Chắc hẳn những câu hỏi như mã 2FA là gì? Tại sao lại phải lấy mã 2FA? Cách hoạt động và lợi ích của mã 2FA là gì? Có những phương thức xác thực 2FA nào là những câu hỏi được rất nhiều người quan tâm đúng không? Vậy thì trong bài viết ngày hôm nay hãy cùng mình tìm hiểu nhé!
Let’s go!
Xem thêm
- AMM là gì? Auto Market Maker (AMM) hoạt động như thế nào?
- LSDFi là gì? Liquid Staking xây dựng LSD Finance
Mã 2FA là gì?
Mã 2FA chính là mã OTP sử dụng nhằm để xác thực yếu tố thứ hai trong quy trình 2FA*, được gửi thông qua tin nhắn SMS, email, ứng dụng 2FA (như Google Authenticator, Authy)… khi đăng nhập hoặc thực hiện giao dịch.
*2FA (Two-Factor Authentication) chính là cách xác thực đề nghị cung cấp hai yếu tố riêng biệt nhằm để có thể bảo vệ tài sản, thông tin cá nhân của người sử dụng và đồng thời ngăn chặn tất cả những cuộc tấn công mạng. Trong đấy:
- Yếu tố đầu tiên: Là mật khẩu, thông tin này do người sử dụng đặt và tùy chỉnh.
- Yếu tố thứ hai: Là mã 2FA, thông tin này do hệ thống gửi.
Trong thị trường crypto, thông tin đăng nhập vào tài khoản ví, sàn giao dịch… có thể rất dễ bị đánh cắp và xâm hại qua môi trường internet. Vì thế cho nên, các sàn giao dịch, ví… thường đề nghị mã 2FA để tăng cường bảo mật và đảm bảo an toàn tuyệt đối cho tài sản người sử dụng.
Tại sao phải lấy mã 2FA?
Trong thời đại 4.0 như hiện tại, khi tất cả mọi giao dịch đều có thể thực hiện thông qua mạng internet, việc dùng mã 2FA để xác thực là một phương pháp hiệu quả để bảo vệ người sử dụng khỏi những mối hăm dọa nhắm vào thông tin đăng nhập tài khoản, điển hình như:
- Tấn công Brute Force: Hacker dùng phần mềm giúp đoán mật khẩu, private key… bằng phương pháp kết hợp nhiều ký tự khác nhau, và đồng thời thử cho đến khi đúng để có thể truy cập vào tài khoản người sử dụng.
- Tấn công Spyware: Hacker dùng Spyware để xâm nhập thiết bị và lấy thông tin cá nhân liên quan trực tiếp tới tài khoản, mật khẩu người sử dụng.
- Tấn công vi phạm dữ liệu*: Hacker dùng danh sách tên tài khoản (username) và mật khẩu đã bị rò rỉ trước đó (thông qua vụ vi phạm dữ liệu) để truy cập vào tài khoản khác của người dùng.
*Vi phạm dữ liệu (Data Breach, hay rò rỉ dữ liệu) chính là một cuộc tấn công mạng, xảy ra khi tin tặc truy cập trái phép và truy xuất thông tin nhạy cảm của một cá nhân, một nhóm hoặc hệ thống phần mềm.
Trong thực tế, hacker hoàn toàn có thể lợi dụng các vụ vi phạm dữ liệu để rao bán thông tin các cặp tài khoản & mật khẩu trên trang web ẩn (dark web), làm cho rất nhiều mật khẩu trở nên kém an toàn hơn rất nhiều. Theo như Báo cáo Điều tra về Vi phạm Dữ liệu năm 2017 của Verizon, phải có 81% vụ hack tài khoản đều liên quan trực tiếp tới việc mật khẩu bị rò rỉ thông qua các thương vụ mua bán này, hoặc do mật khẩu quá yếu (ví dụ: “passw0rd”) và dễ đoán.
Đặc biệt đó chính là đối với thị trường crypto, nơi tài sản người sử dụng được lưu trữ thông qua một private key, thì thiệt hại và hậu quả mà những cuộc vi phạm dữ liệu gây ra càng tệ hơn nữa. Vụ kiện LastPass là một ví dụ điển hình cho trường hợp này.
Tháng 8 năm 2022, LastPass (dịch vụ quản lý mật khẩu) thông báo rằng hệ thống của họ đã bị hacker tấn công vi phạm dữ liệu, gây rò rỉ tất cả những thông tin người sử dụng cung cấp trên LastPass.
Sau đấy, vào ngày mùng 3 tháng 1 năm 2023, người sử dụng John Doe đệ đơn kiện LastPass với cáo buộc rằng: Vụ vi phạm dữ liệu của LastPass đã làm cho Bitcoin trong ví của anh bị đánh cắp.
Thời điểm trước đó, John dùng Vault LastPass và thực hiện theo khuyến nghị về bảo mật an toàn của LastPass để lưu trữ thông tin private key của ví chứa Bitcoin (với tổng giá trị 53,000 USD). Sau thông báo về vụ rò rỉ, John nhanh chóng xóa thông tin trên Vault. Mặc dù vậy nhưng mà, John cho rằng hacker đã dùng dữ liệu private key bị rò rỉ và cướp hết tất cả số Bitcoin trong ví.
Có thể thấy những dịch vụ quản lý mật khẩu vẫn không đảm bảo tính bảo mật hoàn toàn cho thông tin và tài sản của người sử dụng. Vì thế cho nên, việc đề nghị xác thực 2FA mỗi khi giao dịch là điều cần thiết và quan trọng hơn hết đối với người sử dụng crypto.
Phương pháp hoạt động của 2FA
Một khi đã kích hoạt xác thực hai yếu tố cho bất kỳ website, tài khoản, ứng dụng… nào, người sử dụng sẽ bắt buộc cần phải cung cấp thêm mã 2FA mỗi khi cần:
- Đổi mật khẩu tài khoản.
- Thực hiện giao dịch chuyển, rút tiền.
- Đăng nhập tài khoản.
Quy trình xác thực 2FA cơ bản sẽ diễn ra theo những bước dưới đây:
Bước thứ nhất. Người sử dụng nhập thông tin đăng nhập bao gồm tên tài khoản (username) và mật khẩu.
Bước thứ hai. Mã 2FA sẽ được gửi cho người sử dụng thông qua tin nhắn SMS, email, ứng dụng xác thực 2FA… nhằm để xác thực người đăng nhập là chủ tài khoản.
Bước thứ ba. Người sử dụng nhập mã 2FA lên website, ứng dụng, tài khoản… và truy cập thành công.
Lợi ích của mã 2FA
Việc xác thực thông qua mã 2FA đem lại lợi ích cho cả người sử dụng và các doanh nghiệp hay nhà cung cấp dịch vụ như sàn giao dịch, ví… Có thể kể đến một số lợi ích của 2FA như sau:
- Giảm rủi ro gian lận và vi phạm dữ liệu.
- Tăng độ tin cậy của người sử dụng đối với nhà cung cấp dịch vụ.
- Tăng cường bảo mật cho tài khoản người sử dụng.
- Giảm chi phí vận hành cho các doanh nghiệp trong việc bảo mật dữ liệu người dùng (so với các phương pháp xác thực sinh trắc học).
Không chỉ dừng lại ở đó tính chất của thị trường crypto là không chịu sự quản lý của cơ quan nhà nước, dẫn tới việc thiếu quy định và giám sát đối với các giao dịch, làm cho tiền điện tử dễ bị tấn công và đánh cắp hơn rất nhiều.
Vì thế cho nên, việc càng ngày càng có nhiều ứng dụng crypto (như sàn giao dịch tập trung, ví tiền điện tử…) triển khai tính năng xác thực 2FA cho thấy họ đang cố gắng thực hiện các biện pháp bảo vệ tài sản người sử dụng. Điều này góp phần giúp nâng cao độ uy tín cho các sản phẩm dịch vụ nói riêng và thị trường nói chung.
Những phương thức xác thực 2FA
Tin nhắn SMS hoặc giọng nói
Phương pháp 2FA này đề nghị tương tác trực tiếp đối với điện thoại di động của người sử dụng.
Sau khi nhập thông tin đăng nhập, hệ thống sẽ gửi mã 2FA tới số điện thoại đã đăng ký thông qua tin nhắn văn bản hoặc cuộc gọi để đọc mã. Người sử dụng sau đấy bắt buộc cần phải nhập OTP để có quyền truy cập vào tài khoản.
Mặc dù vậy nhưng mà, xác thực 2FA thông qua SMS và giọng nói đang càng ngày càng trở nên kém bảo mật hơn. Bởi các hacker có thể dùng cách tinh vi gọi là SIM Swapping* để chiếm quyền kiểm soát số điện thoại của người sử dụng, và chiếm đoạt tài khoản liên kết với số điện thoại đó.
*SIM Swapping (hoán đổi SIM) chính là hình thức tấn công trong đó kẻ xấu lợi dụng lỗ hổng từ nhà mạng, hoặc nhân viên nhà mạng để chiếm số điện thoại của nạn nhân.
Ứng dụng xác thực 2FA
Từ trước cho đến nay đây chính là phương pháp 2FA nổi tiếng nhất. Người sử dụng hoàn toàn có thể dùng ứng dụng xác thực 2FA trên điện thoại hoặc máy tính để tạo mã 2FA thông qua thuật toán Timed One-Time Passwords (TOTP).
Thuật toán này cho phép ứng dụng tạo các mã OTP liên tục sau mỗi khoảng thời gian nhất định (30 hoặc 60 giây), với lưu ý rằng mỗi mã chỉ có hiệu lực trong thời gian đó.
Sau đây mình sẽ cung cấp cho anh em một số ứng dụng xác thực 2FA nổi tiếng:
- Google Authenticator (GA): Ứng dụng xác thực 2FA nổi tiếng do Google phát triển.
- Authy: Ứng dụng xác thực 2FA có khả năng đồng bộ hóa qua nhiều thiết bị và sao lưu mã, tránh việc người sử dụng bị mất quyền truy cập tài khoản trong trường hợp mất điện thoại.
- Microsoft Authenticator: Ứng dụng xác thực 2FA được phát triển bởi Microsoft. Ngoài việc hỗ trợ TOTP, nó còn có khả năng xác thực sinh trắc học với dấu vân tay và nhận dạng khuôn mặt.
Những hình thức khác
Bên cạnh đó vẫn còn có một vài hình thức xác thực 2FA khác có thể kể đến như:
- Thông báo đẩy: Các trang web và ứng dụng sẽ gửi thông báo đẩy trực tiếp cho người sử dụng khi có yêu cầu xác thực. Đây chính là hình thức xác thực không cần tương tác thêm, không cần mật khẩu và không cần nhập mã, chỉ cần trả lời “Có” hoặc “Không”.
- Khoá bảo mật (Hardware token): Mã xác minh 2FA được cung cấp trên thiết bị vật lý như
- Xác thực sinh trắc học (Biometric 2FA): Phương thức xác thực 2FA bằng dấu vân tay, nhận diện khuôn mặt hoặc giọng nói. Tất cả những thiết bị di động hiện đại thường hỗ trợ ít nhất một hình thức xác thực sinh trắc học.
Cách lấy mã 2FA
Trong bài viết ngày hôm nay sẽ hướng dẫn nhanh phương pháp kích hoạt xác thực hai yếu tố và lấy mã 2FA cho các ứng dụng nổi tiếng như Google, Telegram, Facebook.
Sau đấy chính là những bước lấy mã 2FA trên Facebook:
Bước thứ nhất. Mở ứng dụng Facebook, chọn Cài đặt & quyền riêng tư.
Bước thứ hai. Chọn Cài đặt, sau đó Bảo mật và đăng nhập.
Bước thứ ba. Trong mục Xác thực 2 yếu tố, chọn sử dụng tính năng xác thực 2 yếu tố.
Bước thứ tư. Chọn phương thức bảo mật là Ứng dụng xác thực.
Bước thứ năm. Nhập chuỗi mã hiển thị trên Facebook vào ứng dụng xác thực để liên kết tài khoản.
Như thế là người sử dụng đã kích hoạt 2FA trên Facebook thành công và có thể lấy mã 2FA Facebook khi có yêu cầu xác thực.
Những bước lấy mã 2FA trên Google:
Bước thứ nhất. Truy cập trang Cài đặt tài khoản và đăng nhập vào tài khoản Google.
Bước thứ hai. Trong Bảo mật, ở phần Cách bạn đăng nhập vào Google, chọn Xác minh 2 bước và Bắt đầu.
Bước thứ ba. Nhập mật khẩu và mã capcha nhận được, sau đó chọn Tiếp theo.
Bước thứ tư. Chọn Tiếp tục để Google thiết lập xác minh dựa trên điện thoại của bạn. Sau đó nhập số điện thoại, chọn hình thức nhận mã và Gửi.
Bước thứ năm. Sau khi đã có mã xác minh, nhập mã và bấm Tiếp theo.
Bước thứ sáu. Chọn Bật để kết thúc quá trình kích hoạt xác minh 2 lớp.
Telegram
Sau đây chính là những bước lấy mã 2FA trên Telegram:
Bước thứ nhất. Mở ứng dụng Telegram và đăng nhập tài khoản, chọn Setting.
Bước thứ hai. Chọn Privacy and Security, sau đó chọn Two-Step Verification.
Bước thứ ba. Điền mật khẩu và chọn Set Password để tạo mã khoá bảo mật cho Telegram khi truy cập trên thiết bị khác.
Bước thứ tư. Điền mã khoá 2 lần ở ô Create Password và Re-enter Password, sau đấy thì điền gợi ý mật khẩu và email để khôi phục lại mã bảo mật Telegram, trong trường hợp người sử dụng không nhớ mã khoá đó.
Như thế là người sử dụng đã kích hoạt 2FA trên Telegram thành công. Khi đăng nhập Telegram ở thiết bị khác, người sử dụng sẽ được yêu cầu nhập mã xác minh gửi trong ứng dụng Telegram hoặc qua SMS.
Nếu như anh em có chỗ nào chưa hiểu thì hãy comment ở phía dưới bài viết nhé! Mình sẽ giải đáp những thắc mắc cho anh em. Và đừng quên chia sẻ bài viết cho những anh em khác cùng biết nhé!