Tự bản thân thiết bị cung cấp sự mã hóa? hay mật khẩu ngăn
chặn thiết bị với sự tồn tại được gắn thông qua các kênh thông thường? Sự
mã hóa mạnh cỡ bao nhiêu? Chuẩn hiện hành là mã hóa AES 256-bit, mặc
dù vậy một số các thiết bị hướng khách hàng vẫn cung cấp 128-bit.
Sự thích hợp trên đường: Phụ thuộc vào nhu cầu bảo mật của bạn,
điều này có thể là một tính năng hoặc một nhược điểm. Một số ổ USB an
toàn yêu cầu khả năng chạy các ứng dụng trên máy chủ. Trong các lab máy
tính bị khóa và các quán café, các ổ USB phụ thuộc vào phần mềm đi kèm
này có thể không làm việc tí nào.
Chúng tôi đã chọn ra 12 ổ USB tiêu biểu để minh chứng cho nhiều sự lựa
chọn có trên thị trường. Nhớ rằng vì bạn đang mang một ổ USB “an toàn”
thì điều đó cũng không có nghĩa khi cắm nó vào một máy tính lạ (hoặc chính
máy tính của mình) là bạn có thể cách ly được với worm, virus, phần mềm
ghi lại thao tác bàn phím, các tấn công DRAM và các mối đe dọa khác. Tốt
hơn hết là bạn hãy cẩn thận và tuân theo các nguyên tắc riêng trong phòng
chống virus,….
Kingston DataTraveler Elite Privacy
Dung lượng: 1 Gbyte, 2 Gbyte, 4 Gbyte, hoặc 8 Gbyte
Vỏ bọc: Thép chống han có mạ Titanium, không thấm nước
Mã hóa: Mã hóa 256-bit AES theo phần cứng
Các tính năng đặc biệt: Encryption co-processor
Tốc độ: Đọc 24-Mbps, ghi10-Mbps
Giá thành: $87 / $128 / $191 / $327
Kingston DataTraveler Elite Privacy (DTEP) được giới thiệu với 100% mã
hóa trên toàn bộ USB. Bất kỳ file nào được lưu trên thiết bị đều sẽ tự động
được mã hóa bằng phần cứng; ngược lại các file được copy vào một máy
tính chủ sẽ được giải mã.
Do sự mã hóa không yêu cầu ứng dụng trên máy tính chủ nên DTEP có thể
được sử dụng ở nhiều nơi khác nhau như quán café, nơi không có sự quản lý
truy cập của một quản trị viên Windows nào.
Mới sử dụng DTEP thời gian đầu, người dùng sẽ bị yêu cầu tạo một mật
khẩu gồm có từ 6 đến 16 ký tự, với một số lượng đáng kể các kỹ tự hoa và
đặc biệt trộn lẫn nhau. Sau 10 lần thử mật khẩu sai, ổ đĩa sẽ mất tác dụng
ngoại trừ việc format lại. Người dùng cũng có thể nhập vào các thông tin
liên lạc có khả năng truy cập từ màn hình đăng nhập.
Kanguru Bio AES
Dung lượng: 1 Gbyte, 2 Gbyte, 4 Gbyte, hoặc 8 Gbyte
Vỏ bọc: Chuẩn
Mã hóa: Mã hóa 256-bit AES
Các tính năng đặc biệt: Bộ đọc vân tay kết hợp với mật khẩu chứng thực
hai hệ số
Tốc độ: Đọc10-Mbps, ghi 5-Mbps
Giá thành: $80 / $100 / $130 / $180
Kanguru Bio AES tương thích với Windows gồm có một bộ đọc vân tay như
lớp thứ hai của hai lớp chứng thực.
Mới kết nối thiết bị, ứng dụng Kanguru BioLock sẽ nhắc nhở người dùng
nhập vào một mật khẩu 6 ký tự và dấu vân tay. Nó có thể chứa được đến 10
dấu vân tay. Hướng dẫn sử dụng khuyên chúng ta nên sử dụng các ký tự chữ
hoa, số và các symbol được trộn lẫn nhưng phần mềm không ép buộc các
khuyến cáo này.
Khi đã kết nối, BioLock nhắm đến việc thay thế cho Windows Explorer. Bạn
hoàn toàn có thể kéo thả vào Bio AES, người dùng đã được khuyên nên sử
dụng giao diện BioLock để chuyển các file.
Transcend JetFlash 220
Dung lượng: 2 Gbyte, 4 Gbyte, hoặc 8 Gbyte
Vỏ bọc: Fold-out enclosure
Mã hóa: Mã hóa 256-bit AES
Các tính năng đặc biệt: Bộ đọc vân tay kết hợp với mật khẩu chứng thực
hai hệ số
Tốc độ: Đọc 10-Mbps, ghi 3-Mbps
Giá thành: $28 / $40 / $63
Không giống bộ chứng thực kép như Kanguru Bio AES, Transcend JetFlash
220 sử dụng công nghệ dấu vân tay cho hệ số thích hợp. Người dùng cũng
có tùy chọn cho việc sử dụng mật khẩu, thậm chí còn có thể hủy bỏ ý định
cơ chế chứng thực bằng vân tay. Tuy vậy, thiết bị không có sự bảo vệ chống
lại việc cố gắng nhập nhiều mật khẩu sai hoặc yêu cầu một mật khẩu mạnh.
Khi đã chứng thực, Transcend JetFlash 220 cung cấp một ứng dụng
"Password Bank Manager" nhằm duy trì những chi tiết đăng nhập website
của bạn để có thể tự động truy cập vào các tài khoản đã được đăng ký của
bạn. Bạn cũng có thể bảo vệ các file riêng lẻ trên ổ cứng của máy chủ để file
đó chỉ có thể truy cập bởi một ai đó đã được JetFlash chứng thực.
Để bạn không mất sự truy cập đối với kho mật khẩu phong phú này hoặc các
file đã được bảo vệ nếu mất USB, phần mềm cho phép bạn backup chứng
thực người dùng và dữ liệu vân tay vào ổ cứng. Với file backup, bạn có thể
dễ dàng in dấu lại JetFlash 220 hoặc nếu cần thiết, in dấu lại các thiết bị với
cùng một sự kết hợp vân tay/mật khẩu.
Xem xét những gì nó có thể bảo vệ, bảo đảm rằng bạn sử dụng một mật khẩu
mạnh nếu sử dụng một thứ.
SanDisk Cruzer Enterprise
Dung lượng: 1 Gbyte, 2 Gbytes, hoặc 4 Gbytes
Vỏ bọc: Chuẩn với shirt-pocket clip
Mã hóa: Mã hóa 256-bit AES dựa trên phần cứng
Các tính năng đặc biệt: Phần mềm quản lý USB doanh nghiệp
Tốc độ: Đọc 24-Mbytes/sec, ghi 20-Mbytes/sec
Giá thành: $75 / $125 / $185
Phần mềm cho SanDisk Cruzer Enterprise gần tương tự với phần mềm của
Kingston DTEP, với cùng các tham số mật khẩu (từ 6 đến 16 ký tự trộn lẫn
giữa các ký tự, số và symbol) và các tính năng chương trình nói chung. Tất
cả các file truyền tải đến một partition đơn đều được mã hóa một cách tự
động.
Yet SanDisk có một phần tách riêng với giải pháp SanDisk Central
Management and Control (CMC) của nó cho các khách hàng khối doanh
nghiệp. SanDisk CMC cho phép các tổ chức CNTT trung tâm có thể phát
hành các ổ USB SanDisk gồm có các “tác nhân thiết bị” để có thể truyền
thông ngược trở về với máy chủ mạng (CMC sử dụng Windows 2003/SQL
Server). Các quản trị viên có thể vô hiệu hóa từ xa đối với USB bị mất, hạn
chế sự sử dụng trên các máy tính không được chứng thực, thực hiện các
thẩm định toàn bộ đối với vấn đề truyền tải file và sử dụng, ngược lại mở
rộng quyền kiểm soát trên các thiết bị. SanDisk CMC cũng có thể thực hiện
việc backup thiết bị một cách tự động và cho phép quản trị mật khẩu từ xa.
Hãy nghĩ đến các kịch bản để đưa ra cấu hình. Ví dụ, bạn có thể thích ý
tưởng vô hiệu hóa USB của nhân viên hết nhiệm vụ từ xa, nhưng hãy nhớ
rằng việc triển khai khả năng tùy chọn này yêu cầu USB của người dùng cần
phải được kiểm tra để bảo đảm rằng chúng không được mang đi cho mượn
trong một dự án khác. Trong kịch bản này, các nhân viên có thể không có
khả năng sử dụng USB trên máy bay, hoặc khi ở nhà,… Do đó hầu hết các
tổ chức đều sẽ có thể lựa chọn để cho phép truy cập offline (thậm chí nếu
điều đó có nghĩa rằng một số USB bị vứt đi), nhưng họ sẽ vẫn lợi dụng được
các tính năng quản lý tập trung (nghĩa là thiết lập lại mật khẩu) trong suốt
quá trình sử dụng online.
SanDisk CMC yêu cầu Windows 2003 Server và Microsoft SQL Server
2000.
Lexar SAFE PSD S1100
Dung lượng: 1 Gbyte hoặc 2 Gbytes
Vỏ bọc: Chuẩn
Mã hóa: Mã hóa 256-bit AES phần cứng
Các tính năng đặc biệt: Số seiral duy nhất, tuân theo phần mềm quản lý tập
trung
Tốc độ: Không liệt kê
Giá thành: $60 / $95
Lexar SAFE PSD S1100 cũng được xây dựng cho thiết lập doanh nghiệp.
Nhưng thay vì quản lý tập trung thuộc quyền sở hữu riêng như SanDisk
CMC, Lexar nhắm đến các khách hàng khối doanh nghiệp của Sanctuary
Device Control, một ứng dụng nhóm thứ ba cung cấp quyền kiểm soát truy
cập dựa trên danh sách trắng về các thiết bị bên ngoài. Lexar SAFE PSD
S1100 cho phép phần mềm Sanctuary có thể thiết lập và thực thi các chính
sách về truy cập, sử dụng và kiểm định. Thực tế là mỗi bít dữ liệu đã được
ghi vào USB đều được "shadowed" vào máy chủ ở văn phòng để kiểm định.
Trên chính bản thân nó, Lexar SAFE PSD S1100 cũng có một số khả năng
giá trị. Thay vì một mật khẩu (password), thiết bị được bảo vệ bằng một
“passphrase” (tạm dịch là một cụm các mật khẩu), nó phải có tối thiểu là 8
ký tự, có thể gồm một số lượng không gian và các ký tự đặc biệt.
Mặc dù vậy, driver phần mềm cho thiết bị phải được cài đặt trên các máy
tính sử dụng thiết bị đó. Vấn đề này làm cho bạn khó khăn trong việc sử
dụng rộng rãi USB.
Lexar JumpDrive Secure II Plus
Dung lượng: 512 Kbytes, 1 Gbyte, 2 Gbytes, hoặc 4 Gbytes
Vỏ bọc: Màu đen mờ
Mã hóa: Mã hóa 256-bit AES phần cứng
Các tính năng đặc biệt: Bộ đo dung lượng, cắt file và làm việc trên nhiều
nền tảng
Tốc độ: Không liệt kê
Giá thành: $25 / $30 / $75 / $95
Tính đơn giản và các chuẩn định nghĩa cho một USB đơn giản. Vì USB là
một chuẩn, các ổ USB làm việc trên nhiều nền tảng, chính vì vậy bạn có thể
dễ dàng chuyển các file từ máy tính của bạn tại nơi làm việc về máy MAC ở
nhà. Tuy vậy, các USB an toàn thường thiên về chỉ sử dụng Windows.
Phần mềm mã hóa trên JumpDrive Secure II Plus làm việc trên nhiều nền
tảng khác nhau, trên cả Windows và Mac OS X 10.3 hoặc cao hơn. Hầu hết
các máy tính của MAC phát hành thời gian gần đây đều dựa trên nền tảng
của Intel, nhưng bạn không nên sử dụng cả hai hệ thống nếu không thực sự
cần thiết.
Mặc dù vậy, bạn có thể cần đến sự trợ giúp từ các quản trị viên để có thể
truy cập vào các đoạn mạng an toàn từ văn phòng. Trong cấu hình doanh
nghiệp điển hình, phần mềm mã hóa có thể cần phải được cài đặt trên máy
tính của bạn.
Ngoài ra, Lexar cũng có phần mềm cắt file.
DiskGO Secure Flash Drive Enhanced của EDGE Tech đối với
ReadyBoost
Dung lượng: 1 Gbyte, 2 Gbytes, hoặc 4 Gbytes
Vỏ bọc: Vỏ màu vàng và có thể xoay
Mã hóa: Mã hóa 192-bit TDES
Các tính năng đặc biệt: tương thích với Vista
Tốc độ: Không liệt kê
Giá thành: $30 / $40 / $50
Mọi người cần phải chú ý rằng Windows Vista yêu cầu một phần RAM khá
lớn để thực hiện tối ưu hóa hiệu suất. Thông qua một tính năng kèm theo có
tên gọi là ReadyBoost, Vista có thể lấy một phần bộ nhớ Flash để sử dụng
cho các hoạt động của Cache. Trong các thuật ngữ không kỹ thuật, bạn cắm
ổ USB, cấu hình ReadyBoost trong cửa sổ "Properties" và Vista PC của bạn
sẽ chạy nhanh hơn.
Tuy vậy, hầu hết các ổ USB an toàn đều không tương thích với tính năng
ReadyBoost của Vista. EDGE Tech đưa ra một cách với DiskGO Secure
Flash Drive Enhanced đối với tính năng ReadyBoost này, một thiết bị gồm
có cả chức năng bảo mật và tính năng cải thiện trong Vista này.
Thêm vào đó, DiskGO Secure có sự lựa chọn trong các công nghệ mã hóa:
mã hóa 256-bit AES và 448-bit Blowfish, nhanh, nguồn mở, và phương
pháp export thân thiện.
ACP-EP Memory USB 2.0 Privacy Flash Drive
Dung lượng: 4 Gbyte, 8 Gbyte, 16 Gbyte
Vỏ bọc: Màu đen
Mã hóa: Mã hóa 256-bit AES bằng phần mềm
Tốc độ: Đọc 23-Mbps, ghi 20-Mbps
Giá thành: $45 / $83 / $160
ACP-EP Privacy Flash Drive như một USB chuẩn. Các file có thể được bảo
vệ bằng cách sử dụng phần mềm Portable Vault. Người dùng có thể thiết lập
một mật khẩu (nên có chiều dài đến 7 ký tự) cũng như mật khẩu để truy cập
các file.
Portable Vault tạo và làm việc với một thư mục ẩn trong root của USB.
Không giống như một số gợi ý chào hàng rằng sẽ mã hóa/giải mã trong
background khi bạn sử dụng Windows Explorer, với Portable Vault bạn cần
phần mềm để thêm hoặc bớt các file trong vùng bảo mật.
Imation Pivot Plus
Dung lượng: 1 Gbyte, 2 Gbyte, 4 Gbyte, 8 Gbyte
Vỏ bọc: Có thể xoay, chịu va đập
Mã hóa: Mã hóa 256-bit AES phần cứng
Các tính năng đặc biệt: Chuyển đổi bảo vệ ghi, mật khẩu chủ
Tốc độ: Không liệt kê
Giá thành: $70 / $130 / $160 / $260
Với Imation Pivot Plus, vỏ của nó như một tính năng đáng chú ý. Với nắp
chụp đứng và bộ kết nối vòng khóa vững chắc. Thiết bị này có các chuẩn
bảo mật máy tính của chính phủ Mỹ (FIPS 140-2).
Thiết bị có một partition được mã hóa, yêu cầu một mật khẩu truy cập. Các
mật khẩu phải có ít nhất 7 ký tự và thiết bị sẽ tự format sau 7 lần nhập sai
mật khẩu. Với các thiết lập doanh nghiệp, một quản trị viên có thể thêm mật
khẩu chủ cho một loạt các ổ Pivot Plus.
IronKey Enterprise Special Edition
Dung lượng: 1 Gbyte, 2 Gbyte, 4 Gbyte
Vỏ bọc: Kim loại chống thấm nước
Mã hóa: Mã hóa 256-bit AES dựa trên phần cứng
Các tính năng đặc biệt: Lưu mật khẩu trực tuyến
Tốc độ: Đọc 30-Mbps, ghi 20-Mbps
Giá thành: $79 / $109 / $149
IronKey Enterprise Special Edition đã được thiết kế cho quân đội và các môi
trường doanh nghiệp. Nếu bạn cần đi lại nhiều thì đây có thể là một USB
dành cho bạn. Phiên bản dành cho người tiêu dùng có các ứng dụng đểlưu
mật khẩu website của bạn còn phiên bản Enterprise Special lại có một số vấn
đề cơ bản như chứng thực và mã hóa.
Với một vỏ kim loại chống thấm nước, cứng chắc, không chỉ chống làm giả
mà còn nếu on-board "Cryptochip" phát hiện thấy bất cứ một cố gắng vật lý
nào của một người lạ thì thiết bị sẽ tự hủy, với phương pháp "Flash-Trash"
của IronKey, phương pháp đang hứa hẹn một hành động tẩy trắng một cách
sạch sẽ. Ngoài ra, thiết bị sẽ xóa sau 10 lần nhập không đúng mật khẩu, và
đếm số lần nhập sai đó bằng phần cứng chứ không phải phần mềm. Tính
năng này nhằm để chống lại “tấn công trả lùi vào bộ nhớ”.
Để làm mất tác dụng xu hướng tự nhiên sử dụng một lưu ý “Post-Internet”
nhằm lưu mật khẩu cho USB bảo mật cao của bạn, Ironkey cũng cung cấp
một dịch vụ lưu trữ mật khẩu an toàn tại my.ironkey.com. Ổ USB cũng sẽ
làm việc kết hợp với phần mềm quản lý thiết bị doanh nghiệp.
Corsair Flash Padlock
Dung lượng: 2 Gbyte, 4 Gbyte
Mã hóa: Không
Các tính năng đặc biệt: Yêu cầu PIN để gắn USB
Tốc độ: Không được liệt kê
Giá thành: $30 / $50
Mã hóa diễn ra thông qua phần cứng hoặc phần mềm, chứng thực mật khẩu
yêu cầu mã thông thường đối với một hệ điều hành nào đó. Đây là lý do tại
sao hầu như tất cả các giải pháp ở trên đều cung cấp sự bảo vệ chỉ cho
Windows.
Corsair Flash Padlock dùng phương pháp khác. Trước khi nó làm việc, bạn
cần phải tự chứng thực bản thân mình đối với bộ vi xử lý bảo mật phân biệt
trên thiết bị phím số 6 nút. Nếu bạn nhập vào số nhận dạng cá nhân PIN
đúng thì thiết bị sẽ cấu hình như một USB thông thường và không bị mã
hóa. Vì bạn không cần mượn các tài nguyên của máy chủ để chứng thực
hoặc mã hóa nên có thể được bảo trợ khả năng cắm Corsair Flash Padlock
vào bất cứ máy tính nào dù Mac, PC, hay Linux, dù ở nhà, văn phòng hay
trên đường. Sau khi rút USB, nó sẽ khóa lại trong vòng 15s.
Lợi ích của chứng thực dựa trên thiết bị là không ai có thể lấy cắp mật khẩu
thiết bị của bạn bằng cách sử dụng phần mềm ghi phím đã bấm. Thêm vào
đó thiết bị vẫn cứ chỉ là vật vô dụng cho tới khi PIN được nhập, câu hỏi về
sự mã hóa trở thành một vấn đề tranh luận. Mặc dù vậy, nó có thể vẫn đáng
giá mã hóa các file hoặc thư mục riêng biệt trên ổ vì bạn sẽ không bao giờ
biết.
Bạn có thể thiết lập một PIN lên đến 10 số dài, công cụ đăng ký trực tuyến
sẽ lưu PIN của bạn như một backup. PIN pad và vi xử lý bảo mật được vận
hành bởi một battery lithium 3V.
hfghfghfghfghfghfgg