If you're seeing this message, it means we're having trouble loading external resources on our website.

Nếu bạn đang sử dụng bộ lọc web, vui lòng kiểm tra lại xem bộ lọc có chặn hai tên miền *.kastatic.org*.kasandbox.org hay không.

Nội dung chính

Xác thực đa yếu tố

Sử dụng mật khẩu là hình thức xác thực phổ biến nhất. Tuy nhiên, đây không phải là hình thức xác thực duy nhất và cũng không phải là hình thức an toàn nhất. Khi ta chỉ thiết lập một lớp bảo mật, tin tặc chỉ cần biết một thông tin duy nhất (ví dụ như mật khẩu) là có thể vượt qua bước xác thực danh tính.
Vì vậy, để ngăn chặn hành vi truy cập trái phép vào dữ liệu riêng tư, ta có thể áp dụng một giải pháp bảo mật hơn, đó là sử dụng phương thức xác thực đa yếu tố, tức là xác thực danh tính thông qua nhiều thông tin.

Các yếu tố xác thực

Để xác thực danh tính, bạn cần cung cấp bằng chứng để chứng minh danh tính của bạn. Có ba dạng bằng chứng phổ biến thường được dùng để xác minh danh tính như sau:
  1. Bằng chứng dựa trên sự hiểu biết (tức là thứ bạn biết). Bạn thường xác minh danh tính của mình trên một trang web bằng cách cung cấp mật khẩu. Mật khẩu của bạn là ví dụ cho một điều gì đó mà bạn biết. Các ví dụ tương tự chính là mã PIN hoặc cụm từ.
Illustration of a thought bubble with the password "Be3tP@ssw0rd3ver"
  1. Bằng chứng dựa trên tính sở hữu (tức là thứ bạn có). Máy ATM xác minh danh tính của người dùng bằng cách yêu cầu họ cung cấp thẻ ngân hàng để làm bằng chứng. Thẻ ngân hàng của bạn là ví dụ cho một thứ mà bạn có. Ví dụ tương tự bao gồm điện thoại, chìa khóa hoặc thẻ bảo mật.
Hình minh họa một tay cầm thẻ ATM
  1. Bằng chứng dựa trên đặc điểm sinh trắc học (tức là thứ tạo nên bạn). Những mẫu điện thoại hiện đại có thể xác minh danh tính của bạn bằng cách quét dấu vân tay. Dấu vân tay là ví dụ cho một thứ vốn có trên cơ thể và là đặc điểm riêng tạo nên bạn. Các ví dụ khác bao gồm nhận dạng khuôn mặt hoặc giọng nói.
Illustration of a thumbprint and a woman speaking with sound waves coming out
Các dạng bằng chứng xác minh khác nhau này còn được gọi chung là các yếu tố xác thực. Trong thực tiễn, ta còn có những bằng chứng xác thực khác (ví dụ như địa điểm của bạn), nhưng những yếu tố kể trên là những yếu tố được sử dụng phổ biến nhất.
Tin tặc có thể đánh cắp các yếu tố xác thực này để truy cập trái phép vào tài khoản. Tùy thuộc vào vị trí của kẻ tấn công mà một số yếu tố dễ bị đánh cắp hơn so với những yếu tố khác. Chẳng hạn, kẻ tấn công từ xa có thể thấy việc đánh cắp mật khẩu dễ dàng hơn so với thẻ ngân hàng, trong khi kẻ tấn công ở khu vực lân cận người dùng sẽ thấy đánh cắp thẻ ngân hàng dễ hơn.
Illustration of two attackers: the attacker on the left is shown monitoring a password being sent in plain text over the Internet, the attacker on the right is shown stealing an ATM card

Xác thực đa yếu tố

Để ngăn chặn các cuộc tấn công cục bộ và từ xa, các hệ thống xác thực sử dụng một phương pháp kiểm soát truy cập phổ biến được gọi là xác thực đa yếu tố (multi-factor authentication - MFA).
MFA yêu cầu người dùng cung cấp bằng chứng thuộc các yếu tố xác thực riêng biệt (ví dụ như kết hợp thứ bạn biết - kiến thức và thứ bạn có - sở hữu) để có thể truy cập vào hệ thống.

Xác thực hai yếu tố

Xác thực hai yếu tố là hình thức MFA phổ biến nhất. Xác thực hai yếu tố (2FA) yêu cầu hai bằng chứng xác minh danh tính và hai bằng chứng đó phải thuộc hai yếu tố khác nhau.
Một hệ thống xác thực yêu cầu mật khẩu và mã PIN chỉ được tính là xác thực một yếu tố mặc dù hệ thống yêu cầu hai bằng chứng. Mật khẩu và mã PIN đều thuộc yếu tố kiến thức nên hệ thống này không được phân loại là hệ thống xác thực đa yếu tố.
Vậy thì một hệ thống 2FA trong thực tế sẽ như thế nào? Quy trình phổ biến nhất mà ta thường gặp chính là nhập mật khẩu (thứ bạn biết) ở bước đầu tiên và sau đó nhập mã được tạo trên điện thoại của bạn (thứ bạn có).
Hãy xem qua quy trình xác thực hai yếu tố để đăng nhập vào Github - một trang web cung cấp kho lưu trữ mã nguồn và kiểm soát các phiên bản phần mềm.
Đầu tiên, Github yêu cầu tôi điền tên người dùng và mật khẩu:
Screenshot of Github login screen with two form fields (one for username, one for password) and a button that says "Sign in".
Github nhắc tôi nhập mã xác thực được tạo bởi một ứng dụng trên thiết bị của tôi:
Screenshot of Github 2FA screen with a form field labeled "authentication code" and a button labeled "Verify". Text at the bottom says "Open the two-factor authentication app on your device to view your authentication code and verify your identity."
Tôi mở ứng dụng xác thực trên điện thoại và lấy mã được tạo để truy cập tài khoản Github của mình:
Photo of a hand holding a phone with an app open. The app is titled "Authenticator" and shows the code "188 071" labeled as "Github".
Nếu quan sát kỹ, bạn sẽ thấy đồng hồ đếm ngược thời gian hết hạn của mã số được tạo. Khi quá trình đếm ngược kết thúc, một mã mới sẽ được tạo và bộ đếm giờ sẽ được đặt lại. Nhiều hệ thống 2FA thường thêm thông tin về ngày hết hạn của một bằng chứng để ngăn những kẻ tấn công mạng sử dụng bằng chứng xác thực này mãi mãi.
Vì mã được tạo sẽ hết hạn sau vài phút nữa nên tôi phải nhanh chóng dán mã đó vào trang web Github trên máy tính xách tay của mình:
Screenshot of Github 2FA screen with a form field labeled "authentication code" and a button labeled "Verify". Field is filled out but contents are disguised as dots.
Cuối cùng, tôi đã đăng nhập thành công vào tài khoản Github của mình!
Quá trình đăng nhập Github kéo dài hơn và phức tạp hơn khi ta phải hoàn thành thêm bước sử dụng điện thoại để tạo mã đăng nhập. Nhưng đó lại chính là cách để kẻ tấn công khó xâm nhập vào tài khoản Github của tôi hơn.
Vào tháng 5 năm 2019, nhiều người dùng trên Github đã phát hiện ra rằng kho lưu trữ mã của họ đã bị xóa và được thay thế bằng một ghi chú đòi tiền chuộc. Lí do là bởi những người dùng đó không sử dụng 2FA và vô tình để lộ mật khẩu, khiến cho kẻ tấn công dễ dàng kiểm soát tài khoản của họ. Đó là lý do tại sao Github đặc biệt khuyến nghị sử dụng 2FA. 1
Mỗi khi ta bổ sung thêm một yếu tố xác thực, một lớp bảo mật khác sẽ được dựng lên để ngăn chặn các cuộc tấn công. Vậy tại sao ta không sử dụng 3FA (xác thực 3 yếu tố) hoặc thậm chí 4FA (xác thực 4 yếu tố)? Câu trả lời là người dùng có thể cảm thấy bất tiện khi phải xuất trình 3 dạng bằng chứng trở lên để xác thực, đặc biệt là khi các hệ thống thường yêu cầu xác thực lại sau một thời gian nhất định. Đây là một ví dụ phổ biến về sự đánh đổi trong an ninh mạng: ta nên ưu tiên trải nghiệm người dùng hay tính bảo mật? Khi tính bảo mật của một hệ thống tăng lên, thì sự tiện dụng của hệ thống này có thể không còn như trước.

Khuyến nghị

Để bảo vệ tài khoản, tốt nhất ta nên sử dụng xác thực đa yếu tố cùng với [mật khẩu mạnh]. Theo một nghiên cứu của Google, sử dụng MFA đã ngăn chặn nhiều cuộc tấn công hơn so với dùng xác thực một yếu tố, ngăn chặn 100% các cuộc tấn công từ bot tự động và giúp giảm đáng kể các loại hình tấn công khác. 2
Ta sẽ không thể sử dụng MFA nếu trang web không hỗ trợ. Nhưng hiện nay, nhiều trang web đã nâng cấp hệ thống của họ và cho phép người dùng sử dụng MFA. Vậy nên, ta nên thỉnh thoảng kiểm tra lại xem trang web ta đang dùng đã hỗ trợ MFA hay chưa? Nếu ta sử dụng trình quản lý mật khẩu, công cụ này thậm chí có thể thông báo cho ta biết khi nào thì một trong các tài khoản của chúng ta có thể kích hoạt MFA.
Chúng ta cũng cần cẩn thận để đảm bảo bằng chứng thuộc yếu tố này không liên quan đến bằng chứng thuộc yếu tố khác. Ví dụ: nếu bạn lưu mật khẩu trong ứng dụng Ghi chú trên điện thoại của mình và ai đó tìm được cách đánh cắp và mở khóa điện thoại của bạn, thì họ sẽ có quyền truy cập vào cả bằng chứng dựa trên sự sở hữu (mã trên điện thoại) bằng chứng dựa trên sự hiểu biết (mật khẩu). 😬
🤔 Một hệ thống sử dụng nhiều yếu tố xác thực đồng nghĩa với việc nó sẽ lưu trữ nhiều thông tin của bạn hơn. Liệu việc này có gây ra vấn đề về quyền riêng tư không?

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Bạn có câu hỏi nào về chủ đề này không? Chúng tôi rất sẵn sàng hỗ trợ bạn — hãy để lại câu hỏi ở mục câu hỏi phía dưới nhé!

Tham gia cuộc thảo luận?

Chưa có bài đăng nào.
Bạn có hiểu Tiếng Anh không? Bấm vào đây để thấy thêm các thảo luận trên trang Khan Academy Tiếng Anh.