A. LÝ THUYẾT

I. 2FA Là Gì?

Khi nói đến bảo mật, có 3 cách cơ bản để chứng minh bạn là “chính chủ” chứ không phải ai khác:

1. Điều bạn biết
- Ví dụ: Password (phổ biến nhất), PIN (thường được ngân hàng sử dụng), Security Questions,…
2. Điều bạn có
- Ví dụ: Phone (phổ biến nhất), USB, Card,…
3. Điều bạn sở hữu
- Ví dụ: vân tay (phổ biến nhất), võng mạc, khuôn mặt, giọng nói,…

2FA là quá trình sử dụng 2 hình thức xác thực khác nhau để xác minh danh tính người dùng trước khi đăng nhập vào một dịch vụ.

Các tên gọi thường dùng: Two Factor Authentication, 2-Step Verification, xác thực 2 yếu tố, xác thực 2 bước, bảo mật 2 lớp,… tất cả đều đang nói đến 2FA.

Thông thường trong hầu hết các trường hợp, 2FA là sự kết hợp giữa “điều bạn biết” và “điều bạn có” để xác minh chính chủ, cụ thể đó là Password và Phone. Cho nên chức năng này mới được gọi là “Two Factor”.

Ví dụ khi đăng nhập WordPress (hoặc Gmai, Facebook, Online Banking,…) bạn sẽ cần xác minh lớp đầu tiên, đó là Password (điều bạn biết).

Bất kỳ ai khác biết được thông tin này đều có thể đăng nhập. Vì vậy, để tăng tính bảo mật chúng ta sẽ xác minh thêm lớp thứ hai, đó là Phone (điều bạn có).

II. 2FA Hoạt Động Như Thế Nào?

Nếu một dịch vụ được bật 2FA thì quá trình đăng nhập sẽ như sau:

Đầu tiên bạn cần nhập Username và Password như chúng ta thường làm.
Sau đó dịch vụ sẽ gửi cho bạn một mã xác thực tới Phone và bạn cần nhập mã này mới có thể đăng nhập vào dịch vụ.

Mã này thường được tạo ra và gửi cho bạn theo nhiều cách:

Thông qua SMS: đây là cách phổ biến nhất và đơn giản nhất để cấu hình, bởi vì bạn chỉ cần cung cấp số điện thoại là xong.
- Nhưng cách này thường gặp 2 vấn đề: có thể không nhận được SMS hoặc khi người khác mượn dùng Phone của bạn thì xem như lớp bảo mật thứ 2 sẽ vô dụng (bởi vì họ có thể đọc được SMS).
Thông qua App cài trên Phone: cách này sẽ bảo mật và có nhiều lợi ích hơn so với SMS.
- Nhưng ngược lại việc cấu hình sẽ tương đối nhiều bước hơn (tải và cài đặt App, đăng ký tài khoản,…). Mặc dù nhiều bước nhưng chỉ cần làm 1 lần là xong và việc sử dụng cũng dễ dàng.
Còn một số cách khác ít phổ biến hơn nên mình không giải thích để tránh dài dòng: Voice Call, Email, Push Notification,…

III. Ví Dụ Thực Tế

Trong cuộc sống hàng ngày có 2 trường hợp mà chúng ta đang sử dụng 2FA thường xuyên:

Thao tác trên máy ATM: bạn cần PIN (điều bạn biết) và Card (điều bạn có).
Thao tác trên Online Banking: bạn cần Password (điều bạn biết) và Phone (điều bạn có, để nhận SMS chứa mã OTP).

Các dịch vụ khác như Gmail, Facebook, WordPress, PayPal,… đều có chức năng 2FA. Vì vậy mình rất khuyến khích nên bật 2FA lên, vì nó giúp tăng cao tính bảo mật cho tài khoản của bạn.

IV. Authy Là Gì?

Authy là một App hỗ trợ tạo mã xác thực cho các dịch vụ có chức năng 2FA.

Có khá nhiều App dạng này nhưng đây là cái mà mình đang dùng hàng ngày.

Dùng Authy có gì khác so với dùng SMS?

Ví dụ khi bạn bật 2FA trên Facebook thì với cách truyền thống bạn chỉ cần cung cấp số điện thoại là xong. Mỗi lần đăng nhập, Facebook sẽ gửi mã xác thực về Phone thông qua SMS.
Còn nếu sử dụng Authy bạn cần kết nối Facebook với Authy. Mỗi lần đăng nhập, Authy sẽ tự động tạo ra mã xác thực và hiện ra trên App. Chỉ khác nhau như vậy.

Lợi ích khi dùng Authy:

Dù cho Phone có mất/hư/reset hoặc người khác mượn dùng thì bạn cũng không phải lo lắng gì cả (lý do sẽ được nói kỹ hơn trong phần thực hành).
Bạn có thể cài đặt Authy trên nhiều thiết bị: PC, Laptop, Phone, Tablet. Điều này giúp thuận tiện trong quá trình sử dụng bởi vì đâu phải lúc nào Phone cũng có sẵn bên cạnh.
Ngoài ra Authy còn giúp bạn quản lý được nhiều dịch vụ khác nhau: Gmail, Facebook, WordPress,…
Giao diện đơn giản và dễ dùng.
Hoàn toàn miễn phí.

B. THỰC HÀNH

Trong Authy có 3 chức năng quan trọng mà bạn cần bật lên:

1. Master Password

Mặc định khi mở Authy lên bạn sẽ được đăng nhập trực tiếp vào chương trình. Điều này sẽ không ổn nếu người khác mượn thiết bị của bạn và “vô tình” sử dụng Authy.

Vì vậy, bật chức năng này sẽ yêu cầu nhập password trước khi truy cập Authy.

Nói cách khác, nếu không có Master Password thì lớp bảo mật thứ 2 (Authy) xem như vô dụng, bởi vì người khác có thể mượn Phone/Laptop của bạn và tự do truy cập Authy.

2. Authenticator Encrypted Backups

Giới thiệu: nếu chức năng này được bật, dữ liệu của bạn sẽ được lưu trữ tại máy chủ của Authy.

Giải thích: khi bạn cài đặt Authy trên nhiều thiết bị và tất cả đều bật Backup thì dữ liệu sẽ được tự động đồng bộ với nhau. Ngoài ra, chức năng Backup còn giúp việc phục hồi dữ liệu được dễ dàng hơn (xem tiếp mục 3. Multi-device để hiểu rõ hơn).

3. Multi-device

Giới thiệu: nếu chức năng này được bật, bạn có thể cài đặt Authy trên nhiều thiết bị.

Giải thích:

Authy yêu cầu bạn phải có ít nhất 1 thiết bị đang hoạt động.

Vì vậy, nếu bạn chỉ cài đặt Authy trên 1 thiết bị và khi gặp sự cố:

Bị hư hoàn toàn và không thể cứu dữ liệu
Cài mới/Reset lại thiết bị
Lỡ tay gỡ cài đặt Authy

Tất cả trường hợp trên đồng nghĩa với dữ liệu của Authy trên thiết bị đó sẽ mất hoàn toàn (nói cách khác thiết bị đang hoạt động là 0).

Và nếu không sử dụng chức năng Backup, dữ liệu sẽ mất vĩnh viễn.

Còn nếu trước đây thiết bị đó đã bật chức năng Backup, dữ liệu vẫn còn nằm trên máy chủ Authy.

Lúc này nếu muốn lấy lại dữ liệu bạn phải làm một quá trình gọi là “Account Recovery Process”. Điều này tương đối mất thời gian và phức tạp.

Ngược lại, nếu bạn đã cài đặt Authy trên 2 thiết bị khác nhau và một trong số đó gặp sự cố thì dữ liệu vẫn còn trên thiết bị còn lại (đồng nghĩa với thiết bị đang hoạt động là 1). Như vậy, bạn vẫn sử dụng Authy bình thường chứ không cần thực hiện “Account Recovery Process”.

Trường Hợp 1: Cài đặt Authy trên 1 thiết bị và không bật Backup. Khi gặp sự cố dữ liệu sẽ mất vĩnh viễn.

Trường Hợp 2: Cài đặt Authy trên 1 thiết bị và bật Backup. Khi gặp sự cố dữ liệu sẽ mất hoàn toàn nhưng vẫn còn cứu được.

Để phục hồi dữ liệu bạn phải thực hiện quá trình Account Recovery Process.
Có nghĩa là hiện tại trong tay bạn không có dữ liệu nên phải nhờ bên Authy phục hồi lại dữ liệu cho bạn.

Trường Hợp 3: Cài đặt Authy trên 2 thiết bị và tất cả đều bật Backup. Khi gặp sự cố với một trong số đó thì dữ liệu vẫn còn.

Bạn vẫn có thể dùng Authy bình thường trên thiết bị còn lại mà không cần thực hiện “Account Recovery Process” như TH2.
Bạn cũng có thời gian để tự mình phục hồi dữ liệu cho thiết bị gặp sự cố. Ví dụ khi PC bị hư thì dữ liệu vẫn còn trên Phone. Sau khi PC được sửa thì cài lại và đăng nhập vào Authy, dữ liệu sẽ được tự động đồng bộ từ Phone sang PC.

PHẢI cài đặt Authy trên ít nhất là 2 thiết bị (Ví dụ: PC+Phone hoặc Laptop+Phone,…).

PHẢI bật chức năng Backup cho tất cả thiết bị đã cài Authy.

Bước 1: Cài đặt

– Truy cập authy.com/download. Sau đó chọn hệ điều hành và bấm Download.

– Chạy Authy Desktop Setup.exe để cài đặt (Quá trình sẽ diễn ra tự động, bạn không cần làm gì hết. Sau khi cài xong, Authy sẽ tự động mở lên và yêu cầu bạn đăng ký tài khoản).

Bước 2: Đăng ký

– Nhập SĐT và Email. Sau đó bấm Next.

– Bấm SMS. Một tin nhắn chứa mã xác minh (6 chữ số) sẽ được gửi về Phone, bạn hãy nhập mã này vào Authy là xong.

Lưu ý: 1SĐT tương ứng với 1 tài khoản Authy. Vì vậy chỉ cần dùng 1SĐT để đăng ký, bất kể bạn cài đặt Authy trên thiết bị nào. Nếu dùng 2SĐT khác nhau đồng nghĩa với bạn đang có 2 tài khoản Authy, điều này là không cần thiết.

Bước 3: Cấu hình

– Cấu hình Master Password:

(1) Truy cập Settings.
(2) Chọn tab General.
(3) Bấm Enable tại phần Master Password.
(4) Nhập password (không cần quá phức tạp, chỉ cần 8 chữ số là được).
(5) Thành công.

– Cấu hình Backup Password:

(1) Truy cập Settings.
(2) Chọn tab Accounts.
(3) Bấm Enable tại phần Authenticator Encrypted Backups.
(4) Nhập password (không cần quá phức tạp, chỉ cần 8 chữ số là được).
(5) Thành công.

– Cấu hình Multi-device:

Truy cập Settings và chọn tab Devices.
Tại đây bạn sẽ thấy phần Multi-device là Disable. Có nghĩa là mặc định chức năng này được bật sẵn, bạn hãy để nguyên như vậy không cần làm gì cả.

Bước 1: Cài đặt

– Truy cập CHPlay hoặc Appstore, tìm “Authy” và cài đặt.

– Sau khi cài đặt xong, mở Authy và sang bước tiếp theo.

Bước 2: Đăng ký

– Nhập SĐT và bấm OK

– Tiếp theo bạn sẽ thấy có 3 tùy chọn để xác minh tài khoản, hãy làm tiếp như sau:

Mở Authy trên PC
Chọn USE EXISTING DEVICE trên Phone
- Xuất hiện tùy chọn này là do Authy đã được cài đặt trên thiết bị khác.
- Sử dụng tùy chọn này để xác minh tài khoản sẽ nhanh hơn so với SMS.

Quay trở lại Authy trên PC, nhập OK và bấm Confirm Device là xong.

Bước 3: Cấu hình

– Cấu hình PIN:

(1) Truy cập Settings.
(2) Chọn tab MY ACCOUNTS và bấm App Protection.
(3) Nhập mã PIN.
(4) Nhập lại mã PIN.
(5) Thành công.

Bây giờ mỗi lần mở Authy trên Phone bạn phải điền mã PIN để đăng nhập (tương tự như Master Password trên PC).

– Cấu hình Backup Password:

(1) Truy cập Settings.
(2) Chọn tab ACCOUNTS.
(3) Bật Backups.
(4) Nhập Backup Password đã cấu hình cho Authy trên PC và bấm ENABLE BACKUPS.
(5) Thành công.

Lưu ý: các số liệu bên dưới chỉ là ví dụ.

Như vậy chúng ta có các thông tin sau cần được lưu trữ thật kỹ để sử dụng:

PIN: 4444
Master Password: 88888888
Backup Password: 12345678

Trong đó:

Backup Password là giống nhau cho tất cả thiết bị.
PIN và Master Password là khác nhau cho từng thiết bị. Vì vậy nếu bạn cài đặt Authy trên 2 Phone thì cần ghi chú cho rõ để nhận dạng, Ví dụ:
- PIN-Authy (Samsung): 4444
- PIN-Authy (iPhone): 5555

II. Thêm 2FA Token Vào Authy

1. Lý Thuyết
2. Thực Hành

Trong phần này có 2 khái niệm cần biết:

– 2FA Token (còn gọi là Authentication Token)

16 hoặc 32 ký tự. Ví dụ: PASWE6TVPVCCG2DT
Mã này là của trang dịch vụ cung cấp để bạn thêm vào Authy.
Mã này không cần ghi nhớ.

– 2FA Code (còn gọi là Authentication Code hoặc Verification Code)

6 chữ số. VD: 938638
Mã này là của Authy cung cấp cho bạn để nhập vào dịch vụ mỗi lần đăng nhập.
Mã này không cần ghi nhớ.

Quy trình thêm một dịch vụ vào Authy (nói cách khác là đang kết nối cả 2 với nhau):

Bật chức năng 2FA trên dịch vụ.
Nhập 2FA Token (của dịch vụ) vào Authy.
Nhập 2FA Code (của Authy) vào dịch vụ.

Quy trình đăng nhập vào dịch vụ sau khi đã bật chức năng 2FA:

Login vào dịch vụ như bình thường (nhập Username + Password).
Mở Authy lên và chọn tài khoản cần đăng nhập.
Copy 2FA Code trên Authy.
Paste 2FA Code vào dịch vụ.
Bấm Authenticate/Done/OK (tùy dịch vụ) để đăng nhập.
Tắt màn hình tạo 2FA Code trên Authy.

Lưu ý: “dịch vụ” ở đây là mình đang nói tới các loại tài khoản như Gmail, Facebook, WordPress,…

(1) Cài đặt plugin Two-Factor

(2) Truy cập Users > Your Profile

(3) Cấu hình phần Two-Factor Options:

Email: Enabled
Time Based One-Time Password: Enabled và Primary
Có nghĩa là chúng ta sẽ bật 2 cách để nhận mã 2FA Code: thông qua Email (phụ) và thông qua App (chính).

(4) Copy 2FA Token

(5) Mở Authy lên và bấm vào dấu +

TH1: Nếu chưa có tài khoản nào trong Authy

TH2: Nếu đã có tài khoản trong Authy

(6) Dán 2FA Token

Lưu ý: hiện tại mình đang dùng Authy trên PC nên copy và paste mã 2FA Token bằng tay, còn nếu dùng Phone thì hãy quét QR Code. Cá nhân mình mỗi lần thêm 2FA Token đều làm trên PC vì tiện lợi hơn.

(7) Bấm Add Account

(8) Đặt Account Name

Lưu ý: đặt như thế nào cho dễ nhận dạng. Đối với WordPress mình thường dùng địa chỉ website.

(9) Chọn Logo của WordPress

(10) Bấm Save

(11) Copy 2FA Code trên Authy

Lưu ý: mã này cứ mỗi 30s sẽ đổi mới 1 lần và nó cứ chạy như thế cho tới khi nào bạn tắt thì thôi. Cho nên bạn yên tâm rằng nếu chưa kịp nhập mã đầu tiên thì cứ nhập cái tiếp theo, không sao cả. Và bạn cứ để nó chạy như vậy chừng nào làm xong xuôi hết mới tắt (xem (14) bên dưới).