BBZ10
W-------
-
31/01/2015
-
41
-
53 bài viết
Về "Xác thực hai yếu tố: 5 điều cần biết" trên PCWorldVN
Mình xin trích lại một số nội dung. Bài viết đầy đủ tại http://www.pcworld.com.vn/articles/...age&utm_medium=referral&utm_campaign=hometop1
Nếu mình hiểu đúng thì mình thấy tác giả cũng hơi nhầm chút vì tuy là điện thoại là "something you have" nhưng thực tế trong sử dụng thì có vẻ nó vẫn là "something you know" vì key dùng để authentication là code trên điện thoại hay nói cách khác là thông tin trên thiết bị chứ không phải chính cái điện thoại/thiết bị đó. Mình hiểu vậy có đúng không, các bạn cho ý kiến thêm nhé. Cảm ơn
(PCWorldVN) Những điều căn bản về xác thực và các vấn đè liên quan đến bảo mật giúp bạn trực tuyến an toàn hơn
Xác thực hai yếu tố hay xác nhận hai bước?
Rất nhiều người nghĩ hai chuyện trên là một nhưng đó là cách nghĩ không thật đúng đắn.
Có ba loại yếu tố dùng để xác thực: thứ mà bạn biết như mật khẩu hay mã định danh cá nhân (personal identity number – PIN); thứ mà bạn có như số điện thoại di động hay mã số USB đặc biệt (special USB key); thứ chứng tỏ là bạn như vân tay hay các đặc điểm sinh trắc khác của bạn.
Trong khi xác thực hai yếu tố (two-factor authentication) kết hợp 2 yếu tố khác nhau thì xác thực hai bước (two-step verification) dùng cùng 1 yếu tố 2 lần, ví dụ đó là mật khẩu và mã số dùng 1 lần được gửi qua tin nhắn (SMS).
Có thể bạn nghĩ rằng mã số gửi đến điện thoại cũng có chất lượng như một nhân tố thứ hai vì điện thoại là vật bạn có, nhưng SMS lại không an toàn và mã số này có thể bị lấy trộm. Nhìn từ quan điểm nguy cơ bảo mật thì nó cũng tương tự như một mật mã mà thôi.
Vì thế, nếu có thể dùng cách nào trong hai cách trên thì bạn cũng nên tận dụng ưu điểm của nó.
...
Trong hầu hết trường hợp thì điện thoại sẽ là thứ chính yếu cho trải nghiệm xác thực hai yếu tố của bạn. Bạn dùng nó để nhận mã số qua SMS hay để tạo các mã số bằng những ứng dụng chuyên biệt như Google Authenticator. Những điện thoại có thể thất lạc, bị đánh cắp hay hỏng.
Nếu mình hiểu đúng thì mình thấy tác giả cũng hơi nhầm chút vì tuy là điện thoại là "something you have" nhưng thực tế trong sử dụng thì có vẻ nó vẫn là "something you know" vì key dùng để authentication là code trên điện thoại hay nói cách khác là thông tin trên thiết bị chứ không phải chính cái điện thoại/thiết bị đó. Mình hiểu vậy có đúng không, các bạn cho ý kiến thêm nhé. Cảm ơn