Nhiều người phàn nàn rằng xác thực hai yếu tố là một tính năng khá phiền nhiễu, thậm chí còn gây khó khăn trong nhiều tình huống. Thế nhưng không phải ngẫu nhiên mà xác thực hai yếu tố lại là một trong những biện pháp bảo mật cơ bản được sử dụng phổ biến nhất trên thế giới. Nguyên nhân chẳng có gì “bí hiểm”, đó là nhờ vào hiệu quả thực tế mà nó mang lại. Nếu bạn có bất kỳ nghi ngờ nào về việc liệu tính năng xác thực hai yếu tố có thực sự giúp bạn an toàn hơn nhiều hay không, hãy tham khảo dữ liệu sau đây của Google để xua tan mọi sự ngờ vực từ trước đến nay.
Có thể nhiều người trong số chúng ta vẫn đang sử dụng xác thực hai yếu tố nhưng lại không hề hay biết, xin được nhắc lại đôi chút về tính năng bảo mật này. Về cơ bản, xác thực hai yếu tố (2FA) là một phương thức bảo mật yêu cầu hai cách khác nhau để chứng minh danh tính của bạn. Khác với xác thực một yếu tố “cổ lỗ sĩ”, xác thực hai yếu tố sẽ yêu cầu sử dụng thêm một lớp bảo mật bổ sung để chứng minh người đăng nhập vào tài khoản hoặc thiết bị thực sự là người giữ quyền sử dụng tài khoản hoặc thiết bị đó. Ngay cả khi ai đó đánh cắp hoặc đoán được ra mật khẩu của bạn, họ vẫn sẽ không thể giành được quyền truy cập thông tin của bạn nếu không sở hữu thông tin bảo mật thứ cấp. Thông tin bảo mật thứ cấp này có thể là một đoạn mã xác thực riêng biệt được gửi đến thiết bị mà bạn đã đăng ký trước đó. Nếu yêu cầu mức độ bảo mật cao hơn, bạn thậm chí có thể lấy một thiết bị vật lý kết nối với máy tính để xác minh danh tính của mình. Lấy ví dụ đơn giản, các hoạt động thanh toán bằng thẻ tín dụng hay chuyển khoản ngân hàng hiện nay không chỉ yêu cầu thẻ, mật khẩu đăng nhập, mà còn yêu cầu thêm cả mã PIN, chữ ký, ID, hoặc mã xác thực. Để hiểu thêm về tính năng bảo mật này, bạn có thể tham khảo bài viết: “Xác thực hai yếu tố là gì và tại sao bạn nên sử dụng nó”.
- Hacker kiếm được 32.000 USD trong 7 tuần bằng cách sửa một loạt lỗ hổng trong các dự án tiền điện tử
Một nhà cung cấp dịch vụ lớn như Google đương nhiên có hỗ trợ các hình thức 2FA và nhiều phương pháp bảo mật khác. Sau nhiều năm triển khai tính năng bảo mật này, công ty đã quyết định hợp tác với các nhà nghiên cứu đến từ Đại học New York và Đại học California, San Diego thực hiện một dự án nghiên cứu kéo dài 12 tháng nhằm xem xét mức độ hiệu quả của 2FA, kết quả như sau:
Theo đó, việc nhận được mã SMS xác thực thứ cấp đã giúp ngăn chặn gần như 100% các cuộc tấn công tự động, 96% các cuộc tấn công lừa đảo hàng loạt và 76% các cuộc tấn công nhắm mục tiêu trực tiếp - tương tự như những chiến dịch tấn công được thực hiện bởi các tin tặc có tài trợ. Trong khi đó, việc sử dụng lời nhắc trên thiết bị mang lại những con số tương ứng lên tới 100%, 99% và 90%. Tất nhiên, sử dụng khóa bảo mật vật lý vẫn là phương pháp là an toàn nhất, giúp ngăn chặn tới gần 100% cả 3 loại hình tấn công trong quá trình điều tra của Google.
Ngoài ra, các hình thức 2FA khác như cung cấp địa chỉ email phụ, số điện thoại hoặc địa điểm đăng nhập cuối cùng cũng là những phương pháp được nhiều người lựa chọn sử dụng, nhưng có phần kém an toàn hơn nhiều. Cụ thể, phương pháp sử dụng email phụ chỉ giúp ngăn chặn được 73% các cuộc tấn công tự động, 68% các trường hợp tấn công lừa đảo hàng loạt và 79% các vụ tấn công nhắm mục tiêu trực tiếp. Mặt khác, các phương pháp như yêu cầu cung cấp số điện thoại và địa điểm đăng nhập cuối cùng tuy vẫn có thể ngăn chặn được 100% hình thức cuộc tấn công tự động, nhưng khả năng ứng phó với các cuộc tấn công lừa đảo hàng loạt và nhắm mục tiêu trực tiếp lại quá tệ, chỉ dừng lại ở mức 26% và 50% đối với phương pháp yêu cầu cung cấp số điện thoại, trong khi phương pháp yêu cầu cung cấp điểm đăng nhập cuối cùng còn tệ hơn, chỉ ngăn chặn được 10% tấn công lừa đảo hàng loạt và không thể ứng phó được với kiểu tấn công nhắm mục tiêu trực tiếp.
Như vậy có thể thấy việc sử dụng 2FA nhìn chung vô cùng cần thiết. Đối với hầu hết mọi người, chỉ cần thêm số điện thoại khôi phục vào tài khoản Google cũng đã có thể giúp giữ an toàn cho tài khoản của bạn tốt hơn rất nhiều, đồng thời giúp Google phát hiện các hoạt động đáng ngờ dễ dàng hơn.