Xác thực hai yếu tố (2FA) từng có vẻ giống như một thứ dành riêng cho phim điệp viên hoặc phim kinh dị chính trị - thứ mà Ethan Hunt của Mission Impossible cần sử dụng để truy cập nhiệm vụ của mình trước khi nó tự hủy. Nhưng đó không phải là trường hợp nữa. Hầu như tất cả chúng ta đang sử dụng 2FA hàng ngày, cho dù đó là 2FA sinh trắc học trên thiết bị của chúng tôi (nhận dạng vân tay hoặc khuôn mặt) hay mật khẩu dùng một lần phổ biến nhận được qua SMS hoặc ứng dụng xác thực.
Tài khoản của chúng tôi quá giá trị để tin tặc có thể bỏ qua. Thậm chí, một tài khoản email bị xâm nhập có thể là một bước đệm để có được quyền truy cập vào các tài khoản tài chính và cướp đi số tiền khó kiếm được của bạn, đồng thời tạo ra một kịch bản ác mộng cho bạn. Mặc dù các bộ phim mô tả một hacker mặc áo trùm đầu với những ngón tay bay trên bàn phím một cách điên cuồng, nhưng thực tế là theo Báo cáo điều tra vi phạm dữ liệu của Verizon 2022-2023, phần lớn các vụ vi phạm bảo mật (85%) đều liên quan đến yếu tố con người. 2FA là cách tốt nhất để chống lại kiểu tấn công này.
- Các dịch vụ VPN tốt nhất 2022-2023
- Ứng dụng Norton Antivirus hiện cho phép bạn kiếm tiền điện tử - đây là những gì bạn có thể khai thác
- Ưu đãi máy tính xách tay tốt nhất vào tháng 6 năm 2022-2023
Cho dù bạn nghĩ đây có phải là mối quan tâm thực sự đối với bạn hay không, nhiều công ty đang chuyển sang sử dụng 2FA như một biện pháp bảo mật bắt buộc với Google là một trong những công ty gần đây nhất tuyên bố sẽ yêu cầu 2FA trong tương lai gần.
Gần đây, chúng tôi đã đề cập đến lý do tại sao bạn cần ngừng sử dụng số điện thoại của mình để xác thực hai yếu tố. để thực hiện 2FA một cách đúng đắn.
Xác thực hai yếu tố là gì?
2FA là hình thức xác thực đa yếu tố (MFA) nổi tiếng và được sử dụng rộng rãi nhất, như tên gọi cho thấy dựa vào nhiều yếu tố để xác minh danh tính của bạn. Một ví dụ điển hình là nhận tiền từ máy ATM, bạn cần thẻ cũng như mã PIN để truy cập vào tài khoản của mình.
Ví dụ đó bao gồm hai trong ba danh mục cho MFA, “những gì bạn có” (một đối tượng vật lý) và “những gì bạn biết” (mật khẩu hoặc câu hỏi bảo mật). Tùy chọn thứ ba là “bạn là gì” nghĩa là một phương pháp sinh trắc học như máy quét vân tay hoặc nhận dạng khuôn mặt. Không giống như ngay cả một mật khẩu cực kỳ phức tạp, điều này giúp loại bỏ khả năng bị xâm phạm tài khoản của bạn mà không có quyền truy cập vật lý vào bạn.
Trong thông báo 2FA nói trên của Google, nó gọi mật khẩu là “mối đe dọa lớn nhất đối với bảo mật trực tuyến của bạn”. Hiện tại, mật khẩu vẫn là một phần của quy trình 2FA đối với hầu hết mọi người. Tuy nhiên, quan điểm là chúng là điểm yếu trong chuỗi cần được củng cố bởi ít nhất một yếu tố bổ sung. Vì vậy, chúng ta hãy xem xét các tùy chọn tốt nhất cho 2FA.
Xác thực hai yếu tố dựa trên ứng dụng
Cũng như mọi thứ, có các giải pháp ứng dụng để đối phó với 2FA, chúng được gọi là ứng dụng xác thực. Có hàng tá phần mềm trên thị trường, nhưng một vài phần mềm mà tôi muốn giới thiệu là Authy, Microsoft Authenticator, LastPass và 1Password. Google Authenticator là một tùy chọn phổ biến khác, nhưng tôi không thích vì nó không yêu cầu mật khẩu hoặc đăng nhập sinh trắc học, đó là một lỗ hổng bảo mật tiềm ẩn trong một quy trình đang cố gắng loại bỏ chúng.
Authy là một ứng dụng xác thực chuyên dụng và được sử dụng rõ ràng để đăng nhập 2FA. Microsoft Authenticator, LastPass và 1Password là các trình quản lý mật khẩu đã tích hợp thành phần xác thực. Nếu bạn cần một trình quản lý mật khẩu hoặc đã sử dụng một trong những thứ này, tôi sẽ đi theo con đường này vì nó làm cho quá trình 2FA trở nên dễ dàng nhất có thể.
Sau khi bạn chọn ứng dụng xác thực của mình và đã cài đặt ứng dụng này, bạn có thể bắt đầu thiết lập 2FA cho tài khoản của mình. Đây sẽ là phần tẻ nhạt nhất của quá trình vì nó liên quan đến việc truy cập bất kỳ dịch vụ hoặc trang web nào mà bạn sử dụng cung cấp hỗ trợ 2FA từng cái một. Tôi nghi ngờ đây là bước khiến hầu hết mọi người không sử dụng 2FA, nhưng cuối cùng nó rất đáng giá đối với bảo mật trực tuyến của bạn. Và một khi bạn đã thiết lập và chạy 2FA, sẽ không có gì rắc rối mà một số khiến nó trở nên như vậy.
Trong quá trình thiết lập ban đầu, bạn sẽ quét mã QR hoặc trong một số trường hợp, nhập mã và sau đó dịch vụ đó sẽ được lưu trong ứng dụng trình xác thực của bạn. Bạn sẽ thấy các tài khoản của mình được liệt kê với một tập hợp sáu chữ số bên cạnh và đồng hồ đếm ngược. Cứ sau 30 giây, một mã sáu chữ số ngẫu nhiên mới được tạo cho mỗi mã. Đây là mật khẩu dùng một lần, dựa trên thời gian (TOTP), tương tự như những gì bạn nhận được qua SMS hoặc email, nhưng những mật khẩu này không yêu cầu kết nối internet và rất khó bị ai chặn.
Giờ đây, trong hầu hết các trường hợp, bạn sẽ không cần nhập mã TOTP của mình mỗi khi đăng nhập trừ khi bạn muốn mức bảo mật đó. Thông thường, bạn chỉ được yêu cầu sử dụng nó khi đăng nhập trên một thiết bị mới hoặc sau một khoảng thời gian nhất định đã trôi qua, thông thường là 30 ngày, nhưng các trang web và dịch vụ sẽ khác nhau về điều này.
Xác thực hai yếu tố dựa trên phần cứng
Bây giờ mặc dù chắc chắn có một yếu tố tiện lợi với trình xác thực di động. Trong một nghiên cứu điển hình kéo dài hai năm với Google, một giải pháp dựa trên phần cứng nhanh hơn gấp bốn lần, ít bị yêu cầu hỗ trợ hơn và an toàn hơn. Giải pháp MFA / 2FA phần cứng trông rất giống một ổ đĩa flash USB. Chúng có nhiều hình dạng và kích thước khác nhau cung cấp hỗ trợ cho bất kỳ thiết bị nào của bạn với USB Type-A, USB Type-C và Lightning. Một số tùy chọn hiện đại cũng sẽ cung cấp hỗ trợ không dây thông qua NFC hoặc Bluetooth.
Với các khóa bảo mật này, bạn chỉ cần cắm chúng vào thiết bị của mình hoặc vuốt chúng qua chip NFC trên thiết bị của bạn và đó là phương thức 2FA của bạn. Đây là danh mục MFA “những gì bạn có”. Có thể dễ dàng thấy điều đó sẽ nhanh hơn như thế nào so với việc bạn phải mở ứng dụng trình xác thực, tìm mã TOTP có liên quan và sau đó nhập mã đó trước khi đặt lại.
Cũng giống như các ứng dụng xác thực, có một số tùy chọn đáng kể khi nói đến phần cứng 2FA. Nổi bật nhất (và là người mà Google đã đồng hành cùng hơn 50.000 nhân viên) là YubiKey. Bản thân Google cũng có Khóa bảo mật Titan và Thetis là một công ty mạnh khác trên thị trường, nhưng tất cả các tùy chọn này đều được Chứng nhận FIDO U2F, một tiêu chuẩn mở do Google và Yubico (công ty đứng sau YubiKey) tạo ra vào năm 2007 để thúc đẩy việc áp dụng rộng rãi bảo mật xác thực.
Quá trình thiết lập cơ bản về cơ bản giống với phương pháp xác thực di động, bạn sẽ cần đi đến từng dịch vụ và làm theo hướng dẫn để thiết lập 2FA. Thay vì quét mã QR và nhận mã TOTP, bạn sẽ cắm hoặc vuốt khóa bảo mật của mình khi được nhắc và sau đó nó sẽ được đăng ký với dịch vụ đó. Khi được nhắc trong tương lai, bạn sẽ chỉ phải một lần nữa plugin hoặc vuốt khóa bảo mật của mình và nhấn vào liên hệ trên đó. Nếu bạn không chắc mình sử dụng những dịch vụ và ứng dụng nào hỗ trợ khóa bảo mật, bạn có thể tham khảo danh mục hữu ích này từ Yubico.
Mối quan tâm phổ biến nhất với khóa bảo mật là phải làm gì nếu bạn làm mất hoặc bị hỏng. Có một số lựa chọn ở đó. Cách mà Google sử dụng và Yubico đề xuất là duy trì hai khóa bảo mật, một khóa được lưu trữ an toàn và một khóa khác mà bạn giữ bên mình. Ngoại trừ một số khóa bảo mật nhỏ được cắm cố định vào các thiết bị ở vị trí an toàn, tất cả các khóa bảo mật đều có lỗ để cho phép chúng được gắn vào vòng chìa khóa của bạn.
Điều này có nghĩa là bất cứ khi nào bạn đăng ký 2FA trên một dịch vụ mới, bạn cần chạy cả hai khóa bảo mật vì nó đang đăng ký vào phần cứng vật lý chứ không phải tài khoản, nhưng một lần nữa sau khi thiết lập ban đầu, điều này sẽ không thường xuyên xảy ra phát hành. Những thứ này không quá đắt với YubiKey 5 NFC, chẳng hạn như có giá 45 đô la và Khóa bảo mật Thetis FIDO2 BLE có sẵn với giá dưới 30 đô la và bạn sẽ không phải thay chúng trong nhiều năm, vì vậy đây không phải là một giải pháp tồi.
Cách khác là bạn cần giữ lại các mã dự phòng được cung cấp bởi tất cả các trang web và dịch vụ mà bạn sử dụng 2FA. Chúng có thể được in ra và lưu trữ ở một vị trí an toàn hoặc bạn có thể mã hóa và lưu trữ các tệp văn bản ở một nơi an toàn trong thư mục được khóa và mã hóa bằng mật khẩu hoặc trên ổ đĩa flash được lưu trữ an toàn.
Tổng quat
Bất kể bạn chọn giải pháp 2FA dựa trên ứng dụng hay dựa trên phần cứng, không có gì phải bàn cãi khi thiết lập ban đầu là một trong những trở ngại lớn nhất do số lượng lớn các trang web, dịch vụ và ứng dụng mà nhiều người trong chúng ta sử dụng. Tôi thấy dễ dàng hơn nếu chỉ làm 3-5 mỗi ngày cho đến khi tôi vượt qua tất cả chúng hơn là tham gia một buổi đăng ký marathon duy nhất.
Tuy nhiên, khi bạn đã hoàn tất quy trình ban đầu đó, đây là một bước bổ sung khá dễ dàng, cung cấp cho bạn sự bảo mật hơn rất nhiều so với mật khẩu một mình hoặc giải pháp 2FA dựa trên SMS hoặc email. Bạn có thể mất một chút thời gian đôi khi phải nhập mã hoặc bổ sung khóa bảo mật của mình, nhưng điều đó thật nhạt nhẽo so với sự đau đầu khi phải đối phó với việc ai đó đánh cắp thông tin đăng nhập của bạn và có khả năng đảo lộn cuộc sống của bạn khi bạn cố gắng để giành lại quyền kiểm soát tài khoản của bạn.
Với các công ty như PayPal, Google và những công ty khác chuyển sang 2FA theo yêu cầu, bạn sẽ cần một giải pháp 2FA. Đừng chấp nhận các giải pháp dựa trên SMS hoặc email, chúng chỉ đơn giản là quá dễ bị phá vỡ. Cả ứng dụng xác thực và khóa bảo mật phần cứng đều cung cấp bảo mật 2FA thực sự mạnh mẽ và sau quá trình thiết lập ban đầu đó, nó nhanh chóng trở thành một phần liền mạch trong thói quen bảo mật trực tuyến của bạn.