Xác thực hai yếu tố (2FA) – Two Factor Authentication, đôi khi được gọi là xác min hai bước hoặc xác thực yếu tố kép, là một quy trình bảo mật trong đó người dùng cung cấp hai yếu tốc xác thực khác nhau để tự xác minh.
2FA được triển khai để bảo vệ tốt hơn cả thông tin đăng nhập của người dùng và các tài nguyên mà người dùng có thể truy cập. Xác thực hai yếu tố cung cấp độ bảo mật cao hơn so với các phương pháp xác thực phụ thuộc vào xác thực đơn yếu tố (SFA), trong đó người dùng chỉ cung cấp một yếu tố - thường là mật khẩu. Phương pháp xác thực hai yếu tố dựa vào việc người dùng cung cấp mật khẩu làm yếu tố đầu tiên và yếu tố thứ hai, khác nhau – thường là mã thông báo bảo mật hoặc yếu tố sinh trắc học, chẳng hạn như vân tay hoặc quét khuôn mặt.
Xác thực hai yếu tố bổ sung một lớp bảo mật bổ sung cho quá trình xác thực bằng cách khiến kẻ tấn công khó truy cập vào thiết bị hoặc tài khoản trực tuyến của một người hơn bởi vì, ngay cả khi mật khẩu của nạn nhân bị tấn công, chỉ một mật khẩu là không đủ để vượt qua xác thực kiểm tra.
Xác thực hai yếu tố từ lâu đã được sử dụng để kiểm soát truy cập vào các hệ thống và dữ liệu nhạy cảm. Các nhà cung cấp dịch vụ trực tuyến đang ngày càng sử dụng 2FA để bảo vệ thông tin đăng nhập của người dùng khỏi bị tin tặc sử dụng, kẻ đã đánh cắp cơ sở dữ liệu mật khẩu hoặc sử dụng các chiến dịch lừa đảo để lấy mật khẩu của người dùng.
Các yếu tố xác thực là gì?
Có một số cách mà ai đó có thể được xác thực bằng nhiều phương pháp xác thực. Hiện tại, hầu hết các phương pháp xác thực dựa vào các yếu tố kiến thức chẳng hạn như mật khẩu, trong khi các phương pháp xác thực hai yếu tố thêm yếu tổ sở hữu hoặc yếu tố liên quan.
Các yếu tố xác thực, được liệt kê theo thứ tự áp dụng gần đúng cho máy tính, bao gồm các yếu tố sau:
- Something you know: là thứ mà người dùng biết, chẳng hạn như mật khẩu, số nhận dạng cá nhân (PIN) hoặc một số loại bí mật được chia sẻ khác.
- Something you have: là thứ mà người dùng có, chẳng hạn như ID, mã thông báo bảo mật, điện thoại di động, thiết bị di động hoặc ứng dụng điện thoại thông minh để phê duyệt yêu cầu xác thực.
- Something you are: là một cái gì đó vốn có trong bản thân vật lý của người dùng chẳng hạn như nhận dạng khuôn mặt, giọng nói hoặc sinh trắc học hành vi,v.v.
Phần lớn các phương pháp xác thực hai yếu tố dựa trên 2 yếu tố trên, mặc dù các hệ thống yêu cầu bảo mật cao hơn có thể được sử dụng chúng để triển khai xác thực đa yếu tố (MFA), có thể dựa vào hai hoặc nhiều thông tin xác thực độc lập để xác thực an toàn hơn.
Xác thực hai yếu tố hoạt động như thế nào?
Việc bật xác thực hai yếu tố khác nhau tùy thuộc vào các ứng dụng hoặc nhà cung cấp cụ thể. Tuy nhiên, quy trình xác thực hai yếu tố liên quan đến cùng một quy trình chung, gồm nhiều bước:
1. Người dùng được ứng dụng hoặc trang web nhắc đăng nhập.
2. Người dùng đăng nhập những gì họ biết – thường là tên người dùng và mật khẩu. Sau đó, máy chủ của trang web tìm thấy kết quả phù hợp và nhận dạng người dùng.
3. Đối với các quy trình không yêu cầu mật khẩu, trang web tạo một khóa bảo mật duy nhất cho người dùng. Công cụ xác thực xử lý khóa và máy chủ của trang web xác nhận khóa đó.
4. Sau đó, trang web sẽ nhắc người dùng bắt đầu bước đăng nhập thứ hai. Mặc dù bước này có thể thực hiện một số hình thức, nhưng người dùng phải chứng minh rằng họ có thứ mà chỉ họ mới có, chẳng hạn như sinh trắc học, mã thông báo bảo mật, thẻ ID, điện thoại thông minh hoặc thiết bị di động khác. Đây là yếu tố tồn tại hoặc sở hữu.
5. Sau đó, người dùng có thể phải nhập mã một lần được tạo trong bước bốn.
6. Sau khi cung cấp cả hai yếu tố, người dùng được xác thực và cấp quyền truy cập vào ứng dụng hoặc trang web.
Xác thực hai yếu tố có an toàn không?
Mặc dù xác thực hai yếu tố cải thiện bảo mật, nhưng các lược đồ 2FA chỉ an toàn như thành phần yếu nhất của chúng. Ví dụ: mã thông báo phần cứng thuộc về tính bảo mật của nhà phát hành hoặc nhà sản xuất. Một trong những trường hợp nổi bật nhất về hệ thống hai yếu tố bị xâm nhập xảy ra vào năm 2011 khi công ty bảo mật RSA Security báo cáo mã thông báo xác thực SecurID của họ bị tấn công.
Bản thân quá trình khôi phục tài khoản cũng có thể bị lật đổ khi nó được sử dụng để đánh bại xác thực hai yếu tố vì nó thường đặt lại mật khẩu hiện tại của người dùng và gửi mật khẩu tạm thời qua email để cho phép người dùng đăng nhập lại, bỏ qua quy trình 2FA. Các tài khoản Gmail doanh nghiệp của giám đốc điều hành Cloudflare đã bị tấn công theo cách này.
Mặc dù 2FA dựa trên SMS không tốn kém, dễ thực hiện và được coi là thân thiện với người dùng, nhưng nó rất dễ bị tấn công. Viện Tiêu chuẩn và Công nghệ Quốc gia ( NIST ) đã không khuyến khích việc sử dụng SMS trong các dịch vụ 2FA trong Ấn phẩm đặc biệt 800-63-3: Nguyên tắc nhận dạng kỹ thuật số. NIST kết luận rằng các OTP được gửi qua SMS quá dễ bị tấn công do các cuộc tấn công về tính di động của số điện thoại di động, các cuộc tấn công vào mạng điện thoại di động và phần mềm độc hại có thể được sử dụng để chặn hoặc chuyển hướng tin nhắn văn bản.
Tương lai của xác thực
Các môi trường yêu cầu bảo mật cao hơn có thể quan tâm đến xác thực ba yếu tố , thường liên quan đến việc sở hữu mã thông báo vật lý và mật khẩu được sử dụng cùng với dữ liệu sinh trắc học, chẳng hạn như quét vân tay hoặc dấu giọng nói. Các yếu tố như vị trí địa lý, loại thiết bị và thời gian trong ngày cũng đang được sử dụng để giúp xác định xem người dùng nên được xác thực hay bị chặn. Ngoài ra, các số nhận dạng sinh trắc học hành vi, chẳng hạn như độ dài lần gõ phím của người dùng, tốc độ nhập và chuyển động của chuột, cũng có thể được theo dõi kín đáo trong thời gian thực để cung cấp xác thực liên tục thay vì kiểm tra xác thực một lần duy nhất trong khi đăng nhập.
Dựa vào mật khẩu làm phương pháp xác thực chính, mặc dù phổ biến, nhưng thường không còn cung cấp bảo mật hoặc trải nghiệm người dùng mà các công ty và người dùng của họ yêu cầu. Và, mặc dù các công cụ bảo mật kế thừa, chẳng hạn như trình quản lý mật khẩu và MFA, cố gắng giải quyết các vấn đề về tên người dùng và mật khẩu, chúng phụ thuộc vào một kiến trúc đã lỗi thời về cơ bản: cơ sở dữ liệu mật khẩu.
Do đó, nhiều tổ chức đang chuyển sang xác thực không cần mật khẩu. Sử dụng các phương pháp như sinh trắc học và giao thức an toàn cho phép người dùng xác thực an toàn trong các ứng dụng của họ mà không cần phải nhập mật khẩu. Trong kinh doanh, điều này có nghĩa là nhân viên có thể truy cập công việc của họ mà không cần phải nhập mật khẩu và CNTT vẫn duy trì toàn quyền kiểm soát mọi lần đăng nhập. Việc sử dụng blockchain , ví dụ, thông qua danh tính phi tập trung hoặc danh tính tự chủ, cũng đang được chú ý như một giải pháp thay thế cho các phương pháp xác thực truyền thống .
Cộng Đồng