Nó được phát minh vào những năm ‘90 (và thường được ghi nhận là của AT&T) nhưng chỉ thực sự nổi bật vào giữa những năm 2000. Xác thực hai yếu tố (hay 2FA như cách gọi phổ biến hơn) là một tiền đề đơn giản đến mức gần như tuyệt đẹp — kết hợp thứ bạn biết với thứ bạn có.
Vấn đề và giải pháp
Vấn đề:
Tên người dùng và mật khẩu là tất cả những gì đứng giữa dữ liệu của chúng ta và việc truy cập trái phép. Về cơ bản, tài khoản của chúng ta giống như một cánh cửa không được giám sát, sẵn sàng bị xâm nhập 24/7 mà chúng ta không hề hay biết. Điều này càng tệ hơn bởi tên người dùng hầu như luôn theo công thức, và mật khẩu cũng có thể dễ đoán vì tất cả chúng ta đều có xu hướng nghĩ giống nhau.
Ví dụ, một từ đơn lẻ có thể khó để người khác đoán ra, nhưng do số lượng từ trong tiếng Anh có hạn, máy tính lại có thể đoán được một cách đáng ngạc nhiên. Đó là lý do nhiều trang web yêu cầu chúng ta tăng cường mật khẩu bằng chữ cái và ký tự đặc biệt. Nhưng với phần mềm hack ngày càng tinh vi, và giờ là sự xuất hiện của AI, ngay cả như vậy vẫn chưa đủ. Hãy nhớ rằng “cánh cửa” vào tài khoản của bạn có thể bị phát hiện trong không gian mạng 24/7.
Giải pháp:
Xác minh rằng đúng là bạn đang đăng nhập bằng cách sử dụng thứ gì đó mà chỉ (về mặt logic) bạn mới có thể sở hữu. Đó có thể là điện thoại thông minh, tài khoản email, chìa khóa hoặc thậm chí là sinh trắc học. Dù dùng phương pháp nào, 2FA đảm bảo các nỗ lực đăng nhập trái phép có thể bị chặn và bạn có thể hành động để giảm thiểu các vi phạm tiếp theo.
Đúng vậy, đó là một bước kiểm tra danh tính được nâng cấp — tương đương với việc nhìn qua mắt thần trước khi mở chốt cửa trước — nhưng cách triển khai này khá khéo léo nếu bạn nghĩ kỹ. Mức độ bảo mật và nhận thức mà 2FA bổ sung cho một tài khoản khiến nó trở nên lớn hơn tổng các phần của nó.
Vậy tại sao phải mất lâu như vậy để nó trở nên phổ biến? Có lẽ đó chỉ là sự kết hợp của việc tội phạm mạng gia tăng dần qua các năm, tần suất mọi người sở hữu thiết bị phụ, và sức mạnh tính toán ngày càng tăng trong tay tội phạm mạng khiến nó phải chờ đến đúng thời điểm để tỏa sáng. Cũng có thể đã có những lo ngại về việc thiết bị phụ bị thất lạc.
Nơi chúng ta đã thấy 2FA phát huy hiệu quả trong nhiều năm
Các ứng dụng ngân hàng và tài chính đã sử dụng nó được vài năm nay. Nhưng nếu bạn chưa nhận thấy nó dần xuất hiện trên các tài khoản ‘hằng ngày’ hơn của mình, có lẽ bạn sẽ sớm thấy thôi. Việc triển khai đang diễn ra khi công nghệ hack ngày càng tinh vi hơn, và các công ty dữ liệu ngày càng có trách nhiệm lớn hơn trong việc bảo vệ dữ liệu của chúng ta.
Ví dụ, hãy xem xét 2FA trong bối cảnh tài khoản email. Cho đến nay, có thể bạn đã nghĩ rằng việc kích hoạt 2FA cho tài khoản email của mình hơi phiền phức hoặc quá thận trọng — nhưng chúng tôi sẽ thuyết phục bạn vì sao điều đó rất đáng giá, đặc biệt nếu bạn đang kinh doanh.
Tại sao nên thêm 2FA để bảo vệ tài khoản email của bạn?
Trước hết, hãy nghĩ rằng một lớp bảo vệ thứ hai ngoài mật khẩu của bạn chưa bao giờ là điều tồi tệ. Bây giờ, hãy dừng lại và nghĩ về loại dữ liệu nhạy cảm mà tài khoản email của bạn chứa:
Thông tin ngân hàng — loại thông tin mà bạn đã bảo vệ bằng 2FA ở nơi khác trong nhiều năm.
Tệp đính kèm cá nhân — ảnh, tài liệu hoặc thậm chí các tác phẩm mà bạn muốn giữ quyền sở hữu trí tuệ.
Lịch sử mua hàng — và các dữ liệu khác có thể có giá trị đối với nhà quảng cáo.
Dữ liệu y tế — hồ sơ cuộc hẹn, thuốc men hoặc thậm chí là tình trạng bệnh.
Dữ liệu bất động sản — việc mua nhà và các quy trình quan trọng tương tự thường không dùng giấy tờ.
Và như chúng tôi đã đề cập, nếu bạn đang kinh doanh, dữ liệu này gần như chắc chắn còn bao gồm cả dữ liệu của khách hàng. Giữ an toàn cho dữ liệu này là nghĩa vụ pháp lý ở các quốc gia có quy định như GDPR. Vì vậy, việc bảo mật email đã bắt đầu nghe như một điều hiển nhiên, và chúng ta thậm chí vẫn chưa nói xong!
Có lẽ lý do quan trọng nhất để giữ an toàn cho email của bạn là vì nó là cánh cổng dẫn đến nhiều tài khoản khác của bạn. Trong nhiều năm, đây là cách phổ biến để đặt lại mật khẩu. Tất cả những gì ai đó có quyền truy cập vào email của bạn cần làm là đọc tin nhắn của bạn để biết bạn có tài khoản ở những trang nào, rồi thực hiện quy trình ‘quên mật khẩu’ trên các trang đó.
Đối với gần như tất cả các trang web nhỏ hơn, tài khoản email đã đăng ký là thứ duy nhất ngăn cản ai đó truy cập vào tài khoản của bạn. Điều này có thể đồng nghĩa với việc nhiều tài khoản của bạn bị xâm phạm trước cả khi bạn nhận ra tài khoản của mình đã bị hack.
Dễ dàng thêm 2FA vào tài khoản của bạn
Tin tốt là việc thêm 2FA vào hầu hết các tài khoản email thực sự rất dễ. Các tài khoản email doanh nghiệp hoặc chuyên nghiệp đặc biệt có khả năng cung cấp tính năng này. Quy trình kích hoạt thường đơn giản và thiết lập rất nhanh, đặc biệt nếu bạn đã có ứng dụng xác thực cho các ứng dụng khác.
Chúng ta sẽ xem xét Spacemail (của Spaceship như một ví dụ điển hình), nơi 2FA có thể được kích hoạt chỉ với vài cú nhấp chuột.
Nhấp vào biểu tượng bánh răng cài đặt ở góc trên bên phải màn hình.
Nhấp vào ‘Launch security center’ trong ô thứ hai.
Nhấp vào TWO FACTOR AUTHENTICATION trên tab.
Chọn một trong hai loại 2FA được hỗ trợ.
Đừng quên bịt kín các điểm truy cập khác
Việc thêm 2FA vào đăng nhập chính thì rất tốt, nhưng rất có thể bạn còn có một cửa hậu khác vào tài khoản email nếu bạn đã kết nối nó với một ứng dụng (như Outlook hoặc Gmail) trên điện thoại của mình.
Các giao thức được dùng để bật tính năng này bao gồm IMAP, SMTP và POP3. Nếu được bật, quyền truy cập vào tài khoản của bạn có thể được thiết lập bằng một ứng dụng, bỏ qua 2FA mà bạn đã cấu hình. Để đảm bảo an toàn, hãy tắt các giao thức này nếu có thể.
Trong trường hợp của Spacemail, một ứng dụng hiện đang được phát triển và dự kiến phát hành vào cuối năm nay. Điều này sẽ cho phép bạn dễ dàng truy cập thư của mình trên thiết bị như điện thoại thông minh mà không làm ảnh hưởng đến bảo mật.
Các loại 2FA
Nói về “các loại 2FA”, hãy cùng xem kỹ hơn chúng là gì và cách chúng hoạt động trong bối cảnh của Spacemail. Nói chung, có ba loại 2FA. Mỗi loại đều sử dụng một yếu tố khác nhau để xác thực.
“Thứ bạn biết”
Điều này bao gồm những thứ như mã PIN bổ sung hoặc câu hỏi bảo mật. Đây là những thông tin mà chỉ bạn nên biết — nhưng trên nhiều phương diện, chúng không khác mật khẩu là mấy. Là một hình thức 2FA cũ hơn, nó đang dần bị loại bỏ để nhường chỗ cho các phương pháp bên dưới.
Có thể bạn đã từng nghe vài năm trước rằng nên chọn một ‘họ thời con gái của mẹ’ hoặc ‘thú cưng đầu tiên’ giả để tránh người khác đoán hoặc tìm hiểu câu trả lời của bạn.
Do mức độ kém an toàn tương đối, phương pháp này không được Spacemail hỗ trợ.
“Thứ bạn là”
Chúng tôi đã nhắc ngắn gọn về điều này rồi. Loại 2FA này dựa vào dữ liệu sinh trắc học như dấu vân tay, nhận diện khuôn mặt và nhận diện giọng nói. Điều này hữu ích khi thiết bị phụ có thể không phải là lựa chọn tốt nhất, ví dụ trong nhiều trường hợp, chúng ta đang dùng điện thoại thông minh mà bản thân nó chính là thiết bị phụ.
Sinh trắc học cho phép xác thực thứ cấp bằng chính bản thân người dùng. Mặc dù điều này đòi hỏi các cảm biến bổ sung thường chỉ có trên những thiết bị mới và tinh vi.
“Thứ bạn có”
Hầu hết 2FA thuộc nhóm này, và điều đó cũng đúng với cả hai tùy chọn bạn sẽ thấy trên Spacemail. Chúng yêu cầu bạn sở hữu một thiết bị hoặc vật dụng cụ thể. Có một số cách để triển khai phương pháp này.
TOTP (Mật khẩu dùng một lần dựa trên thời gian)
Mã do ứng dụng xác thực tạo ra cung cấp khả năng đăng nhập an toàn. Bạn có thể dùng ứng dụng xác thực hoặc gửi mã dùng một lần qua SMS/email. Trong trường hợp của Spaceship, TOTP chỉ được cho phép thông qua ứng dụng xác thực vì cách này an toàn hơn nhiều.
U2F (Yếu tố thứ hai phổ quát)
U2F sử dụng mật mã khóa công khai, giúp nó an toàn hơn và chống lừa đảo tốt hơn. Nó không yêu cầu nhập mã thủ công. Bạn chỉ cần cắm một khóa phần cứng (như YubiKey) vào thiết bị của mình. Điều này còn có thêm lợi ích là nếu ai đó đánh cắp điện thoại thông minh của bạn, họ vẫn cần một thiết bị bổ sung (chiếc khóa) để truy cập các tài khoản được bảo vệ bằng 2FA.
Nên chọn phương pháp nào
U2F thường được xem là an toàn hơn vì các thiết bị có khả năng chống can thiệp, và quy trình mật mã được gắn với trang web hoặc ứng dụng cụ thể. Điều này đảm bảo rằng ngay cả khi người dùng bị lừa truy cập một trang giả mạo, việc xác thực cũng sẽ thất bại, vì trang giả không thể tái tạo kết nối an toàn cần thiết.
Tất nhiên, việc mua khóa U2F có chi phí nhất định, nhưng điều đó có thể rất đáng giá khi nói đến bảo mật của bạn.
2FA như một phần của chế độ bảo mật cân bằng…
Con người không thể chỉ sống nhờ 2FA. Nó không thay thế cho các thực hành bảo mật toàn diện tốt. Tài khoản email của chúng ta đặc biệt dễ bị tấn công lừa đảo và phần mềm độc hại. Điều trớ trêu là không ai cần phải vào được tài khoản của bạn để trở thành mối đe dọa theo cách này. Họ chỉ cần gửi một email.
Đó là lý do các tài khoản cung cấp các biện pháp bảo vệ khác chống lại các mối đe dọa qua email, đặc biệt là bộ lọc chống spam, cũng là một khoản đầu tư khôn ngoan. Bằng cách ngăn bạn không bao giờ nhìn thấy những email chứa bẫy lừa đảo xã hội hoặc phần mềm độc hại, bạn thậm chí sẽ không bao giờ nhìn thấy rủi ro lớn nhất đối với sự an toàn của mình.Hãy kích hoạt 2FA cho tài khoản của bạn ngay hôm nay, và nếu bạn thấy tài khoản đó không có tính năng này, hãy cân nhắc chuyển sang tài khoản có.
Câu hỏi thường gặp
2FA là viết tắt của Two-factor authentication. Phương pháp 2FA phổ biến nhất bổ sung một lớp bảo mật cho đăng nhập bằng cách kết hợp thứ bạn biết (tên người dùng và mật khẩu) với thứ bạn sở hữu (thường là điện thoại thông minh hoặc khóa). Điều này có nghĩa là bạn sẽ được cảnh báo nếu có bất kỳ yêu cầu đăng nhập trái phép nào.
2FA xác minh danh tính của bạn khi bạn truy cập tài khoản. Khi làm vậy, nó cũng cảnh báo bạn nếu có người khác đang cố gắng xâm nhập. Tài khoản email là mục tiêu đặc biệt hấp dẫn đối với tội phạm mạng vì chúng chứa nhiều dữ liệu nhạy cảm, đồng thời cũng có thể đóng vai trò là cánh cổng dẫn đến các tài khoản khác thông qua quy trình ‘quên mật khẩu’ tiêu chuẩn — vốn phụ thuộc rất nhiều vào địa chỉ email đã đăng ký.
Nhiều tài khoản, đặc biệt là những tài khoản được thiết kế cho người dùng doanh nghiệp, có sẵn tính năng này theo mặc định. Thường thì việc thiết lập khá dễ dàng bằng cách vào phần cài đặt bảo mật. Việc này thường sẽ nhanh hơn nếu bạn đã có sẵn ứng dụng xác thực hoặc khóa mà bạn đang dùng.
Có, có một số loại 2FA. Loại phổ biến nhất sử dụng một thiết bị như điện thoại thông minh hoặc khóa U2F (một thiết bị riêng biệt). Sinh trắc học cũng được tính là yếu tố xác thực thứ hai, và các câu hỏi bảo mật kiểu cũ hơn (như “họ thời con gái của mẹ”) về mặt kỹ thuật cũng được tính, nhưng ngày nay hiếm khi được dùng vì chúng rất dễ bị đoán ra.
Đăng nhập vào tài khoản của bạn. Nhấp vào biểu tượng bánh răng cài đặt ở góc trên bên phải màn hình. Nhấp vào ‘Launch security center’ trong ô thứ hai. Nhấp vào TWO FACTOR AUTHENTICATION trên tab. Chọn một trong hai loại 2FA được hỗ trợ.
Bài viết đề xuất
Chia sẻ suy nghĩ của bạn