2FA là gì? Hướng dẫn xác thực hai yếu tố

Chỉ mật khẩu không đủ để bảo vệ tài khoản trực tuyến của bạn. Các vụ vi phạm dữ liệu phơi bày hàng tỷ thông tin xác thực mỗi năm, và ngay cả mật khẩu mạnh cũng có thể bị xâm phạm qua lừa đảo, keylogger hoặc các cuộc tấn công brute-force. Xác thực hai yếu tố (2FA) thêm một lớp phòng thủ thứ hai — ngay cả khi ai đó đánh cắp mật khẩu của bạn, họ không thể truy cập tài khoản của bạn mà không có yếu tố thứ hai. Hướng dẫn này giải thích 2FA là gì, mỗi phương pháp hoạt động như thế nào, loại nào an toàn nhất và cách thiết lập nó trên những tài khoản quan trọng nhất của bạn. Đây là một trong những bước đơn lẻ hiệu quả nhất bạn có thể thực hiện để bảo vệ cuộc sống kỹ thuật số của mình.

Các loại xác thực hai yếu tố

Mã SMS

Mã dùng một lần được gửi đến số điện thoại của bạn qua tin nhắn văn bản. Bạn nhập mã này sau mật khẩu của mình để hoàn tất đăng nhập. SMS 2FA là phương pháp có sẵn rộng rãi nhất — gần như mọi dịch vụ đều hỗ trợ nó và không yêu cầu ứng dụng hoặc phần cứng bổ sung. Tuy nhiên, đây là hình thức 2FA yếu nhất do lỗ hổng đối với các cuộc tấn công SIM swap (nơi kẻ tấn công thuyết phục nhà mạng của bạn chuyển số điện thoại của bạn sang SIM của họ) và các khai thác giao thức SS7 có thể chặn tin nhắn văn bản.

• Ưu điểm: Được hỗ trợ rộng rãi, không cần ứng dụng, hoạt động trên bất kỳ điện thoại nào
• Nhược điểm: Dễ bị tấn công SIM swap, chặn SS7 và kỹ thuật xã hội chống lại các nhà mạng điện thoại

Ứng dụng xác thực (TOTP)

Các ứng dụng Time-based One-Time Password (TOTP) tạo ra mã 6 chữ số mới mỗi 30 giây bằng cách sử dụng bí mật chia sẻ và thời gian hiện tại. Các ứng dụng phổ biến bao gồm Google Authenticator, Authy, Microsoft Authenticator và Ente Auth. TOTP an toàn hơn đáng kể so với SMS vì mã được tạo cục bộ trên thiết bị của bạn — không có kênh truyền dẫn để chặn. Mã hoạt động ngoại tuyến và không được liên kết với số điện thoại của bạn. Đây là phương pháp 2FA được khuyến nghị cho hầu hết mọi người, cân bằng bảo mật mạnh mẽ với sự dễ sử dụng.

• Ưu điểm: An toàn, có khả năng ngoại tuyến, ứng dụng miễn phí có sẵn, không liên kết với số điện thoại
• Nhược điểm: Mất thiết bị mà không có mã sao lưu sẽ khóa bạn ra; các trang web lừa đảo vẫn có thể bắt mã trong thời gian thực

Khóa bảo mật phần cứng

Các thiết bị vật lý như YubiKey, Google Titan và SoloKeys cắm vào cổng USB của bạn hoặc chạm qua NFC để xác thực. Khóa phần cứng sử dụng tiêu chuẩn FIDO2/WebAuthn, chống lừa đảo theo thiết kế — khóa xác minh tên miền của trang web bằng mật mã trước khi xác thực, khiến các trang web lừa đảo không thể chặn. Google yêu cầu tất cả nhân viên sử dụng khóa phần cứng và đã báo cáo không có cuộc tấn công lừa đảo thành công nào kể từ khi triển khai. Các khóa có giá $25-70 và là phương pháp 2FA an toàn nhất hiện có.

• Ưu điểm: Bảo mật mạnh nhất, chống lừa đảo, không có pin, hoạt động ngoại tuyến, bền
• Nhược điểm: Có giá $25-70, có thể bị mất hoặc quên, không phải tất cả các dịch vụ đều hỗ trợ

Sinh trắc học

Máy quét vân tay (Touch ID), nhận dạng khuôn mặt (Face ID) và máy quét mống mắt sử dụng các đặc điểm vật lý của bạn làm yếu tố xác thực. Sinh trắc học rất tiện lợi — bạn luôn mang theo nó và không thể quên. Chúng hoạt động như yếu tố thứ hai cùng với mật khẩu trên nhiều thiết bị và dịch vụ. Tuy nhiên, sinh trắc học không thể thay đổi nếu bị xâm phạm (không giống như mật khẩu) và có thể bị các cơ quan thực thi pháp luật cưỡng ép trong nhiều khu vực pháp lý. Chất lượng khác nhau đáng kể giữa các thiết bị.

• Ưu điểm: Tiện lợi, luôn có sẵn, xác thực nhanh, khó sao chép
• Nhược điểm: Không thể thay đổi nếu bị xâm phạm, có thể bị cưỡng ép pháp lý, chất lượng khác nhau theo thiết bị

Passkey

Passkey là tiêu chuẩn xác thực gần đây nhất, được thiết kế để thay thế hoàn toàn mật khẩu. Được xây dựng trên FIDO2/WebAuthn, passkey sử dụng mật mã khóa công khai — thiết bị của bạn lưu trữ khóa riêng và dịch vụ lưu trữ khóa công khai tương ứng. Xác thực xảy ra thông qua sinh trắc học hoặc PIN của thiết bị, không có mật khẩu để gõ, lừa đảo hoặc đánh cắp. Apple, Google và Microsoft đã tích hợp hỗ trợ passkey vào hệ điều hành của họ. Passkey đồng bộ giữa các thiết bị qua iCloud Keychain, Google Password Manager hoặc các nhà cung cấp khác, kết hợp bảo mật của khóa phần cứng với sự tiện lợi của sinh trắc học.

• Ưu điểm: Chống lừa đảo, không có mật khẩu để nhớ, đồng bộ giữa các thiết bị, nhanh
• Nhược điểm: Tương đối mới, chưa được hỗ trợ rộng rãi, lo ngại về khóa nền tảng với passkey được đồng bộ

Các thực hành tốt nhất về 2FA

1. Bật 2FA trên tài khoản email của bạn trước — đó là chìa khóa chính cho tất cả các tài khoản khác của bạn. Nếu ai đó xâm phạm email của bạn, họ có thể đặt lại mật khẩu trên mọi dịch vụ liên kết với nó. Email của bạn là tài khoản đơn lẻ quan trọng nhất để bảo vệ bằng 2FA.
2. Sử dụng ứng dụng xác thực thay vì SMS bất cứ khi nào có thể. Ứng dụng TOTP miễn nhiễm với các cuộc tấn công SIM swap và SS7. Nếu một dịch vụ chỉ cung cấp 2FA dựa trên SMS, hãy sử dụng nó dù sao — SMS 2FA vẫn tốt hơn đáng kể so với không có 2FA.
3. Lưu trữ mã sao lưu một cách an toàn và riêng biệt. Lưu chúng trong trình quản lý mật khẩu (khác với cái được bảo vệ bằng 2FA), in chúng ra và giữ trong két sắt, hoặc viết chúng trên giấy được lưu trữ an toàn. Đừng bao giờ lưu trữ mã sao lưu trong ghi chú không được mã hóa trên cùng thiết bị với trình xác thực của bạn.
4. Cân nhắc một khóa bảo mật phần cứng cho các tài khoản quan trọng nhất của bạn — email, ngân hàng, lưu trữ đám mây và trình quản lý mật khẩu. YubiKey 5 NFC ($50) hoạt động với USB-A, USB-C và NFC, bao phủ hầu hết mọi thiết bị. Đăng ký hai khóa cho mỗi tài khoản để có bản sao lưu.
5. Định kỳ xem xét tài khoản nào đã bật 2FA. Sử dụng trình quản lý mật khẩu để theo dõi. Thứ tự ưu tiên: email, dịch vụ ngân hàng và tài chính, lưu trữ đám mây, mạng xã hội, các trang web mua sắm với phương thức thanh toán đã lưu và bất kỳ tài khoản công việc hoặc chuyên nghiệp nào.