Coin98 Insights

Save

Copy link

Mã 2FA là gì? Các phương thức xác thực 2FA hiệu quả

Một phương thức giúp tăng bảo mật và bảo vệ tài khoản người dùng khỏi các hacker, đặt biệt là trong thị trường crypto. Tìm hiểu trong bài viết dưới đây.

Vy Bùi

Published Aug 06 2023

Updated 4 days ago

12 min read

Mã 2FA là gì?

Mã 2FA là mã OTP dùng để xác thực yếu tố thứ hai trong quy trình 2FA*, được gửi thông qua tin nhắn SMS, email, ứng dụng 2FA (như Google Authenticator, Authy)... khi đăng nhập hoặc thực hiện giao dịch.

*2FA (Two-Factor Authentication) là phương pháp xác thực yêu cầu cung cấp hai yếu tố riêng biệt nhằm bảo vệ tài sản, thông tin cá nhân của người dùng và ngăn chặn các cuộc tấn công mạng.

Trong đó:

Yếu tố thứ nhất: Là mật khẩu, thông tin này do người dùng đặt và tuỳ chỉnh.
Yếu tố thứ hai: Là mã 2FA, thông tin này do hệ thống gửi.

Trong thị trường crypto, thông tin đăng nhập vào tài khoản ví, sàn giao dịch… có thể dễ dàng bị xâm hại và đánh cắp qua môi trường internet. Vì vậy, các sàn giao dịch, ví… thường yêu cầu mã 2FA để tăng cường bảo mật và đảm bảo an toàn cho tài sản người dùng.

xác thực 2 bước là gì — Mã 2FA đóng vai trò là lớp bảo mật dùng để xác thực tài khoản người dùng

Tại sao phải lấy mã 2FA?

Trong thời đại công nghệ số như hiện nay, khi mọi giao dịch đều có thể thực hiện thông qua mạng internet, việc sử dụng mã 2FA để xác thực là một cách hiệu quả để bảo vệ người dùng khỏi các mối đe dọa nhắm vào thông tin đăng nhập tài khoản. Ví dụ như:

Tấn công Brute Force: Hacker sử dụng phần mềm giúp đoán mật khẩu, private key… bằng cách kết hợp nhiều ký tự khác nhau, và thử cho đến khi đúng để có thể truy cập vào tài khoản người dùng.
Tấn công Spyware: Hacker sử dụng Spyware để xâm nhập thiết bị và lấy thông tin cá nhân liên quan đến tài khoản, mật khẩu người dùng.
Tấn công vi phạm dữ liệu*: Hacker sử dụng danh sách tên tài khoản (username) và mật khẩu đã bị rò rỉ trước đó (thông qua vụ vi phạm dữ liệu) để truy cập vào tài khoản khác của người dùng.

*Vi phạm dữ liệu (Data Breach, hay rò rỉ dữ liệu) là một cuộc tấn công mạng, xảy ra khi tin tặc truy cập trái phép và truy xuất thông tin nhạy cảm của một cá nhân, một nhóm hoặc hệ thống phần mềm.

Thực tế, hacker có thể lợi dụng các vụ vi phạm dữ liệu để rao bán thông tin các cặp tài khoản & mật khẩu trên trang web ẩn (dark web), khiến nhiều mật khẩu trở nên kém an toàn hơn.

Theo Báo cáo Điều tra về Vi phạm Dữ liệu năm 2017 của Verizon, 81% vụ hack tài khoản đều liên quan đến việc mật khẩu bị rò rỉ thông qua các thương vụ mua bán này, hoặc do mật khẩu quá yếu (ví dụ: "passw0rd") và dễ đoán.

báo cáo vi phạm dữ liệu 2017 — 81% vụ hack liên quan đến việc rò rỉ mật khẩu và/hoặc mật khẩu yếu. Nguồn: Verizon

Đặc biệt là đối với thị trường crypto, nơi tài sản người dùng được lưu trữ thông qua một private key, thì hậu quả và thiệt hại mà các cuộc vi phạm dữ liệu gây ra càng tệ hơn nữa. Vụ kiện LastPass là một ví dụ điển hình cho trường hợp này.

Tháng 8/2022, LastPass (dịch vụ quản lý mật khẩu) thông báo rằng hệ thống của họ đã bị hacker tấn công vi phạm dữ liệu, gây rò rỉ toàn bộ thông tin người dùng cung cấp trên LastPass.

Sau đó, ngày 3/1/2023, người dùng John Doe đệ đơn kiện LastPass với cáo buộc rằng: Vụ vi phạm dữ liệu của LastPass đã khiến Bitcoin trong ví của anh bị đánh cắp.

Trước đó, John sử dụng Vault LastPass và thực hiện theo khuyến nghị về bảo mật an toàn của LastPass để lưu trữ thông tin private key của ví chứa Bitcoin (với tổng giá trị 53,000 USD). Sau thông báo về vụ rò rỉ, John nhanh chóng xoá thông tin trên Vault. Tuy nhiên, John cho rằng hacker đã sử dụng dữ liệu private key bị rò rỉ và cướp hết số Bitcoin trong ví.

Có thể thấy các dịch vụ quản lý mật khẩu vẫn không đảm bảo tính bảo mật hoàn toàn cho thông tin và tài sản của người dùng. Do đó, việc yêu cầu xác thực 2FA mỗi khi giao dịch là điều cần thiết và quan trọng hơn hết đối với người dùng crypto.

Cách hoạt động của 2FA trong Crypto

Một khi đã kích hoạt xác thực hai yếu tố cho bất kỳ website, ứng dụng, tài khoản… nào, người dùng sẽ phải cung cấp thêm mã 2FA mỗi khi cần:

Đăng nhập tài khoản.
Đổi mật khẩu tài khoản.
Thực hiện giao dịch chuyển, rút tiền.

yêu cầu mã 2fa — Mã 2FA được các sàn yêu cầu khi rút tiền, đăng nhập tài khoản

Quy trình xác thực 2FA cơ bản sẽ diễn ra như sau:

Bước 1. Người dùng nhập thông tin đăng nhập bao gồm tên tài khoản (username) và mật khẩu.

Bước 2. Mã 2FA sẽ được gửi cho người dùng thông qua tin nhắn SMS, email, ứng dụng xác thực 2FA… nhằm xác thực người đăng nhập là chủ tài khoản.

Bước 3. Người dùng nhập mã 2FA lên website, ứng dụng, tài khoản… và truy cập thành công.

cách hoạt động của 2fa — Quy trình hoạt động của xác thực 2 yếu tố (2FA)

Lợi ích của mã 2FA

Việc xác thực thông qua mã 2FA mang lại lợi ích cho cả người dùng và các doanh nghiệp hay nhà cung cấp dịch vụ như sàn giao dịch, ví… Một số lợi ích của 2FA có thể kể đến như:

Tăng cường bảo mật cho tài khoản người dùng.
Giảm rủi ro gian lận và vi phạm dữ liệu.
Tăng độ tin cậy của người dùng đối với nhà cung cấp dịch vụ.
Giảm chi phí vận hành cho các doanh nghiệp trong việc bảo mật dữ liệu người dùng (so với các phương pháp xác thực sinh trắc học).

Bên cạnh đó, tính chất của thị trường crypto là không chịu sự quản lý của cơ quan nhà nước, dẫn đến việc thiếu quy định và giám sát đối với các giao dịch, khiến tiền điện tử dễ bị tấn công và đánh cắp hơn.

Vì vậy, việc ngày càng nhiều ứng dụng crypto (như sàn giao dịch tập trung, ví tiền điện tử…) triển khai tính năng xác thực 2FA cho thấy họ đang cố gắng thực hiện các biện pháp bảo vệ tài sản người dùng. Điều này góp phần giúp nâng cao độ uy tín cho thị trường nói chung và các sản phẩm dịch vụ nói riêng.

Các phương thức xác thực 2FA

Tin nhắn SMS hoặc giọng nói

Phương pháp 2FA này yêu cầu tương tác trực tiếp với điện thoại di động của người dùng.

Sau khi nhập thông tin đăng nhập, hệ thống sẽ gửi mã 2FA đến số điện thoại đã đăng ký thông qua tin nhắn văn bản hoặc cuộc gọi để đọc mã. Người dùng sau đó phải nhập OTP để có quyền truy cập vào tài khoản.

sms 2fa — Mã 2FA được gửi thông qua tin nhắn SMS

Tuy nhiên, xác thực 2FA thông qua SMS và giọng nói đang ngày càng trở nên kém bảo mật hơn. Bởi các hacker có thể sử dụng thủ thuật tinh vi gọi là SIM Swapping* để chiếm quyền kiểm soát số điện thoại của người dùng, đồng thời chiếm đoạt tài khoản liên kết với số điện thoại đó.

*SIM Swapping (hoán đổi SIM) là hình thức tấn công trong đó kẻ xấu lợi dụng lỗ hổng từ nhà mạng, hoặc nhân viên nhà mạng để chiếm số điện thoại của nạn nhân.

Ứng dụng xác thực 2FA

Đây là phương pháp 2FA phổ biến nhất. Người dùng có thể sử dụng ứng dụng xác thực 2FA trên điện thoại hoặc máy tính để tạo mã 2FA thông qua thuật toán Timed One-Time Passwords (TOTP).

Thuật toán này cho phép ứng dụng tạo các mã OTP liên tục sau mỗi khoảng thời gian nhất định (30 hoặc 60 giây), với lưu ý rằng mỗi mã chỉ có hiệu lực trong thời gian đó.

mã 2fa totp — Ứng dụng GA liên tục tạo mã OTP sau mỗi 60 giây

Một số ứng dụng xác thực 2FA phổ biến:

Google Authenticator (GA): Ứng dụng xác thực 2FA phổ biến do Google phát triển.
Authy: Ứng dụng xác thực 2FA có khả năng đồng bộ hóa qua nhiều thiết bị và sao lưu mã, tránh việc người dùng bị mất quyền truy cập tài khoản trong trường hợp mất điện thoại.
Microsoft Authenticator: Ứng dụng xác thực 2FA được phát triển bởi Microsoft. Ngoài việc hỗ trợ TOTP, nó còn có khả năng xác thực sinh trắc học với dấu vân tay và nhận dạng khuôn mặt.

Các hình thức khác

Ngoài ra còn có một số hình thức xác thực 2FA khác như:

Thông báo đẩy: Các trang web và ứng dụng sẽ gửi thông báo đẩy trực tiếp cho người dùng khi có yêu cầu xác thực. Đây là hình thức xác thực không cần mật khẩu, không cần nhập mã, và không cần tương tác thêm, chỉ cần trả lời “Có" hoặc “Không”.
Khoá bảo mật (Hardware token): Mã xác minh 2FA được cung cấp trên thiết bị vật lý như
Xác thực sinh trắc học (Biometric 2FA): Phương thức xác thực 2FA bằng dấu vân tay, nhận diện khuôn mặt hoặc giọng nói. Các thiết bị di động hiện đại thường hỗ trợ ít nhất một hình thức xác thực sinh trắc học.

Cách lấy mã 2FA

Bài viết này sẽ hướng dẫn nhanh cách kích hoạt xác thực hai yếu tố và lấy mã 2FA cho các ứng dụng phổ biến như Facebook, Google, Telegram.

Facebook

Các bước lấy mã 2FA trên Facebook:

Bước 1. Mở ứng dụng Facebook, chọn Cài đặt & quyền riêng tư.

Bước 2. Chọn Cài đặt, sau đó Bảo mật và đăng nhập.

Bước 3. Trong mục Xác thực 2 yếu tố, chọn Dùng tính năng xác thực 2 yếu tố.

Bước 4. Chọn phương thức bảo mật là Ứng dụng xác thực.

Bước 5. Nhập chuỗi mã hiển thị trên Facebook vào ứng dụng xác thực để liên kết tài khoản.

Như vậy là người dùng đã kích hoạt 2FA trên Facebook thành công và có thể lấy mã 2FA Facebook khi có yêu cầu xác thực.

Google

Các bước lấy mã 2FA trên Google:

Bước 1. Truy cập trang Cài đặt tài khoản và đăng nhập vào tài khoản Google.

Bước 2. Trong Bảo mật, ở phần Cách bạn đăng nhập vào Google, chọn Xác minh 2 bước và Bắt đầu.

Bước 3. Nhập mật khẩu và mã capcha nhận được, sau đó chọn Tiếp theo.

Bước 4. Chọn Tiếp tục để Google thiết lập xác minh dựa trên điện thoại của bạn. Sau đó nhập số điện thoại, chọn hình thức nhận mã và Gửi.

Bước 5. Sau khi đã có mã xác minh, nhập mã và bấm Tiếp theo.

Bước 6. Chọn Bật để kết thúc quá trình kích hoạt xác minh 2 lớp.

Các bước lấy mã 2FA trên Telegram:

Bước 1. Mở ứng dụng Telegram và đăng nhập tài khoản, chọn Setting.

Bước 2. Chọn Privacy and Security, sau đó chọn Two-Step Verification.

Bước 3. Điền mật khẩu và chọn Set Password để tạo mã khoá bảo mật cho Telegram khi truy cập trên thiết bị khác.

Bước 4. Điền mã khoá 2 lần ở ô Create Password và Re-enter Password, sau đó điền gợi ý mật khẩu và email để khôi phục lại mã bảo mật Telegram, trong trường hợp người dùng quên mã khoá đó.

Như vậy là người dùng đã kích hoạt 2FA trên Telegram thành công. Khi đăng nhập Telegram ở thiết bị khác, người dùng sẽ được yêu cầu nhập mã xác minh gửi trong ứng dụng Telegram hoặc qua SMS.

Xem thêm: Hướng dẫn cài đặt 2FA đơn giản với Google Authenticator.