Khi bạn đăng nhập vào tài khoản trực tuyến của mình – một quy trình gọi là “xác thực” (authentication) được thực hiện để giúp bạn chứng minh với dịch vụ: Bạn là chủ tài khoản. Tuy nhiên, đó không còn là cách tốt nhất do: Tên người dùng thường dễ tìm (đôi khi chúng chỉ là địa chỉ email của bạn), mọi người thường lựa chọn mật khẩu dễ đoán, dễ nhớ, đơn giản hoặc sử dụng cùng mật khẩu cho nhiều dịch vụ trực tuyến khác nhau.

Để đảm bảo sự an toàn cho tài khoản và thông tin của người dùng, các nhà cung cấp dịch vụ trực tuyến đã và đang tích cực triển khai sử dụng 2FA như giải pháp tăng cường sự an toàn thông tin và tài khoản cho người dùng trước các cuộc tấn công của tin tặc.

2 Factors Authentication (2FA) – xác thực 2 yếu tố là phương thức xác thực người dùng dựa trên sự kết hợp của 2 yếu tố khác nhau ví dụ như: Mật khẩu + OTP, mật khẩu + vân tay, mật khẩu + xác thực khuôn mặt… 2FA từ lâu đã được sử dụng để kiểm soát quyền truy cập vào các hệ thống và dữ liệu nhạy cảm.

Các yếu tố được sử dụng trong xác thực là gì?

Yếu tố (Factor) trong xác thực (Authentication) là phương thức xác nhận định danh của người dùng khi họ thực hiện đăng nhập. Có 3 dạng yếu tố phổ biến là:

• Những thứ bạn biết (something you know) – là những thứ được người dùng lưu trong trí nhớ hoặc được người dùng biết đến… ví dụ: Mật khẩu, câu hỏi bảo mật, PIN (số định danh cá nhân)…
• Những thứ bạn có (something you have) – là những thiết bị, phần cứng, vật dụng được sở hữu bởi người dùng… ví dụ: Điện thoại di động, thẻ tài khoản, thiết bị token key, ứng dụng trên điện thoại di động… Thông tin sử dụng để xác thực sẽ được in sẵn trên thẻ, hiển thị trên toen key, gửi theo dạng SMS / email hoặc thông báo tự động trên thiết bị di động…
• Những thứ tạo nên bạn (something you are) – là những đặc điểm sinh trắc học của người dùng – ví dụ: vân tay, mống mắt, khuôn mặt… Các nhà cung cấp dịch vụ sẽ triển khai các giải pháp cho phép người dùng xác thực thông qua các đặc điểm sinh trắc học của họ.

Ảnh: Rublon

Xác thực 2 yếu tố (2FA) hoạt động như thế nào?

Các phương pháp ứng dụng 2FA khác nhau sử dụng các quy trình khác nhau nhưng tất cả đều dựa trên cùng một quy trình làm việc cơ bản, thông thường diễn ra như sau:

• Người dùng đăng nhập vào trang web hoặc dịch vụ sử dụng tài khoản và mật khẩu của họ
• Mật khẩu được xác thực bởi máy chủ và nếu đúng, người dùng sẽ đủ điều kiện cho yếu tố thứ hai
• Máy chủ xác thực sẽ gửi một đoạn mã duy nhất đến thiết bị của người dùng (được sử dụng cho yếu tố xác thực thứ 2)
• Người dùng xác nhận danh tính bằng cách thực hiện thao tác xác thực bổ sung theo hướng dẫn sử dụng thông tin được gửi đến thiết bị của mình

Những ứng dụng thực tế của 2FA

Google

Người sử dụng dịch vụ của Google có thể thực hiện bật tính năng “xác minh 2 bước” để tăng cường lớp bảo mật cho tài khoản của mình. Ngoài bước xác thực bằng mật khẩu thông thường, người dùng có thể lựa chọn thêm các phương thức xác thực sau:

• Nhận SMS với đoạn mã sử dụng 1 lần – thường là 6 số có định dạng G-xxxxxx
• Thông báo đăng nhập trên ứng dụng tại thiết bị di động với lựa chọn xác nhận là chủ tài khoản thực hiện đăng nhập

Ảnh: Google

Facebook

Tương tự như với Google, Facebook cũng cho phép người dùng bật tính năng 2FA và lựa chọn thêm phương thức xác thực bằng SMS hoặc thông qua ứng dụng

Các ứng dụng Mobile Banking

Xác thực sinh trắc học được ưu tiên sử dụng trong các ứng dụng liên quan đến thanh toán, giao dịch, ví dụ như:

• Các ứng dụng Mobile Banking tích hợp thêm chức năng xác thực bằng khuôn mặt để bổ sung thêm cho PIN và mật khẩu khi người dùng thực hiện các giao dịch chuyển khoản
• Một số ngân hàng đã ứng dụng hệ thống xác thực bằng giọng nói để cho phép khách hàng thực hiện các giao dịch trên kênh Call Center – Hiện tại ở Việt Nam có VPBank và TPBank đã triển khai giải pháp này cho khách hàng của họ

Ảnh: CXToday

Đặc điểm của sinh trắc học là tận dụng “sự đặc trưng và khó làm giả” của mỗi con người để đảm bảo người sử dụng dịch vụ không phải ai khác ngoài chủ tài khoản. Ngoài ra, tính “sẵn sàng” của nó luôn cao vì đã nằm sẵn trên cơ thể của chủ tài khoản rồi, nên “nỗ lực” để sử dụng chúng là rất thấp, do vậy trải nghiệm của khách hàng sẽ rất tốt khi được sử dụng.

2FA có an toàn không?

Câu trả lời là có, theo nghiên cứu của Google: Khi bạn thêm số điện thoại vào tài khoản Google như một phương thức khôi phục hoặc xác thực – 100% bot tự động, 99% các cuộc tấn công lừa đảo hàng loạt và 66% các cuộc tấn công có chủ đích có thể được ngăn chặn.

Tuy nhiên sự an toàn thông tin và tài khoản của người dùng còn phụ thuộc rất nhiều vào nhận thức và ý thức của người dùng. Người dùng cần trang bị cho mình các kiến thức cơ bản về an toàn thông tin, an toàn trên mạng internet và luôn ý thức việc đảm bảo áp dụng các biện pháp an toàn như sử dụng 2FA cho các dịch vụ trực tuyến mà mình sử dụng.

Happy surfing!