Tại sao bạn nên sử dụng ứng dụng xác thực? Câu trả lời rất đơn giản, đó là vì những ứng dụng này giúp cho tài khoản của bạn được bảo mật tốt hơn nhiều.

Dưới đây là là những lý do cụ thể hơn. Nhìn chung, chỉ dùng mật khẩu là một cách kém hiệu quả trong việc bảo vệ tài khoản trực tuyến. Nguyên nhân là do hầu hết người dùng không sử dụng các phương pháp tạo mật khẩu an toàn. Thay vào đó, mọi người thường chọn những mật khẩu yếu, không những dễ nhớ mà còn dễ đoán. Người dùng cũng thường sử dụng cùng một mật khẩu cho nhiều trang web. Mật khẩu ngắn cũng là một vấn đề vì sớm hay muộn nó cũng bị bẻ khóa.

Giải pháp đó là sử dụng trình quản lý mật khẩu tạo mật khẩu dài, phức tạp và ghi nhớ mật khẩu giúp bạn. Cách làm này có thể giải quyết cả vấn đề mật khẩu yếu và mật khẩu được tái sử dụng. Tuy nhiên, mật khẩu có thể vẫn dễ bị tấn công vì nhiều nguyên nhân. Ed Bott, một phóng viên cho trang công nghệ ZDNet giải thích: “Bạn có thể tạo một mật khẩu rất dài và phức tạp và mất đến 5 phút để đăng nhập. Tuy nhiên, mật khẩu này sẽ không thể bảo vệ bạn nếu dịch vụ mà bạn đăng nhập lưu trữ mật khẩu không đúng cách, từ đó dẫn đến máy chủ bị xâm nhập. Đây là chuyện thường xuyên xảy ra.” Ngoài ra, còn có các mối đe dọa liên quan đến các cuộc tấn công lừa đảo, gạt người dùng cung cấp thông tin đăng nhập, và phần mềm độc hại có thể lấy đánh cắp thông tin đăng nhập của người dùng trên các trang web. Như vậy, không có mật khẩu nào được bảo mật tuyệt đối.

Đây là lý do tại sao an ninh mạng thực sự mạnh mẽ đòi hỏi phải tạo ra được các lớp bảo mật. Nếu một lớp bảo mật này bị hỏng, thì một lớp bảo mật khác sẽ được áp dụng để ngăn chặn cuộc tấn công. Một phương pháp để tăng hiệu quả bảo mật cho một trang web là sử dụng xác thực hai yếu tố, hay 2FA.

2FA là gì và tại sao tôi cần sử dụng 2FA?

Xác thực hai yếu tố (Two-Factor Authentication -2FA) hoạt động bằng cách yêu cầu người dùng chứng minh danh tính của mình thông qua 2 trong 3 loại thông tin xác thực. Ví dụ: bạn có thể nhập mật khẩu (thông tin đăng nhập đầu tiên) vào một trang web và sau đó nhận mã truy cập (thông tin đăng nhập thứ hai) qua email hoặc tin nhắn. Bạn cần mật khẩu lẫn mã truy cập để có thể truy cập vào tài khoản của mình trên trang web. Một ví dụ khác là sử dụng thẻ ghi nợ (thông tin đăng nhập đầu tiên) và mã PIN (thông tin đăng nhập thứ hai) để truy cập tài khoản ngân hàng của bạn tại cây ATM.

Trong khi một số người dùng cảm thấy phương thức 2FA bất tiện thì một nghiên cứu của Microsoft vào năm 2019 cho thấy 2FA chặn được 99,9% các cuộc tấn công tài khoản. Mặc dù xác thực hai yếu tố có hiệu quả cao trong việc ngăn chặn tin tặc, nhưng lại không có sẵn trên mọi trang web hoặc ứng dụng. Đây là lý do các ứng dụng xác thực ra đời.

Ứng dụng xác thực là gì?

Ứng dụng xác thực là ứng dụng bổ sung phương pháp xác thực hai yếu tố vào tài khoản bạn muốn bảo vệ. Khi bạn thiết lập xác thực hai yếu tố cho tài khoản, bạn sẽ nhận được một khóa bí mật để truy cập vào ứng dụng xác thực. Điều này tạo ra sự kết nối an toàn giữa ứng dụng xác thực và tài khoản của bạn. Sau khi kết nối an toàn được thiết lập, ứng dụng xác thực sẽ tạo một mã gồm 6-8 chữ số, mã này phải được nhập khi bạn truy cập vào tài khoản, tương tự như mã truy cập mà một trang web gửi cho bạn qua email. 

Điều làm cho một ứng dụng xác thực trở nên an toàn đó là nó liên tục tạo ra các mã truy cập tạm thời mới. Ngay cả khi tin tặc có mật khẩu của bạn, họ vẫn cần mã truy cập này để đăng nhập. Nhưng vì các mã này liên tục thay đổi nên tin tặc gần như không thể giải mã này trước khi mã mới được tạo. Nói cách khác, để bất kỳ ai truy cập vào tài khoản được bảo vệ bằng ứng dụng xác thực của bạn, họ phải biết mật khẩu và có quyền truy cập vào điện thoại của bạn trong một khoảng thời gian rất ngắn.

Ứng dụng xác thực có thể bảo vệ những gì?

Ứng dụng xác thực có thể được sử dụng để bảo vệ bất kỳ ứng dụng nào áp dụng công nghệ 2FA, bao gồm nhiều trang web truyền thông xã hội và các nhà cung cấp dịch vụ email. Bạn cũng có thể bắt đầu bằng việc kích hoạt 2FA cho các tài khoản có chứa thông tin thanh toán. Chẳng hạn, những tài khoản quan trọng như tài khoản ngân hàng, tiện ích và mua sắm, nhưng cũng có thể là ứng dụng giao đồ ăn, phát trực tuyến hoặc tài khoản của cửa hàng ứng dụng như Google Play hoặc Apple App Store. Bạn còn có thể kích hoạt 2FA với hầu hết các trình quản lý mật khẩu.

Một số công ty, chẳng hạn như ngân hàng, đã bắt đầu có các công cụ xác thực riêng tích hợp sẵn trong ứng dụng của họ để tăng cường tính bảo mật, đồng thời tránh phụ thuộc vào ứng dụng của bên thứ ba để lưu trữ dữ liệu một cách an toàn. Tuy nhiên, 2FA phải được kích hoạt trong cài đặt tài khoản của bạn nhiều lần và nhiều ứng dụng vẫn không được bảo vệ trừ khi bạn tự cài đặt ứng dụng xác thực của bên thứ ba.

Ứng dụng xác thực có an toàn không?

Giống như tất cả các phần mềm bảo mật, ứng dụng xác thực không hoàn thiện. Ví dụ: một số ứng dụng xác thực vẫn không yêu cầu mật mã hoặc khóa sinh trắc học để đăng nhập, tạo điều kiện cho bất kỳ ai có thể truy cập vào điện thoại của người dùng. Và vào đầu năm nay, các nhà nghiên cứu đã phát hiện ra một loạt phần mềm độc hại trên nền tảng Android có thể ăn cắp mã truy cập một lần từ ứng dụng Google Authenticator. Các lỗ hổng bảo mật vẫn còn tồn tại trong các ứng dụng này.

Tuy nhiên, các ứng dụng xác thực vẫn là một thành phần quan trọng của an ninh mạng. Giống như các phần mềm an ninh mạng khác, ứng dụng xác thực được thiết kế để trở thành một phần trong kế hoạch bảo mật cùng với các công cụ khác. Tính bảo mật của các ứng dụng này cũng có thể được tăng cường nếu người dùng tuân thủ các quy tắc bảo mật an toàn. Quan trọng là, các ứng dụng xác thực vẫn an toàn hơn hầu hết các lựa chọn thay thế của chúng, chẳng hạn như nhận mã 2FA qua SMS.

Tôi nên xem xét những tính năng nào trong ứng dụng xác thực?

Nhiều công cụ bảo mật hiện đang có nhiều gói dịch vụ cung cấp các bộ bảo mật toàn phần. Nếu bạn sử dụng trình quản lý mật khẩu như LastPass hoặc Dashlane, bạn có thể đã có quyền truy cập vào công cụ xác thực cũng như Mạng riêng ảo VPN, giám sát web đen, giám sát tín dụng, v.v. (tùy thuộc vào loại tài khoản bạn đang sử dụng). Vì vậy, trước khi bạn đăng ký một tài khoản mới với một ứng dụng xác thực, hãy xét xem bạn đang nhận được những dịch vụ bảo mật nào.

Nếu bạn không có ứng dụng xác thực và bạn không biết cách chọn ứng dụng phù hợp, thì dưới đây là một số tính năng cần lưu ý.

  • Khả năng tương thích: Chọn một công cụ xác thực phù hợp với những nền tảng bạn mà bạn thường sử dụng nhất. Một số ứng dụng xác thực có thể tương thích với hệ điều hành Android, iOS và Windows Mobile, nhưng một số khác chỉ có thể phục vụ cho các nền tảng nhất định.
  • Giới hạn tài khoản: Một tính năng khác cần xem xét là số lượng tài khoản mà một ứng dụng xác thực sẽ quản lý miễn phí. Một số như ứng dụng Google Authenticator cung cấp tính năng bảo vệ cho số lượng tài khoản không giới hạn, nhưng một số khác yêu cầu phải đăng ký với một số lượng tài khoản nhất định.
  • Nhiều thiết bị: Giống như hầu hết các công cụ bảo mật, một số ứng dụng xác thực cho phép bạn cài đặt chúng trên nhiều thiết bị, nhưng một số khác sẽ yêu cầu đăng ký nếu bạn muốn sử dụng chúng trên nhiều điện thoại hoặc trên một điện thoại và một máy tính bảng.
  • Gửi mã: 2FA có thể cung cấp mã truy cập cho bạn thông qua SMS, email, thông báo đẩy hoặc mã QR. SMS là cách nhận mã kém an toàn nhất vì tiềm ẩn nguy cơ lừa đảo, giả mạo và chặn dữ liệu. Những hình thức gửi mã còn lại phụ thuộc vào ý thích của người dùng. Tuy nhiên ý thích vẫn quan trọng vì bạn sẽ thực sự sử dụng 2FA nếu bạn cảm thấy thuận tiện.
  • Sao lưu: Một số ứng dụng xác thực như Authy cho phép người dùng sao lưu khóa bảo mật của họ cho từng tài khoản thông qua bộ nhớ đám mây hoặc bằng cách sao chép chúng và lưu trữ chúng ở một nơi an toàn. Những ứng dụng khác như Google Authenticator không cho phép thực hiện điều này vì tin rằng việc tạo bản sao lưu sẽ dẫn đến lỗ hổng bảo mật. Cả hai lập luận đều có những điểm tốt, vì vậy việc lựa chọn sao lưu phần lớn phụ thuộc vào ý thích của người dùng.

Một lớp bảo mật quan trọng trong tuyến phòng thủ của bạn

Khi ngày càng nhiều thông tin bảo mật của chúng ta được lưu trữ trên các thiết bị di động thì chúng ta đang tạo ra nhiều cơ hội mới cho hành vi đánh cắp thông tin cá nhân. Nhưng tiếc rằng không một công cụ bảo mật nào có thể hoàn toàn bảo vệ chúng ta trước những mối đe dọa này vì chúng đa dạng và biến hóa không ngừng.

Tuy nhiên, khởi chạy 2FA trên các tài khoản có giá trị nhất của chúng ta về cơ bản có thể tăng cường bảo mật trực tuyến. Cách dễ nhất để thực hiện điều đó là sử dụng ứng dụng xác thực. Mặc dù còn tồn tại những lỗ hổng, các ứng dụng xác thực hầu như vẫn an toàn. Khi kết hợp với các biện pháp bảo mật khác, các ứng dụng xác thực có thể trở thành một tuyến phòng thủ hiệu quả chống lại phần lớn các cuộc tấn công mạng.

Nói chung, nếu chỉ dùng mật khẩu thì không đủ để bảo vệ các tài khoản trực tuyến trong thời đại hiện nay. Nguyên nhân là do hầu hết người dùng không sử dụng các phương pháp tạo mật khẩu an toàn. Thay vào đó, mọi người thường chọn những mật khẩu yếu, không những dễ nhớ mà còn dễ đoán. Người dùng cũng thường sử dụng cùng một mật khẩu cho nhiều trang web. Mật khẩu ngắn cũng là một vấn đề vì sớm hay muộn nó cũng bị bẻ khóa.

Theo Tracsoft