Xác thực hai yếu tố đang được coi như một biện pháp hữu hiệu để bảo vệ tài khoản trên Internet. Vì vậy, xác thực hai yếu tố cần được sử dụng một cách hợp lý và hiệu quả nhằm tối ưu hoá tác dụng bảo mật.
Xác thực hai yếu tố hay 2FA được hiểu ngắn gọn là phương thức bảo mật hai lớp, trong đó, khi người dùng đăng nhập tài khoản trên một thiết bị, sẽ phải xác thực việc đăng nhập trên một thiết bị khác. Bước xác thực đăng nhập có thể được thực hiện bằng nhiều cách, ví dụ như: qua tin nhắn sms hay email, qua phần mềm chuyên dụng hoặc bằng sinh trắc học, khoá vật lý,… theo cài đặt của người dùng hoặc yêu cầu của bên cung cấp tài khoản dịch vụ.
Nguồn: istock photo
2FA cho thấy những ưu điểm trong việc bảo vệ tài khoản trên Internet. Điển hình là cách thức hoạt động của 2FA, với việc tạo ra hai lớp bảo mật giúp ngăn chặn được việc bị xâm nhập, chiếm quyền truy cập vào tài khoản. Khi người dùng đăng nhập vào tài khoản trên một thiết bị, để truy cập thành công, sẽ phải cần đến một mật mã được gửi đến bằng SMS hay email hoặc phải dùng đến những phương thức xác thực khác như vân tay, khuôn mặt hay phải ấn chấp nhận trên một thiết bị thứ 2 hoặc trong một số trường hợp cho phép, người dùng có thể sử dụng khoá USB chuyên dụng để thực hiện mở lớp bảo mật thứ 2. Điều này sẽ làm cản trở đến những ai có ý định truy cập trái phép vào tài khoản.
Ngoài ra, khi tài khoản được cài đặt 2FA người dùng thường sẽ được thông báo bằng email khi có đăng nhập từ thiết bị lạ, đặc biệt là đối với những tài khoản mạng xã hội như Facebook. Từ đó giúp phát hiện và chặn đứng những xâm nhập, tấn công từ kẻ xấu. Bên cạnh đó, tính năng thông báo đăng nhập tại địa điểm lạ hoặc thông tin thiết bị đăng nhập không chỉ ngăn chặn việc chiếm quyền truy cập tài khoản mà còn có thể giúp ích trong trường hợp thiết bị có duy trì đăng nhập tài khoản bị thất lạc. Thêm vào đó, một số ứng dụng, website hiện nay cung cấp tính năng đăng nhập rút gọn cho phép quét mã QR hoặc nhập mã được gửi đến một thiết bị khác mà không cần đến thao tác nhập mật khẩu. Điều này vừa giúp cho việc đăng nhập vào tài khoản vừa nhanh chóng vừa đảm bảo được an toàn.
Tuy nhiên, 2FA cũng có những điểm bất cập. Thứ nhất, việc phải sử dụng một thiết bị khác để mở lớp bảo mật thứ 2 trong một vài trường hợp sẽ làm cho việc đăng nhập tốn nhiều thời gian và có thể sẽ không thực hiện được việc đăng nhập. Dựa vào nguyên lý hoạt động của 2FA, người dùng sẽ phải lấy mã xác thực hoặc dùng một phương pháp khác chứng minh việc đăng nhập như sinh trắc học hay sử dụng khoá USB. Trong trường hợp người dùng cần phải đăng nhập tài khoản để làm việc gấp, điều này sẽ cản trở lại chính người dùng. Ngoài ra, trong trường hợp xấu nhất phải kể đến, khi người dùng làm thất lạc thiết bị xác thực khiến cho việc đăng nhập trở nên vô hiệu hoá.
Nguồn: techtarget.com
Thứ hai, mã xác thực gửi qua tin nhắn SMS hoặc email có thể gặp trục trặc. Trong trường hợp gặp vấn đề về đường truyền hay gặp lỗi kỹ thuật khác, người dùng có thể sẽ phải mất thời gian chờ mã xác thực được gửi tới. Việc này có thể khiến người dùng phải nhấn yêu cầu gửi mã xác thực nhiều lần, làm kéo dài thời gian đăng nhập vào tài khoản. Không những thế, người dùng còn có thể gặp phải lỗi không nhận được mã xác thực khiến cho không thể thực hiện được việc đăng nhập. Lỗi xác thực ở bước thứ 2 không chỉ xảy ra ở phương thức nhận mã OTP mà còn xuất hiện khi người dùng chọn xác thực bằng sinh trắc học. Trong một vài trường hợp, khi người dùng đăng nhập sử dụng vân tay hoặc quét khuôn mặt, giọng nói trên thiết bị đã gặp lỗi không thể đăng nhập vào tài khoản khiến cho việc đăng nhập bị trì hoãn hoặc người dùng phải cần đến một phương thức dự phòng để mở khoá và đăng nhập.
Thứ ba, người dùng có thể có nguy cơ bị xâm nhập tài khoản trong quá trình xác thực. Trong một vài trường hợp, kẻ xấu vẫn có thể lợi dụng kẽ hở để tấn công, chiếm tài khoản ở bước xác thực. Tội phạm mạng đã thay đổi nhiều thủ đoạn tinh vi hòng đánh cắp được mã xác thực từ tin nhắn SMS hoặc từ email của người dùng. Ngay cả khi người dùng sử dụng phương thức sinh trắc học để tạo lớp bảo vệ thứ 2, cũng có thể bị phá bỏ nếu như không may thiết bị có chứa tài khoản đăng nhập bị thất lạc.
Sử dụng xác thực hai yếu tố một cách hợp lý và hiệu quả
Mặc dù 2FA còn tồn tại những mặt nhược điểm, tuy nhiên, tính năng này vẫn được tối ưu hoá được hết khả năng bảo mật nếu như được sử dụng một cách có hiệu quả và hợp lý nhất.
Lựa chọn phương thức xác thực phù hợp
Để tối ưu hoá tính an toàn cho tài khoản, người dùng nên chú ý đến phương thức xác thực phù hợp với điều kiện và khả năng.
Hiện nay, phương thức xác thực được yêu cầu và lựa chọn chủ yếu là nhận mã OTP qua tin nhắn SMS. Tuy nhiên, phương thức này trong một vài trường hợp lại có thể trở thành công cụ cho kẻ xấu tấn công, chiếm tài khoản nếu như người dùng không may để lộ lọt mã xác thực hoặc thiết bị nhận mã xác thực có nguy cơ mất an toàn. Trong trường hợp đó, người dùng nên xem xét khả năng bảo mật của tài khoản cũng như thiết bị sử dụng để mở lớp khoá thứ 2, từ đó có thể lựa chọn phương thức khác an toàn và phù hợp hơn với chính người dùng ví dụ như: khoá USB hay sinh trắc học.
Kết hợp các phương thức
Một số phần mềm ứng dụng, website đa dạng về tính năng xác thực cho người dùng lựa chọn. Trong đó, người dùng có thể được cài đặt một tính năng dự phòng song song với tính năng đã lựa chọn ưu tiên.
Điển hình, Facebook cho phép người dùng cài đặt 2FA với việc nhận mã OTP qua tin nhắn SMS đồng thời cũng cho người dùng lựa chọn thêm các phương án dự phòng như sử dụng ứng dụng xác thực, mã khôi phục hay khoá bảo mật. Để tăng cường tính bảo mật cho tài khoản, người dùng có thể sử dụng một hoặc nhiều phương án dự phòng kết hợp với phương án ưu tiên. Điều này cũng giúp cho việc đăng nhập được thành công trong trường hợp có lỗi xảy ra, người dùng không thể nhận được mã xác minh hoặc không thể thực hiện xác thực tài khoản ở bước thứ 2 bằng phương án ưu tiên khác.
Kiểm tra thường xuyên và cập nhật
Có nhiều người dùng bật tính năng 2FA và chọn phương thức yêu cầu nhận mã OTP qua SMS hoặc email nhưng lại quên cập nhật lại khi thay đổi số điện thoại hoặc chuyển sang dùng một email mới. Điều này làm cản trở việc đăng nhập do người dùng không thể nhận được mã xác thực. Vì vậy, khi thay đổi số điện thoại hoặc email, người dùng cần vào phần cài đặt cập nhật lại số điện thoại hoặc email mới. Thêm vào đó, nếu người dùng thay đổi thiết bị có chứa phần mềm nhận mã xác thực như: Google Authenticator, Authy,… người dùng nên xoá phần mềm trên thiết bị cũ và cài đặt lại trên thiết bị mới. Trong trường hợp người dùng sử dụng khoá USB và chiếc khoá này không may bị mất, người dùng cần gỡ bỏ và thay thế bằng một phương thức xác thực khác.
Bảo vệ mã xác thực và thiết bị xác thực
Cách hữu hiệu nhất để tránh tạo kẽ hở để bị xâm nhập tài khoản ở lớp bảo mật thứ 2, người dùng cần chủ động trang bị những kiến thức nhằm tránh để lộ lọt mã xác thực. Nếu sử dụng khoá USB hay một thiết bị khác nhằm xác thực tài khoản, người dùng cần cẩn trọng bảo vệ những thiết bị này, hạn chế việc bị thất lạc hoặc hư hỏng.