Biên tập viên kỹ thuật đánh giá sản phẩm một cách độc lập. Để giúp hỗ trợ sứ mệnh của mình, chúng tôi có thể kiếm được hoa hồng liên kết từ các liên kết có trên trang này.
Mật khẩu mạnh vẫn là điều cần thiết để giữ an toàn cho tài khoản của bạn, nhưng không phải lúc nào cũng đủ. Ngay cả khi bạn có một mật khẩu bảo mật cao, nó vẫn có thể bị xâm phạm trong một vụ vi phạm dữ liệu. Đó là khi xác thực hai yếu tố (2FA) có thể tiết kiệm thời gian. Với 2FA được bật, tên người dùng và mật khẩu của bạn không đủ để tin tặc truy cập vào tài khoản của bạn. Bất kỳ ai cố gắng đăng nhập vào tài khoản của bạn sẽ cần cung cấp một phương tiện bổ sung để xác minh danh tính của bạn, chẳng hạn như mã PIN sử dụng một lần được gửi qua ứng dụng, tin nhắn văn bản hoặc email, thiết bị vật lý tạo mật mã hoặc thiết bị sinh trắc học.
Facebook, Google, Twitter, ngân hàng và trình quản lý mật khẩu là một trong số nhiều dịch vụ khuyến khích người dùng bảo vệ tài khoản của họ bằng xác thực hai yếu tố – nhưng mức độ tiếp nhận không cao, ngay cả trong số những người hiểu biết về công nghệ. Chẳng hạn, chỉ 10% người dùng Google sử dụng tính năng miễn phí này.
Các chuyên gia an ninh mạng đồng ý rằng việc kích hoạt xác thực hai yếu tố là một phần quan trọng của vệ sinh trực tuyến khiến tài khoản khó bị hack hơn. “Xác thực hai yếu tố đặt thêm một lớp bảo vệ giữa kẻ tấn công và dữ liệu cá nhân của bạn, đảm bảo rằng bạn không bị coi là mục tiêu dễ dàng”, Brian Anderson, chuyên gia bảo mật tại Kaspersky Lab Bắc Mỹ cho biết.
Tuy nhiên, không phải tất cả các phương pháp hai yếu tố đều an toàn như nhau.
Nội dung bài viết
Xác thực hai yếu tố tốt: văn bản mã và email
Từng là thành tựu của an ninh mạng hiểu biết về công nghệ, xác thực qua SMS ngày càng bị phơi bày vì những kẻ lừa đảo dễ bị tấn công. Anderson nói: “Nếu bạn sử dụng SMS hoặc email làm phương pháp xác thực thứ hai, thì những kẻ tấn công có thể đánh chặn mã xác thực và đăng nhập vào tài khoản được nhắm mục tiêu. Các lỗ hổng mạng có thể cho phép tin tặc chặn cuộc gọi và tin nhắn văn bản có chứa mã 2FA, như đã xảy ra trong vi phạm Reddit đã làm lộ địa chỉ email của người dùng và cơ sở dữ liệu mật khẩu năm 2007.
Các cuộc tấn công lừa đảo cũng có nhiều khả năng qua SMS hoặc email, trong đó những kẻ lừa đảo lừa người dùng chuyển thông tin đăng nhập của họ thông qua một liên kết, email hoặc văn bản được thiết kế để trông giống như một dịch vụ hợp pháp. Như Tổ chức Ân xá Quốc tế đã báo cáo, một cuộc tấn công dễ sử dụng phổ biến ở Bắc Phi và Trung Đông diễn ra như thế này: Trong khi người dùng đăng nhập vào trang web giả mạo, những kẻ tấn công nắm bắt thông tin đăng nhập của họ và sử dụng nó cho trang web thực, do đó kích hoạt mã 2FA chính hãng được gửi tới SMS hoặc email – mà người dùng nhập vào trang web giả mạo.
Các nhà nghiên cứu đã phát hiện ra một công cụ mới điều đó sẽ cho phép những kẻ lừa đảo tạo ra các trang web lừa đảo thuyết phục hơn bằng cách cung cấp nội dung từ trang web chính hãng vào phiên bản giả mạo. Paul Duckin, Chuyên gia công nghệ cao cấp tại Sophos cho biết: “Lừa đảo 2FA không phải là điều mới mẻ – giờ đây dễ dàng hơn bao giờ hết nhờ bộ công cụ mã nguồn mở giúp bạn thực hiện điều đó”. “Tác giả nói rằng nó chỉ dành cho mục đích thử nghiệm và nghiên cứu, nhưng anh ta không có cách nào để ngăn kẻ gian sử dụng mã của mình.”
Xác thực hai yếu tố tốt hơn: ứng dụng xác thực
Thay vì nhận được một thông báo có thể bị chặn, việc tạo mã trên thiết bị bên bạn phần lớn giữ những mã đó ngoài tầm với của tin tặc. Đó là nơi các ứng dụng xác thực xuất hiện. Những người như Google, Microsoft và trình quản lý mật khẩu LastPass đã phát triển các ứng dụng xác thực của riêng họ hoạt động với bất kỳ nền tảng hoặc dịch vụ nào hỗ trợ 2FA.
Các ứng dụng này có thể được đồng bộ hóa với nhiều nền tảng khác nhau trong cài đặt tài khoản của bạn khi bạn bật 2FA. Tại thời điểm này, bạn sẽ được yêu cầu quét mã QR để tự động thêm tài khoản vào ứng dụng tạo mã của bạn. Cả hai Google Authenticator (Android/iOS) và Microsoft Authenticator (Android/iOS) dễ cài đặt – nhưng nếu bạn sử dụng Outlook, Microsoft Authenticator là lựa chọn tốt hơn một chút. Bạn có thể tận dụng lợi thế của việc đăng nhập vào Outlook mà không cần mật khẩu, bạn xác thực bằng cách chỉ cần chạm vào xác nhận trong ứng dụng.
Nếu bạn muốn một vài tính năng bổ sung, Authy (iOS /Android) sẽ sao lưu các tài khoản đã đồng bộ hóa của bạn để nếu và khi nâng cấp điện thoại, bạn chỉ cần tải xuống Authy một lần nữa để thiết lập tất cả với 2FA của mình (trong khi Google và Microsoft yêu cầu bạn đồng bộ hóa lại tất cả các tài khoản bạn muốn 2FA trên).
Cho dù bạn chọn loại nào, các ứng dụng đều hoạt động theo cùng một cách – bằng cách tạo ra các mã gồm sáu chữ số làm mới cứ sau 30 giây hoặc lâu hơn, giúp giảm khả năng các mã này bị loại bỏ và sử dụng lại. Và, các ứng dụng xác thực tạo mã bất kể bạn đang trực tuyến, điều này rất hữu ích nếu bạn không nhận được hoặc chuyển vùng.
Nhược điểm duy nhất đi kèm nếu bạn làm mất hoặc quên thiết bị của mình. Khi 2FA được bật, theo mặc định, nhiều tài khoản có thể yêu cầu mã 2FA để đăng nhập mọi lúc; tài khoản công ty có thể yêu cầu nó để bảo mật – và quên điện thoại của bạn có nghĩa là bị khóa khỏi các tài khoản này.
Xác thực hai yếu tố tốt nhất: khóa xác thực
Mặc dù các ứng dụng xác thực tốt hơn các mã được gửi qua tin nhắn văn bản hoặc email, nhưng chúng không hoàn toàn bất khả xâm phạm. Ví dụ: các cuộc tấn công lừa đảo có thể ăn cắp mã 2FA nếu người dùng bị dụ đến các trang web giả mạo để nhập mã và kẻ tấn công có thể nắm bắt và sử dụng mã trước khi nó được làm mới. Trong khi một kịch bản khó xảy ra đối với người dân bình thường, các nhà hoạt động, chính trị gia hoặc những người khác có mục tiêu liên lạc có thể cần bảo mật nghiêm ngặt hơn.
Trong trường hợp này, đã đến lúc tăng cường khóa xác thực, một thiết bị vật lý cắm vào cổng USB của máy tính hoặc giao tiếp qua NFC với điện thoại để xác thực thông tin đăng nhập.
Một trong những điểm nổi tiếng nhất là Yubico’s YubiKey 5 NFC là $ 45 trên Yubico (kiểm tra giá trên Amazon), một phím có kích thước bằng ngón tay cái từng được đăng ký ngay lập tức hoạt động như một yếu tố thứ hai cho hàng chục dịch vụ. Nó cũng có thể được chạm vào điện thoại thông minh hỗ trợ NFC (bao gồm tất cả điện thoại Android và iPhone 7 trở lên) để xác thực thông tin đăng nhập trên điện thoại thông minh. Ngoài ra còn có các phiên bản mà bạn chỉ cần cắm vào: Phiên bản USB-C, YubiKey 5C ($ 50 trên Yubico, kiểm tra giá trên Amazon), và một phím kết hợp USB-C và Lightning, YubiKey 5Ci ($ 70 trên Yubico, kiểm tra giá trên Amazon).
“Các tiêu chuẩn 2FA mới hơn dựa trên các thiết bị phần cứng đặc biệt như YubiKeys cung cấp thêm khả năng phục hồi bằng cách sử dụng các kỹ thuật mật mã để ngăn người khác sử dụng lại mã mà bạn đã nhập vào,” Duckin nói. “Nếu kẻ gian cố gắng lừa đảo mã của bạn, nó gần như chắc chắn sẽ không hoạt động nếu sau đó họ cố gắng sử dụng nó từ máy tính của họ.”
Ví dụ: YubiKeys cần được khai thác trước mỗi lần xác thực, để xác minh người dùng không phải là tin tặc từ xa.
Một sự thay thế là OnlyKey ($ 46,00 trên OnlyKey.io, kiểm tra giá trên Amazon), đi kèm với trình quản lý mật khẩu lưu trữ tối đa 24 tài khoản trong bộ nhớ ngoại tuyến và tài khoản không giới hạn nếu được sử dụng với trình quản lý mật khẩu phần mềm. Cắm nó vào máy tính trong khi đăng nhập và nó sẽ tự động điền thông tin đăng nhập có liên quan. Điều này cũng bảo vệ mật khẩu khỏi phần mềm độc hại keylogger có thể được cài đặt một cách bí mật trên các trang web.
Dù bạn chọn phương pháp nào, hãy bật xác thực hai yếu tố
Các chuyên gia đồng ý rằng điều quan trọng là phải bật 2FA trên các tài khoản trực tuyến của bạn, cho dù đó là thông qua SMS, email, ứng dụng hay khóa vật lý. Bạn có thể thấy một số dịch vụ chỉ cung cấp xác thực yếu tố thứ hai qua SMS, nhưng “đừng để [the potential for phishing] đưa bạn đi. 2FA ở đó để cung cấp thêm một rào cản mà kẻ gian phải nhảy qua, mà không cần loại bỏ bất kỳ rào cản nào mà bạn đã có sẵn, ”Duckin nói. Bạn có thể tìm thấy danh sách các trang web hỗ trợ 2FA tại Xác thực hai yếu tố.
Cho dù bạn sử dụng phương pháp nào, hãy nhớ 2FA không phải là một viên đạn bạc bảo mật có thể ghi đè một mật khẩu yếu hoặc ngăn chặn một hacker đặc biệt quan tâm. Phần mềm bảo mật Kaspersky Lab đã chặn nhiều hơn 137 triệu cố gắng truy cập các trang lừa đảo trong quý 3 năm ngoái, tăng 30 triệu so với quý trước. Anderson nói: “Khi nhiều người sử dụng 2FA hơn, chúng tôi có thể thấy tội phạm mạng đang cố gắng sử dụng các kỹ thuật xã hội phức tạp hơn hoặc các phương pháp khác để thử và vượt qua cơ chế bảo mật này.
Tuy nhiên, tin tốt là những kẻ lừa đảo vẫn cần phải lôi kéo bạn vào một trang web không có thật, Duckin nói. Đừng vội vàng đăng nhập và hết sức cảnh giác với các email, tin nhắn hoặc cửa sổ bật lên dẫn đến các trang web bên ngoài. Khi nhập thông tin đăng nhập hoặc mã của bạn trực tuyến, hãy luôn kiểm tra thanh địa chỉ của trình duyệt – địa chỉ bạn muốn truy cập có phải là địa chỉ không?
Cuối cùng, bạn có một lý do tuyệt vời khác để sử dụng tính năng bảo mật phải có khác đó là trình quản lý mật khẩu: Nó không chỉ tạo và lưu các thông tin đăng nhập khó bẻ khóa của bạn, mà trong trường hợp lừa đảo, trình quản lý mật khẩu của bạn sẽ cảnh báo bạn rằng trang web bạn đang truy cập không phải là trang bạn thường sử dụng, vì nó sẽ không chứa thông tin đăng nhập cho URL của trang web lừa đảo.
Cập nhật ngày 13/12/2019
[Image credit: Yubico, Twilio]
Natasha Stokes đã là một nhà văn công nghệ trong hơn 7 năm về các vấn đề công nghệ tiêu dùng, quyền riêng tư kỹ thuật số và an ninh mạng. Với tư cách là người biên tập các tính năng tại TOP10VPN, cô ấy đảm nhận việc kiểm duyệt và giám sát trực tuyến có ảnh hưởng đến cuộc sống của mọi người trên khắp thế giới. Tác phẩm của cô cũng đã xuất hiện trên BBC Worldwide, CNN, Time and Travel + Leisure.
