Xác thực hai yếu tố, giải thích dễ hiểu

Xác thực hai yếu tố là cài đặt bảo mật có tác động lớn nhất mà hầu hết mọi người chưa bật. Số liệu công bố của Microsoft cho biết nó chặn hơn 99% các vụ chiếm đoạt tài khoản tự động. Vậy mà nó vẫn mang tiếng là phiền — một phần vì ba loại phổ biến ("mã SMS", "ứng dụng xác thực", "khóa bảo mật") thường được nói tới như thể chúng có thể thay thế cho nhau. Không phải vậy. Dưới đây là phiên bản thực tế.

2FA thực sự làm gì

Mật khẩu rò rỉ liên tục. Dump cơ sở dữ liệu, trang phishing, malware trình duyệt, dùng lại mật khẩu — có quá nhiều cách khiến mật khẩu của bạn lọt vào bảng tính của ai đó. 2FA bổ sung lớp kiểm tra thứ hai gắn với thứ bạn có, không chỉ thứ bạn biết. Kẻ tấn công đánh cắp mật khẩu của bạn còn phải đánh cắp luôn yếu tố thứ hai đó, theo thời gian thực, trên cùng thiết bị — khó hơn rất nhiều.

SMS 2FA

Một mã sáu chữ số đến qua tin nhắn. Bạn gõ vào. Đây là loại dễ dùng nhất vì điện thoại nào cũng có, và cũng vì vậy nó là mức bảo mật tối thiểu chấp nhận được: đủ để chặn bot dò mật khẩu, nhưng dễ bị tấn công SIM-swap (kẻ tấn công thuyết phục nhà mạng chuyển số của bạn) và bị nghe lén SMS âm thầm trên các mạng yếu.

Phù hợp với: tài khoản giá trị thấp khi bạn không muốn cài thêm ứng dụng. Diễn đàn, trang mua sắm, danh sách email.

Không phù hợp với: email, ngân hàng, cổng dịch vụ chính phủ, bất cứ thứ gì điều khiển các tài khoản khác.

Ứng dụng xác thực (TOTP)

Các ứng dụng như Google Authenticator, 1Password, Bitwarden và Authy sinh ra một mã sáu chữ số mới mỗi 30 giây, xuất phát từ một bí mật chỉ lưu trên thiết bị của bạn. Không có SMS, không có nhà mạng nào tham gia — mã hoạt động offline. Tấn công phishing lấy được mật khẩu và một mã vẫn có thể thành công, nhưng SIM-swap không còn liên quan nữa.

Mẹo cài đặt: khi trang web hiển thị mã QR, hãy lưu lại cả chuỗi seed dạng văn bản (hầu hết ứng dụng xác thực đều có thể xuất). Nếu bạn mất điện thoại mà không có seed và không có mã khôi phục, bạn sẽ phải đặt lại mọi tài khoản từ đầu.

Phù hợp với: gần như mọi thứ. Hầu hết nhà cung cấp email, nền tảng xã hội, sàn crypto và công cụ lập trình đều hỗ trợ TOTP, và nó miễn phí.

Khóa bảo mật (FIDO2 / WebAuthn / passkey)

Một khóa USB hoặc NFC (YubiKey, Titan, gần đây có cả "passkey" tích hợp vào keychain của iOS và Android) ký yêu cầu đăng nhập bằng mật mã. Quan trọng là, nó gắn với tên miền của trang — một trang phishing trông giống y trang thật sẽ không thể nhận được chữ ký. Đây là phương thức 2FA phổ biến duy nhất đánh bại được các trang phishing được làm tốt.

Phù hợp với: email chính, password manager, bất cứ thứ gì bạn không thể đánh mất. Mua hai khóa; đăng ký cả hai; cất một trong ngăn kéo.

Số tạm thời phù hợp ở đâu

Số SMS tạm thời rất tốt cho bước đăng ký ban đầu, nhưng không phù hợp để làm SMS 2FA lâu dài — khi bạn cần nhận mã thì số đã quay về kho. Thực hành tốt nhất: đăng ký bằng số tạm thời, lập tức cài TOTP trong cài đặt bảo mật của tài khoản, và lưu mã khôi phục ở nơi an toàn. Sau đó số tạm thời có thể biến mất.

Mã khôi phục đáng được nhắc tới

Gần như mọi màn hình cài đặt 2FA đều cung cấp danh sách mã khôi phục dùng một lần. Hãy in ra hoặc lưu trong password manager. Đó là cách bạn quay lại nếu mất hết thiết bị. Đừng bỏ qua bước này — khôi phục tài khoản khi không có chúng thường đòi giấy tờ tùy thân mất hàng tuần.

Gợi ý nhanh

• Email và password manager: khóa bảo mật trước, TOTP dự phòng.
• Ngân hàng, sàn giao dịch, broker: chọn mức cao nhất họ cung cấp.
• Mạng xã hội, công cụ dev, SaaS công việc: TOTP.
• Diễn đàn ngẫu nhiên đòi số điện thoại: SMS tạm thời, sau đó TOTP sau khi đăng ký.