Xác minh hai bước là thứ có vẻ bất tiện nhưng lại vô cùng cần thiết trong cuộc sống thường ngày. Nó không hoàn hảo và cũng có những hạn chế. Xác minh hai bước là gì? Đó là khi truy cập website hay ứng dụng nào đó, sau khi nhập mật khẩu, bạn được yêu cầu nhập mã số hoặc chạm vào cửa sổ hiển thị trên điện thoại. Hacker cần cả mật khẩu và điện thoại của bạn hoặc thiết bị khác mới có thể tấn công được tài khoản như Facebook, Gmail hay ngân hàng. Xác minh hai bước dễ kích hoạt, hầu như mọi dịch vụ trực tuyến nào cũng có tùy chọn này trong phần cài đặt. Thông thường, có 3 loại xác minh hai bước phổ biến, mỗi loại có ưu nhược điểm riêng. Tin nhắn văn bản (SMS) Nhập mật khẩu xong, một tin nhắn được gửi đến số điện thoại mà bạn đăng ký. Bạn nhập mã trong SMS và tiến hành đăng nhập như bình thường. Dù vậy, ai đó hoàn toàn có khả năng đánh cắp số điện thoại của bạn. Báo cáo về việc tấn công số điện thoại đang gia tăng, theo Ủy ban thương mại liên bang Mỹ. Chẳng hạn, đối tượng sẽ đến một cửa hàng của nhà mạng mà không có điện thoại hay chứng minh thư nào, đề nghị khóa một số bị “đánh cắp” và kích hoạt số mới. Hoặc, chúng còn cao tay hơn khi chiếm số điện thoại bằng cách truy cập vào tài khoản nhà mạng trực tuyến hay email. Sanjay Goel, Giáo sư khoa quản trị công nghệ thông tin của Đại học Albany, cho rằng nếu không phải mục tiêu cao cấp, bạn không cần lo ngại khi dùng SMS cho xác minh hai bước. Ngược lại, nếu là chính trị gia, chuyên gia tài chính hay tương tự, ông gợi ý nên dùng hình thức khác thay vì SMS. Ứng dụng Những ông lớn Internet như Google, Apple, Amazon đều có thêm một lớp bảo mật thứ hai thông qua ứng dụng. Chẳng hạn, nếu truy cập ứng dụng tìm kiếm Google trên điện thoại, nó sẽ hoạt động như yếu tố xác minh thứ hai: khi muốn đăng nhập Google trên máy tính mới, bạn nhìn thấy thông điệp trên thiết bị. Gần đây, Apple cải tổ lại hệ thống hai bước, từ nay bạn có thể vào cài đặt Apple ID và xác định các “thiết bị đáng tin cậy” được dùng để xác minh bạn là bạn chứ không phải ai khác. Facebook muốn người dùng tránh dùng SMS. Khi truy cập tài khoản trên thiết bị hay trình duyệt mới, nó sẽ hướng bạn đến công cụ tạo mã riêng ngay trong ứng dụng Facebook trên di động. SMS vẫn được cung cấp nhưng chỉ là lựa chọn dự phòng. Một số công ty lại phụ thuộc vào ứng dụng của bên thứ ba, chẳng hạn VIP Access của Symantec và Authenticator của Google. Ví dụ, khi kích hoạt xác minh hai bước cho tài khoản Amazon, website hiển thị mã QR trên màn hình, mở một trong hai ứng dụng kể trên, quét mã để nhận dãy số cho phép hoàn tất đăng nhập. Biện pháp này vô cùng an toàn. Ở chế độ mặc định, SMS hiển thị trên màn hình khóa nhưng với ứng dụng, bạn phải mở khóa điện thoại để thực hiện bước thứ hai. Để an toàn, bạn nên cài đặt số lượng thiết bị đáng tin cậy là 2, như điện thoại và iPad, để nếu mất cái nào, bạn vẫn còn một cái để đăng nhập. Keychain Đây là thể loại cổ xưa nhất: móc gắn chìa khóa (keychain) trang bị màn hình LCD nhỏ, tự tạo mã mỗi 60 giây để hacker không thể đoán được. Phiên bản hiện đại hơn là khóa USB, như YubiKey, chuyển mã từ máy tính hay thiết bị di động tương thích trực tiếp lên dịch vụ trực tuyến. Chúng vô cùng an toàn, lại không bắt bạn phải nhập mã từ điện thoại. Song, nhược điểm là chúng dễ bị thất lạc hơn điện thoại và quy trình cài đặt nhiều bước hơn. Lời khuyên quan trọng: Đừng bao giờ nói cho ai đó mã bảo mật thứ hai hay nhấn OK trên ứng dụng vì ai đó bảo bạn làm điều đó. Nếu có “nhân viên nhà mạng” gọi cho bạn và bảo hãy làm đi, đó chính là kẻ lừa đảo. ICTNews