Xác thực hai yếu tố là điều tồi tệ nhất mà chúng ta phải chịu đựng

Tại thời điểm này, 2FA đã trở thành tiêu chuẩn vàng mới về bảo mật. Xác thực hai yếu tố (2FA) là điều xảy ra khi bạn nhập tên người dùng và mật khẩu, rồi nhận được lời nhắc đáng sợ: "Vui lòng nhập mã được gửi đến [địa chỉ email của bạn]". Về lý thuyết, đó là một lớp bảo mật bổ sung. Ngay cả khi ai đó có thông tin đăng nhập, họ vẫn cần quyền truy cập vào email hoặc số điện thoại của bạn. Tuy nhiên, trên thực tế, 2FA gây rắc rối cho người dùng hơn là cho tin tặc.

2FA làm phức tạp hóa việc truy cập

Về cơ bản, mục đích của 2FA là làm cho việc truy cập trở nên khó khăn hơn, nhưng không chỉ với tin tặc, mà cả với người dùng nữa. Khả năng người đăng nhập không phải là bạn mà là một tin tặc nào đó là rất thấp, vậy mà chính bạn lại là người phải chịu đựng mọi thứ. Giờ đây, bạn cần ít nhất hai cửa sổ mở chỉ để đăng nhập ở bất kỳ đâu. Đầu tiên là trang web. Sau đó là email để lấy mã. Tệ hơn nữa, nếu đó là 2FA dựa trên SMS, bạn phải cần đến điện thoại của mình.

Đó là vấn đề nan giải cố hữu của bất kỳ biện pháp bảo mật nào. Bạn có thể ngăn phanh bị hỏng bằng cách kiểm tra chúng trước mỗi lần lái xe. Điều này hoàn toàn hợp lý: Nếu bạn không muốn phanh bị hỏng, nếu bạn muốn tránh tai nạn và sống lâu hơn, bạn nên kiểm tra phanh mỗi lần lái xe. Nhưng không ai làm điều đó vì nó không khả thi. Đó là những gì đang xảy ra với 2FA.

Cảm giác an toàn giả tạo

Thói quen tốt quan trọng hơn việc xác thực lại liên tục

Rõ ràng, có sự khác biệt giữa việc có thói quen bảo mật email tốt và việc bị buộc phải vượt qua các rào cản mỗi khi đăng nhập. Bạn không cần kiểm soát chất lượng nghiêm ngặt nếu bạn đã có hệ thống đảm bảo chất lượng tốt. Nếu bạn lái xe có trách nhiệm và thay phanh thường xuyên, bạn không cần phải kiểm tra chúng trước mỗi chuyến đi; logic tương tự cũng được áp dụng ở đây.

Bạn không thể đếm được bao nhiêu lần mình đã thử đăng nhập vào tài khoản Google trên điện thoại, nhưng lời nhắc xác minh lại được gửi đến chính thiết bị đó. Nếu ai đó có điện thoại của bạn, trò chơi kết thúc - họ thậm chí không cần tới mật khẩu của bạn. Email hoặc mã SMS đã trao cho họ chìa khóa.

Không đáng tin cậy

Xác thực hai yếu tố (2FA) được xây dựng dựa trên các phương thức phân phối không ổn định

Mặc dù được coi là nền tảng của bảo mật hiện đại, nhưng xác thực hai yếu tố (2FA) lại không hề đáng tin cậy. Trải nghiệm với Google khá tốt, nhưng xác thực hai yếu tố (2FA) của Meta lại không ổn định và của Microsoft thì thực sự khủng khiếp. Nếu các công ty công nghệ lớn không thể xác thực hai yếu tố (2FA) đúng cách, thì còn hy vọng gì với những công ty nhỏ hơn? Và nếu họ dựa vào dịch vụ của bên thứ ba, điều gì sẽ xảy ra khi dịch vụ đó ngừng hoạt động - liệu chúng ta có đột nhiên mất quyền truy cập vào hàng chục tài khoản cùng lúc không?

Nếu dịch vụ nhà mạng của bạn bị gián đoạn, bạn sẽ không thể đăng nhập vào bảng điều khiển của mình vì mã SMS không bao giờ đến. Với 2FA dựa trên SMS, ngay cả một trục trặc mạng cơ bản cũng có thể nuốt trọn tin nhắn.

Hộp thư đến lộn xộn và quyền riêng tư

Mỗi lần đăng nhập lại trở thành một email hoặc tin nhắn mà bạn không bao giờ yêu cầu. 2FA khiến điều đó trở thành điều không thể tránh khỏi. Bạn phải liên tục đưa email hoặc số điện thoại của mình cho các công ty mà mình không muốn. Bạn còn nhớ khi nào chỉ cần đăng ký bằng tên người dùng và mật khẩu không? Hồi đó, bạn phải xác nhận mật khẩu; giờ thì bạn phải xác nhận email. Mật khẩu không còn nhiều giá trị nữa.

Và còn một vấn đề sâu xa hơn về quyền riêng tư. Khi nhà cung cấp dịch vụ email xử lý mã 2FA, về cơ bản là họ đang theo dõi mọi lần đăng nhập. Gmail biết khi nào bạn cố gắng đăng nhập vào PayPal. Bạn không muốn Gmail biết điều đó. SMS 2FA thậm chí còn tệ hơn. Nhà mạng, vốn đã có số điện thoại và vị trí của bạn, giờ biết cả bạn sử dụng ứng dụng nào và khi nào. Tất nhiên, họ sẽ không sử dụng mã để đăng nhập bằng tên bạn - nhưng chỉ nghĩ về điều đó thôi cũng thật đáng sợ.

Nguy cơ bị khóa vĩnh viễn

Việc không thể truy cập email, số điện thoại hoặc thiết bị sao lưu có thể khiến bạn bị khóa vĩnh viễn khỏi các tài khoản quan trọng, và quá trình khôi phục rất khó khăn. Nhiều người đã trải qua cơn ác mộng này với Microsoft, và hơn một năm sau, họ vẫn đang phải trả giá.

Ví dụ, một người có email Outlook được liên kết với cả trường đại học và cơ quan. Mọi tài khoản quan trọng - Asana, Slack, CMS, trang web công ty, LinkedIn, nhóm thảo luận của trường đại học, VPN - đều được kết nối với địa chỉ này.

Người này chỉ muốn gửi bản thảo luận án cho giáo sư, nhưng Outlook lại buộc phải xác thực lại. Nhập email và mật khẩu vẫn chưa đủ. Mã 2FA được gửi đến email dự phòng. Thật không may, email dự phòng là một email Outlook khác cũng yêu cầu 2FA.

Giải pháp dự phòng cho email Outlook thứ hai là một tài khoản Yahoo. Đúng như dự đoán, toàn bộ hệ thống sụp đổ như domino. Hết thời gian và kiên nhẫn, người này buộc phải reset mật khẩu. Người này đã trả lời đúng hai câu hỏi bảo mật, nhưng rồi lại nhận được thông báo tài khoản đã bị "chặn vì hoạt động đáng ngờ".

Khi người này lấy lại được quyền truy cập vào Yahoo và Outlook phụ, tài khoản chính đã biến mất. Hệ thống khôi phục của Microsoft muốn biết chủ đề của các email mới nhất (có thể), những liên hệ gần đây (có thể), và quốc gia đã đăng ký (không thể nếu luôn sử dụng VPN). Nếu bạn đoán sai quốc gia, phản ứng của Microsoft là tước quyền truy cập của bạn. Bạn bị khóa vĩnh viễn.

Người này buộc phải loay hoay thay đổi email khắp nơi. Tệ hơn, một số dịch vụ vẫn không cho tôi cập nhật thông tin đăng nhập nếu không có địa chỉ Outlook đó. Nếu bị đăng xuất, những tài khoản đó sẽ biến mất mãi mãi.