Khi tôi đề cập với một vài người bạn rằng tôi đang viết một tính năng về xác thực hai bước, phản hồi điển hình là đảo mắt và “Ồ, điều phiền phức đó?…” Vâng, bước bổ sung phiền phức đó. Tất cả chúng ta đều có suy nghĩ đó khi cần lấy mã trước khi có thể đăng nhập hoặc xác minh danh tính trực tuyến. Tôi có thể vui lòng đăng nhập mà không có hàng loạt yêu cầu không?
Tuy nhiên, sau nhiều nghiên cứu về xác thực hai yếu tố (thường được gọi là 2FA ), tôi không nghĩ mình sẽ để mắt đến nó nữa. Chúng ta hãy tìm hiểu kỹ hơn về xác thực hai yếu tố, các tùy chọn khác nhau hiện có và xua tan một số lầm tưởng xung quanh bước bổ sung “khó chịu” đó.
Các ứng dụng và dịch vụ bảo mật thường đề xuất bạn thêm xác thực 2 yếu tố ít nhất qua tin nhắn SMS, chẳng hạn như khi đăng nhập vào tài khoản của bạn – bất cứ lúc nào hoặc chỉ khi làm như vậy từ một thiết bị mới. Sử dụng hệ thống này, điện thoại di động của bạn là phương thức xác thực thứ hai.
Tin nhắn SMS bao gồm một mã ngắn sử dụng một lần mà bạn nhập vào dịch vụ. Bằng cách này, Mr. Joe Hacker sẽ cần quyền truy cập vào mật khẩu và điện thoại của bạn để truy cập vào tài khoản của bạn. Một mối quan tâm khá rõ ràng là vùng phủ sóng di động. Điều gì sẽ xảy ra nếu bạn bị mắc kẹt giữa hư không mà không có tín hiệu hoặc đi du lịch nước ngoài mà không có quyền truy cập vào nhà cung cấp dịch vụ phổ biến của mình? Bạn sẽ không thể nhận được tin nhắn có mã và sẽ không thể đăng nhập.
Nhưng hầu hết thời gian, phương pháp này đều thuận tiện (hầu hết chúng ta đều có điện thoại bên mình). Và thậm chí có một số dịch vụ có hệ thống tự động nói mã để có thể sử dụng mã đó với điện thoại cố định nếu bạn không thể nhận tin nhắn văn bản.
Một giải pháp thay thế tiềm năng tốt hơn cho SMS, vì nó không phụ thuộc vào nhà cung cấp dịch vụ không dây của bạn. Google Authenticator là ứng dụng phổ biến nhất trong danh mục của nó, nhưng nếu bạn không muốn dựa vào Google cho loại dịch vụ này, thì có các lựa chọn thay thế toàn diện như Authy, cung cấp các bản sao lưu được mã hóa của các mã được tạo theo thời gian, cũng như đa- nền tảng và hỗ trợ ngoại tuyến. Microsoft và Lastpass cũng có trình xác thực của riêng họ.
Các ứng dụng này sẽ tiếp tục tạo mã theo thời gian cụ thể cho đến khi vương quốc xuất hiện, có hoặc không có kết nối internet. Sự đánh đổi duy nhất là việc cài đặt thiết lập ứng dụng hơi phức tạp.
Sau khi thiết lập một dịch vụ nhất định với Authenticator, bạn sẽ được nhắc nhập mã xác thực ngoài tên người dùng và mật khẩu của mình. Bạn sẽ dựa vào ứng dụng Google Authenticator trên điện thoại thông minh của mình để cung cấp cho bạn mã mới. Các mã hết hạn trong vòng một phút, vì vậy đôi khi bạn sẽ phải làm việc nhanh chóng để nhập mã hiện tại trước khi mã hết hạn và sau đó mã mới sẽ là mã để sử dụng.
Nếu xử lý mã, ứng dụng và tin nhắn văn bản nghe có vẻ đau đầu, thì có một tùy chọn khác đang trên đà phổ biến: Khóa xác thực vật lý. Đó là một thiết bị USB nhỏ mà bạn đặt vào móc khóa của mình – giống như khóa bảo mật trong hình bên dưới. Khi đăng nhập vào tài khoản của bạn trên một máy tính mới, hãy cắm phím USB và nhấn nút của nó. Ngay và luôn.
Có một tiêu chuẩn xung quanh cái này được gọi là U2F. Tài khoản Google, Dropbox, GitHub và nhiều tài khoản khác tương thích với mã thông báo U2F. Các khóa xác thực vật lý cũng có thể hoạt động với NFC và Bluetooth để giao tiếp với các thiết bị không có cổng USB.
Nhiều ứng dụng và dịch vụ hoàn toàn bỏ qua các tùy chọn trên và xác minh thông qua ứng dụng dành cho thiết bị di động của họ. Ví dụ: bật “Xác minh đăng nhập” trên Twitter và khi bạn đăng nhập Twitter lần đầu tiên từ một thiết bị mới, bạn phải xác minh thông tin đăng nhập đó từ ứng dụng đã đăng nhập trên điện thoại của mình. Twitter muốn đảm bảo rằng bạn, không phải ông Joe Hacker, có điện thoại của bạn trước khi bạn đăng nhập.
Tương tự như vậy, tài khoản Google cung cấp một cái gì đó tương tự khi đăng nhập vào PC mới, nó yêu cầu bạn mở Gmail trên điện thoại của mình. Apple cũng sử dụng iOS để xác minh thông tin đăng nhập thiết bị mới. Khi đăng nhập trên thiết bị mới, bạn sẽ nhận được mã sử dụng một lần được gửi tới thiết bị Apple mà bạn đã sử dụng.
Các hệ thống dựa trên email, như bạn có thể đã tìm ra từ phần mô tả, sử dụng tài khoản email của bạn làm xác thực yếu tố thứ hai. Khi đăng nhập vào một ứng dụng hoặc dịch vụ sử dụng tùy chọn này, mã sử dụng một lần sẽ được gửi đến địa chỉ email đã đăng ký của bạn để xác minh thêm.
Các dịch vụ phổ biến nên bật 2FA là gì?
** Những điều này đặc biệt quan trọng vì thường đóng vai trò là cửa ngõ cho mọi thứ khác mà bạn thực hiện trực tuyến.
Nếu có vi phạm bảo mật, hãy bật xác thực hai yếu tố càng sớm càng tốt?
Vấn đề là bạn không thể bật công tắc và bật 2FA. Bắt đầu 2FA có nghĩa là mã thông báo phải được phát hành hoặc khóa mật mã phải được nhúng trong các thiết bị khác. Trong trường hợp vi phạm dịch vụ, chúng tôi khuyên bạn nên thay đổi mật khẩu của mình trước, sau đó bật 2FA. Các phương pháp hay nhất vẫn được áp dụng, chẳng hạn như sử dụng mật khẩu khó đoán và không sử dụng lại mật khẩu của bạn trong các dịch vụ/trang web khác nhau.
Tôi có nên bật xác thực hai yếu tố hay không?
Đúng. Đặc biệt đối với các dịch vụ quan trọng có chứa dữ liệu cá nhân và thông tin tài chính của bạn.
Xác thực hai yếu tố không bị ảnh hưởng bởi các mối đe dọa
Số 2FA phụ thuộc vào cả hai, công nghệ và người dùng có sai sót thì nó cũng có sai sót. 2FA sử dụng văn bản SMS làm yếu tố thứ hai phụ thuộc vào tính bảo mật của nhà cung cấp dịch vụ không dây. Nó cũng xảy ra khi phần mềm độc hại trên điện thoại chặn và gửi tin nhắn SMS cho kẻ tấn công. Một cách khác mà 2FA có thể gặp trục trặc là khi người dùng không chú ý và không chấp thuận yêu cầu xác thực (có thể đó là thông báo bật lên trên máy Mac của họ) do kẻ tấn công cố gắng đăng nhập.
Làm thế nào 2FA có thể thất bại trong trường hợp lừa đảo thành công?
Xác thực hai yếu tố có thể không thành công trong một cuộc tấn công lừa đảo nếu kẻ tấn công lừa người dùng nhập mã 2FA của họ trên một trang giả mạo. Sau đó, kẻ tấn công có quyền truy cập vào cả thông tin đăng nhập của người dùng và mã 2FA, bỏ qua tính bảo mật của 2FA. Để ngăn chặn điều này, điều quan trọng là người dùng phải biết các nỗ lực lừa đảo và xác minh tính xác thực của các trang đăng nhập và 2FA trước khi nhập thông tin.
Các giải pháp hai yếu tố (về cơ bản) đều giống nhau
Điều này có thể đúng ở một số thời điểm, nhưng đã có nhiều đổi mới đối với 2FA. Có các giải pháp 2FA sử dụng tin nhắn SMS hoặc email. Các giải pháp khác sử dụng ứng dụng dành cho thiết bị di động có chứa bí mật mật mã hoặc thông tin khóa được lưu trữ trong trình duyệt của người dùng. Việc phụ thuộc vào các dịch vụ của bên thứ ba là điều cần suy nghĩ và cần được cải thiện vì dịch vụ này đã bị vi phạm và xác thực không thành công trong một số trường hợp.
Xác thực hai yếu tố là một bổ sung gây phiền nhiễu với ít lợi ích
Chà, với thái độ như vậy thì chúng ta sẽ chẳng đi đến đâu cả. Trên thực tế, một số doanh nghiệp hoặc dịch vụ tiếp cận 2FA như một yêu cầu tuân thủ, thay vì điều gì đó có thể giúp giảm gian lận. Một số công ty sử dụng 2FA yêu cầu tối thiểu mà hầu như không làm được gì, chỉ để đánh dấu vào ô 2FA. Với tư cách là người dùng, việc sử dụng 2FA có thể gây khó chịu, nhưng nếu công ty đang sử dụng phương thức xác thực linh hoạt (không chỉ ở mức tối thiểu) thì có thể giảm khả năng gian lận. Và ai không muốn điều đó?