This is the Trace Id: a2b3e33fae8c8a0aae2d3ff11cc6efa8
Bỏ qua để tới nội dung chính
Microsoft Security
Một người phụ nữ sử dụng điện thoại trong văn phòng.

Xác thực 2 bước (2FA) là gì?

Tìm hiểu cách 2FA bảo vệ danh tính thông qua kiểm chứng hai bước và lý do doanh nghiệp sử dụng 2FA để bảo vệ ứng dụng, tài nguyên cũng như dữ liệu.
Bắt buộc xác thực mạnh
Xác thực 2 bước giúp tăng cường bảo mật tài khoản bằng cách yêu cầu hai hình thức xác minh danh tính. Cách này giúp ngăn chặn truy nhập trái phép, giảm rủi ro vi phạm và hỗ trợ tuân thủ trên các hệ thống và người dùng.

Những điểm chính cần ghi nhớ

  • Xác thực 2 bước giúp tăng cường bảo mật đăng nhập bằng cách yêu cầu hai hình thức xác minh danh tính riêng biệt.
  • Việc sử dụng 2FA giúp ngăn chặn truy cập trái phép, ngay cả khi mật khẩu bị đánh cắp hoặc xâm phạm.
  • Các phương pháp 2FA phổ biến bao gồm thông báo đẩy trên ứng dụng di động với yêu cầu phê duyệt, mã gửi qua SMS, sinh trắc học và khóa bảo mật vật lý.
  • 2FA giảm thiểu tác động của hành vi lừa đảo qua mạng, đánh cắp thông tin đăng nhập và tấn công dò mật khẩu.
  • Việc triển khai 2FA hỗ trợ tuân thủ và bảo vệ dữ liệu cá nhân cũng như dữ liệu tổ chức.
  • Các công cụ tích hợp của Microsoft như Authenticator và MFA giúp đăng nhập an toàn trở nên đơn giản và dễ mở rộng.

2FA là gì?

Xác thực 2 bước là một phương pháp bảo mật giúp bổ sung lớp xác minh danh tính thứ hai. Thay vì chỉ dựa vào mật khẩu, 2FA yêu cầu bạn xác nhận danh tính bằng hai yếu tố riêng biệt. Cách này giúp giảm rủi ro truy cập trái phép, ngay cả khi mật khẩu đã bị lộ.

Cách 2FA hoạt động

Các yếu tố cấu thành 2FA bao gồm:
 
  • Yếu tố bạn biết: mật khẩu, mã PIN hoặc cụm mật khẩu.
  • Yếu tố bạn có: thiết bị thực tế như điện thoại thông minh, token bảo mật, mã khóa hoặc thẻ thông minh.
  • Yếu tố bạn là: dữ liệu sinh trắc học như vân tay, nhận diện khuôn mặt hoặc giọng nói.
Khi hệ thống sử dụng chính xác hai nhóm yếu tố trong số các nhóm trên, phương thức này được gọi là xác thực 2 bước. Vì vậy, 2FA là một tập con cụ thể của xác thực đa yếu tố (MFA), trong đó MFA có thể sử dụng từ hai yếu tố trở lên.

Tại sao 2FA lại quan trọng

Chỉ dùng mật khẩu (ngay cả khi có chính sách bảo vệ bằng mật khẩu mạnh) đã không còn đủ để chống lại các mối đe dọa an ninh mạng. Lừa đảo qua mạng, tấn công nhồi thông tin đăng nhập, chia sẻ mật khẩu và các cuộc tấn công dò mật khẩu đều có thể phá vỡ cơ chế xác thực một yếu tố. 2FA giúp giảm thiểu các rủi ro này bằng cách yêu cầu một hình thức xác minh thứ hai, điều mà kẻ tấn công khó sao chép hoặc đánh cắp hơn nhiều.

Bằng cách yêu cầu yếu tố bổ sung, 2FA cung cấp biện pháp bảo vệ mạnh mẽ hơn cho tài khoản người dùng, dữ liệu nhạy cảm và tài nguyên của tổ chức. Đây là một trong những bước đơn giản và hiệu quả nhất để cải thiện vị thế bảo mật tổng thể của bạn.

2FA hoạt động trong thực tế như thế nào?

Quy trình 2FA bổ sung một bước xác minh theo thời gian thực, được thêm vào luồng bảo mật đăng nhập tiêu chuẩn. Cách tiếp cận kịp thời này làm cho kẻ tấn công khó truy cập tài khoản của bạn hơn, ngay cả khi đã có mật khẩu.

Quy trình 2FA thường trông như thế nào

Dưới đây là cách 2FA thường hoạt động trong quá trình đăng nhập:
 
  • Bạn nhập tên đăng nhập và mật khẩu như bình thường.
  • Hệ thống yêu cầu hoàn tất bước xác minh thứ hai bằng một trong các phương thức sau:
    • Thông báo đẩy với yêu cầu phê duyệt hoặc mã xác thực theo thời gian từ ứng dụng xác thực như Authenticator.
    • Mật khẩu dùng một lần theo thời gian (TOTP) được gửi qua SMS hoặc email.
    • Quét sinh trắc học, như dấu vân tay hoặc nhận diện khuôn mặt.
    • Khóa bảo mật vật lý cắm vào thiết bị hoặc chạm qua giao tiếp trường gần (NFC).
Vì sao yếu tố thời gian lại quan trọng

Phần lớn mã TOTP của 2FA có thời gian tồn tại rất ngắn, thường hết hạn sau 30 đến 60 giây. Điều này giới hạn khoảng thời gian kẻ tấn công có thể sử dụng mã bị đánh cắp. Tính chất theo thời gian thực của quy trình này làm cho 2FA an toàn hơn so với chỉ dựa vào mật khẩu. Cơ chế này đảm bảo quyền truy cập được liên kết với cả thông tin đăng nhập và sự hiện diện thực tế của bạn hoặc thiết bị tại thời điểm đăng nhập.

Các loại phương pháp 2FA phổ biến và cách chúng hoạt động

Khi chọn yếu tố xác thực thứ hai kết hợp với mật khẩu, có nhiều lựa chọn khác nhau, mỗi lựa chọn mang đến mức độ bảo mật và tiện lợi khác nhau.

Các phương pháp 2FA phổ biến nhất
 
  • Mã SMS là các mã dùng một lần gửi đến số điện thoại đã xác minh qua tin nhắn văn bản. Đây là một trong những phương pháp được sử dụng rộng rãi nhất, mặc dù kém an toàn hơn các phương pháp khác do các rủi ro như chiếm đoạt SIM.
  • Thông báo đẩy là các yêu cầu xác minh được gửi đến ứng dụng di động như Authenticator. Người dùng nhấn “phê duyệt” hoặc “từ chối” để xác nhận yêu cầu đăng nhập.
  • Thiết bị xác thực phần cứng (Hardware token) là các thiết bị thực tế như móc khóa bảo mật, tạo mã dùng một lần theo thời gian. Đây là một trong những hình thức 2FA lâu đời nhất, hiện ít được sử dụng hơn.
  • Cuộc gọi thoại hoặc hệ thống tự động gọi người dùng và cung cấp mã xác minh bằng giọng nói, thường được dùng như phương án dự phòng hoặc hỗ trợ khả năng tiếp cận.
  • Yếu tố sinh trắc học bao gồm quét dấu vân tay, nhận diện khuôn mặt và quét mống mắt. Khi công nghệ ngày càng phổ biến, sinh trắc học trở thành yếu tố xác thực thứ hai được ưa chuộng, đặc biệt trên thiết bị di động.
Sự chuyển dịch sang xác thực không mật khẩu

Trong khi 2FA truyền thống dựa vào mật khẩu cộng với yếu tố thứ hai, hình thức đăng nhập không mật khẩu đang ngày càng được áp dụng. Cách tiếp cận này sử dụng các phương pháp xác thực mạnh như sinh trắc học, hoặc mã khóa, qua đó loại bỏ hoàn toàn nhu cầu mật khẩu. Ngay cả khi không có mật khẩu, nguyên tắc của 2FA vẫn áp dụng: bạn phải cung cấp nhiều loại bằng chứng để xác minh danh tính.

Lợi ích chính của 2FA cho doanh nghiệp và cá nhân

Việc áp dụng 2FA là một trong những cách hiệu quả nhất để nâng cao bảo mật danh tính. 2FA giúp bảo vệ tài khoản nhân viên và khách hàng khỏi việc truy cập trái phép, giảm rủi ro vi phạm dữ liệu và hỗ trợ tuân thủ quy định, mà không làm phức tạp trải nghiệm đăng nhập. Là một phần của phương pháp Zero Trust, 2FA đảm bảo mọi yêu cầu truy cập đều được xác minh, bất kể vị trí hay thiết bị.

Tại sao nên sử dụng 2FA?

Bạn có thể dựa vào 2FA để:
 
  • Bảo vệ dữ liệu nhạy cảm của nhân viên và khách hàng.
  • Ngăn chặn chiếm đoạt tài khoản và truy cập hệ thống trái phép.
  • Tăng cường phòng thủ trước các cuộc tấn công có chủ đích và thông tin đăng nhập bị đánh cắp.
Lợi ích cốt lõi khi sử dụng 2FA
 
  • Bảo vệ tốt hơn trước tình trạng mật khẩu bị đánh cắp. Ngay cả khi mật khẩu bị lộ, kẻ tấn công vẫn cần yếu tố thứ hai để truy cập tài khoản.
  • Giảm thiểu tác động từ các cuộc lừa đảo qua mạng, tấn công nhồi thông tin đăng nhập và tấn công dò mật khẩu. Những mối đe dọa phổ biến này kém hiệu quả hơn nhiều khi có 2FA.
  • Sự thuận tiện. Nhiều phương pháp 2FA hiện đại (như thông báo đẩy và sinh trắc học) không cần thiết bị bổ sung.
  • Hỗ trợ tuân thủ quy định. Xác thực 2 bước giúp đáp ứng các yêu cầu bảo mật của các khuôn khổ như Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) 27001, hướng dẫn của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), Quy định Chung về Bảo vệ Dữ liệu (GDPR) và Đạo luật về Trách nhiệm Giải trình và Cung cấp Thông tin Bảo hiểm Y tế (HIPAA).
  • Giảm thiểu rủi ro rò rỉ dữ liệu. Việc giảm truy cập trái phép sẽ giảm nguy cơ lộ dữ liệu cá nhân và doanh nghiệp.

Cách áp dụng 2FA cho tổ chức của bạn

Việc triển khai 2FA là bước thiết thực để giảm rủi ro cho cả tài khoản cá nhân và doanh nghiệp. Cách này tạo thêm lớp phòng thủ quanh mạng, cơ sở dữ liệu và hệ thống danh tính dễ bị tấn công, từ đó kẻ tấn công khó lấy được quyền truy cập hơn, ngay cả khi có thông tin đăng nhập bị đánh cắp.

Phương pháp tốt nhất để áp dụng 2FA hiệu quả

Để tận dụng tối đa giá trị của 2FA và đảm bảo trải nghiệm người dùng tuyệt vời:
 
  • Đăng ký nhiều thiết bị hoặc tùy chọn dự phòng. Ngăn chặn việc vô tình khóa tài khoản bằng cách cho phép người dùng thêm thiết bị phụ hoặc tạo mã dự phòng.
  • Nâng cao nhận thức về sử dụng an toàn. Giúp nhân viên nhận biết các dấu hiệu lừa đảo qua mạng, xác nhận ứng dụng và trang web đáng tin cậy, đồng thời hiểu rõ khi nào và cách phản hồi các yêu cầu xác thực 2FA.
  • Quản lý thiết bị đáng tin cậy một cách thông minh. Giới hạn tần suất người dùng phải xác thực trên thiết bị cá nhân hoặc thiết bị được quản lý, mà vẫn đảm bảo mức độ bảo mật cần thiết.
  • Cung cấp các tùy chọn khôi phục an toàn. Hỗ trợ khôi phục tài khoản bằng các phương thức đăng nhập thay thế hoặc mã dự phòng được lưu trữ an toàn, giúp giảm khối lượng hỗ trợ kỹ thuật.
Thiết lập và quản lý 2FA với Authenticator

Ứng dụng Authenticator hỗ trợ thông báo đẩy, mã xác thực theo thời gian và đăng nhập bằng sinh trắc học, giúp đơn giản hóa trải nghiệm 2FA trên cả thiết bị cá nhân và thiết bị dành cho công việc. Người dùng có thể quản lý tài khoản, thêm phương thức đăng nhập mới và theo dõi hoạt động, tất cả tại một nơi. Tổ chức có thể sử dụng ứng dụng Authenticator cùng Microsoft Entra ID để hỗ trợ triển khai ở quy mô lớn và quản lý chính sách hiệu quả. Đối với tổ chức sử dụng liên kết danh tính hoặc đăng nhập một lần, Microsoft Entra ID hỗ trợ tích hợp với các giao thức hiện đại như OpenID Connect (OIDC) để áp dụng 2FA nhất quán trên môi trường đám mây và tại chỗ. Nhận hướng dẫn triển khai MFA từng bước.

Có gì khác biệt giữa 2FA và MFA?

Xác thực 2 bước và MFA có liên quan nhưng không thể thay thế cho nhau. Cả hai đều xác minh danh tính bằng nhiều hơn một mật khẩu, nhưng có sự khác biệt quan trọng về số lượng yếu tố được yêu cầu:
 
  • 2FA sử dụng chính xác 2 yếu tố riêng biệt để xác minh danh tính. Ví dụ: nhập mật khẩu (yếu tố bạn biết), sau đó xác nhận mã gửi đến điện thoại (yếu tố bạn có).
  • MFAkhái niệm rộng hơn, bao gồm từ hai yếu tố trở lên. Phương pháp này có thể là kết hợp mật khẩu, thông báo từ ứng dụng di động và quét dấu vân tay.
Vì vậy, mọi 2FA đều thuộc MFA, nhưng không phải mọi MFA đều chỉ giới hạn ở hai yếu tố.

Lý do các tổ chức chọn MFA

Tổ chức có nhu cầu bảo mật cao thường áp dụng MFA để:
 
  • Đáp ứng các yêu cầu tuân thủ.
  • Bảo vệ hệ thống nhạy cảm hoặc tài khoản có đặc quyền cao.
  • Giảm nguy cơ tấn công lừa đảo qua mạng hoặc giả mạo danh tính thành công.
Thêm yếu tố thứ ba (như sinh trắc học hoặc khóa bảo mật vật lý) làm tăng độ phức tạp cho kẻ tấn công mà không làm chậm đáng kể trải nghiệm của người dùng hợp lệ.

Microsoft khuyến nghị các tổ chức thiết lập MFA cho tất cả người dùng và đảm bảo có sẵn các phương thức khôi phục dự phòng. Chỉ dựa vào hai yếu tố, đặc biệt khi một yếu tố phụ thuộc vào một kênh duy nhất như SMS, có thể làm phát sinh rủi ro. Xác thực đa yếu tố với nhiều tùy chọn dự phòng giúp đảm bảo quyền truy cập vẫn được duy trì nếu một phương pháp không khả dụng, ví dụ khi mạng điện thoại bị gián đoạn.

Cách xác thực mạnh được tích hợp trong các giải pháp bảo mật của Microsoft

Xác thực mạnh được tích hợp trong các công cụ Microsoft bạn đang dùng để đăng nhập, giúp bảo vệ dữ liệu nhạy cảm và đáp ứng mục tiêu tuân thủ. Dù bạn quản lý tài khoản cá nhân hay bảo vệ môi trường doanh nghiệp, các tính năng này hỗ trợ truy cập an toàn hơn trên nhiều thiết bị và dịch vụ.

Đăng nhập an toàn cho tài khoản cá nhân và công việc

Bảo vệ danh tính thông qua thông báo đẩy, mã theo thời gian và tùy chọn sinh trắc học như nhận diện khuôn mặt hoặc dấu vân tay qua ứng dụng Authenticator. Phê duyệt đăng nhập chỉ với một chạm, không cần mật khẩu. Ứng dụng này cũng hỗ trợ tài khoản không thuộc Microsoft để quản lý mọi thứ ở một nơi.

Áp dụng linh hoạt trên toàn tổ chức

Trong môi trường doanh nghiệp, MFA thông qua Microsoft Entra hỗ trợ nhiều phương pháp, bao gồm:
 
  • Mã dùng một lần.
  • Thông báo đẩy kèm yêu cầu phê duyệt.
  • Tin nhắn văn bản và cuộc gọi thoại.
  • Xác thực dựa trên chứng chỉ.
  • Đăng nhập sinh trắc học với Windows Hello.
  • Mã khóa.
Nhóm bảo mật có thể áp dụng chính sách yêu cầu 2FA trong các tình huống cụ thể, như đăng nhập từ môi trường không quen thuộc, ứng dụng có rủi ro cao hoặc thiết bị không được quản lý. Các chính sách này điều chỉnh theo ngữ cảnh người dùng mà không gây ra cản trở không cần thiết.

Hỗ trợ khôi phục và duy trì truy cập

Để đảm bảo mọi người luôn kết nối và an toàn, dịch vụ Microsoft cho phép nhiều phương thức đăng nhập và tùy chọn khôi phục. Khi thiết bị bị mất hoặc được đặt lại, có thể sử dụng mã dự phòng hoặc phương thức thay thế để khôi phục quyền truy cập mà vẫn giữ nguyên mức độ bảo mật.

Các tính năng xác thực tích hợp như trên giúp giảm rủi ro bị chiếm đoạt tài khoản, đơn giản hóa quá trình quản lý định danh và hỗ trợ nhu cầu kiểm soát truy cập ngày càng phát triển.
Tài nguyên

Tìm hiểu thêm về 2FA

Một người phụ nữ ngồi trước máy tính xách tay giải thích trong văn phòng.
Tính năng sản phẩm

Tăng cường bảo mật đăng nhập với MFA của Microsoft Entra

Thêm xác thực hai bước hoặc đa yếu tố để bảo vệ người dùng và dữ liệu.
Tìm hiểu thêm
Một người đang làm việc trên máy tính để bàn và máy tính xách tay.
Giải pháp

Bảo mật ứng dụng và dữ liệu trên toàn tổ chức của bạn

Sử dụng giải pháp truy cập mạng và danh tính để quản lý truy cập, thực thi chính sách và giảm thiểu rủi ro.
Tìm hiểu thêm

Các câu hỏi thường gặp

  • Xác thực 2 bước (2FA) là quy trình đăng nhập yêu cầu hai loại xác minh danh tính khác nhau để truy cập tài khoản. Thông thường, cách này bao gồm yếu tố bạn biết (như mật khẩu) và yếu tố bạn có (chẳng hạn thiết bị di động hoặc khóa bảo mật). Bằng cách yêu cầu cả hai, 2FA thêm một lớp bảo vệ chống truy cập trái phép.
  • Bảo vệ bằng xác thực 2 bước (2FA) hoạt động thông qua việc yêu cầu người dùng xác minh danh tính qua hai phương pháp riêng biệt trước khi được cấp quyền truy cập. Cách này giúp giảm rủi ro truy cập trái phép, ngay cả khi mật khẩu đã bị lộ. Cách này bảo vệ trước các mối đe dọa phổ biến như trộm cắp thông tin xác thực, lừa đảo qua mạng và tấn công bằng phương pháp dò mật khẩu.
  • Ví dụ về xác thực 2 bước (2FA) là đăng nhập vào tài khoản bằng mật khẩu rồi xác nhận mã gửi đến điện thoại. Điều này kết hợp yếu tố bạn biết (mật khẩu) với yếu tố bạn có (điện thoại). Ví dụ khác bao gồm việc sử dụng dấu vân tay hoặc yêu cầu phê duyệt đăng nhập qua ứng dụng xác thực như Authenticator.
  • Xác thực 2 bước (2FA) giúp ngăn truy cập trái phép vào tài khoản bằng cách thêm lớp xác minh danh tính thứ hai. Phương pháp này làm giảm rủi ro vi phạm dữ liệu do mật khẩu bị lộ và hỗ trợ tuân thủ các tiêu chuẩn bảo mật. Nhiều tổ chức sử dụng 2FA để bảo vệ hệ thống nhạy cảm và danh tính người dùng.
  • Xác thực 2 bước (2FA) là thành phần then chốt của mô hình bảo mật Zero Trust, mô hình này giả định không nên tin tưởng người dùng hoặc thiết bị nào theo mặc định. Trong kiến trúc Zero Trust, 2FA giúp xác minh danh tính trước khi cấp quyền truy cập vào ứng dụng hoặc dữ liệu, hỗ trợ nguyên tắc “xác minh rõ ràng”.
  • Xác thực 2 bước (2FA) có thể giảm mức độ thành công của các cuộc tấn công lừa đảo qua mạng bằng cách yêu cầu thêm bước xác minh thứ hai ngoài mật khẩu bị đánh cắp. Để tăng cường mức độ bảo vệ, hãy cân nhắc áp dụng các phương pháp xác thực đa yếu tố (MFA) chống lừa đảo như khóa bảo mật dưới dạng thiết bị phần cứng hoặc mã khóa, giúp phòng thủ trước các cuộc tấn công trung gian.
  • Xác thực 2 bước (2FA) quan trọng vì phương pháp này thêm một lớp bảo mật cho tài khoản người dùng, giúp ngăn chặn truy cập trái phép. 2FA bảo vệ trước các mối đe dọa như đánh cắp mật khẩu, lừa đảo qua mạng và các cuộc tấn công tự động. 2FA được đề xuất rộng rãi như một biện pháp bảo mật cơ bản cho cá nhân và tổ chức.

Theo dõi Microsoft Security