NordVPN Có An Toàn Không? Kiểm Toán, Mã Hóa & Đánh Giá Quyền Riêng Tư

NordVPN Có An Toàn Không?

Có. NordVPN sử dụng mã hóa AES-256, hoạt động dưới quyền tài phán thân thiện với quyền riêng tư của Panama, và đã vượt qua nhiều cuộc kiểm toán độc lập bao gồm xác minh không lưu nhật ký toàn diện của Deloitte. Một sự cố máy chủ duy nhất năm 2018 không làm lộ bất kỳ dữ liệu người dùng nào. NordVPN đã phản ứng bằng cách di chuyển toàn bộ cơ sở hạ tầng của mình sang các máy chủ chỉ RAM, tăng cường đáng kể tư thế an ninh của mình.

Trang này bao gồm an niên chi tiết. Để hiểu rõ hơn về hiệu suất dịch vụ tổng thể và giá cả, xem đánh giá NordVPN của chúng tôi.

Sự Cố Máy Chủ Năm 2018: Thực Sự Điều Gì Đã Xảy Ra

Vào tháng 3 năm 2018, một bên trái phép đã truy cập vào một máy chủ NordVPN duy nhất tại Phần Lan. Kẻ tấn công đã khai thác một công cụ quản lý từ xa bị bỏ hoạt động bởi nhà cung cấp trung tâm dữ liệu. NordVPN không cài đặt công cụ này. Trung tâm dữ liệu đã cài đặt, mà không thông báo cho NordVPN.

Kẻ tấn công đã truy cập vào chính máy chủ. Họ không truy cập vào thông tin xác thực người dùng, hoạt động duyệt web hoặc thông tin tài khoản. Máy chủ không chứa bất kỳ nhật ký hoạt động nào vì chính sách không lưu nhật ký của NordVPN có nghĩa là không có gì tồn tại để bị đánh cắp.

NordVPN phát hiện ra vi phạm an niên trong một cuộc kiểm toán nội bộ và công bố công khai nó vào tháng 10 năm 2019. Thời gian chậm trễ này đã gây ra chỉ trích. Công ty đã thừa nhận khoảng trống này và sử dụng nó như một xúc tác để thực hiện các thay đổi cơ sở hạ tầng toàn diện.

NordVPN Phản Ứng Như Thế Nào

NordVPN chấm dứt ngay hợp đồng với trung tâm dữ liệu Phần Lan. Sau đó, công ty đã khởi động ba sáng kiến chính:

Di chuyển máy chủ chỉ RAM. NordVPN đã chuyển toàn bộ mạng lưới của mình sang các máy chủ không có đĩa (chỉ RAM). Những máy chủ này không thể lưu trữ dữ liệu liên tục. Mỗi lần khởi động lại sẽ xóa mọi thứ. Thậm chí, việc chiếm giữ vật lý một máy chủ cũng không mang lại bất kỳ thứ gì hữu ích.

Chương trình bug bounty. NordVPN hợp tác với HackerOne để cho phép các nhà nghiên cứu an niên độc lập liên tục khám phá các hệ thống của nó. Các nhà nghiên cứu kiếm được phần thưởng khi phát hiện lỗ hổng trước khi kẻ tấn công làm như vậy.

Chương trình kiểm toán độc lập. NordVPN cam kết thực hiện các cuộc kiểm toán bảo mật định kỳ bởi bên thứ ba. Điều này tạo ra trách nhiệm giải trình bên ngoài liên tục thay vì sự đảm bảo một lần.

Sự cố năm 2018 ảnh hưởng đến một máy chủ trong số hàng ngàn. Không có dữ liệu người dùng bị rò rỉ. Nhưng NordVPN đã coi nó là lý do để xây dựng lại cơ sở hạ tầng của mình từ đầu. Phản ứng đó quan trọng hơn chính sự cố.

Dòng Thời Gian Kiểm Toán NordVPN

Các yêu cầu tin cậy mà không có xác minh không có nghĩa gì. NordVPN đã đưa ra các kiểm toán độc lập nhiều lần do các công ty an niên mạng máy tính được tôn trọng.

Kiểm Toán Bảo Mật Ứng Dụng VerSprite

VerSprite đã thực hiện đánh giá bảo mật các ứng dụng NordVPN. Cuộc kiểm toán đã kiểm tra các máy khách VPN để tìm lỗ hổng, điểm yếu mã và các vectơ tấn công tiềm ẩn. VerSprite tìm thấy các vấn đề điển hình của phần mềm phức tạp. NordVPN đã vá chúng. Quá trình này đã thiết lập một đường cơ sở cho việc kiểm tra an niên ứng dụng liên tục.

Đánh Giá Cơ Sở Hạ Tầng Cure53

Cure53[1], một công ty an niên có trụ sở tại Berlin, đã thực hiện một cuộc kiểm toán cấp cơ sở hạ tầng. Đội của họ đã kiểm tra cấu hình máy chủ NordVPN, kiến trúc mạng và các hệ thống backend. Cure53 đã xác định các lĩnh vực để cải thiện và xác nhận rằng cơ sở hạ tầng cốt lõi hoạt động an toàn. NordVPN đã công bố kết quả công khai.

Xác Minh Không Lưu Nhật Ký Deloitte (2022)

Cuộc kiểm toán này mang lại trọng lượng lớn nhất cho người dùng tập trung vào quyền riêng tư. Deloitte, một trong bốn công ty kế toán lớn nhất, đã tiến hành một cuộc kiểm tra toàn diện các yêu cầu không lưu nhật ký của NordVPN. Deloitte đã kiểm tra cấu hình máy chủ, xem xét các điều khiển kỹ thuật và phỏng vấn nhân viên. NordVPN đã công bố kết quả kiểm toán Deloitte[2] công khai.

Kết luận: Cơ sở hạ tầng máy chủ NordVPN hoạt động phù hợp với chính sách không lưu nhật ký của nó. Công ty không lưu trữ dấu thời gian kết nối, thời lượng phiên, địa chỉ IP, dữ liệu duyệt web hoặc cách sử dụng băng thông.

Tính Minh Bạch Liên Tục

NordVPN công bố các báo cáo minh bạch[3] định kỳ chi tiết các yêu cầu dữ liệu của chính phủ. Những báo cáo này liên tục cho thấy cùng một kết quả: NordVPN không có dữ liệu để giao. Các báo cáo cũng bao gồm các yêu cầu gỡ bỏ, trạng thái nến canh chuẩn và các lá thư an niên quốc gia.

Quyền Tài Phán Panama Bảo Vệ Quyền Riêng Tư Của Người Dùng

Công ty mẹ của NordVPN, Tefincom S.A., hoạt động dưới luật pháp Panama. Điều này quan trọng vì ba lý do cụ thể.

Không bắt buộc lưu giữ dữ liệu. Panama không có các luật yêu cầu các nhà cung cấp VPN lưu trữ hoạt động người dùng hoặc dữ liệu kết nối. Nhiều quốc gia châu Âu và Bắc Mỹ yêu cầu thời gian lưu giữ từ 6 đến 24 tháng. Panama không.

Bên ngoài các liên minh chia sẻ thông tin tình báo. Panama nằm ngoài các thỏa thuận giám sát Five Eyes, Nine Eyes và Fourteen Eyes. Những liên minh này chia sẻ dữ liệu thông tin tình báo giữa các quốc gia thành viên. Một VPN có trụ sở tại Mỹ, Anh, Canada hoặc Úc phải đối mặt với khả năng công bố bị ép buộc. NordVPN không.

Tác động thực tế đối với các yêu cầu dữ liệu. Các cơ quan thực thi pháp luật nước ngoài không thể ép buộc một công ty Panama sản xuất hồ sơ thông qua các hệ thống pháp lý của chính họ. Họ phải làm việc thông qua các tòa án Panama. Thậm chí sau đó, NordVPN không lưu giữ bất kỳ nhật ký nào để sản xuất. Quyền tài phán thêm một rào cản cấu trúc ngoài cái cấp kỹ thuật.

Mã Hóa AES-256 và Tùy Chọn Giao Thức

NordVPN mã hóa tất cả lưu lượng bằng AES-256. Đây là tiêu chuẩn mã hóa tương tự mà chính phủ Mỹ sử dụng cho thông tin được phân loại. Không có cuộc tấn công nào được biết có thể tấn công brute-force AES-256 trong bất kỳ khung thời gian thực tế nào. Ước tính hiện tại cho thấy nó sẽ mất hàng tỷ năm với sức mạnh tính toán hiện tại.

Giao Thức NordLynx

NordLynx là giao thức mặc định của NordVPN. Nó được xây dựng dựa trên WireGuard, cung cấp tốc độ cao thông qua một cơ sở mã 4.000 dòng bình tĩnh. WireGuard một mình có một hạn chế quyền riêng tư: nó yêu cầu lưu trữ các địa chỉ IP tĩnh trên máy chủ.

NordVPN giải quyết vấn đề này bằng hệ thống NAT kép (Dịch Địa Chỉ Mạng). NAT kép gán một địa chỉ giao diện động cho mỗi phiên. Khi phiên kết thúc, địa chỉ biến mất. Điều này mang lại những lợi ích về tốc độ của WireGuard mà không cần đánh đổi quyền riêng tư.

Các tiêu chuẩn hiệu suất cho thấy NordLynx đạt tốc độ trên 730 Mbps trên các kết nối gigabit. Độ trễ vẫn thấp. Giao thức xử lý phát trực tuyến, chơi game và tải xuống tệp lớn mà không có các nút thắt.

OpenVPN

OpenVPN vẫn có sẵn cho người dùng thích một giao thức được kiểm tra. Nó chạy trên cả TCP và UDP. TCP cung cấp độ tin cậy cho các mạng hạn chế. UDP mang lại tốc độ nhanh hơn để sử dụng chung. Cơ sở mã nguồn mở của OpenVPN đã được cộng đồng bảo mật kiểm tra kỹ lưỡng trong hai thập kỷ.

IKEv2/IPsec

IKEv2/IPsec hoạt động tốt trên các thiết bị di động. Nó kết nối lại nhanh chóng khi chuyển đổi giữa các mạng Wi-Fi và di động. NordVPN ghép nó với mã hóa AES-256. Giao thức này phù hợp với người dùng thường xuyên di chuyển giữa các mạng.

Kill Switch Ngăn Chặn Rò Rỉ Dữ Liệu Trong Quá Trình Giảm

Các kết nối VPN có thể giảm. Khi chúng giảm, lưu lượng không được bảo vệ có thể trốn thoát đến nhà cung cấp dịch vụ internet (ISP) của bạn. Kill switch của NordVPN ngăn chặn điều này.

Kill switch giám sát kết nối VPN của bạn liên tục. Nếu đường hầm giảm, nó sẽ chặn tất cả lưu lượng internet ngay lập tức. Không có dữ liệu nào rời khỏi thiết bị của bạn cho đến khi VPN kết nối lại. NordVPN cung cấp hai chế độ kill switch:

Kill switch cấp ứng dụng. Điều này chặn quyền truy cập internet cho các ứng dụng cụ thể khi VPN ngắt kết nối. Các ứng dụng khác tiếp tục hoạt động bình thường.

Kill switch cấp hệ thống. Điều này chặn tất cả lưu lượng internet trên toàn thiết bị. Không có gì đi qua mà không cần VPN. Đây là tùy chọn an toàn hơn cho các tác vụ quan trọng về quyền riêng tư.

Bảo Vệ Rò Rỉ DNS Giữ Truy Vấn Riêng Tư

Các yêu cầu DNS dịch các tên miền thành địa chỉ IP. Nếu không có bảo vệ, những yêu cầu này có thể rò rỉ đến nhà cung cấp dịch vụ internet (ISP) của bạn ngay cả khi kết nối với VPN. NordVPN định tuyến tất cả các truy vấn DNS thông qua các máy chủ DNS được mã hóa riêng của nó.

Điều này ngăn chặn nhà cung cấp dịch vụ internet của bạn nhìn thấy những trang web bạn truy cập. Nó cũng chặn các nhà cung cấp DNS của bên thứ ba không ghi lại các mẫu duyệt web của bạn. Các kiểm tra rò rỉ DNS độc lập liên tục xác nhận rằng bảo vệ của NordVPN hoạt động như được quảng cáo.

Bảo Vệ Mối Đe Dọa Chặn Phần Mềm Độc Hại và Trình Theo Dõi

Threat Protection hoạt động ở cấp mạng. Nó chặn các miền độc hại đã biết trước khi chúng tải. Nó loại bỏ các tham số theo dõi từ các URL. Nó xác định và ngăn chặn tải xuống phần mềm độc hại.

Threat Protection hoạt động ngay cả khi bạn không kết nối với máy chủ VPN. Nó hoạt động như một lớp bảo mật độc lập trên các nền tảng được hỗ trợ. AV-TEST, một viện an niên độc lập, đã chứng nhận khả năng chặn phần mềm độc hại của Threat Protection.

Tính năng quét các tệp trong quá trình tải xuống. Nó kiểm tra các URL dựa trên cơ sở dữ liệu mối đe dọa được cập nhật liên tục. Nó chặn các quảng cáo xâm nhập thường phục vụ như các vectơ phân phối phần mềm độc hại.

Các Câu Hỏi Thường Gặp

NordVPN Bị Hack Phải Không?

Không phải theo cách hầu hết mọi người cho là. Vào năm 2018, một kẻ tấn công đã truy cập vào một máy chủ được cho thuê duy nhất tại Phần Lan thông qua công cụ quản lý từ xa của trung tâm dữ liệu. Các hệ thống cốt lõi, cơ sở dữ liệu người dùng và cơ sở hạ tầng xác thực của NordVPN không bao giờ bị xâm phạm. Không có thông tin xác thực người dùng hoặc hoạt động duyệt web nào bị tiếp xúc. NordVPN phản ứng bằng cách di chuyển sang các máy chủ chỉ RAM, khởi động một chương trình bug bounty và cam kết thực hiện các cuộc kiểm toán độc lập thường xuyên.

NordVPN Có Lưu Nhật Ký Không?

Không. Deloitte đã xác minh chính sách không lưu nhật ký của NordVPN vào năm 2022 thông qua một cuộc kiểm toán toàn diện. NordVPN không lưu dấu thời gian kết nối, thời lượng phiên, địa chỉ IP, dữ liệu băng thông hoặc hoạt động duyệt web. Cơ sở hạ tầng máy chủ chỉ RAM làm cho lưu trữ liên tục về mặt vật lý không thể. Thậm chí, nếu một máy chủ bị chiếm giữ, nó sẽ không chứa bất kỳ dữ liệu người dùng có thể truy xuất nào.

NordVPN Có Đáng Tin Cậy Không?

NordVPN hỗ trợ các yêu cầu của nó bằng xác minh độc lập thay vì các hứa hẹn tiếp thị. Nhiều cuộc kiểm toán từ VerSprite, Cure53 và Deloitte xác nhận các thực tiễn an niên và quyền riêng tư của nó. Quyền tài phán Panama cung cấp bảo vệ quyền riêng tư cấu trúc. Chương trình bug bounty mời sự xem xét bên ngoài liên tục. Báo cáo minh bạch ghi lại mỗi yêu cầu dữ liệu và sự không thể tuân thủ của NordVPN do không có dữ liệu.

NordVPN Có Thể Xem Dữ Liệu Của Tôi Không?

Cơ sở hạ tầng NordVPN được thiết kế để ngăn chặn điều này. Các máy chủ chỉ RAM không giữ lại bất kỳ thứ gì giữa các lần khởi động lại. Hệ thống NAT kép của giao thức NordLynx đảm bảo rằng không có bản ghi địa chỉ IP liên tục nào tồn tại. Các truy vấn DNS định tuyến qua các máy chủ DNS riêng của NordVPN, những máy chủ không ghi lại các yêu cầu. Kiến trúc kỹ thuật loại bỏ khả năng giám sát hoặc lưu trữ hoạt động người dùng, không chỉ chính sách.

NordVPN So Với Các VPN Khác Về An Niên Là Như Thế Nào?

NordVPN nằm ở hàng trên cùng về an niên được xác minh độc lập. Rất ít đối thủ cạnh tranh khớp với tần suất kiểm toán của nó. Cơ sở hạ tầng chỉ RAM đưa nó cùng với ExpressVPN và ProtonVPN trong danh mục đó. Giao thức NordLynx của nó cung cấp một giải pháp duy nhất cho các hạn chế quyền riêng tư của WireGuard. Tính năng Threat Protection thêm một lớp bảo mật mà hầu hết các VPN hoàn toàn thiếu.

Đối với người dùng tập trung vào quyền riêng tư cân nhắc các tùy chọn của họ, xem so sánh VPN tốt nhất cho quyền riêng tư của chúng tôi. Bắt đầu với đánh giá NordVPN để có bức tranh toàn diện, sau đó kiểm tra giá NordVPN trước khi mua.

Sources

1. Cure53
2. kết quả kiểm toán Deloitte
3. báo cáo minh bạch