|
| Hình minh họa |
Theo Makeuseof, xác thực hai yếu tố, nói một cách ngắn gọn là thêm vào một lớp bảo mật thứ hai bên cạnh mật mã để giúp tài khoản của bạn an toàn hơn.
Xác thực hai yếu tố là một phần của hình thức xác thực nhiều yếu tố, được chia thành một số nhóm "yếu tố" chính sau:
- Yếu tố "hiểu biết": tức là hệ thống sẽ xác nhận nếu bạn cho nó biết một số thông tin cụ thể nào đó, ví dụ mã PIN, câu hỏi bảo mật...
- Yếu tố "sở hữu": hệ thống xác nhận nếu bạn cung cấp một thiết bị vật lý, như mã gửi qua SMS, ứng dụng xác thực, USB, nhãn wireless (tag), thẻ...
- Yếu tố "vốn có": hệ thống xác nhận nếu bạn sử dụng các yếu tố sinh trắc học, như vân tay, võng mạc, giọng nói...
Nghe thì có vẻ an toàn, nhưng xác thực hai yêu tố vẫn tiềm ẩn những yếu tố rủi ro.
1. Các yếu tố dùng để xác thực có thể bị mất
Rủi ro đầu tiên đơn giản đến bất ngờ: có thể hầu hết những lúc bạn cần xác thực, "yếu tố" thứ hai đã nằm sẵn trên tay, hay trong túi quần, nhưng vẫn có những rủi ro.
Ví dụ, bạn cần lấy một mã xác thực gửi qua SMS, nhưng không may là bạn lại để quên điện thoại ở đâu đó, hoặc điện thoại bị "treo táo", hoặc cháy nhà, lũ lụt khiến bạn không thể cầm được chiếc điện thoại để nhận SMS này trên tay.
Nếu bạn sử dụng một chiếc USB làm yếu tố xác thực thì cũng khá mạo hiểm. Đôi khi bạn nhét nó vào túi quần và vô tình cho luôn quần vào máy giặt. Nếu bạn sử dụng mã PIN, công việc bề bộn thường ngày có thể làm bạn quên mất. Mắt và vân tay? Hãy tưởng tượng tình huống đáng sợ nhất khi bạn bị một tai nạn giao thông nghiêm trọng...
Tất nhiên, các hệ thống luôn cung cấp cho bạn tính năng khôi phục tài khoản, nhưng việc này hẳn sẽ tốn thời gian và công sức một chút. Nếu bạn có hàng chục tài khoản trên các hệ thống khác nhau cùng sử dụng một yếu tố xác thực, và bạn làm mất "yếu tố" đó thì xin chia buồn, bởi bạn sẽ cần phải tiến hành khôi phục toàn bộ các tài khoản trên.
Một số hệ thống sẽ cung cấp cho bạn một mã số dự phòng trong trường hợp bạn làm mất "yếu tố xác thực". Trong trường hợp này bạn nên chú ý và lưu giữ mã số này phòng khi cần thiết.
2. Tính bảo mật của "xác thực hai yếu tố" đã bị thổi phồng
Dù được trang bị hai lớp bảo mật, nhưng nhìn chung khả năng bảo mật của "xác thực hai yếu tố" dường như đã bị thổi phồng lên. Nếu ai đó nói với bạn rằng những tài khoản được bảo mật bằng phương pháp này hầu như không thể bị hack thì xin thưa, điều này hoàn toàn không đúng!
Một ví dụ đơn giản, nếu bạn làm mất "yếu tố xác thực" như đã nói ở phần trên và phải nhờ vào tính năng khôi phục tài khoản để lấy lại quyền truy cập, thì việc bạn đang làm có khác gì một hacker đang tìm cách chiếm quyền truy cập tài khoản của bạn? Nếu bạn có thể lấy lại quyền truy cập một tài khoản được bảo mật "hai yếu tố" mà lại không cần "yếu tố" thứ hai, thì nhiều khả năng hacker cũng làm được điều tương tự.
Về cơ bản, tính năng khôi phục tài khoản vô tình đã làm cho "xác thực hai yếu tố" trở nên vô nghĩa. Đó là lý do tại sao một số công ty lớn như Apple đã loại bỏ luôn tính năng khôi phục này, tức là nếu bạn làm mất "yếu tố xác thực", bạn sẽ mất luôn tài khoản.
Một số hệ thống tuy cung cấp tính năng "xác thực hai yếu tố", nhưng lại không hoàn toàn thực hiện nghiêm túc điều đó. Ví dụ, PayPal có một "yếu tố xác thực" thứ hai gọi là "Khoá bảo mật PayPal", nhưng vào năm 2014, Ian Dunn - một lập trình viên web - đã phát hiện ra rằng nó có thể bị qua mặt một cách dễ dàng.
Các nhược điểm này xuất hiện trên nhiều hệ thống khác nhau, kể cả hệ thống bảo mật của các tên tuổi lớn. Cũng vào năm 2014, các hacker đã phá vỡ được lớp bảo mật hai yếu tố và chiếm quyền truy cập của nhiều tài khoản người dùng Google, Instagram, Amazon và cả Apple.
Tóm lại, cho dù bạn làm gì với tính năng "xác thực hai yếu tố" thì tài khoản của bạn vẫn có khả năng bị chiếm đoạt, và tính bảo mật của tính năng này dường như chỉ là một sự lừa bịp.
3. "Xác thực hai yếu tố" có thể "làm phản" người dùng
Mặc dù "xác thực hai yếu tố" được tạo nên để ngăn chặn hacker dòm ngó tài khoản người dùng, nhưng điều ngược lại vẫn có thể xảy ra: hacker có thể tìm cách cấu hình lại tính năng này để chặn người dùng truy cập tài khoản của chính họ.
Điển hình của việc này là vào tháng 6/2016, khi một thành viên của website Reddit bị một tin tặc Trung Quốc hack tài khoản Apple, sử dụng 817 USD trong thẻ ngân hàng của anh ta để mua hàng trên App Store, sau đó đặt điện thoại của tên hacker này làm "yếu tố xác thực" thứ hai, khiến anh chàng này "chết đứng", không thể truy cập được vào tài khoản Apple, không đổi được mật mã, thậm chí ngay cả bộ phận chăm sóc khách hàng của Apple cũng "bó tay".
Như vậy, đôi lúc "xác thực hai yếu tố" không đủ hiệu quả để bảo mật tài khoản người dùng (như đã nói trong phần 2), đôi lúc nó lại quá hiệu quả.
Do đó, trong thời điểm các dịch vụ trực tuyến đang thắt chặt các phương thức bảo mật hai yếu tố và khiến quá trình khôi phục tài khoản ngày một khó khăn hơn, bạn nên bật tính năng "xác thực hai yếu tố" trên các tài khoản quan trọng của mình càng sớm càng tốt trước khi các hacker làm điều đó đối với chính bạn.
Cuối cùng, một điểm bất cập của tính năng bảo mật này là sự bất tiện. Nếu bạn thường xuyên đăng nhập, đăng xuất các tài khoản mỗi ngày, bạn sẽ thấy cực kỳ mệt mỏi vì cứ phải đợi hệ thống gửi SMS, trả lời các câu hỏi bảo mật, quét vân tay...
Dù thế nào đi nữa, không có gì là hoàn hảo, và nếu bạn thực sự muốn tài khoản của mình được an toàn, không còn cách nào khác ngoài việc bạn phải chấp nhận những điều khó chịu này. Chỉ cần chú ý sử dụng tính năng "xác thực hai yếu tố" một cách thích hợp để tránh "gậy ông đập lưng ông".
Các bạn có sử dụng tính năng "xác thực hai yếu tố" không? Hãy cùng thảo luận nhé.
http://vnreview.vn/tu-van-bao-mat/-/view_content/content/2300189/nhung-rui-ro-va-bat-cap-cua-tinh-nang-xac-thuc-hai-yeu-to
