Skip to main content
Surveillance
Self-Defense

Làm thế nào: Dùng Xác Minh Hai Yếu Tố

Cập nhật lần cuối: September 07, 2017

This page was translated from English. The English version may be more up-to-date.

Xác minh hai yếu tố (hoặc “2FA” – 2-Factor Authentication) là cách để người dùng nhận diện mình với một dịch vụ bằng một kết hợp của hai phương pháp xác minh khác nhau. Các cách này có thể là cái gì đó mà người dùng biết (như mật khẩu hay số PIN), cái gì đó mà người dùng đang có trong tay (như một thiết bị an ninh hoặc điện thoại di động), hoặc cái gì đó thuộc về người dùng và không tách rời được (như dấu vân tay của bạn).

Bạn có lẽ đã dùng qua xác minh hai yếu tố đâu đó trong cuộc đời. Khi bạn rút tiền mặt từ máy rút tiền tự động (ATM) của nhà băng, bạn phải có cả thẻ nhà băng (thứ mà bạn có trong tay) và số PIN (thứ mà bạn biết). Tuy nhiên hiện giờ nhiều dịch vụ trên mạng chỉ dùng có một yếu tố mặc định để nhận diện người dùng - mật khẩu.

2FA hoạt động như thế nào trên mạng? anchor link

Trong những năm vừa qua, nhiều dịch vụ trên mạng – kể cả Facebook, Google, và Twitter – đã cung ứng 2FA thay cho xác minh chỉ dùng mật khẩu. Khi chức năng này được kích hoạt, người dùng sẽ được hỏi cả mật khẩu lẫn một cách xác minh thứ nhì, thường là một mã số nhất thời gửi qua SMS hoặc một mã số nhất thời do các ứng dụng di động tạo ra (như Google Authenticator, Duo Mobile, ứng dụng Facebook, hoặc Clef). Trong cả hai trường hợp, yếu tố thứ nhì là điện thoại di động của người dùng, vật mà họ (thường) có trong tay. Một số trang web (kể cả Google) còn hỗ trợ mã số dự phòng có thể lấy xuống và in ra trên giấy cất giữ nơi an toàn để làm dự phòng. Một khi người dùng đã chọn dùng 2FA, họ sẽ cần điền mật khẩu và một mã số nhất thời từ điện thoại của họ để truy cập vào tài khoản.

Tại sao tôi nên sử dụng 2FA? anchor link

2FA giúp tài khoản của bạn an toàn hơn khi đòi hỏi bạn phải xác minh danh tính của mình bằng hai phương pháp trở lên. Điều này có nghĩa là, ngay cả khi có ai đó có được mật khẩu của bạn, họ cũng không vào được tài khoản trừ khi họ cũng có điện thoại di động của bạn, hoặc có thêm phương pháp xác minh thứ nhì.

Có những bất lợi gì khi dùng 2FA? anchor link

Mặc dầu 2FA giúp xác minh an toàn hơn, cũng có rủi ro là người dùng không vào được tài khoản, chẳng hạn như khi người dùng lạc hay mất điện thoại, đổi thẻ SIM , hoặc đi đến một quốc gia khác mà không mở điện thoại sang chế độ roaming (chuyển vùng dữ liệu ).

Nhiều dịch vụ 2FA có cung cấp một danh sách ngắn mã số “dự phòng” hay “phục hồi”. Mỗi mã số chỉ có hiệu lực một lần để đăng nhập vào tài khoản của bạn, và sau đó là hết hiệu lực. Nếu bạn lo âu về việc làm lạc mất điện thoại hoặc những thiết bị xác minh khác, bạn nên in ra và mang theo danh sách các mã số này. Chúng vẫn hữu hiệu trong vai trò “vật mà bạn có trong tay”, nhưng chỉ khi bạn có một bản duy nhất và giữ chúng an toàn. Nhớ phải thật cẩn thận để giữ các mã số này an toàn và bảo đảm là không ai khác thấy hay truy cập được chúng. Nếu bạn đã dùng hết hoặc làm mất các mã dự phòng, bạn có thể tạo ra danh sách mới nếu có thể đăng nhập vào lại tài khoản của bạn.

Một vấn đề khác với hệ thống 2FA dùng tin nhắn SMS là tin nhắn SMS không an toàn. Rất có thể cho kẻ tấn công tinh vi (như cơ quan tình báo hay các tổ chức tội phạm) truy cập được vào mạng điện thoại để chặn bắt và dùng mã số gửi đi bằng SMS. Đã có trường hợp mà kẻ tấn công không tinh vi lắm (một cá nhân nào đó) xoay sở để chuyển tiếp cú gọi hoặc tin nhắn từ một số điện thoại đến số của họ, hoặc truy cập vào dịch vụ công ty điện thoại để xem tin nhắn gửi đến một số điện thoại mà không cần phải có điện thoại đó trong tay.

Nếu bạn lo lắng về lối tấn công này, tắt cách xác minh qua SMS, và dùng ứng dụng xác minh như Google Authenticator hoặc Authy. Rất tiếc là chức năng này không sẵn có với mọi dịch vụ 2FA.

Ngoài ra, dùng 2FA còn có nghĩa là bạn trao nhiều thông tin cho một dịch vụ hơn là bạn muốn. Giả sử như bạn là người dùng Twitter và lúc đăng ký bạn dùng một bí danh . Ngay cả khi bạn rất cẩn thận tránh đưa cho Twitter những thông tin về danh tính của bạn, và ngay cả khi bạn truy cập vào dịch vụ qua Tor hay qua VPN, nếu bạn kích hoạt 2FA bằng SMS thì Twitter sẽ có hồ sơ số điện thoại của bạn. Điều đó có nghĩa là, nếu có trát tòa, Twitter có thể suy ra tài khoản của bạn có số điện thoại đó. Nếu bạn dùng tên thật thì đây không phải là vấn đề, nhưng nếu giữ ẩn danh là điều quan trọng thì bạn phải suy nghĩ lại về việc dùng 2FA bằng SMS.

Cuối cùng, nghiên cứu cho thấy rằng một số người dùng chọn dùng mật khẩu yếu hơn sau khi kích hoạt 2FA, vì cảm thấy là yếu tố thứ nhì giúp họ được an toàn. Phải bảo đảm là bạn vẫn chọn mật khẩu cứng cáp ngay cả khi kích hoạt 2FA. Xem hướng dẫn Tạo Mật Khẩu Mạnh để biết thêm.

Làm sao tôi kích hoạt 2FA? anchor link

Điều này tùy theo từng dịch vụ và nền tảng, cũng như tên gọi.  Trang https://twofactorauth.org/ có liệt kê rất nhiều các trang mạng hỗ trợ 2FA. Đối với một số dịch vụ phổ thông, bạn có thể xem bài viết “12 Days of 2FA” (12 ngày của Xác minh 2 yếu tố), để được hướng dẫn cách kích hoạt 2FA cho Amazon, Bank of America, Dropbox, Facebook, Gmail và Google, LinkedIn, Outlook.com và Microsoft, PayPal, Slack, Twitter, và Yahoo Mail.

Nếu bạn muốn bảo vệ chặt chẻ hơn chống lại việc mật khẩu bị đánh cắp, xem danh sách đó và mở chức năng 2FA lên cho tất cả các tài khoản mạng quan trọng của bạn.