7 Lầm Tưởng Về VPN Không Chịu Chết

Hầu hết các lầm tưởng về VPN đều bắt đầu từ một nửa sự thật rồi được nén lại thành một khẩu hiệu. Khẩu hiệu thì người ta nhớ; sắc thái thì không. Một số niềm tin kết quả quá lạc quan, coi VPN như một tấm áo tàng hình vạn năng. Số khác lại quá hoài nghi, xem toàn bộ danh mục này chỉ là bịa đặt marketing. Cả hai thái cực đều cản trở việc sử dụng công cụ một cách hiệu quả.

Bài viết này đi qua bảy lầm tưởng dai dẳng nhất về VPN và điều thực sự đang diễn ra bên dưới. Mục tiêu không phải thuyết phục bạn theo một quan điểm nào. Mà là cung cấp cho bạn một mô hình tư duy đủ rõ ràng để lần tới khi đọc bất kỳ tuyên bố nào về quyền riêng tư — kể cả của chúng tôi — bạn có chỗ để đặt nó một cách trung thực. Nếu bạn muốn ôn lại kiến thức cơ bản trước, hãy xem VPN là gì.

Lầm tưởng 1: VPN giúp bạn ẩn danh hoàn toàn

Lầm tưởng: Bật VPN lên là biến mất khỏi internet.

Thực tế: VPN mã hóa đường truyền mạng giữa thiết bị của bạn và một máy chủ bạn đã chọn, sau đó chuyển tiếp lưu lượng của bạn từ địa chỉ IP của máy chủ đó. Đây là một thay đổi thực sự và hữu ích. ISP của bạn không còn thấy các tên miền bạn truy cập. Các trang web không còn thấy IP tại nhà của bạn. Trên mạng Wi-Fi quán cà phê, người nghe lén không thấy bất kỳ thứ gì có thể đọc được.

Điều VPN không làm được là viết lại phần còn lại của danh tính số của bạn. Nếu bạn đăng nhập Gmail, Google biết đó là bạn. Nếu bạn đăng nhập ngân hàng, ngân hàng biết đó là bạn. Trình duyệt vẫn có thể bị lấy dấu vân tay — tổ hợp kích thước màn hình, phông chữ, múi giờ và đặc điểm phần cứng của bạn thường đủ độc nhất để nhận dạng người truy cập quay lại mà không cần một cookie nào. Các ứng dụng nhúng SDK phân tích báo cáo định danh cấp thiết bị bất kể các gói tin đến từ IP nào. Và mọi khoản thanh toán bạn thực hiện đều mang tên thật của bạn qua mạng thẻ.

VPN là công cụ ở tầng mạng. Ẩn danh, theo nghĩa mạnh, là vấn đề hành vi và cấp tài khoản. Dùng VPN để kiểm soát những gì mạng nhìn thấy. Dùng tài khoản riêng biệt, vệ sinh trình duyệt và cẩn thận trong thanh toán để kiểm soát những gì dịch vụ nhìn thấy. Hai tầng này không thay thế được cho nhau.

Lầm tưởng 2: VPN miễn phí là ổn

Lầm tưởng: Quyền riêng tư là quyền riêng tư. Tại sao phải trả tiền?

Thực tế: Máy chủ, băng thông, kỹ sư và xử lý lạm dụng đều tốn tiền. Nếu bạn không trả tiền, chi phí đang được thu hồi ở chỗ khác — và ứng viên rõ ràng nhất là lưu lượng chảy qua dịch vụ. Đây không phải hoang tưởng; đây là điều đã được ghi lại. Nhiều nhà cung cấp VPN miễn phí đã bị bắt quả tang ghi lại lịch sử duyệt web, chèn quảng cáo, bán dữ liệu người dùng tổng hợp cho các nhà môi giới, hoặc lén lút biến thiết bị của người đăng ký thành nút thoát cho lưu lượng của người khác.

Có một vài gói miễn phí có thể biện hộ được — thường do các nhà cung cấp trả phí vận hành như một bản xem trước giới hạn, với cùng cơ sở hạ tầng và chính sách nhật ký. Những cái đó không đáng lo. Danh mục cần thận trọng là ứng dụng “miễn phí mãi mãi” độc lập không có mô hình doanh thu rõ ràng và danh sách quyền yêu cầu nhiều hơn những gì một VPN cần.

Với người đọc kỹ thuật: mô hình mối đe dọa với VPN miễn phí đáng ngờ không chỉ là bán dữ liệu. Mà là bạn đã định tuyến toàn bộ lưu lượng của thiết bị qua một máy chủ do ai đó vận hành mà bạn không hiểu động cơ của họ. TLS bảo vệ nội dung của các phiên HTTPS, nhưng siêu dữ liệu (bạn kết nối đến máy chủ nào, khi nào, tần suất ra sao, từ đâu) chính xác là thứ người mua trong lĩnh vực quảng cáo công nghệ muốn. Một sản phẩm quyền riêng tư mà mô hình kinh doanh phụ thuộc vào việc theo dõi bạn không phải là sản phẩm quyền riêng tư. Đó là một dạng giám sát khác được ngụy trang thành bảo vệ.

Lầm tưởng 3: Mọi VPN trả phí đều như nhau

Lầm tưởng: Bạn đang trả tiền, vậy quyền riêng tư đã được xử lý.

Thực tế: Trả tiền loại bỏ vấn đề động cơ tệ nhất, nhưng không chuẩn hóa phần còn lại. Các VPN trả phí khác nhau trên bốn trục thực sự quan trọng.

Mô hình tài khoản. Một số nhà cung cấp yêu cầu email và mật khẩu. Một số cho phép bạn thanh toán bằng thẻ gắn với tên thật. Những cái khác — bao gồm Snap VPN — gắn đăng ký với tài khoản nền tảng của bạn (Apple ID trong trường hợp của chúng tôi) và không bao giờ thu thập email hoặc tạo định danh người dùng ở phía chúng tôi. Nhà cung cấp nắm giữ càng ít dữ liệu danh tính, thì càng ít thứ để rò rỉ, bị trát đòi, hoặc tương quan.

Quyền tài phán. Công ty được thành lập ở đâu, máy chủ nằm vật lý ở đâu, và các hiệp ước hỗ trợ pháp lý nào áp dụng đều định hình những gì có thể bị cưỡng bức và theo quy trình nào.

Chính sách nhật ký.“Không lưu nhật ký” có nghĩa khác nhau với các nhà cung cấp khác nhau. Phiên bản nghiêm túc chỉ rõ những gì được và không được ghi — dấu thời gian kết nối, IP nguồn, bộ đếm băng thông, truy vấn DNS — và lý tưởng nhất là được xác nhận bởi kiểm toán. Xem VPN không lưu nhật ký.

Kiến trúc. Nhà cung cấp định tuyến mọi kết nối qua một điểm nghẽn nhỏ, trung tâm, đa thuê bao có rủi ro tổng hợp cao hơn so với nhà cung cấp phát cấu hình theo từng thiết bị và tối thiểu hóa những gì bất kỳ máy chủ đơn nào biết về bất kỳ người dùng đơn nào.

Hãy đọc cả bốn điều đó trước khi coi nhãn giá là bảo đảm quyền riêng tư.

Lầm tưởng 4: VPN làm chậm internet đáng kể

Lầm tưởng: Bật VPN lên là tốc độ giảm một nửa.

Thực tế:Sự chậm lại có tồn tại, nhưng mức độ của nó phụ thuộc gần như hoàn toàn vào giao thức bạn đang dùng và máy chủ cách xa bao nhiêu. Các giao thức cũ như OpenVPN mang theo chi phí đáng kể mỗi gói tin và dựa nặng vào một lõi CPU, đó là nguồn gốc của danh tiếng “giảm tốc độ một nửa”. Trên điện thoại hiện đại chạy WireGuard kết nối đến máy chủ gần, chi phí thường trong khoảng 5–15% thông lượng, và độ trễ tăng thêm chỉ vài mili giây.

Với người đọc kỹ thuật: ưu điểm của WireGuard chủ yếu mang tính cấu trúc. Bắt tay ngắn, mật mã cố định (không có chi phí đàm phán), các triển khai phía kernel gọn gàng, và cơ sở mã đủ nhỏ để thực sự suy luận về nó. Nó cũng không trạng thái theo cách làm cho việc chuyển vùng giữa các mạng rẻ. Snap VPN sử dụng WireGuard theo thiết kế — không phải vì nó là xu hướng, mà vì hồ sơ hiệu suất là cái mà hầu hết người dùng thực sự sẽ chọn nếu họ hiểu các đánh đổi. Để so sánh sâu hơn, xem WireGuard vs OpenVPN.

Điều vẫn ảnh hưởng đến tốc độ: chọn máy chủ ở lục địa khác, định tuyến qua trung tâm dữ liệu tắc nghẽn, hoặc dựa vào nhà cung cấp đăng ký quá mức phần cứng để giữ lợi nhuận. Không cái nào trong số đó là vốn có của VPN. Chúng là những lựa chọn.

Lầm tưởng 5: “Không lưu nhật ký” chỉ là chiêu marketing

Lầm tưởng: Mọi VPN đều tuyên bố không ghi nhật ký. Họ đều nói dối hết.

Thực tế: Một số đã nói dối. Một số khác, khi bị tòa án yêu cầu cung cấp hồ sơ, đã không cung cấp được gì vì không có gì để cung cấp. Cả hai đều đã xảy ra công khai. Coi toàn bộ danh mục là không trung thực cũng sai như việc tin vào mọi tuyên bố theo mệnh giá.

Điều phân biệt tuyên bố “không lưu nhật ký” đáng tin với dòng marketing là liệu tuyên bố đó có kiểm chứng được không. Ba điều làm cho điều đó thành hiện thực. Thứ nhất, chính sách nói rõ những gì được và không được lưu giữ, không chỉ từ “nhật ký”. Thứ hai, chính sách đủ cụ thể để người đánh giá độc lập có thể xác minh so với triển khai. Thứ ba, kiến trúc khiến việc ghi nhật ký khó khăn ngay cả khi ai đó muốn: thu thập dữ liệu tối thiểu ở rìa, không có liên kết định danh người dùng với lưu lượng trong cơ sở dữ liệu, và cửa sổ lưu giữ ngắn trên dữ liệu vận hành.

Với người đọc kỹ thuật: phần kiến trúc là cái dễ đánh giá nhất từ bên ngoài. Nếu hệ thống tài khoản của nhà cung cấp không yêu cầu email, không có định danh cá nhân, và không lưu bất kỳ hồ sơ nào liên kết đăng ký với phiên làm việc, bề mặt cho việc ghi nhật ký có ý nghĩa thu hẹp đáng kể — đơn giản là ít thứ hơn để ghi. Đó là mô hình chúng tôi vận hành. Xem VPN ẩn danh không cần email.

Lập trường “họ đều nói dối” một chiều thì tiện nhưng lười biếng. Hãy đọc các chi tiết cụ thể.

Lầm tưởng 6: Bạn cần bật VPN 24/7

Lầm tưởng: Tắt một phút là bạn bị lộ ngay.

Thực tế: Hoàn toàn phụ thuộc vào những gì bạn đang bảo vệ. Luôn bật là mặc định hợp lý nếu ưu tiên của bạn là giữ IP thật và mẫu duyệt web hiển thị với ISP không bị ghi lại qua mọi phiên. Cũng hợp lý trên các thiết bị di chuyển giữa các mạng bạn không hoàn toàn tin tưởng — xem rủi ro Wi-Fi công cộng.

Nhưng cách diễn đạt kinh hoàng — “bạn trần trụi không có VPN” — phóng đại rủi ro hàng ngày cho ai đó trên mạng gia đình đáng tin cậy đang duyệt các trang HTTPS. Ổ khóa trong trình duyệt của bạn đã có nghĩa là nội dung của các phiên đó được mã hóa đầu cuối. ISP của bạn thấy bạn truy cập tên miền nào; họ không thấy bạn làm gì trên đó. Đó là mối lo về quyền riêng tư đáng quan tâm, nhưng không phải tình huống khẩn cấp.

Với người đọc kỹ thuật: mô hình mối đe dọa thực sự được hưởng lợi từ việc luôn bật là tổng hợp siêu dữ liệu — hồ sơ dài hạn mà ISP, nhà mạng di động hoặc mạng quán cà phê có thể lắp ráp bằng cách xem bạn truy cập tên miền nào và khi nào. DNS mã hóa có giúp ích. VPN giúp nhiều hơn, vì nó ẩn cả truy vấn lẫn đích đến sau một điểm đầu cuối duy nhất. Nhưng “giúp nhiều hơn” không phải “bạn sẽ bị tấn công nếu không có nó.” Hãy quyết định dựa trên kẻ thù thực sự bạn quan tâm, không phải cách diễn đạt ầm ĩ nhất trong phòng.

Lầm tưởng 7: VPN chặn được mọi hình thức theo dõi

Lầm tưởng: Bật VPN là tắt hết theo dõi.

Thực tế: VPN thay đổi địa chỉ IP của bạn. Đó là tầng nó hoạt động. Hầu hết mọi hình thức theo dõi trực tuyến có ý nghĩa đều hoạt động trên các tầng phía trên nó.

Cookie tồn tại trong trình duyệt của bạn bất kể chúng được đặt từ IP nào. Nếu bạn đăng nhập vào một trang web, đăng nhập đó là bộ theo dõi — IP của bạn chỉ là phụ. Lấy dấu vân tay trình duyệt sử dụng các tín hiệu không thay đổi khi mạng của bạn thay đổi: phông chữ, đặc điểm hiển thị canvas, múi giờ, ngôn ngữ, độ phân giải màn hình, phiên bản chính xác của mọi plugin. SDK ứng dụng báo cáo định danh cấp thiết bị (hoặc các đại diện ổn định) thẳng từ bên trong ứng dụng, bất kể định tuyến mạng. Và đồ thị danh tính xuyên trang web chủ yếu được ghép lại từ các phiên đăng nhập và địa chỉ email, không phải IP.

Với người đọc kỹ thuật: hệ quả thực tế là VPN là một tầng trong một bộ ba tầng quyền riêng tư. Tầng mạng (VPN, DNS mã hóa), tầng trình duyệt (chặn theo dõi, giảm dấu vân tay, tính năng container/cách ly, vệ sinh đăng nhập cẩn thận), và tầng tài khoản (danh tính riêng biệt cho các mục đích khác nhau, chia sẻ dữ liệu tối thiểu với dịch vụ). Bỏ qua bất kỳ tầng nào và hai tầng còn lại sẽ bị rò rỉ. Dùng cả ba và bức tranh cải thiện có ý nghĩa — danh sách kiểm tra quyền riêng tư iPhone đi qua các phần phía thiết bị.

VPN hứa hẹn “ngăn chặn mọi theo dõi” là đang bán quá mức. VPN lặng lẽ làm tốt công việc của mình ở tầng mạng, không giả vờ làm nhiều hơn, và không làm suy yếu các tầng khác bằng cách tự thu thập danh tính của bạn — đó là phiên bản hữu ích.

Kết luận

VPN là công cụ tập trung, không phải lá chắn vạn năng. Nó kiểm soát những gì mạng nhìn thấy. Nó không kiểm soát những gì dịch vụ, trình duyệt hoặc ứng dụng nhìn thấy — đó là các tầng khác của vấn đề, với các giải pháp khác. Lời giới thiệu trung thực là: dùng VPN rõ ràng về những gì nó làm, chạy trên giao thức không làm hại pin của bạn, và không yêu cầu dữ liệu danh tính mà nó không cần.

Hầu hết các lầm tưởng dai dẳng về VPN đến từ việc gộp các tầng đó lại với nhau. Tách chúng ra và các quyết định trở nên dễ dàng hơn.

Một lưu ý về Snap VPN

Snap VPN được xây dựng xung quanh mô hình ngụ ý bởi các câu trả lời trên. WireGuard cho hiệu suất. Gốc iOS, với macOS sắp ra mắt. Không đăng ký email. Không có nhật ký lưu lượng. Không có định danh người dùng gắn với người thật. Đăng ký qua Apple ID của bạn, vì vậy dữ liệu tài khoản tồn tại nằm với Apple, không phải với chúng tôi. Nó sẽ không khiến bạn ẩn danh hoàn toàn — không có gì có thể — nhưng nó cũng sẽ không lặng lẽ trở thành một phần của vấn đề. Đó là tiêu chuẩn chúng tôi cố gắng duy trì. Nếu bạn sẵn sàng thiết lập, hướng dẫn VPN trên iPhone sẽ đi qua các bước.