SSP Editorial Team

2FA trên di động: cách đúng và cách sai

·8 phút đọc·Bởi SSP Editorial Team
Ảnh bìa SSP Academy cho hướng dẫn về xác thực hai yếu tố trên di động, với các biểu tượng ví, khóa và khiên trên nền tối.

Xác thực hai yếu tố (2FA) là một trong những nâng cấp bảo mật hiệu quả nhất mà bạn có thể thực hiện — nhưng chỉ khi bạn dùng đúng loại. Với người dùng tiền mã hóa, khoảng cách giữa 2FA mạnh và yếu chính là khoảng cách giữa một tài khoản trụ vững trước kẻ tấn công quyết tâm và một tài khoản thì không. Điều trớ trêu là hình thức 2FA phổ biến nhất — một mã dùng một lần gửi qua SMS — cũng là loại yếu nhất. Hướng dẫn này xếp các lựa chọn từ tệ nhất đến tốt nhất, giải thích lý do và cho bạn một kế hoạch cụ thể để củng cố những tài khoản bao quanh ví của bạn.

Một lưu ý trước khi bắt đầu: mô hình bảo mật của riêng SSP hoàn toàn không phải là "2FA" theo nghĩa mã dùng một lần. SSP dùng multisig — hai khóa ký độc lập trên hai thiết bị. Chúng ta sẽ quay lại lý do vì sao sự khác biệt này quan trọng. Trước hết, hãy nói về các mã.

Vì sao 2FA qua SMS làm hại người dùng tiền mã hóa

Một mã dùng một lần qua SMS tạo cảm giác an toàn: bạn nhập mật khẩu, một con số sáu chữ số xuất hiện, bạn gõ vào. Vấn đề là yếu tố thứ hai — quyền kiểm soát số điện thoại của bạn — dễ bị đánh cắp hơn nhiều so với phần lớn mọi người nghĩ.

Hai loại tấn công gây ra thiệt hại:

  • Tráo SIM (SIM swapping). Kẻ tấn công thuyết phục (hoặc hối lộ) nhà mạng của bạn chuyển số của bạn sang một SIM mà chúng kiểm soát. Khi đã có số, mọi mã SMS đều chảy về phía chúng. Người nắm giữ tiền mã hóa là mục tiêu ưa thích chính vì phần thưởng lớn và các giao dịch không thể đảo ngược.
  • Chặn bắt qua SS7. SS7 là giao thức báo hiệu đã có từ nhiều thập kỷ mà các mạng viễn thông dùng để định tuyến cuộc gọi và tin nhắn. Những điểm yếu đã biết cho phép kẻ tấn công có nhiều nguồn lực chặn bắt tin nhắn SMS mà không cần chạm vào SIM của bạn.

Đây không phải mối lo ngoài lề. Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ xếp SMS là một bộ xác thực "hạn chế" trong NIST SP 800-63B và khuyến cáo rõ ràng không nên dùng nó cho hệ thống mới. Khi cơ quan định nghĩa danh tính số nói với bạn rằng một phương pháp đang lụi tàn, hãy coi đó là một tín hiệu.

2FA qua SMS vẫn tốt hơn không có 2FA. Nhưng với bất kỳ tài khoản nào chạm tới tiền của bạn, nó nên là lựa chọn cuối cùng, không phải mặc định.

Ứng dụng xác thực TOTP: nền tảng thực tế

Nền tảng thực tế cho người dùng tiền mã hóa là một ứng dụng xác thực TOTP — loại hiển thị một mã sáu chữ số xoay vòng, thay đổi mỗi 30 giây. TOTP được định nghĩa bởi RFC 6238, và nó là một bước tiến thực sự so với SMS vì một lý do mang tính cấu trúc: không có số điện thoại nào để chiếm đoạt. Mã được tạo trên thiết bị của bạn từ một bí mật dùng chung, nên việc tráo SIM và chặn bắt qua SS7 đơn giản là không áp dụng được.

Vài quy tắc khiến TOTP mạnh hơn đáng kể:

  • Dùng ứng dụng, không dùng SMS, ở bất cứ đâu một dịch vụ cung cấp cả hai. Hầu hết các sàn giao dịch và nhà cung cấp email đều hỗ trợ ứng dụng xác thực.
  • Sao lưu bí mật thiết lập, không chỉ các mã. Khi đăng ký, hãy lưu bản xuất khôi phục giống như cách bạn bảo vệ bất kỳ thông tin đăng nhập nhạy cảm nào khác.
  • Nếu khả thi, giữ nó tách khỏi chính thiết bị bạn dùng để đăng nhập, để một máy bị xâm phạm không nắm cả hai yếu tố.

TOTP không hoàn hảo. Bí mật dùng chung nằm trên điện thoại, nên một thiết bị bị xâm phạm — hoặc một bản sao lưu đám mây thiếu an toàn của nó — có thể làm lộ bí mật đó. Và điều quan trọng nhất, một mã TOTP vẫn có thể bị lừa đảo theo thời gian thực: một trang đăng nhập giả thuyết phục chuyển tiếp mật khẩu và mã sáu chữ số vừa tạo của bạn thẳng vào phiên của kẻ tấn công trước khi mã hết hạn. Khoảng trống đó chính là điều mà cấp độ tiếp theo khép lại. Nếu bạn muốn nhận diện những trang giả ấy, hãy đọc bài phân tích của chúng tôi về các cuộc tấn công lừa đảo nhắm vào người dùng tiền mã hóa.

Passkey và khóa phần cứng: kháng lừa đảo

Passkey theo chuẩn FIDO2/WebAuthn và khóa bảo mật phần cứng là cấp độ đầu tiên thực sự kháng lừa đảo, và lý do thật tinh tế: thông tin xác thực được ràng buộc bằng mật mã với nguồn gốc (origin) của trang web. Bộ xác thực của bạn chỉ đăng nhập vào đúng tên miền thật mà nó đã được đăng ký. Một trang lừa đảo trông giống hệt lại có nguồn gốc khác, nên passkey đơn giản là từ chối phản hồi — không có mã sáu chữ số nào để chuyển tiếp, vì chẳng có mã nào cả.

Đặc tính này quan trọng hơn bất kỳ đặc tính nào khác trong danh sách. Cả SMS lẫn TOTP đều dựa vào việc con người đọc một con số rồi gõ nó vào đâu đó; passkey loại bỏ hoàn toàn cái bí mật mà con người có thể sao chép. Một kẻ tấn công dựng bản sao y hệt từng điểm ảnh của trang đăng nhập sàn của bạn chẳng thu được gì, vì thử thách mật mã được trả lời bởi phần cứng vốn kiểm tra nguồn gốc thay cho bạn.

Khóa bảo mật phần cứng — loại vật lý mà bạn chạm hoặc cắm vào — và passkey nền tảng lưu trong phần tử bảo mật của điện thoại hay máy tính của bạn đều hiện thực hóa điều này. Với các tài khoản giá trị cao, một khóa phần cứng là yếu tố thứ hai mạnh nhất và phổ biến nhất mà bạn có thể mua.

SSP Key là bên đồng ký, không phải một mã

Đây là sự khác biệt khiến nhiều người vấp phải: bảo mật của SSP hoàn toàn không phải là "2FA" theo nghĩa mã dùng một lần. Nó là multisig.

Một thiết lập 2FA tiêu chuẩn bảo vệ việc đăng nhập tài khoản. SSP bảo vệ chính giao dịch. SSP dùng sơ đồ 2 trên 2: một khóa nằm trong tiện ích mở rộng trình duyệt, khóa kia là SSP Key trên điện thoại của bạn. Cả hai phải ký một cách độc lập trước khi tiền có thể di chuyển. SSP Key là một bên đồng ký bằng mật mã — không phải một con số sáu chữ số bạn gõ vào, mà là một thiết bị riêng giữ một khóa riêng và thực hiện một chữ ký thật.

Hệ quả mang tính cấu trúc. Giả sử một kẻ tấn công xâm phạm hoàn toàn tiện ích mở rộng trình duyệt của bạn — lừa đảo nó, hoặc chiếm lấy máy mà nó đang chạy. Với một mã sáu chữ số ở mức ứng dụng, chỉ một lần xâm phạm đó có thể là đủ. Với SSP thì không: chuyển tiền vẫn đòi hỏi một sự chấp thuận độc lập trên điện thoại của bạn, nơi bạn thấy chi tiết giao dịch và ký bằng khóa thứ hai. Riêng phía trình duyệt không thể gửi đi bất cứ thứ gì. Bề mặt ký độc lập thứ hai đó là điều mà một mã sáu chữ số không bao giờ có thể trở thành — một khóa mà kẻ tấn công cũng phải xâm phạm, trên một thiết bị khác, vào cùng một thời điểm.

Để chính xác về điều này làm và không làm: SSP bảo vệ hành vi chi tiêu. Nó không thay thế cho vệ sinh an ninh tốt trên các tài khoản quanh ví của bạn. Nếu bạn còn mới với mô hình này, hãy thiết lập ví SSP đầu tiên của bạn và tự mình xem luồng phê duyệt hai thiết bị.

Bảo vệ các tài khoản quanh ví của bạn

Ví của bạn không phải một hòn đảo. Các tài khoản bao quanh nó — email, đăng nhập sàn giao dịch, sao lưu đám mây, trình quản lý mật khẩu — thường là con đường mềm yếu nhất dẫn tới tiền của bạn. Một kẻ tấn công chiếm được email của bạn có thể từ đó đặt lại một nửa số đăng nhập còn lại.

Áp dụng cùng thứ tự ưu tiên cho từng tài khoản:

  • Email: passkey hoặc khóa phần cứng nếu có; nếu không thì TOTP. Đừng bao giờ chỉ dùng SMS. Email của bạn là công tắc đặt lại chính của mọi thứ khác.
  • Sàn giao dịch: khóa phần cứng hoặc passkey cho việc đăng nhập; đừng bao giờ dựa vào SMS, và tắt khôi phục bằng SMS nếu sàn cho phép.
  • Đám mây và trình quản lý mật khẩu: tối thiểu là TOTP, passkey ở nơi nào có.
  • Nhà mạng di động: thêm một mã PIN chuyển mạng giữ số hoặc khóa tài khoản để cản trở các nỗ lực tráo SIM.

Vì điện thoại của bạn ngày càng giữ cả bộ xác thực lẫn SSP Key của bạn, hãy coi nó như một ranh giới an ninh riêng — khóa màn hình mạnh, hệ điều hành cập nhật, không cài ứng dụng ngoài cửa hàng. Để biết thêm về điều mà một chiếc ví ưu tiên điện thoại làm tốt và không làm tốt, hãy xem ví tiền mã hóa di động: chúng giỏi ở điểm nào. Và khi bạn sẵn sàng gia cố mọi thứ trong một lượt, hãy đi qua danh sách kiểm tra tự lưu ký cho 1.000 $ đầu tiên của bạn.

Một kế hoạch nâng cấp 2FA

Bạn không phải làm tất cả cùng một lúc. Hãy làm từ trên xuống theo giá trị:

  1. Kiểm kê. Liệt kê mọi tài khoản có thể chạm tới tiền của bạn hoặc đặt lại một tài khoản khác: email trước, rồi đến các sàn, sau đó là đám mây và trình quản lý mật khẩu.
  2. Loại bỏ chỉ-SMS. Ở bất cứ đâu SMS là yếu tố thứ hai duy nhất của bạn, hãy thêm một phương pháp mạnh hơn và gỡ SMS khỏi vai trò đường khôi phục nếu dịch vụ cho phép.
  3. Thêm TOTP ở mọi nơi có cung cấp. Đây là nền tảng của bạn; nó lập tức khép lại các lỗ hổng tráo SIM và SS7.
  4. Nâng cấp các tài khoản quan trọng nhất lên passkey hoặc khóa phần cứng. Email và các sàn trước — đó là những tài khoản mà một trang lừa đảo thèm muốn nhất.
  5. Khóa chặt nhà mạng. Đặt một mã PIN chuyển mạng để người lạ không thể dời số của bạn đi.
  6. Rà soát lại hằng quý. Các tùy chọn xác thực thay đổi; một dịch vụ năm ngoái chỉ có SMS giờ có thể đã hỗ trợ passkey.

Chương trình "Secure Our World" của CISA xuất bản các hướng dẫn bằng ngôn ngữ dễ hiểu, đáng để chia sẻ với những người thân ít rành công nghệ — xem CISA.

Tiếp tục

2FA mạnh là một lớp. Nó bảo vệ những cánh cửa quanh ví của bạn; multisig của SSP bảo vệ chính việc chi tiêu. Cùng nhau, chúng loại bỏ những điểm hỏng đơn lẻ vốn bẫy được phần lớn mọi người.

Hãy tiếp tục xây dựng từ đây:

Chia sẻ bài viết này

Bài viết liên quan

Minh họa từng bước thiết lập ví SSP trên điện thoại và trình duyệt

Thiết lập ví SSP đầu tiên của bạn

Hướng dẫn từng bước cho SSP Wallet: cài app và tiện ích, ghép cặp hai thiết bị, tạo ví 2-of-2 và gửi giao dịch đầu tiên.

6 min read
Ảnh bìa SSP Academy cho hướng dẫn nhập môn về ví tiền mã hóa di động và SSP Key

Ví tiền mã hóa di động: ưu điểm, rủi ro và SSP Key

Những điểm ví tiền mã hóa di động làm tốt — luôn bên bạn, mở khóa sinh trắc học, quét QR —, hạn chế của chúng và vị trí của SSP Key.

7 min read
Ảnh bìa bảo mật SSP với các biểu tượng ví, khóa, khiên và chip, minh họa hướng dẫn về các cuộc tấn công phishing crypto.

Tấn công phishing nhắm vào người dùng crypto (và cách nhận biết)

Phishing nhắm vào bạn, không phải mật mã học. Tìm hiểu các mô hình — wallet drainer, approval phishing, address poisoning — và cách SSP hỗ trợ bạn.

7 min read