Kiến thức chung

MFA là gì? Mọi thứ bạn cần biết

🔒 Tự nhiên một ngày, bạn nhận hàng loạt tin nhắn hoặc email yêu cầu xác nhận có phải bạn đang đăng nhập vào hệ thống nào đó không? Hoặc tệ hơn là tài khoản của bạn không thể đăng nhập được nữa. Có thể tài khoản của bạn đã bị đánh cắp. Lúc này, đầu bạn nhảy số liên tục, không biết làm gì và cần phải làm gì? Câu hỏi của bạn có thể là “tài khoản của mình có thể bị đánh cắp ngay cả khi sử dụng mật khẩu mạnh ư?” Vậy làm sao để bảo mật thông tin cá nhân tốt hơn?

Đây là lúc mà MFA (Viết tắt của cụm từ Multi-Factor Authentication – Xác thực đa yếu tố) đóng vai trò quan trọng trong việc bảo vệ an toàn cho bạn trên không gian mạng.

Bài viết này cung cấp thông tin tổng quan về định nghĩa MFA là gì, các lợi íchhạn chế của MFA, cách kiểm thử chức năng MFA, và cuối bài là một số ví dụ áp dụng MFA trong thực tế.

MFA là gì?

MFA, hay xác thực đa yếu tố, là một phương pháp bảo mật, trong đó yêu cầu người dùng cung cấp từ hai yếu tố xác thực trở lên để truy cập tài khoản hoặc hệ thống phần mềm nào đó. Các yếu tố xác thực này có thể thuộc một trong ba loại chính sau đây:

  • Những gì bạn biết, ví dụ như mật khẩu, mã PIN, v.v…
  • Những gì bạn có, ví dụ điện thoại – và số điện thoại, thẻ bảo mật, thiết bị tạo token, v.v…
  • Những gì thuộc về bạn, ví dụ như vân tay, khuôn mặt, giọng nói của bạn, v.v…

Với MFA, khi một trong các yếu tố xác thực bị xâm phạm, kẻ tấn công vẫn không thể truy cập tài khoản của bạn. Để truy cập được, hệ thống luôn yêu cầu bạn cung cấp thêm yếu tố thứ hai hoặc thứ ba.

Trong thực tế, MFA có thể có nhiều tên gọi khác nhau. Ví dụ Google gọi là “xác thực 2 bước” (hay được viết tắt là 2FA).

3 yếu tố chính trong việc xác thực tài khoản
3 yếu tố chính trong việc xác thực tài khoản

Tại sao cần sử dụng MFA?

Công nghệ càng hiện đại thì việc tấn công mạng ngày càng tinh vi, nếu chỉ sử dụng một lớp bảo mật (như mật khẩu) để bảo vệ tài khoản của bạn đã không còn an toàn nữa. Với các dạng tấn công phổ biến như phishing (lừa đảo qua email) hay brute force (tấn công thử sai mật khẩu theo kiểu dò tìm vét cạn) thì MFA giúp tăng cường bảo mật bằng cách thêm các lớp bảo vệ, khiến việc truy cập trái phép trở nên khó khăn hơn. Từ đó, giúp bảo vệ tài khoản của bạn an toàn hơn trên không gian mạng.

Cách hoạt động của MFA

MFA hoạt động bằng cách yêu cầu người dùng xác thực qua nhiều yếu tố trước khi cho phép truy cập. Quy trình thường bao gồm các bước sau:

  1. Nhập thông tin đăng nhập ban đầu: Người dùng cung cấp tên đăng nhập và mật khẩu
  2. Xác thực yếu tố thứ hai: Nếu thông tin ở bước 1 đúng, hệ thống sẽ yêu cầu thêm một yếu tố xác thực thứ 2 như mã OTP gửi qua SMS hoặc trên ứng dụng Authenticator.
  3. Kiểm tra thông tin: Hệ thống xác nhận yếu tố thứ hai so với thông tin đã lưu trong cơ sở dữ liệu
  4. Cấp quyền truy cập: Nếu tất cả các yếu tố trên đều đúng, người dùng được phép truy cập vào hệ thống

Quá trình này giúp đảm bảo rằng ngay cả khi một yếu tố bị xâm phạm, tài khoản của bạn vẫn an toàn.

Lợi ích của MFA

Sau đây là ba lợi ích hàng đầu của MFA:

  • Bảo vệ tài khoản tốt hơn: Ngăn chặn truy cập trái phép ngay cả khi bị lộ mật khẩu
  • Dễ sử dụng: Các phương pháp hiện đại như vân tay hoặc khuôn mặt giúp tăng trải nghiệm người dùng
  • Tăng sự an tâm: Người dùng có thể yên tâm rằng tài khoản của mình được bảo vệ tốt hơn

Hạn chế của MFA

Tuy có nhiều lợi ích như trên, nhưng MFA cũng mang lại một số phiền phức sau:

  • Thời gian đăng nhập lâu hơn: Người dùng cần thực hiện thêm nhiều bước hơn trong quá trình đăng nhập
  • Phụ thuộc vào thiết bị: Nếu mất điện thoại hoặc thiết bị tạo mã xác thực, quá trình đăng nhập sẽ phức tạp hơn. Hoặc thậm chí như các ứng dụng ngân hàng, bạn phải đến quầy giao dịch. Giả sử bạn đang công tác ở nước ngoài, điều này rất phiền phức, hoặc có thể sẽ không nhận được sms (tin nhắn) trên điện thoại nếu không sử dụng chức năng roaming.
  • Chi phí triển khai: Đối với doanh nghiệp, việc triển khai MFA có thể tốn kém về thời gian và tài nguyên.
Minh hoạ cơ chế hoạt động của chức năng MFA
Minh hoạ cơ chế hoạt động của chức năng MFA

Cách kiểm thử chức năng MFA

Tại sao cần kiểm thử MFA?

MFA là một tính năng quan trọng đảm bảo bảo mật, nhưng nếu triển khai sai hoặc không đủ chặt chẽ, có thể để lại lỗ hổng bảo mật. Việc kiểm thử kỹ chức năng MFA giúp đảm bảo chức năng này hoạt động đúng và an toàn.

Các loại kiểm thử cần thực hiện

Dưới đây là một số loại kiểm thử (test type) cần thực hiện khi kiểm thử chức năng MFA.

  1. Kiểm thử chức năng (Functional Testing):
    Kiểm tra xem MFA có yêu cầu đúng yếu tố xác thực thứ hai hay không
    • Kiểm tra với các yếu tố xác thực khác nhau (mã OTP, vân tay, khuôn mặt, ứng dụng Authenticator, v.v…)
    • Xác minh hành vi của hệ thống khi cung cấp thông tin xác thực không hợp lệ
  2. Kiểm thử khả dụng (Usability Testing):
    • Đánh giá trải nghiệm người dùng khi kích hoạt hoặc sử dụng MFA. Bảo đảm các bước tối giản nhất có thể. Vì không phải đối tượng người dùng nào cũng có kiến thức về kỹ thuật.
    • Đảm bảo thông báo lỗi và hướng dẫn dễ hiểu khi người dùng nhập sai mã
    • Cần phải kiểm thử luồng thay đổi thiết bị hoặc mất thiết bị xác thực (như mất điện thoại)
  3. Kiểm thử bảo mật (Security Testing):
    • Xác minh mã OTP hoặc liên kết MFA chỉ có thể được sử dụng một lần và hết hạn sau thời gian ngắn.
    • Kiểm tra khả năng chống tấn công brute force (hạn chế số lần nhập mã). Ví dụ nhập mã sai quá 3 lần thì hiển thị captcha, hoặc tạm khóa tài khoản trong một khoản thời gian nhất định.
    • Kiểm tra rủi ro khi thiết bị xác thực (như điện thoại) bị mất hoặc bị đánh cắp
  4. Kiểm thử hiệu năng (Performance Testing):
    • Kiểm tra độ trễ khi gửi và nhận mã OTP hoặc thông báo từ hệ thống
    • Đảm bảo tính ổn định khi có rất nhiều người dùng kích hoạt MFA đồng thời trong một khoảng thời gian (ví dụ 1000 yêu cầu đăng nhập sử dụng MFA trong vòng 5 phút).

Một số trường hợp kiểm thử (test case) phổ biến

Dưới đây là một số test cases cơ bản liên quan đến chức năng MFA:

  1. Đăng nhập thành công với xác thực 2 lớp
    • Người dùng nhập đúng mật khẩu
    • Nhập đúng mã OTP hợp lệ và còn hiệu lực
    • Mong muốn hệ thống cho phép truy cập
  2. Đăng nhập thất bại
    • Người dùng nhập đúng mật khẩu nhưng sai mã OTP
    • Hệ thống không cho phép truy cập và thông báo lỗi phù hợp.
  3. Mã OTP hết hạn
    • Người dùng nhập mã OTP sau thời gian hết hạn (ví dụ 5 phút)
    • Hệ thống từ chối mã và yêu cầu tạo mã mới
  4. Thử lại quá nhiều lần
    • Người dùng nhập sai mã OTP nhiều lần liên tiếp (ví dụ hơn 5 lần)
    • Hệ thống khóa tạm thời tài khoản hoặc gửi cảnh báo bảo mật.
  5. Xử lý khi mất thiết bị xác thực
    • Người dùng báo mất điện thoại hoặc thiết bị chứa ứng dụng Authenticator
    • Hệ thống cung cấp phương án khôi phục đáng tin cậy (qua email, câu hỏi bảo mật, đến trung tâm giao dịch, v.v…)
  6. Kiểm tra với yếu tố xác thực khác nhau
    • Kiểm tra vân tay, khuôn mặt, hoặc các yếu tố khác hoạt động đúng cách

Ví dụ MFA được ứng dụng trong thực tế

Trong thực tế, có thể bạn đã và đang áp dụng MFA khi sử dụng các hệ thống sau.

  • Gmail/Google Account: Xác thực 2 bước. Bạn sẽ đăng nhập với mật khẩu, sau đó nhập mã OTP được gửi đến điện thoại của bạn hoặc bạn phải vào Google trên điện thoại để bấm xác nhận cho phép đăng nhập.
  • Mạng xã hội (Facebook, Instagram): Sau khi đăng nhập thành công với email/điện thoại và mật khẩu, hệ thống yêu cầu nhập bạn nhập mã được tạo ra từ một ứng dụng Authenticator (ví dụ Google Authenticator), hoặc gửi mã xác thực đến số điện thoại của bạn.
  • Ứng dụng ngân hàng: Sử dụng mật khẩu kèm xác minh qua vân tay hoặc khuôn mặt.
Ví dụ xác thực bằng một ứng dụng trên điện thoại
Ví dụ xác thực bằng một ứng dụng trên điện thoại

Hãy bật chức năng MFA ngay hôm nay

Vậy, MFA là một công cụ quan trọng trong việc bảo vệ tài khoản và thông tin cá nhân khỏi các cuộc tấn công mạng. Không chỉ mang lại sự an tâm cho người dùng cá nhân (như Gmail của bạn), MFA còn là yếu tố không thể thiếu đối với các doanh nghiệp muốn đảm bảo bảo mật cho hệ thống của mình. Ví dụ như các ứng dụng ngân hàng cung cấp chức năng MFA để bảo vệ khách hàng của mình. Nếu bạn chưa kích hoạt MFA, hãy thử ngay hôm nay để tăng cường bảo mật cho tài khoản của mình!

Nếu bạn là tester, hãy đảm bảo nhóm của bạn đã kiểm tra kỹ càng các chức năng MFA trước khi đưa ra thị trường, để mang lại trải nghiệm an toàn và tối ưu nhất cho người dùng.

“Hãy bảo vệ tài khoản của bạn ngay hôm nay bằng cách kích hoạt MFA trên các nền tảng mạng xã hội (ví dụ Facebook), và thư điện tử cá nhân (như Gmail). Đừng chờ đến khi quá muộn!”

Xem thêm https://en.wikipedia.org/wiki/Multi-factor_authentication

You Might Also Like

Leave a Reply

Your email address will not be published. Required fields are marked *