Các hình thức khác nhau của SMS xác thực hai yếu tố, ứng dụng Autheticator và hơn thế nữa
Nhiều dịch vụ trực tuyến cung cấp xác thực hai yếu tố, giúp tăng cường bảo mật bằng cách yêu cầu nhiều hơn chỉ là mật khẩu của bạn để đăng nhập. Có nhiều loại phương thức xác thực bổ sung khác nhau mà bạn có thể sử dụng.
Các dịch vụ khác nhau cung cấp các phương thức xác thực hai yếu tố khác nhau và trong một số trường hợp, bạn thậm chí có thể chọn từ một vài tùy chọn khác nhau. Đây là cách họ làm việc và cách họ khác nhau.
Xác minh SMS
Nhiều dịch vụ cho phép bạn đăng ký để nhận tin nhắn SMS bất cứ khi nào bạn đăng nhập vào tài khoản của mình. Tin nhắn SMS đó sẽ chứa mã sử dụng một lần ngắn mà bạn sẽ phải nhập. Với hệ thống này, điện thoại di động của bạn được sử dụng làm phương thức xác thực thứ hai. Ai đó không thể vào tài khoản của bạn nếu họ có mật khẩu của bạn - họ cần mật khẩu của bạn và truy cập vào điện thoại của bạn hoặc tin nhắn SMS của nó.
Điều này rất thuận tiện, vì bạn không cần phải làm gì đặc biệt và hầu hết mọi người đều có điện thoại di động. Một số dịch vụ thậm chí sẽ quay số điện thoại và có hệ thống tự động nói mã, cho phép bạn sử dụng số này với số điện thoại cố định không thể nhận được tin nhắn văn bản.
Tuy nhiên, có những vấn đề lớn với xác minh SMS. Kẻ tấn công có thể sử dụng các cuộc tấn công hoán đổi SIM để có quyền truy cập vào mã bảo mật của bạn hoặc chặn chúng nhờ các lỗ hổng trong mạng di động. Chúng tôi khuyên bạn không nên sử dụng tin nhắn SMS, nếu có thể. Tuy nhiên, tin nhắn SMS vẫn an toàn hơn nhiều so với việc không sử dụng bất kỳ xác thực hai yếu tố nào!
Mã do ứng dụng tạo (như Google Authenticator và Authy)
Bạn cũng có thể tạo mã của mình bằng một ứng dụng trên điện thoại. Ứng dụng được biết đến rộng rãi nhất thực hiện điều này là Google Authenticator, Google cung cấp cho Android và iPhone. Tuy nhiên, chúng tôi thích Authy, công việc mà Google Authenticator thực hiện - và hơn thế nữa. Mặc dù tên, các ứng dụng này sử dụng một tiêu chuẩn mở. Ví dụ: có thể thêm tài khoản Microsoft và nhiều loại tài khoản khác vào ứng dụng Google Authenticator.
Cài đặt ứng dụng, quét mã khi thiết lập tài khoản mới và ứng dụng đó sẽ tạo mã mới khoảng 30 giây một lần. Bạn sẽ phải nhập mã hiện tại được hiển thị trong ứng dụng trên điện thoại cũng như mật khẩu của bạn khi bạn đăng nhập vào tài khoản.
Điều này hoàn toàn không yêu cầu tín hiệu di động và hạt giống trực tiếp cho phép ứng dụng tạo các mã giới hạn thời gian đó chỉ được lưu trữ trên thiết bị của bạn. Điều đó có nghĩa là nó an toàn hơn nhiều, vì ngay cả những người có quyền truy cập vào số điện thoại của bạn hoặc chặn tin nhắn văn bản của bạn sẽ không biết mã của bạn.
Một số dịch vụ - ví dụ: Battle.net Authenticator của Blizzard - cũng có các ứng dụng tạo mã chuyên dụng của riêng họ.
Khóa xác thực vật lý
Khóa xác thực vật lý là một tùy chọn khác đang bắt đầu trở nên phổ biến hơn. Các công ty lớn từ lĩnh vực công nghệ và tài chính đang tạo ra một tiêu chuẩn được gọi là U2F và đã có thể sử dụng mã thông báo U2F vật lý để bảo mật tài khoản Google, Dropbox và GitHub của bạn. Đây chỉ là một phím USB nhỏ bạn đặt trên móc khóa của bạn. Bất cứ khi nào bạn muốn đăng nhập vào tài khoản của mình từ một máy tính mới, bạn sẽ phải cắm khóa USB và nhấn một nút trên đó. Đó là nó - không có mã gõ. Trong tương lai, các thiết bị này sẽ hoạt động với NFC và Bluetooth để giao tiếp với các thiết bị di động không có cổng USB.
Giải pháp này hoạt động tốt hơn so với xác minh SMS và mã sử dụng một lần vì không thể bị chặn và gây rối. Nó cũng đơn giản và thuận tiện hơn để sử dụng. Ví dụ: một trang web lừa đảo có thể hiển thị cho bạn một trang đăng nhập Google giả mạo và nắm bắt mã sử dụng một lần của bạn khi bạn cố gắng đăng nhập. Sau đó, họ có thể sử dụng mã đó để đăng nhập vào Google. Nhưng, với khóa xác thực vật lý hoạt động cùng với trình duyệt của bạn, trình duyệt có thể đảm bảo nó giao tiếp với trang web thực và mã không thể bị bắt bởi kẻ tấn công.
Hy vọng sẽ thấy nhiều hơn những thứ này trong tương lai.
Xác thực dựa trên ứng dụng
Một số ứng dụng di động có thể cung cấp xác thực hai yếu tố bằng chính ứng dụng. Ví dụ: Google hiện cung cấp xác thực hai yếu tố không có mã miễn là bạn đã cài đặt ứng dụng Google trên điện thoại của mình. Bất cứ khi nào bạn cố gắng đăng nhập vào Google từ một máy tính hoặc thiết bị khác, bạn chỉ cần nhấn một nút trên điện thoại của mình, không cần mã. Google đang kiểm tra để đảm bảo bạn có quyền truy cập vào điện thoại của mình trước khi bạn cố gắng đăng nhập.
Xác minh hai bước của Apple hoạt động tương tự, mặc dù nó không sử dụng ứng dụng - nó sử dụng chính hệ điều hành iOS. Bất cứ khi nào bạn cố gắng đăng nhập từ một thiết bị mới, bạn có thể nhận được mã sử dụng một lần được gửi đến một thiết bị đã đăng ký, như iPhone hoặc iPad của bạn. Ứng dụng di động của Twitter cũng có một tính năng tương tự gọi là xác minh đăng nhập. Và, Google và Microsoft đã thêm tính năng này vào ứng dụng điện thoại thông minh Google và Microsoft Authenticator.
Hệ thống dựa trên email
Các dịch vụ khác dựa vào tài khoản email của bạn để xác thực bạn. Ví dụ: nếu bạn bật Steam Guard, Steam sẽ nhắc bạn nhập mã sử dụng một lần được gửi đến email của bạn mỗi khi bạn đăng nhập từ một máy tính mới. Điều này ít nhất đảm bảo kẻ tấn công sẽ cần cả mật khẩu tài khoản Steam và quyền truy cập vào tài khoản email của bạn để có quyền truy cập vào tài khoản đó.
Điều này không an toàn như các phương thức xác minh hai bước khác, vì ai đó có thể dễ dàng truy cập vào tài khoản email của bạn, đặc biệt nếu bạn không sử dụng xác minh hai bước trên đó! Tránh xác minh dựa trên email nếu bạn có thể sử dụng một cái gì đó mạnh mẽ hơn. (Rất may, Steam cung cấp xác thực dựa trên ứng dụng trên ứng dụng di động của nó.)
Phương pháp cuối cùng: Mã phục hồi
Mã khôi phục cung cấp một mạng lưới an toàn trong trường hợp bạn mất phương thức xác thực hai yếu tố. Khi bạn thiết lập xác thực hai yếu tố, thông thường bạn sẽ được cung cấp mã khôi phục bạn nên ghi lại và lưu trữ ở nơi an toàn. Bạn sẽ cần chúng nếu bạn mất phương pháp xác minh hai bước.
Hãy chắc chắn rằng bạn có một bản sao mã khôi phục của mình ở đâu đó nếu bạn đang sử dụng xác thực hai bước.
Bạn sẽ không tìm thấy nhiều tùy chọn này cho mỗi tài khoản của mình. Tuy nhiên, nhiều dịch vụ cung cấp nhiều phương thức xác minh hai bước bạn có thể chọn từ.
Ngoài ra còn có tùy chọn sử dụng nhiều phương thức xác thực hai yếu tố. Ví dụ: nếu bạn thiết lập cả ứng dụng tạo mã và khóa bảo mật vật lý, bạn có thể có quyền truy cập vào tài khoản của mình thông qua ứng dụng nếu bạn mất khóa vật lý.