Table of Contents
Trước khi giải quyết câu hỏi xác thực hai yếu tố là gì hoặc 2FA là gì, hãy xem lý do tại sao bạn phải cải thiện bảo mật tài khoản của bạn thông qua bài viết này của GhienCongNghe nhé.
2FA là gì?
Cuộc sống của chúng ta đang xoay quanh rất nhiều thiết bị như smartphone, laptop, máy tính bảng và không có gì lạ khi các tài khoản của chúng ta trở thành một miếng mồi dành cho những kẻ đánh cắp.
Các cuộc tấn công độc hại chống lại chính phủ, công ty và cá nhân ngày càng phổ biến hơn và không có dấu hiệu nào cho thấy sự việc này đang chậm lại. Vì vậy, các doanh nghiệp cung cấp tài khoản cho người dùng đã thêm vào xác thực hai yếu tố, cũng thường được gọi là 2FA (Two-Factor Authentication).
Mật khẩu thông thường đã không còn an toàn
Tài khoản là thứ chúng ta vẫn sử dụng hằng ngày, nó có thể bao gồm tên người dùng và mật khẩu nhưng có một số lý do khiến mật khẩu không còn là phương thức tối ưu nữa:
Không phải ai cũng có trí nhớ tốt: Do không phải ai cũng có thể nhớ toàn bộ mật khẩu của họ, chưa kể mỗi dịch vụ lại có một quy định đặt mật khẩu khác nhau vì vậy người dùng thường đặt mật khẩu dễ nhớ, đơn giản. Một báo cáo gần đây đã xem xét hơn 1,4 tỷ mật khẩu bị đánh cắp và nhận thấy rằng hầu hết mọi người đều đặt mật khẩu hết sức đơn giản như “111111”, “123456”, “123456789”, “qwerty” và “password”. Mặc dù những mật khẩu này rất dễ nhớ, nhưng hacker nào cũng có thể bẻ khóa những mật khẩu đơn giản này ngay lập tức.
Quá nhiều tài khoản: Khi người dùng mở ngày càng nhiều tài khoản. Điều này cuối cùng tạo ra quá nhiều mật khẩu để ghi nhớ và dẫn đến một thói quen nguy hiểm: sử dụng mật khẩu giống nhau. Đây là lý do tại sao tin tặc chỉ mất vài giây để phần mềm hack kiểm tra hàng nghìn thông tin đăng nhập bị đánh cắp đối với các ngân hàng và trang web mua sắm trực tuyến phổ biến. Nếu tên người dùng và mật khẩu được đặt giống nhau, nó sẽ gây ra mất hàng loạt tài khoản khác.
Sự mệt mỏi về bảo mật: Để bảo vệ mình, một số người cố gắng gây khó khăn hơn cho những kẻ tấn công bằng cách tạo mật khẩu và cụm mật khẩu phức tạp hơn. Nhưng với rất nhiều vụ vi phạm dữ liệu tràn ngập web đen với thông tin người dùng, nhiều người từ bỏ và quay lại dùng mật khẩu đơn giản và hy vọng sẽ không có gì xảy đến.
2FA là ‘liều thuốc giải’
2FA là một lớp bảo mật bổ sung được sử dụng để đảm bảo rằng người đang truy cập vào tài khoản đó chính xác là chủ tài khoản. Đầu tiên, người dùng sẽ nhập tên đăng nhập và mật khẩu của họ. Sau đó, thay vì ngay lập tức có được quyền truy cập, họ sẽ được yêu cầu cung cấp một phần thông tin khác. Yếu tố thứ hai này có thể là một trong số những thông tin sau:
Điều bạn biết: Đây có thể là số nhận dạng cá nhân (PIN), mật khẩu, câu trả lời cho “câu hỏi bí mật” hoặc kiểu tổ hợp phím cụ thể
Một thứ bạn có: Thông thường, người dùng sẽ có một thứ gì đó mà họ sở hữu, chẳng hạn như thẻ tín dụng, điện thoại thông minh hoặc một mã token.
Bạn là người thế nào: Danh mục này nâng cao hơn một chút và có thể bao gồm mẫu sinh trắc học của dấu vân tay, quét mống mắt, khuôn mặt hoặc bằng giọng nói
Với 2FA, chỉ cần một trong các yếu tố này không được đáp ứng chính xác, tài khoản sẽ không thể mở ra. Vì vậy, ngay cả khi mật khẩu của bạn bị đánh cắp hoặc điện thoại của bạn bị mất, khả năng người khác có thông tin yếu tố thứ hai của bạn là rất khó xảy ra. Nhìn từ góc độ khác, nếu người tiêu dùng sử dụng 2FA đúng cách, các trang web và ứng dụng có thể tự tin hơn về danh tính của người dùng và mở khóa tài khoản.
Các loại 2FA phổ biến
Nếu một trang web bạn sử dụng chỉ yêu cầu mật khẩu để truy cập và không cung cấp 2FA, rất có thể trang đó sẽ bị tấn công. Nhưng không có nghĩa là tất cả 2FA đều giống nhau. Một số loại xác thực hai yếu tố đang được sử dụng ngày nay; một số có thể mạnh hơn hoặc phức tạp hơn, nhưng tất cả đều cung cấp khả năng bảo vệ tốt hơn so với mật khẩu thông thường.
Mã thông báo
Đây có lẽ là hình thức lâu đời nhất của 2FA, mã thông báo sẽ tạo ra một mã số mới sau mỗi 30 giây. Khi người dùng cố gắng truy cập tài khoản, họ sẽ nhìn vào thiết bị và nhập lại mã 2FA được hiển thị vào trang web hoặc ứng dụng.
Tuy nhiên, chúng có một số nhược điểm. Đối với các doanh nghiệp, việc phân phối các thiết bị phần cứng này là rất tốn kém và chúng còn thường xuyên bị mất hoặc thất lạc dẫn đến khả năng bị tấn công còn cao hơn.
Tin nhắn văn bản SMS và giọng nói
Tin nhắn văn bản SMS sẽ tương tác trực tiếp với điện thoại của người dùng. Sau khi nhận được tên người dùng và mật khẩu, trang web sẽ gửi cho người dùng một mật mã sử dụng một lần duy nhất (OTP) qua tin nhắn văn bản. Giống như quy trình mã thông báo phần cứng, người dùng sau đó phải nhập lại OTP vào ứng dụng trước khi có quyền truy cập.
Tương tự, 2FA dựa trên giọng nói tự động gọi cho người dùng và gửi mã 2FA bằng lời nói. Mặc dù không phổ biến nhưng nó vẫn được sử dụng ở các quốc gia có lượng người sử dụng smartphone lớn.
Một nghiên cứu của Google cho thấy xác thực dựa trên SMS “có thể chặn tới 100% bot tự động, 99% các cuộc tấn công lừa đảo hàng loạt và 66% các cuộc tấn công có chủ đích”.
Đối với một hoạt động trực tuyến có rủi ro thấp, xác thực bằng văn bản hoặc giọng nói có thể là tất cả những gì bạn cần. Nhưng đối với các trang web lưu trữ thông tin cá nhân của bạn – như ngân hàng hoặc tài khoản email thì phương thức này vẫn chưa đủ an toàn. Thậm chí SMS được coi là cách xác thực người dùng kém an toàn nhất. Do đó, nhiều công ty đang nâng cấp bảo mật của họ bằng cách khác.
Mã thông báo qua phần mềm
Hình thức xác thực hai yếu tố phổ biến nhất (và là lựa chọn thay thế ưu tiên cho SMS và cuộc gọi) là sử dụng mật mã dùng một lần, dựa trên thời gian do phần mềm tạo ra (còn được gọi là TOTP , hoặc “mã thông báo mềm”).
Đầu tiên, người dùng phải tải xuống và cài đặt ứng dụng 2FA trên điện thoại thông minh hoặc máy tính. Sau đó, họ có thể sử dụng ứng dụng với bất kỳ trang web nào hỗ trợ loại xác thực này. Khi đăng nhập, trước tiên người dùng nhập tên người dùng và mật khẩu, sau đó, khi được nhắc, họ nhập mã hiển thị trên ứng dụng.
Giống như mã thông báo qua phần cứng, mã thông báo mềm thường có giá trị dưới một phút. Và vì mã được tạo và hiển thị trên cùng một thiết bị, mã thông báo mềm loại bỏ cơ hội bị tin tặc chặn. Đó là sự khác biệt so với các phương thức gửi SMS hoặc cuộc gọi.
Hơn hết, vì các giải pháp 2FA dựa trên ứng dụng có sẵn cho các nền tảng di động, thiết bị đeo hoặc máy tính, thậm chí là hoạt động ngoại tuyến – xác thực người dùng có thể thực hiện được ở mọi nơi.
Thông báo pop-up
Thay vì dựa vào việc nhận và nhập mã thông báo 2FA, các trang web và ứng dụng giờ đây có thể gửi cho người dùng thông báo một xác thực đang diễn ra. Chủ sở hữu thiết bị chỉ cần xem chi tiết và có thể phê duyệt hoặc từ chối quyền truy cập bằng một lần chạm. Đó là xác thực không cần mật khẩu, không có mã để nhập.
Thông báo pop-up giúp loại bỏ mọi cơ hội bị lừa đảo, tấn công trung gian hoặc truy cập trái phép. Nhưng nó chỉ hoạt động với một thiết bị được kết nối internet, một thiết bị có thể cài đặt ứng dụng. Nhưng ở những nơi smartphone không phổ biến cũng như không có mạng internet tin cậy, 2FA dựa trên SMS vẫn là phương án dự phòng ưu tiên.
Các hình thức xác thực hai yếu tố khác
Những cải tiến gần đây bao gồm xác minh danh tính của một người thông qua dấu vân tay, mống mắt và nhận dạng khuôn mặt. Tiếng ồn xung quanh, kiểu gõ và giọng nói cũng đang được khám phá. Chỉ còn là vấn đề thời gian trước khi một trong những phương pháp 2FA này hoạt động.
Xem thêm:
Trên đây, GhienCongNghe đã giải thích 2FA là gì. Mong rằng bạn sẽ bảo mật tốt hơn tài khoản của mình và không bị tin tặc ‘ghé thăm’. Nhớ Like, Share và theo dõi GhienCongNghe thường xuyên để có được những kiến thức mới mẻ mỗi ngày nhé.
Tham khảo Authy