Nhiều người đã nhận thấy được sự thuận tiện khi sử dụng các ổ USB để mang theo thông tin giữa nhà, văn phòng hay trong một chuyến đi nghỉ hoặc đi công tác. Tuy nhiên sự thuận tiện ở đây cũng có những rủi ro của riêng nó. Những giải pháp gì có thể được thực hiện để bảo đảm dữ liệu doanh nghiệp được bảo vệ một cách an toàn cho dù ổ đĩa này bị mất?
Các hãng sản xuất USB đưa ra rất nhiều các thiết bị “an toàn”, nhắm đến nhu cầu an toàn cho dữ liệu trong các sản phẩm di động dễ bị mất hay thất lạc này. Ở đây chúng tôi giới thiệu một số thứ mà chúng ta cần tìm kiếm:
- Sự thẩm định: Mật khẩu, sinh trắc học hoặc cả hai? Nếu là mật khẩu thì một mật khẩu có chiều dài bao nhiêu để đủ độ an toàn? Chúng cần phải thực thi việc áp đặt các mật khẩu mạnh và các mật khẩu luân phiên nhau như thế nào? Bao nhiêu lần thử không thành công đối với một người dùng trong việc thực hiện nhập mật khẩu trước khi tự tẩy trắng thiết bị?
- Mã hóa: Tự bản thân thiết bị cung cấp sự mã hóa? hay mật khẩu ngăn chặn thiết bị với sự tồn tại được gắn thông qua các kênh thông thường? Sự mã hóa mạnh cỡ bao nhiêu? Chuẩn hiện hành là mã hóa AES 256-bit, mặc dù vậy một số các thiết bị hướng khách hàng vẫn cung cấp 128-bit.
- Sự thích hợp trên đường: Phụ thuộc vào nhu cầu bảo mật của bạn, điều này có thể là một tính năng hoặc một nhược điểm. Một số ổ USB an toàn yêu cầu khả năng chạy các ứng dụng trên máy chủ. Trong các lab máy tính bị khóa và các quán café, các ổ USB phụ thuộc vào phần mềm đi kèm này có thể không làm việc tí nào.
Chúng tôi đã chọn ra 12 ổ USB tiêu biểu để minh chứng cho nhiều sự lựa chọn có trên thị trường. Nhớ rằng vì bạn đang mang một ổ USB “an toàn” thì điều đó cũng không có nghĩa khi cắm nó vào một máy tính lạ (hoặc chính máy tính của mình) là bạn có thể cách ly được với worm, virus, phần mềm ghi lại thao tác bàn phím, các tấn công DRAM và các mối đe dọa khác. Tốt hơn hết là bạn hãy cẩn thận và tuân theo các nguyên tắc riêng trong phòng chống virus,….
Kingston DataTraveler Elite Privacy
Dung lượng: 1 Gbyte, 2 Gbyte, 4 Gbyte, hoặc 8 Gbyte
Vỏ bọc: Thép chống han có mạ Titanium, không thấm nước
Mã hóa: Mã hóa 256-bit AES theo phần cứng
Các tính năng đặc biệt: Encryption co-processor
Tốc độ: Đọc 24-Mbps, ghi10-Mbps
Giá thành: $87 / $128 / $191 / $327
Kingston DataTraveler Elite Privacy (DTEP) được giới thiệu với 100% mã hóa trên toàn bộ USB. Bất kỳ file nào được lưu trên thiết bị đều sẽ tự động được mã hóa bằng phần cứng; ngược lại các file được copy vào một máy tính chủ sẽ được giải mã.
Do sự mã hóa không yêu cầu ứng dụng trên máy tính chủ nên DTEP có thể được sử dụng ở nhiều nơi khác nhau như quán café, nơi không có sự quản lý truy cập của một quản trị viên Windows nào.
Mới sử dụng DTEP thời gian đầu, người dùng sẽ bị yêu cầu tạo một mật khẩu gồm có từ 6 đến 16 ký tự, với một số lượng đáng kể các kỹ tự hoa và đặc biệt trộn lẫn nhau. Sau 10 lần thử mật khẩu sai, ổ đĩa sẽ mất tác dụng ngoại trừ việc format lại. Người dùng cũng có thể nhập vào các thông tin liên lạc có khả năng truy cập từ màn hình đăng nhập.
Kanguru Bio AES
Dung lượng: 1 Gbyte, 2 Gbyte, 4 Gbyte, hoặc 8 Gbyte
Vỏ bọc: Chuẩn
Mã hóa: Mã hóa 256-bit AES
Các tính năng đặc biệt: Bộ đọc vân tay kết hợp với mật khẩu chứng thực hai hệ số
Tốc độ: Đọc10-Mbps, ghi 5-Mbps
Giá thành: $80 / $100 / $130 / $180
Kanguru Bio AES tương thích với Windows gồm có một bộ đọc vân tay như lớp thứ hai của hai lớp chứng thực.
Mới kết nối thiết bị, ứng dụng Kanguru BioLock sẽ nhắc nhở người dùng nhập vào một mật khẩu 6 ký tự và dấu vân tay. Nó có thể chứa được đến 10 dấu vân tay. Hướng dẫn sử dụng khuyên chúng ta nên sử dụng các ký tự chữ hoa, số và các symbol được trộn lẫn nhưng phần mềm không ép buộc các khuyến cáo này.
Khi đã kết nối, BioLock nhắm đến việc thay thế cho Windows Explorer. Bạn hoàn toàn có thể kéo thả vào Bio AES, người dùng đã được khuyên nên sử dụng giao diện BioLock để chuyển các file.
Transcend JetFlash 220
Dung lượng: 2 Gbyte, 4 Gbyte, hoặc 8 Gbyte
Vỏ bọc: Fold-out enclosure
Mã hóa: Mã hóa 256-bit AES
Các tính năng đặc biệt: Bộ đọc vân tay kết hợp với mật khẩu chứng thực hai hệ số
Tốc độ: Đọc 10-Mbps, ghi 3-Mbps
Giá thành: $28 / $40 / $63
Không giống bộ chứng thực kép như Kanguru Bio AES, Transcend JetFlash 220 sử dụng công nghệ dấu vân tay cho hệ số thích hợp. Người dùng cũng có tùy chọn cho việc sử dụng mật khẩu, thậm chí còn có thể hủy bỏ ý định cơ chế chứng thực bằng vân tay. Tuy vậy, thiết bị không có sự bảo vệ chống lại việc cố gắng nhập nhiều mật khẩu sai hoặc yêu cầu một mật khẩu mạnh.
Khi đã chứng thực, Transcend JetFlash 220 cung cấp một ứng dụng "Password Bank Manager" nhằm duy trì những chi tiết đăng nhập website của bạn để có thể tự động truy cập vào các tài khoản đã được đăng ký của bạn. Bạn cũng có thể bảo vệ các file riêng lẻ trên ổ cứng của máy chủ để file đó chỉ có thể truy cập bởi một ai đó đã được JetFlash chứng thực.
Để bạn không mất sự truy cập đối với kho mật khẩu phong phú này hoặc các file đã được bảo vệ nếu mất USB, phần mềm cho phép bạn backup chứng thực người dùng và dữ liệu vân tay vào ổ cứng. Với file backup, bạn có thể dễ dàng in dấu lại JetFlash 220 hoặc nếu cần thiết, in dấu lại các thiết bị với cùng một sự kết hợp vân tay/mật khẩu.
Xem xét những gì nó có thể bảo vệ, bảo đảm rằng bạn sử dụng một mật khẩu mạnh nếu sử dụng một thứ.
SanDisk Cruzer Enterprise
Dung lượng: 1 Gbyte, 2 Gbytes, hoặc 4 Gbytes
Vỏ bọc: Chuẩn với shirt-pocket clip
Mã hóa: Mã hóa 256-bit AES dựa trên phần cứng
Các tính năng đặc biệt: Phần mềm quản lý USB doanh nghiệp
Tốc độ: Đọc 24-Mbytes/sec, ghi 20-Mbytes/sec
Giá thành: $75 / $125 / $185
Phần mềm cho SanDisk Cruzer Enterprise gần tương tự với phần mềm của Kingston DTEP, với cùng các tham số mật khẩu (từ 6 đến 16 ký tự trộn lẫn giữa các ký tự, số và symbol) và các tính năng chương trình nói chung. Tất cả các file truyền tải đến một partition đơn đều được mã hóa một cách tự động.
Yet SanDisk có một phần tách riêng với giải pháp SanDisk Central Management and Control (CMC) của nó cho các khách hàng khối doanh nghiệp. SanDisk CMC cho phép các tổ chức CNTT trung tâm có thể phát hành các ổ USB SanDisk gồm có các “tác nhân thiết bị” để có thể truyền thông ngược trở về với máy chủ mạng (CMC sử dụng Windows 2003/SQL Server). Các quản trị viên có thể vô hiệu hóa từ xa đối với USB bị mất, hạn chế sự sử dụng trên các máy tính không được chứng thực, thực hiện các thẩm định toàn bộ đối với vấn đề truyền tải file và sử dụng, ngược lại mở rộng quyền kiểm soát trên các thiết bị. SanDisk CMC cũng có thể thực hiện việc backup thiết bị một cách tự động và cho phép quản trị mật khẩu từ xa.
Hãy nghĩ đến các kịch bản để đưa ra cấu hình. Ví dụ, bạn có thể thích ý tưởng vô hiệu hóa USB của nhân viên hết nhiệm vụ từ xa, nhưng hãy nhớ rằng việc triển khai khả năng tùy chọn này yêu cầu USB của người dùng cần phải được kiểm tra để bảo đảm rằng chúng không được mang đi cho mượn trong một dự án khác. Trong kịch bản này, các nhân viên có thể không có khả năng sử dụng USB trên máy bay, hoặc khi ở nhà,… Do đó hầu hết các tổ chức đều sẽ có thể lựa chọn để cho phép truy cập offline (thậm chí nếu điều đó có nghĩa rằng một số USB bị vứt đi), nhưng họ sẽ vẫn lợi dụng được các tính năng quản lý tập trung (nghĩa là thiết lập lại mật khẩu) trong suốt quá trình sử dụng online.
SanDisk CMC yêu cầu Windows 2003 Server và Microsoft SQL Server 2000.
Lexar SAFE PSD S1100
Dung lượng: 1 Gbyte hoặc 2 Gbytes
Vỏ bọc: Chuẩn
Mã hóa: Mã hóa 256-bit AES phần cứng
Các tính năng đặc biệt: Số seiral duy nhất, tuân theo phần mềm quản lý tập trung
Tốc độ: Không liệt kê
Giá thành: $60 / $95
Lexar SAFE PSD S1100 cũng được xây dựng cho thiết lập doanh nghiệp. Nhưng thay vì quản lý tập trung thuộc quyền sở hữu riêng như SanDisk CMC, Lexar nhắm đến các khách hàng khối doanh nghiệp của Sanctuary Device Control, một ứng dụng nhóm thứ ba cung cấp quyền kiểm soát truy cập dựa trên danh sách trắng về các thiết bị bên ngoài. Lexar SAFE PSD S1100 cho phép phần mềm Sanctuary có thể thiết lập và thực thi các chính sách về truy cập, sử dụng và kiểm định. Thực tế là mỗi bít dữ liệu đã được ghi vào USB đều được "shadowed" vào máy chủ ở văn phòng để kiểm định.
Trên chính bản thân nó, Lexar SAFE PSD S1100 cũng có một số khả năng giá trị. Thay vì một mật khẩu (password), thiết bị được bảo vệ bằng một “passphrase” (tạm dịch là một cụm các mật khẩu), nó phải có tối thiểu là 8 ký tự, có thể gồm một số lượng không gian và các ký tự đặc biệt.
Mặc dù vậy, driver phần mềm cho thiết bị phải được cài đặt trên các máy tính sử dụng thiết bị đó. Vấn đề này làm cho bạn khó khăn trong việc sử dụng rộng rãi USB.
Lexar JumpDrive Secure II Plus
Dung lượng: 512 Kbytes, 1 Gbyte, 2 Gbytes, hoặc 4 Gbytes
Vỏ bọc: Màu đen mờ
Mã hóa: Mã hóa 256-bit AES phần cứng
Các tính năng đặc biệt: Bộ đo dung lượng, cắt file và làm việc trên nhiều nền tảng
Tốc độ: Không liệt kê
Giá thành: $25 / $30 / $75 / $95
Tính đơn giản và các chuẩn định nghĩa cho một USB đơn giản. Vì USB là một chuẩn, các ổ USB làm việc trên nhiều nền tảng, chính vì vậy bạn có thể dễ dàng chuyển các file từ máy tính của bạn tại nơi làm việc về máy MAC ở nhà. Tuy vậy, các USB an toàn thường thiên về chỉ sử dụng Windows.
Phần mềm mã hóa trên JumpDrive Secure II Plus làm việc trên nhiều nền tảng khác nhau, trên cả Windows và Mac OS X 10.3 hoặc cao hơn. Hầu hết các máy tính của MAC phát hành thời gian gần đây đều dựa trên nền tảng của Intel, nhưng bạn không nên sử dụng cả hai hệ thống nếu không thực sự cần thiết.
Mặc dù vậy, bạn có thể cần đến sự trợ giúp từ các quản trị viên để có thể truy cập vào các đoạn mạng an toàn từ văn phòng. Trong cấu hình doanh nghiệp điển hình, phần mềm mã hóa có thể cần phải được cài đặt trên máy tính của bạn.
Ngoài ra, Lexar cũng có phần mềm cắt file.
DiskGO Secure Flash Drive Enhanced của EDGE Tech đối với ReadyBoost
Dung lượng: 1 Gbyte, 2 Gbytes, hoặc 4 Gbytes
Vỏ bọc: Vỏ màu vàng và có thể xoay
Mã hóa: Mã hóa 192-bit TDES
Các tính năng đặc biệt: tương thích với Vista
Tốc độ: Không liệt kê
Giá thành: $30 / $40 / $50
Mọi người cần phải chú ý rằng Windows Vista yêu cầu một phần RAM khá lớn để thực hiện tối ưu hóa hiệu suất. Thông qua một tính năng kèm theo có tên gọi là ReadyBoost, Vista có thể lấy một phần bộ nhớ Flash để sử dụng cho các hoạt động của Cache. Trong các thuật ngữ không kỹ thuật, bạn cắm ổ USB, cấu hình ReadyBoost trong cửa sổ "Properties" và Vista PC của bạn sẽ chạy nhanh hơn.
Tuy vậy, hầu hết các ổ USB an toàn đều không tương thích với tính năng ReadyBoost của Vista. EDGE Tech đưa ra một cách với DiskGO Secure Flash Drive Enhanced đối với tính năng ReadyBoost này, một thiết bị gồm có cả chức năng bảo mật và tính năng cải thiện trong Vista này.
Thêm vào đó, DiskGO Secure có sự lựa chọn trong các công nghệ mã hóa: mã hóa 256-bit AES và 448-bit Blowfish, nhanh, nguồn mở, và phương pháp export thân thiện.
ACP-EP Memory USB 2.0 Privacy Flash Drive
Dung lượng: 4 Gbyte, 8 Gbyte, 16 Gbyte
Vỏ bọc: Màu đen
Mã hóa: Mã hóa 256-bit AES bằng phần mềm
Tốc độ: Đọc 23-Mbps, ghi 20-Mbps
Giá thành: $45 / $83 / $160
ACP-EP Privacy Flash Drive như một USB chuẩn. Các file có thể được bảo vệ bằng cách sử dụng phần mềm Portable Vault. Người dùng có thể thiết lập một mật khẩu (nên có chiều dài đến 7 ký tự) cũng như mật khẩu để truy cập các file.
Portable Vault tạo và làm việc với một thư mục ẩn trong root của USB. Không giống như một số gợi ý chào hàng rằng sẽ mã hóa/giải mã trong background khi bạn sử dụng Windows Explorer, với Portable Vault bạn cần phần mềm để thêm hoặc bớt các file trong vùng bảo mật.
Imation Pivot Plus
Dung lượng: 1 Gbyte, 2 Gbyte, 4 Gbyte, 8 Gbyte
Vỏ bọc: Có thể xoay, chịu va đập
Mã hóa: Mã hóa 256-bit AES phần cứng
Các tính năng đặc biệt: Chuyển đổi bảo vệ ghi, mật khẩu chủ
Tốc độ: Không liệt kê
Giá thành: $70 / $130 / $160 / $260
Với Imation Pivot Plus, vỏ của nó như một tính năng đáng chú ý. Với nắp chụp đứng và bộ kết nối vòng khóa vững chắc. Thiết bị này có các chuẩn bảo mật máy tính của chính phủ Mỹ (FIPS 140-2).
Thiết bị có một partition được mã hóa, yêu cầu một mật khẩu truy cập. Các mật khẩu phải có ít nhất 7 ký tự và thiết bị sẽ tự format sau 7 lần nhập sai mật khẩu. Với các thiết lập doanh nghiệp, một quản trị viên có thể thêm mật khẩu chủ cho một loạt các ổ Pivot Plus.
IronKey Enterprise Special Edition
Dung lượng: 1 Gbyte, 2 Gbyte, 4 Gbyte
Vỏ bọc: Kim loại chống thấm nước
Mã hóa: Mã hóa 256-bit AES dựa trên phần cứng
Các tính năng đặc biệt: Lưu mật khẩu trực tuyến
Tốc độ: Đọc 30-Mbps, ghi 20-Mbps
Giá thành: $79 / $109 / $149
IronKey Enterprise Special Edition đã được thiết kế cho quân đội và các môi trường doanh nghiệp. Nếu bạn cần đi lại nhiều thì đây có thể là một USB dành cho bạn. Phiên bản dành cho người tiêu dùng có các ứng dụng đểlưu mật khẩu website của bạn còn phiên bản Enterprise Special lại có một số vấn đề cơ bản như chứng thực và mã hóa.
Với một vỏ kim loại chống thấm nước, cứng chắc, không chỉ chống làm giả mà còn nếu on-board "Cryptochip" phát hiện thấy bất cứ một cố gắng vật lý nào của một người lạ thì thiết bị sẽ tự hủy, với phương pháp "Flash-Trash" của IronKey, phương pháp đang hứa hẹn một hành động tẩy trắng một cách sạch sẽ. Ngoài ra, thiết bị sẽ xóa sau 10 lần nhập không đúng mật khẩu, và đếm số lần nhập sai đó bằng phần cứng chứ không phải phần mềm. Tính năng này nhằm để chống lại “tấn công trả lùi vào bộ nhớ”.
Để làm mất tác dụng xu hướng tự nhiên sử dụng một lưu ý “Post-Internet” nhằm lưu mật khẩu cho USB bảo mật cao của bạn, Ironkey cũng cung cấp một dịch vụ lưu trữ mật khẩu an toàn tại my.ironkey.com. Ổ USB cũng sẽ làm việc kết hợp với phần mềm quản lý thiết bị doanh nghiệp.
Corsair Flash Padlock
Dung lượng: 2 Gbyte, 4 Gbyte
Mã hóa: Không
Các tính năng đặc biệt: Yêu cầu PIN để gắn USB
Tốc độ: Không được liệt kê
Giá thành: $30 / $50
Mã hóa diễn ra thông qua phần cứng hoặc phần mềm, chứng thực mật khẩu yêu cầu mã thông thường đối với một hệ điều hành nào đó. Đây là lý do tại sao hầu như tất cả các giải pháp ở trên đều cung cấp sự bảo vệ chỉ cho Windows.
Corsair Flash Padlock dùng phương pháp khác. Trước khi nó làm việc, bạn cần phải tự chứng thực bản thân mình đối với bộ vi xử lý bảo mật phân biệt trên thiết bị phím số 6 nút. Nếu bạn nhập vào số nhận dạng cá nhân PIN đúng thì thiết bị sẽ cấu hình như một USB thông thường và không bị mã hóa. Vì bạn không cần mượn các tài nguyên của máy chủ để chứng thực hoặc mã hóa nên có thể được bảo trợ khả năng cắm Corsair Flash Padlock vào bất cứ máy tính nào dù Mac, PC, hay Linux, dù ở nhà, văn phòng hay trên đường. Sau khi rút USB, nó sẽ khóa lại trong vòng 15s.
Lợi ích của chứng thực dựa trên thiết bị là không ai có thể lấy cắp mật khẩu thiết bị của bạn bằng cách sử dụng phần mềm ghi phím đã bấm. Thêm vào đó thiết bị vẫn cứ chỉ là vật vô dụng cho tới khi PIN được nhập, câu hỏi về sự mã hóa trở thành một vấn đề tranh luận. Mặc dù vậy, nó có thể vẫn đáng giá mã hóa các file hoặc thư mục riêng biệt trên ổ vì bạn sẽ không bao giờ biết.
Bạn có thể thiết lập một PIN lên đến 10 số dài, công cụ đăng ký trực tuyến sẽ lưu PIN của bạn như một backup. PIN pad và vi xử lý bảo mật được vận hành bởi một battery lithium 3V.