Xác thực hai yếu tố từ lâu đã là một chiến lược an ninh mạng để quản lý bảo mật tài khoản bằng cách kiểm soát quyền truy cập vào các hệ thống và dữ liệu nhạy cảm. Các nhà cung cấp dịch vụ trực tuyến ngày càng sử dụng 2FA để bảo vệ thông tin đăng nhập của người dùng khỏi bị tin tặc sử dụng để đánh cắp cơ sở dữ liệu mật khẩu hoặc sử dụng các cuộc tấn công lừa đảo để lấy mật khẩu người dùng.
Cùng Cánh Cam tìm hiểu về xác thực hai yếu tố (2FA) và tại sao các doanh nghiệp sử dụng chúng để hỗ trợ việc bảo vệ các thông tin nhạy cảm và mạng máy tính.
Định nghĩa của 2FA
Two-factor authentication (2FA) – xác thực 2 yếu tố, hay đôi khi được gọi là xác minh 2 bước (two-step verification) hoặc xác thực 2 yếu tố (dual-factor authentication) là phương pháp bảo mật quản lý danh tính và quyền truy cập yêu cầu hai hình thức nhận dạng để truy cập tài nguyên và dữ liệu. 2FA cung cấp cho doanh nghiệp khả năng giám sát giúp bảo vệ thông tin và mạng vốn dễ bị tấn công của họ. Đây là một quá trình bảo mật cho phép người dùng cung cấp 2 yếu tố xác thực khác nhau để xác minh bản thân.
[Image of how two-factor authentication works]
2FA được triển khai để bảo vệ tốt hơn cả thông tin đăng nhập của người dùng và nguồn tài nguyên mà những người này có thể truy cập. Nó thường được sử dụng như một phần của nỗ lực rộng lớn hơn nhằm ngăn chặn vi phạm dữ liệu và khả năng mất mát dữ liệu cá nhân.
2FA cung cấp khả năng bảo mật cao hơn so với các phương pháp xác thực chỉ phụ thuộc vào một nhân tố xác thực (single-factor authentication – SFA). Với SFA, người dùng chỉ cung cấp 01 yếu tố xác thực, thường là mật khẩu hoặc mật mã. Các phương pháp 2FA dựa vào việc người dùng cung cấp mật khẩu làm yếu tố đầu tiên và một yếu tố thứ hai khác với yếu tố ban đầu, thường là mã thông báo bảo mật (Security token) hoặc yếu tố sinh trắc học như dấu vân tay hoặc quét khuôn mặt.
Xác thực hai yếu tố bổ sung thêm một lớp bảo mật vào quy trình xác thực bằng cách khiến kẻ tấn công khó truy cập vào thiết bị hoặc tài khoản trực tuyến của một người. Kể cả khi mật khẩu của nạn nhân bị đánh cắp, chỉ riêng mật khẩu không đủ để vượt qua kiểm tra xác thực.
Lợi ích của 2FA
Các doanh nghiệp sử dụng 2FA để giúp bảo vệ tài sản cá nhân của nhân viên và doanh nghiệp. Điều này đóng vai trò quan trọng bởi vì nó có thể ngăn chặn tội phạm mạng đánh cắp, phá hủy hoặc truy cập vào hồ sơ dữ liệu nội bộ của bạn để sử dụng cho mục đích riêng.
Ưu điểm của 2FA là vô tận. Cụ thể, với 2FA, người dùng không cần mang theo hay tải xuống các trình tạo mã thông báo hoặc ứng dụng liên quan đến trình tạo mã thông báo. Hầu hết website sử dụng thiết bị di động của bạn để nhắn tin, gọi điện hoặc sử dụng 2FA được cá nhân hóa cho doanh nghiệp của họ để xác minh danh tính của bạn.
Một vài ưu điểm của 2FA có thể kể đến:
-
Không cần sử dụng trình tạo mã thông báo bằng phần cứng. Các loại phương pháp 2FA này thường bị mất hoặc thất lạc. Tuy nhiên, với sự cải tiến của công nghệ, các phương pháp 2FA trở nên tiện lợi hơn bao giờ hết.
-
Trình tạo mật mã hiệu quả hơn so với mật mã truyền thống. Các trình tạo này là lựa chọn an toàn hơn, vì không có hai mật mã nào giống nhau.
-
Nhập mật mã tối đa ngăn chặn tội phạm mạng hack và truy cập dữ liệu nhạy cảm.
-
Quy trình này dễ quản lý và thân thiện với người dùng.
Các yếu tố xác thực (authentication factor) là gì?
Có một số cách để xác thực một người bằng nhiều phương pháp xác thực. Hầu hết các phương pháp xác thực đều dựa vào các yếu tố kiến thức, chẳng hạn như mật khẩu truyền thống. Các phương pháp xác thực hai yếu tố bổ sung thêm yếu tố sở hữu hoặc yếu tố vốn có.
-
Kiến thức (cái người dùng biết): mật khẩu, mã PIN, câu hỏi bảo mật.
-
Sở hữu (cái người dùng có): thiết bị di động, thẻ bảo mật, mã OTP, khóa bảo mật vật lý (như YubiKey).
-
Sinh trắc học (cái người dùng là): vân tay, khuôn mặt, giọng nói.
-
Vị trí (nơi người dùng đang ở): địa chỉ IP, vị trí địa lý.
-
Thời gian (khi người dùng truy cập): thời điểm đăng nhập hợp lệ.
2FA hoạt động như thế nào?
Quy trình xác thực hai yếu tố diễn ra như sau: người dùng nhập tên đăng nhập và mật khẩu (yếu tố đầu tiên – “cái họ biết”), sau đó hệ thống sẽ yêu cầu cung cấp một yếu tố xác thực thứ hai, chẳng hạn như mã OTP (mật khẩu một lần) được gửi đến điện thoại hoặc email, ứng dụng tạo mã, hoặc sử dụng sinh trắc học như vân tay hay nhận diện khuôn mặt (yếu tố thứ hai – “cái họ có” hoặc “cái họ là”). Nếu cả hai yếu tố được xác minh thành công, người dùng sẽ được cấp quyền truy cập.
Việc kích hoạt xác thực hai yếu tố khác nhau tùy thuộc vào ứng dụng hoặc nhà cung cấp cụ thể. Tuy nhiên, quy trình xác thực hai yếu tố bao gồm cùng một quy trình chung qua các bước sau:
-
Người dùng sẽ được ứng dụng hoặc trang web nhắc nhở đăng nhập.
-
Người dùng nhập những thông tin họ biết, thường là tên người dùng và mật khẩu.
-
Máy chủ của trang web tìm thấy thông tin trùng khớp và nhận dạng người dùng.
-
Đối với các quy trình yêu cầu bảo mật cao, trang web sẽ tạo một khóa bảo mật duy nhất cho người dùng. Công cụ xác thực sẽ xử lý khóa và máy chủ của trang web sẽ xác thực đó.
-
Trang web nhắc người dùng bắt đầu bước đăng nhập thứ hai. Người dùng phải chứng minh rằng có thứ gì đó độc nhất (chỉ họ mới có), chẳng hạn như sinh trắc học, mã thông báo bảo mật, thẻ căn cước, hoặc điện thoại thông minh.
-
Người dùng có thể phải nhập mật mã tạo một lần (OTP) đã nhận được.
-
Sau khi cung cấp cả 2 yếu tố, người dùng sẽ được xác thực và cấp quyền truy cập.
Các yếu tố trong 2FA
Xác thực 2 yếu tố là một dạng của xác thực đa yếu tố. Về mặt kỹ thuật, nó được sử dụng bất kỳ lúc nào cần hai yếu tố xác thực để có quyền truy cập vào một hệ thống hoặc dịch vụ. Tuy nhiên, sử dụng hai yếu tố từ cùng một danh mục không cấu thành 2FA. Ví dụ, yêu cầu mật khẩu và bí mật được chia sẻ vẫn được coi là SFA vì cả hai đều thuộc loại yếu tố xác thực kiến thức.
SFA dựa trên tên người dùng và mật khẩu không phải là phương pháp an toàn nhất. Một vấn đề với xác thực dựa trên mật khẩu là nó đòi hỏi kiến thức và sự siêng năng để tạo và ghi nhớ mật khẩu mạnh. Mật khẩu cũng là con mồi của các mối đe dọa bên ngoài, chẳng hạn như tin tặc sử dụng các cuộc tấn công brute-force hoặc lừa đảo.
Nếu có đủ thời gian và nguồn lực, kẻ tấn công thường có thể xâm phạm hệ thống bảo mật dựa trên mật khẩu và đánh cắp dữ liệu của công ty. Mật khẩu vẫn là hình thức SFA phổ biến nhất vì chi phí thấp và dễ triển khai.
Xác thực đa yếu tố thích ứng (Adaptive MFA) đưa ra một yếu tố tiên quyết vào quy trình. Hệ thống phân tích các đặc điểm và hành vi đã biết của người dùng – ví dụ, vị trí hoặc thời gian truy cập – để xác định mức độ tin cậy trước khi tiến hành bước tiếp theo.
Các loại sản phẩm 2FA
Có nhiều thiết bị và dịch vụ khác nhau để triển khai 2FA, từ mã thông báo đến thẻ nhận dạng tần số vô tuyến đến ứng dụng điện thoại thông minh.
Các sản phẩm xác thực hai yếu tố sử dụng hai tính năng cơ bản:
-
Mã thông báo (Token) được cấp cho người dùng để sử dụng khi đăng nhập.
-
Cơ sở hạ tầng hoặc phần mềm nhận dạng và xác thực quyền truy cập cho người dùng đang sử dụng mã thông báo của họ.
Mã thông báo xác thực có thể là thiết bị vật lý như thẻ thông minh, hoặc phần mềm như ứng dụng di động tạo mã PIN. Các mã này được gọi là mật khẩu một lần (OTP). Một khía cạnh quan trọng của 2FA là đảm bảo người dùng đã xác thực được cấp quyền truy cập đúng vào tài nguyên họ được phép.
Ví dụ, Microsoft hỗ trợ 2FA trong Windows 10 bằng Windows Hello, một tùy chọn không cần mật khẩu. Nó cũng xác thực người dùng thông qua Microsoft Active Directory và Azure AD.
Mã thông báo phần cứng 2FA hoạt động như thế nào
Mã thông báo phần cứng phổ biến là YubiKey của Yubico, thiết bị USB hỗ trợ OTP và xác thực khóa công khai. Khi đăng nhập vào một dịch vụ như Gmail hay WordPress, người dùng cắm YubiKey vào cổng USB, nhập mật khẩu và chạm vào nút trên thiết bị để tạo mã xác thực tự động.
OTP thường gồm chuỗi ký tự chứa ID duy nhất của khóa và thông tin mã hóa mà chỉ máy chủ xác thực mới có thể giải mã. Sau khi xác thực, quá trình đăng nhập hoàn tất. Ở đây, mật khẩu là yếu tố kiến thức và YubiKey là yếu tố sở hữu.
2FA cho thiết bị di động
Điện thoại thông minh cung cấp nhiều khả năng 2FA linh hoạt. Một số thiết bị có thể nhận dạng dấu vân tay, khuôn mặt hoặc quét mống mắt. Dịch vụ tin nhắn ngắn (SMS) cũng thường được sử dụng làm kênh để gửi mã xác thực.
Apple iOS, Google Android và Windows đều có các ứng dụng hỗ trợ 2FA như Google Authenticator. Thay vì đợi tin nhắn văn bản, ứng dụng sẽ tạo mã 6 chữ số thay đổi mỗi 30 giây. Bằng cách nhập đúng số này, người dùng chứng minh được quyền sở hữu thiết bị di động của mình.
Thông báo đẩy cho 2FA (Push notification)
Thông báo đẩy là một dạng xác thực phi mật mã. Khi có nỗ lực đăng nhập, hệ thống gửi thông báo trực tiếp đến ứng dụng bảo mật trên điện thoại. Người dùng chỉ cần chạm “Chấp thuận” hoặc “Từ chối” để xử lý yêu cầu truy cập. Phương thức này loại bỏ rủi ro từ các cuộc tấn công trung gian (Man-in-the-middle) vì nó xác nhận thiết bị vật lý đang nằm trong tay người dùng.
Tiêu chuẩn xác thực
Dưới đây là các giao thức xác thực tiêu chuẩn mở tạo thành cơ sở cho các công cụ 2FA:
-
FIDO: Tiêu chuẩn mở sử dụng mật mã khóa công khai nhằm loại bỏ nhu cầu sử dụng mật khẩu.
-
OAuth 2.0: Một framework ủy quyền bảo vệ tài nguyên hệ thống, phổ biến cho các API và ứng dụng web.
-
SAML: Tiêu chuẩn mở cho quyền đăng nhập một lần (SSO) vào các ứng dụng dựa trên trình duyệt.
2FA có thực sự bảo mật?
2FA tăng cường khả năng bảo mật, tuy nhiên những hệ thống này chỉ an toàn bằng thành phần yếu nhất của chúng. Chẳng hạn, mã thông báo phần cứng phụ thuộc vào sự bảo mật của nhà sản xuất. Ngoài ra, quy trình khôi phục tài khoản (qua email) đôi khi có thể bị lợi dụng để bỏ qua bước 2FA nếu email đó không được bảo vệ tốt.
Tương lai của 2FA
Ngày nay, các môi trường đòi hỏi bảo mật cao hơn đang bắt đầu sử dụng xác thực 3 yếu tố (3FA), kết hợp thêm vị trí địa lý hoặc sinh trắc học hành vi (như tốc độ gõ phím). Nhiều tổ chức cũng đang chuyển sang xác thực không mật khẩu (Passwordless), dựa hoàn toàn vào sinh trắc học và các giao thức bảo mật hiện đại.
Kết luận
Cánh Cam vừa giới thiệu đến bạn những khái niệm xoay quanh xác thực hai yếu tố, bao gồm các thành phần, yếu tố xác thực, cũng như cách thức hoạt động của phương pháp bảo mật này. Mong rằng thông qua bài viết, Cánh Cam đã mang đến cho bạn thêm những hiểu biết hữu ích về xác thực và bảo mật.
Xem thêm các bài viết liên quan:
