Việc mất quyền kiểm soát tài khoản trực tuyến vào tay kẻ xâm nhập kỹ thuật số là một viễn cảnh ác mộng. Xác thực đa yếu tố (hay MFA) là cách tốt nhất để bảo vệ tài khoản, vì khi MFA được bật, kẻ tấn công sẽ không thể truy cập vào tài khoản đó, ngay cả khi chúng có tên người dùng và mật khẩu của bạn. Khóa bảo mật vật lý là tùy chọn MFA an toàn nhất, vì đây là thiết bị xác thực chuyên dụng và chống lừa đảo. Yubico Security Key C NFC là lựa chọn tốt nhất: Giá cả phải chăng và có thể hoạt động với hầu hết mọi trang web hỗ trợ khóa bảo mật. Nếu bạn đã quen thuộc với khóa bảo mật và cần hoặc muốn có các tính năng nâng cao hơn, Yubico YubiKey 5C NFC là lựa chọn đắt hơn nhưng đáng giá.
Các sản phẩm chúng tôi đề xuất
Tại sao bạn nên tin tưởng chúng tôi
Max Eddy là biên tập viên cấp cao của Wirecutter về bảo mật, quyền riêng tư và nền tảng phần mềm. Trước khi làm việc tại Wirecutter, ông đã viết về bảo mật và quyền riêng tư—bao gồm cả khóa bảo mật MFA—tại PCMag trong 11 năm. Báo cáo bổ sung cho hướng dẫn này được đóng góp bởi Yael Grauer và Thorin Klosowski.
Điều này dành cho ai
Chỉ riêng mật khẩu không đủ để bảo vệ tài khoản trực tuyến của bạn. Việc thường xuyên bị vi phạm dữ liệu—cùng với việc sử dụng mật khẩu yếu và được tái chế thay vì trình quản lý mật khẩu—khiến những kẻ xấu dễ dàng chiếm đoạt tài khoản trực tuyến. Giải pháp là MFA hoặc xác thực đa yếu tố, đôi khi vẫn được gọi là 2FA hoặc xác thực hai yếu tố. MFA hoạt động như thế nào: Khi bạn đăng nhập vào một trang web, bạn phải xuất trình ít nhất một bằng chứng khác về danh tính của mình, chẳng hạn như mã sử dụng một lần do ứng dụng xác thực tạo ra hoặc bằng cách đặt ngón tay cái của bạn lên đầu đọc dấu vân tay trên điện thoại.
Một cách khác để đăng nhập là sử dụng khóa bảo mật, đây là một thiết bị phần cứng nhỏ. Nếu một trang web hỗ trợ khóa bảo mật, bạn có thể đăng ký một khóa để sử dụng với tài khoản. Khóa này chứng minh tính hợp pháp của nó bằng giao thức xác thực FIDO. Về cơ bản, thay vì nhập mã bảo mật sau khi nhập mật khẩu, bạn cắm khóa vào máy tính (hoặc chạm vào điện thoại) và trang web sẽ xác nhận danh tính của bạn.
So với các hình thức xác thực khác, khóa bảo mật có một số lợi thế lớn. Ứng dụng xác thực tạo mã trên điện thoại của bạn và khá dễ nhập. Nhưng khóa bảo mật giúp bạn không phải mất công tìm điện thoại, sao chép mã và dán mã trước khi hết giờ. Nếu bạn cảm thấy bực bội khi phải chuyển đổi giữa các ứng dụng để nhập mã bảo mật hoặc nếu bạn thường xuyên nhập sai mã, bạn sẽ đánh giá cao sự đơn giản của khóa bảo mật.
Khóa bảo mật cũng hoạt động trong các trường hợp mà các tùy chọn MFA khác không hoạt động. Nếu điện thoại của bạn không bật, bạn không thể tạo mã xác thực. Nếu bạn ở ngoài vùng phủ sóng di động, bạn không thể nhận được mã SMS, khiến khóa bảo mật trở thành lựa chọn hấp dẫn cho những người thường xuyên đi du lịch. Khóa bảo mật không yêu cầu kết nối dữ liệu và những khóa tốt nhất thậm chí không cần pin. Chúng cũng bền hơn điện thoại, vốn có nhiều thành phần dễ vỡ.
Hai khóa bảo mật so với chìa khóa nhà.
Ảnh: Michael Hession
Bob Lord, cố vấn kỹ thuật cấp cao tại Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), cho biết ưu điểm lớn nhất của khóa bảo mật là chúng có khả năng chống lại các cuộc tấn công lừa đảo. Một vụ lừa đảo lừa đảo có thể lừa bạn nhập mật khẩu và mã ứng dụng xác thực hoặc mã được gửi qua SMS, mã này cũng có thể bị chặn thông qua SIM jacking. Nhưng khóa bảo mật chỉ hoạt động với các trang web mà bạn đã đăng ký chúng.
Các khóa bảo mật tiên tiến hơn có thể cung cấp nhiều hơn là xác thực. Một số có thể lưu trữ và phát lại thông tin xác thực, được sử dụng để đăng nhập vào máy tính hoặc cung cấp xác thực sinh trắc học để bạn có thể sử dụng dấu vân tay của mình để đăng nhập. Các tính năng tiên tiến này hữu ích nhất đối với những người đã quen thuộc với xác thực đa yếu tố, đó là lý do tại sao chúng tôi khuyên bạn nên sử dụng khóa bảo mật cơ bản hơn cho hầu hết mọi người.
Nhưng khóa bảo mật có một số nhược điểm lớn. Không giống như hầu hết các hệ thống MFA, chúng tốn kém – ít nhất là 20 đô la và nhiều nhất là 95 đô la. Khóa bảo mật cũng có thể bị mất hoặc bị hỏng và các chuyên gia mà chúng tôi đã trao đổi khuyên bạn nên mua một khóa thứ hai để dự phòng, về cơ bản là tăng gấp đôi chi phí. Khóa bảo mật cũng không được mọi trang web và dịch vụ chấp nhận, vì vậy bạn vẫn cần một ứng dụng xác thực. Nhưng việc sử dụng khóa bảo mật cho ngay cả một vài dịch vụ quan trọng—chẳng hạn như tài khoản email chính của bạn, có thể được sử dụng để khôi phục mật khẩu—mang lại lợi ích bảo mật tổng thể. Cuối cùng, chúng không miễn nhiễm với mọi cuộc tấn công—nhưng chúng khó bị tấn công hơn nhiều so với các tùy chọn 2FA khác.
Ảnh: Michael Hession
“Chúng không phải hoạt động ở mọi nơi, chúng không phải làm mọi thứ, nhưng chúng sẽ bảo vệ những thứ quý giá nhất mà bạn có trực tuyến”, Derek Hanson, phó chủ tịch phụ trách Kiến trúc và Liên minh Giải pháp của Yubico cho biết.
Điều mà chúng tôi nghe đi nghe lại từ các chuyên gia mà chúng tôi đã trao đổi là bất kỳ MFA nào cũng tốt hơn là không có MFA nào cả, vì vậy đừng nản lòng nếu khóa bảo mật nghe có vẻ là một rắc rối lớn. Nếu bạn mới sử dụng MFA, các ứng dụng xác thực có lẽ là lựa chọn tốt hơn vì chúng được chấp nhận rộng rãi, miễn phí và dễ sử dụng. Nhưng nếu những lợi thế của khóa bảo mật nghe có vẻ hấp dẫn và bạn nghĩ rằng mình thực sự sẽ sử dụng chúng, thì chúng là một cách tuyệt vời để nâng cấp bảo mật trực tuyến của bạn.
Cách chúng tôi chọn và thử nghiệm
Chúng tôi đã sử dụng các tiêu chí sau để đánh giá các khóa bảo mật mà chúng tôi đã thử nghiệm:
Giá: Chi phí trả trước cho khóa bảo mật có thể là điểm gây tranh cãi đối với hầu hết mọi người, vì vậy khóa bảo mật cần phải có giá trị tốt để biện minh cho sự tồn tại của nó trên móc chìa khóa của bạn. Lý tưởng nhất là khóa bảo mật phải đủ rẻ để bạn có thể mua nhiều hơn một khóa, vì có khóa dự phòng là biện pháp bảo vệ an toàn nhất chống lại việc mất quyền truy cập vào tài khoản của bạn. Khóa rẻ nhất mà chúng tôi đã thử nghiệm là 20 đô la và khóa đắt nhất là 95 đô la.
Hỗ trợ USB-C và NFC: Chúng tôi thích các khóa bảo mật tương thích với hầu hết các thiết bị và điều đó có nghĩa là hỗ trợ USB-C và Giao tiếp trường gần không dây (NFC). Các khóa có NFC sẽ hoạt động với hầu hết các thiết bị iOS và Android hiện đại. Đối với các kết nối vật lý, chúng tôi thích USB-C vì nó không có khả năng bị thay thế
