VnReview
Hà Nội

Xác thực 2 yếu tố là gì?

Twitter vừa áp dụng xác thực bảo mật 2 yếu tố. Apple gần đây cũng đã làm điều này. Trước đó có Google, Microsoft và Amazon. Vậy tại sao xác thực bảo mật 2 yếu tố lại quan trọng? Và liệu nó sẽ giúp cho bạn an toàn?

Xác thực 2 yếu tố, hay còn được viết tắt là 2FA (Two-factor authentication), sẽ bổ sung một bước vào thủ tục đăng nhập của bạn. Nếu không có 2FA, việc đăng nhập của bạn chỉ đơn thuần là nhập Username và Password - thứ duy nhất bảo mật cho tài khoản của bạn. Do đó việc thêm một lớp bảo vệ nữa về lí thuyết sẽ làm cho tài khoản của bạn trở nên an toàn hơn.

Theo ông Jon Oberheide, một chuyên gia về xác thực 2 yếu tố và là đồng sáng lập cũng như Giám đốc công nghệ của Duo Security - một hãng sử dụng các ứng dụng để xác minh danh tính: "Twitter đã quyết định sử dụng tin nhắn SMS (để xác nhận yếu tố thứ 2) bởi lẽ nó phù hợp với trường hợp của họ. Do SMS quá phổ biến nên tất cả những gì bạn cần là một chiếc điện thoại".

Jim Fenton, Giám đốc an ninh tại OneID, một hệ thống thay thế mật khẩu doanh nghiệp cho biết: "Tài khoản Twitter là một mục tiêu có giá trị cao và nó cần phải có một phương thức bảo vệ như 2FA".

Và đây là tóm tắt những câu hỏi thường gặp về 2FA, làm thế nào nó giúp bạn bảo vệ tài khoản và những hạn chế của nó.

Xác thực 2 yếu tố là gì?

Xác thực 2 yếu tố là thứ sẽ bổ sung thêm một mức độ xác thực thứ 2 trong thông tin đăng nhập tài khoản. Khi bạn chỉ phải nhập tên người dùng và một mật khẩu để đăng nhập, thì đó là xác thực 1 yếu tố. 2FA đòi hỏi người sử dụng phải có 2 trong số 3 loại thông tin quan trọng trước khi có thể truy cập tài khoản. Ba loại đó là:

·;      Một thứ mà bạn biết, ví dụ như mã PIN (Personal Identification Number), password.

·       Một thứ mà bạn sở hữu, ví dụ như thẻ ATM, điện thoại...

·       Một thứ mà bạn đang có, chẳng hạn quan trắc sinh học như dấu vân tay, giọng nói,..

Xác thực 2 lớp đã tồn tại bao lâu?

Thực ra 2FA không phải là thứ thực sự mới mẻ. Khi sử dụng thẻ ATM, bạn phải đút thẻ vào máy, nhập password để sử dụng, đó chính là một ví dụ về 2FA trong thực tế. Thế nhưng việc thực tế nó đã được sử dụng từ lâu không có nghĩa là nó có thể dễ dàng được thiết lập và sử dụng.

Xác thực 2 lớp có khó sử dụng?

Nó chắc chắn sẽ thêm vào một bước trong quá trình đăng nhập của bạn, tuỳ thuộc vào nhà cung cấp sản phẩm, giống như Twitter áp dụng với SMS, và sự bất tiện của nó phụ thuộc vào độ kiên nhẫn của bạn cũng như việc bạn sẵn sàng dành ra bao nhiêu thời gian để có một mức bảo mật cao và an toàn hơn cho tài khoản của mình.

Fenton nói rằng việc xác thực 2 yếu tố làm cho việc đăng nhập trở nên khó khăn hơn, nhưng nó không hẳn là một "Bức tường lớn".

"Một kẻ tấn công có thể thu thập cookie hay mã thông báo OAuth từ một trang web và về sau đó tách nó ra", ông nói. "Bởi vậy, 2FA là một điều tốt, nhưng nó sẽ khiến người dùng có nhiều trải nghiệm phức tạp hơn, ví dụ giống như bạn đăng nhập vào tài khoản của bạn trên điện thoại lần đầu tiên vậy".

Vậy xác thực 2 yếu tố sẽ bảo vệ được tôi chứ?

Đây là một câu hỏi không dễ trả lời về vấn đề bảo mật.

Sự thật là 2FA không thật sự đủ "khoẻ" để chống lại tin tặc. Một trường hợp nghiêm trọng liên quan đến việc hệ thống 2FA bị phá xảy ra vào năm 2011, khi công ty bảo mật RSA cho biết thẻ xác thực SecurlD của họ đã bị hack.

Fenton giải thích 2 mặt của vấn đề: "Điều mà tôi quan tâm như một người bảo vệ là mọi người không nhìn vào những gì là nguyên nhân của các mối đe doạ. 2FA có thể giảm nhẹ các nguy cơ đó, nhưng vẫn có thể xảy ra nhiều cuộc tấn công mạnh hơn nhằm vào nó".

Đồng thời ông cho biết, xác thực 2 yếu tố cung cấp sự bảo vệ tốt hơn nhiều so với việc không sử dụng nó. "Khi bạn làm cho việc tấn công vào tài khoản của mình trở nên khó khăn hơn, nghĩa là bạn đang vô hiệu hoá cả một quá trình tấn công của cộng đồng hacker".

Tại sao 2FA có thể bị tin tặc tấn công?

Để hack được 2FA, những kẻ xấu phải có được một trong 2 thành phần vật lý của việc đăng nhập, hoặc phải truy cập vào các tập tin cookie hoặc thẻ đặt trên thiết bị có cơ chế xác thực. Điều này có thể xảy ra theo nhiều cách, bao gốm cả lừa đảo, phần mềm độc hại hoặc lướt đầu thẻ tín dụng. Tuy nhiên vẫn còn một cách khác, đó là phục hồi tài khoản.

Một RSA key fob. (Ảnh: Qua Wikimedia Commons)

Phục hồi tài khoản giống như một công cụ để phá vỡ xác thực 2 yếu tố bởi nó "bỏ qua" 2FA hoàn toàn. Tuy vậy, vấn đề này không phải là không có giải pháp để khắc phục, hoặc ít nhất là các biện pháp khắc phục đã và đang được áp dụng.

Oberheide cho biết: "Tôi thấy quan trắc sinh học là một phương pháp thú vị để giải quyết vấn đề phục hồi. Nếu tôi bị mất điện thoại của tôi, nó sẽ "mất luôn" sau khi được người khác phục hồi tài khoản. Nhưng nếu như có một phương pháp quan trắc sinh học để phục hồi tài khoản, với mật mã là giọng nói của tôi hay một thứ tương tự thì nó sẽ trở thành một cơ chế rất hợp lý có thể sử dụng để phục hồi".

Về cơ bản, ông muốn sử dụng một dạng của 2FA để làm cơ chế bảo vệ, đồng thời sử dụng 1 cơ chế 2FA khác làm cơ chế phục hồi, để bảo vệ toàn diện hơn cho tài khoản.

Vậy cái gì sẽ xuất hiện kế tiếp 2FA?

Khi mà xác thực 2 yếu tố trở nên phổ biến hơn, nhiều khả năng sẽ có nhiều hơn các cuộc tấn công chống lại nó, đó là bản chất của thế giới bảo mật máy tính. Tuy vậy, việc trở nên phổ biến hơn sẽ làm nó trở nên dễ dàng hơn trong việc sử dụng.

Fenton lưu ý rằng việc áp dụng 2FA tăng lên sẽ mở ra cơ hội để hoàn thiện công nghệ: "Liệu chúng ta có nên lên kế hoạch ngay từ bây giờ để thiết kế một cái gì đó có đủ khả năng mở rộng đến lượng lớn các website? Có vẻ như 2FA đang thực sự bùng nổ vào thời điểm này".

Mặc dù vẫn còn nhiều tồn tại, Oberheide vẫn rất lạc quan về 2FA: "Nếu chúng ta có thể tăng cường bảo mật và khả năng sử dụng của 2FA cùng một lúc, đó thực sự là một đích đến lớn lao mà chúng ta có thể đạt được".

Minh Tuấn

Theo Cnet

Chủ đề khác