Ai cũng biết mật khẩu là gì. Nhưng chúng ta không thể nói điều tương tự về xác thực hai yếu tố hay Passkey, điều này thật đáng tiếc vì hai tính năng bảo mật này giúp tăng cường đáng kể tính bảo mật cho tài khoản trực tuyến của bạn.
Sử dụng cả hai thực sự là lựa chọn tốt nhất, nhưng khi nào nên dùng cái này hơn cái kia có thể gây nhầm lẫn. Nếu bạn chưa biết nhiều về 2FA hay passkey, hoặc không chắc cái nào tốt hơn, hướng dẫn này sẽ giúp bạn hiểu rõ hơn.
2FA là gì?
Xác thực hai yếu tố là lớp bảo mật thứ hai mà bạn thêm vào tài khoản—hãy tưởng tượng nó giống như một cái chốt cửa khác. Để đăng nhập thành công, bạn phải xác minh lại lần thứ hai.
Theo truyền thống, mật khẩu (yếu tố đầu tiên của bạn) là thứ bạn biết. “Yếu tố” thứ hai là thứ bạn sở hữu (như điện thoại hoặc passkey) hoặc là thứ bạn là (như dấu vân tay). Các phương thức xác thực hai yếu tố bao gồm mã sử dụng một lần được gửi qua tin nhắn văn bản hoặc được tạo bởi ứng dụng, thông báo đẩy qua ứng dụng điện thoại và Passkey phần cứng (ví dụ: YubiKey).
Không phải tất cả các hình thức 2FA đều an toàn như nhau. Mã tin nhắn văn bản là yếu nhất do điểm yếu về bảo mật của SMS và chuyển mạng giữ số điện thoại di động. (Ví dụ: tin nhắn văn bản có thể bị chặn thông qua các cuộc tấn công SS7, trong khi giắc cắm SIM có thể đánh cắp số điện thoại của bạn ngay trước mắt bạn.) Khóa bảo mật phần cứng là mạnh nhất. Kẻ tấn công sẽ cần truy cập vật lý vào thiết bị bảo mật để sử dụng nó.
Passkey là gì?
Passkey thực chất là một tập hợp các khóa mã hóa được sử dụng để xác thực tài khoản. Đây là một dạng mã hóa bất đối xứng (hay còn gọi là mật mã khóa công khai) dựa trên tiêu chuẩn WebAuthn. Việc tạo Passkey sẽ tạo ra một cặp khóa công khai-riêng tư duy nhất, được liên kết với thiết bị và trang web mà nó được tạo ra. Trang web lưu trữ khóa công khai. Bạn giữ khóa riêng tư, khóa này luôn được giữ bí mật—mặc dù là một phần của quá trình xác thực, nhưng nó không bao giờ được chia sẻ trực tiếp. Nó cũng không thể được lấy từ khóa công khai.
Bạn có thể lưu trữ mật khẩu theo nhiều cách. Để thuận tiện hơn, hãy lưu chúng vào trình quản lý mật khẩu đám mây. Dịch vụ này có thể được tích hợp sẵn trong tài khoản Google hoặc Microsoft của bạn, hoặc một công ty độc lập như Bitwarden hoặc Dashlane. Để bảo mật hơn, hãy lưu chúng vào một thiết bị cụ thể như máy tính Windows (không phải tài khoản Microsoft) hoặc khóa bảo mật phần cứng.
Bạn có thể tạo nhiều hơn một passkey cho mỗi tài khoản. Mặc dù mỗi passkey là duy nhất, chúng vẫn đóng vai trò là bản sao lưu cho nhau—theo nghĩa là nếu bạn mất một passkey, bạn vẫn có thể đăng nhập bằng một passkey khác. Việc tạo nhiều hơn một passkey để lưu trữ trên các thiết bị khác nhau là một lựa chọn thông minh, vì bạn có thể bị mất điện thoại hoặc khóa bảo mật, hoặc bị đánh cắp máy tính xách tay. Và gần đây, nhóm đứng sau passkey (Liên minh FIDO) đã cho phép hỗ trợ chuyển giao passkey—vì vậy, nếu được hỗ trợ bởi trình quản lý mật khẩu của bạn, bạn có thể di chuyển giữa các hệ sinh thái hoặc dịch vụ mà không gặp nhiều rắc rối.
(Hiện tại, chỉ một số ít trình quản lý mật khẩu hỗ trợ tính năng chuyển giao passkey trong đó Apple là đơn vị tham gia lớn nhất. Nhưng danh sách này vẫn đang tiếp tục mở rộng.)
Để sử dụng passkey, trước tiên bạn phải khởi tạo yêu cầu xác thực trên trang web bạn đang đăng nhập. (Về cơ bản, hãy chọn tùy chọn đăng nhập bằng mật khẩu.) Sau đó, bạn sẽ sử dụng sinh trắc học như dấu vân tay hoặc mã PIN để ủy quyền sử dụng passkey. Các chuyên gia bảo mật cho rằng sinh trắc học an toàn hơn, nhưng các chuyên gia về quyền riêng tư khuyên dùng mã PIN trong một số trường hợp nhất định. (Ví dụ: tại Hoa Kỳ, chính phủ không thể bắt buộc bạn chia sẻ mã PIN, nhưng dữ liệu sinh trắc học lại không được bảo vệ theo cách tương tự.)
Vậy, cái nào tốt hơn?
Một sự thật thú vị về passkey và 2FA—chúng không loại trừ lẫn nhau! Một trang web hoặc ứng dụng có thể chọn cho phép bạn bật 2FA ngoài passkey để đăng nhập. Tuy nhiên, bạn sẽ không thấy sự kết hợp này nhiều, ít nhất là hiện tại. (Amazon là trang web lớn duy nhất tôi thấy vẫn yêu cầu mã 2FA sau khi sử dụng passkey.)
Tại sao? passkey về cơ bản an toàn hơn mật khẩu, vì nó không thể bị đánh cắp hoặc dễ dàng chia sẻ như mật khẩu. Nó cũng kết hợp cả thông tin bạn có (khóa mật mã riêng) và thông tin bạn là hoặc biết (sinh trắc học hoặc mã PIN). Xác thực hai yếu tố trở nên ít cần thiết hơn để bảo vệ chống lại lừa đảo, nhồi nhét thông tin đăng nhập và các cuộc tấn công phổ biến khác dựa trên mật khẩu yếu hoặc bị xâm phạm.
Vì vậy, bài viết này sẽ tập trung vào việc khi nào nên sử dụng một trong hai loại – nếu bạn có quyền lựa chọn.
2FA so với passkey: Sự tiện lợi
Bạn có thể thiết lập 2FA khá liền mạch — mẹo yêu thích của tôi là sử dụng khóa bảo mật phần cứng và cắm nó vào máy tính. Bất cứ khi nào bạn cần xác thực 2FA, bạn chỉ cần chạm vào khóa.
Trong khi đó, passkey hoạt động trên tất cả các thiết bị mà không cần thiết lập hoặc mua thêm, miễn là bạn đã đăng ký dịch vụ lưu trữ đám mây miễn phí. Tài khoản Microsoft sẽ là cách dễ dàng nhất để bắt đầu cho người dùng PC, nhưng tài khoản Google, Apple hoặc thậm chí Bitwarden cũng hoạt động rất tốt.
Cuối cùng, lựa chọn nào tốt nhất cho bạn sẽ phụ thuộc vào sở thích cá nhân. Nhưng đối với hầu hết mọi người, passkey được ưa chuộng hơn vì chúng rẻ (miễn phí!) và dễ thiết lập và sử dụng.
2FA so với Passkey: Bảo mật
Trước hết, để không bỏ sót bất kỳ vấn đề nào, chúng ta cần nhìn nhận tổng thể—bất kỳ hình thức xác thực hai yếu tố nào cũng tốt hơn là không có 2FA.
Tuy nhiên, 2FA chỉ an toàn khi phương pháp bạn chọn phù hợp. Như đã đề cập ở trên, tin nhắn văn bản (SMS) có những điểm yếu dễ khai thác. Thông báo đẩy thì tốt hơn một chút, nhưng chúng cũng có thể bị tin tặc xâm nhập. Nếu kẻ xấu biết mật khẩu của bạn, chúng có thể thử các cuộc tấn công gây mệt mỏi cho MFA để xâm nhập vào tài khoản của bạn—tức là gửi thư rác với nội dung nhập mật khẩu thành công, hy vọng bạn vô tình chấp thuận yêu cầu thông báo đẩy 2FA trong lúc quá tải.
Tôi khuyên bạn nên bắt đầu với mã một lần do ứng dụng tạo ra, vì chúng không dễ bị xâm phạm hoặc tấn công. Tuy nhiên, chúng vẫn dễ bị tấn công lừa đảo, khi kẻ tấn công có thể đánh cắp mã 2FA của bạn sau khi bạn nhập mã vào một trang web giả mạo do chúng kiểm soát. (Kiểu tấn công này đã từng khiến một chuyên gia bảo mật vấp ngã vào đầu năm nay.)
Phương pháp 2FA mạnh nhất là mã thông báo bảo mật phần cứng, đòi hỏi sự can thiệp của con người để hoạt động—và được mã hóa theo cách không dễ bị xâm phạm. Kẻ tấn công sẽ cần tiếp cận vật lý để sử dụng khóa bảo mật như vậy.
Trong khi đó, đối với passkey, cặp khóa mã hóa của nó về mặt lý thuyết là không thể bẻ khóa bởi các máy tính ngày nay. Tuy nhiên, việc lưu trữ chúng trong trình quản lý mật khẩu dựa trên đám mây lại tiềm ẩn một rủi ro lý thuyết. Nếu tài khoản đó bị xâm phạm, passkey của bạn có thể bị kẻ tấn công sử dụng trên toàn bộ web—hoặc được chuyển sang một dịch vụ khác mà bạn không kiểm soát.
Vì vậy, theo tôi, cuộc đối đầu này sẽ hòa. Cả hai phương pháp này đều cải thiện đáng kể tính bảo mật theo những cách riêng, nhưng không thể so sánh trực tiếp. Ngoài ra, không phải tất cả các trang web đều hỗ trợ cả xác thực hai yếu tố và khóa mật khẩu, vì vậy bạn có thể không có lựa chọn nào khác. Tôi coi đây là những tùy chọn bảo mật bổ sung, chứ không phải là đối thủ cạnh tranh trực tiếp.
Tuy nhiên, nếu bạn không sử dụng mật khẩu mạnh và thực tế sẽ không bao giờ bật 2FA, thì passkey luôn thắng thế.
Chấm điểm: Hòa
2FA so với passkey: Giá
Passkey miễn phí. Cách bạn lưu trữ chúng có thể không miễn phí. (Có thể bạn thích khóa bảo mật phần cứng nhất.)
Nhiều hình thức 2FA cũng miễn phí. Nhưng một lần nữa, cách bạn tiếp cận chúng có thể yêu cầu thêm thiết bị. Ví dụ, tôi biết những người duy trì một đường dây điện thoại di động giá rẻ thứ hai, chỉ dùng cho mã văn bản 2FA. (Một số ngân hàng không cung cấp các phương thức 2FA khác.) Họ không bao giờ chia sẻ số điện thoại, vì vậy nó không thể được liên kết công khai với họ, và do đó giảm thiểu rủi ro bị tấn công SIM jacking thành công.
Nhưng việc trả tiền để sử dụng một trong hai là tùy chọn, ngay cả khi bạn không sở hữu điện thoại thông minh.
Ý kiến của tôi là gì? Đối với mỗi người, lợi thế của việc này phụ thuộc vào các hình thức 2FA nào bạn có thể sử dụng, quan điểm của bạn về bảo mật so với sự tiện lợi, và các tính năng bảo mật được hỗ trợ của các trang web và ứng dụng bạn sử dụng. Thêm vào đó, mức độ lo lắng của bạn về việc mất các hình thức 2FA chính và phụ hoặc thiết bị (các thiết bị) có khóa mật khẩu được lưu trữ trên đó.
Nhưng nhìn chung, tôi nghĩ cả hai đều hòa nhau – sự tiện lợi và an ninh sẽ đóng vai trò lớn hơn trong việc bạn chọn cái nào.
Chấm điểm: Hòa