Chuyển Google Authenticator: Di chuyển xác thực hai yếu tố (2FA) sang điện thoại mới

Nếu bạn làm mất điện thoại chứa mã xác thực, Coinbase sẽ đưa bạn vào hàng chờ xác minh danh tính từ 48 đến 72 giờ trước khi bạn có thể truy cập lại tài khoản của mình. Binance có thể mất cả tuần. Một sàn giao dịch nhỏ hơn có thể mất cả tháng. Đó là cái giá phải trả cho một thiết bị xác thực chưa được chuyển đổi, và đó cũng là lý do duy nhất mà hướng dẫn này tồn tại.

Hướng dẫn này sẽ hướng dẫn cách sử dụng tính năng chuyển đổi Google Authenticator trên iOS hoặc Android, theo cả hai chiều, bằng hai phương pháp thực sự hiệu quả: xuất mã QR được tích hợp sẵn trong ứng dụng trên điện thoại của bạn từ tháng 5 năm 2020, và đồng bộ hóa tài khoản Google trên đám mây được ra mắt vào tháng 4 năm 2023 với một lưu ý về bảo mật cần được hiểu rõ. Hướng dẫn cũng đề cập đến trường hợp khẩn cấp khi điện thoại cũ bị mất hoặc bị đánh cắp, những rủi ro khi chuyển mã xác thực hai yếu tố (2FA) sang điện thoại mới, và những việc cần làm đối với các tài khoản trực tuyến có giá trị cao mà việc khôi phục không phải lúc nào cũng khả thi. Mục tiêu: chuyển đổi Google Authenticator mà không mất quyền truy cập vào tài khoản của bạn, sau đó giữ an toàn cho mã Google Authenticator của bạn.

Tại sao việc chuyển đổi Google Authenticator lại quan trọng trước khi bạn đổi điện thoại?

Xác thực hai yếu tố qua SMS sẽ mất hiệu lực cùng với SIM. Một cuộc tấn công chuyển mạng, một vụ đổi nhà mạng, thậm chí là một lần chuyển eSIM thất bại — và mã xác thực sẽ rơi vào điện thoại của người khác. Báo cáo Tội phạm Internet năm 2024 của FBI ghi nhận 982 khiếu nại về việc đổi SIM và thiệt hại trực tiếp lên tới 25,98 triệu đô la (giảm so với 72,65 triệu đô la năm 2022, nhưng các chiêu trò lừa đảo tương tự vẫn là con đường dẫn đến đánh cắp danh tính và rút tiền từ ví tiền điện tử). Mã xác thực một lần từ ứng dụng xác thực được lưu trữ an toàn trên thiết bị, chứ không phải trên mạng của nhà mạng, đó là lý do tại sao Microsoft đã có thể khẳng định trong nhiều năm rằng việc bật xác thực hai yếu tố sẽ chặn hơn 99,9% các nỗ lực xâm phạm tài khoản tự động.

Sự đánh đổi là điều hiển nhiên. Mỗi mã truy cập chỉ nằm trên một chiếc điện thoại duy nhất. Nếu bạn làm rơi điện thoại xuống sông, vô tình khôi phục cài đặt gốc, hoặc đưa cho con bạn mượn "năm phút" - bạn sẽ không thể truy cập vào tài khoản của mình cho đến khi thực hiện lại quy trình khôi phục trên từng dịch vụ. Vì vậy, hãy lưu giữ mã truy cập, chỉ tạo mã trên thiết bị mà bạn kiểm soát và coi việc chuyển sang điện thoại mới như một công việc bảo trì định kỳ.

Trước khi bắt đầu: hãy chuẩn bị ứng dụng Google Authenticator trên cả hai điện thoại.

Một phần đáng ngạc nhiên các trường hợp chuyển dữ liệu thất bại là do bỏ qua bước chuẩn bị, chứ không phải do phần mềm bị lỗi. Ba nguyên nhân chính thường gây ra lỗi này là: ứng dụng lỗi thời, thiếu thiết lập sinh trắc học, và kết nối Wi-Fi không ổn định. Mở ứng dụng Google Authenticator trên điện thoại cũ và kiểm tra xem nó có khởi chạy và hiển thị mã xác thực hiện tại hay không. Cập nhật ứng dụng thông qua Google Play (phiên bản Android 7.0 trở lên, phát hành ngày 14 tháng 11 năm 2024) hoặc App Store. Cài đặt ứng dụng Google Authenticator tương tự trên điện thoại mới, đăng nhập bằng tài khoản Google thông thường của bạn, bật sinh trắc học — lời nhắc xuất dữ liệu sẽ không hiển thị mã QR nếu không có dấu vân tay hoặc mở khóa bằng khuôn mặt. Cắm cả hai thiết bị vào máy tính, kết nối chúng với cùng một mạng Wi-Fi đáng tin cậy, và tắt mọi VPN.

Trong khi điện thoại đang cập nhật, hãy liệt kê tất cả các dịch vụ được liên kết với ứng dụng xác thực. Hầu hết mọi người có từ mười tài khoản xác thực trở lên mà không hề hay biết: mỗi tài khoản Google, GitHub, mọi Exchange, trình quản lý mật khẩu, bảng điều khiển AWS, CMS. Bảng dưới đây thể hiện vị trí lưu trữ mã dự phòng cho các dịch vụ thường xuyên gây ra tình trạng khóa thiết bị. Hãy giữ danh sách đó và mật khẩu mạnh cho mỗi dịch vụ ở gần – một số quy trình khôi phục yêu cầu cả hai trước khi hủy liên kết thiết bị cũ.

Xuất và nhập: chuyển Google Authenticator của bạn bằng mã QR

Tính năng xuất mã QR được ra mắt vào tháng 5 năm 2020. Đây vẫn là phương pháp được trang trợ giúp iOS của Google khuyến nghị, và nó chuyển mã gốc của mỗi tài khoản đã chọn từ điện thoại này sang điện thoại khác mà không cần máy chủ trung gian. Không cần đám mây, không cần tài khoản Google.

Bắt đầu với điện thoại cũ. Mở ứng dụng và tìm menu — Android hiển thị ba đường ngang ở góc trên bên trái; iPhone hiển thị ba dấu chấm, thường ở góc trên bên phải, mặc dù một số phiên bản đặt chúng ở phía dưới. Chạm vào menu, chọn Chuyển tài khoản, sau đó chọn Xuất tài khoản. Ứng dụng sẽ yêu cầu dấu vân tay, Face ID hoặc mật mã thiết bị của bạn. Sau khi hoàn tất xác thực sinh trắc học, bạn sẽ thấy danh sách tất cả các tài khoản Google Authenticator trên thiết bị. Chọn những tài khoản bạn muốn chuyển (ô chọn cho phép chọn nhiều tài khoản) và chạm vào Tiếp theo. Bây giờ ứng dụng sẽ tạo mã QR chứa thông tin hạt giống được mã hóa cho tối đa mười tài khoản cùng một lúc. Có nhiều hơn mười tài khoản? Bạn sẽ nhận được một hàng mã QR được đánh số và ứng dụng sẽ cho bạn biết bạn đang xem mã nào.

Giờ đến điện thoại mới. Mở Google Authenticator, chạm vào Bắt đầu, hoặc nhấn vào biểu tượng dấu cộng ở góc dưới bên phải nếu ứng dụng đã được khởi tạo. Chọn Quét mã QR. Nếu bước nhập hỏi bạn có đang nhập từ tài khoản hiện có không, hãy chọn Có. Giữ điện thoại mới trước màn hình điện thoại cũ và để camera khóa vào mã QR. Thiết bị mới sẽ liệt kê từng tài khoản đã nhập. Chạm vào Tiếp theo cho bất kỳ mã QR nào khác trong lô.

Các mã gốc vẫn còn trên điện thoại cũ. Trước tiên hãy xác minh thiết bị mới, sau đó mới tiến hành dọn dẹp. Mở một dịch vụ đã liên kết, đăng nhập và kiểm tra xem mã xác thực sáu chữ số từ thiết bị xác thực mới có khớp với yêu cầu của dịch vụ hay không. Sau khi hai dịch vụ cho phép bạn đăng nhập thành công, hãy xóa các mục đã lưu khỏi ứng dụng trên điện thoại cũ — hoặc tốt hơn hết là khôi phục cài đặt gốc cho thiết bị cũ để bán lại.

Trên thực tế, một vài vấn đề có thể xảy ra. Quá trình chuyển dữ liệu từ Android sang Android hầu như luôn diễn ra suôn sẻ. Chuyển từ Android sang iPhone đôi khi không hiển thị một số tài khoản sau khi nhập, đặc biệt là khi bước quét mã QR mã hóa nhiều hơn năm mục; hãy giảm kích thước lô và thử lại. Chuyển từ iPhone sang Android đôi khi bị treo ở màn hình xuất dữ liệu vì quá trình triển khai trên iOS của Google chậm hơn so với Android; nếu điều đó xảy ra, hãy buộc thoát ứng dụng, mở lại và bắt đầu xuất dữ liệu lại. VPN trên một trong hai thiết bị cũng có thể làm hỏng quá trình quét do việc giảm tốc độ camera dưới một số ứng dụng VPN. Hãy tắt VPN trong quá trình chuyển dữ liệu. Mã chuyển dữ liệu trong mã QR có giới hạn thời gian, vì vậy nếu đồng hồ của điện thoại mới bị sai giờ, bạn có thể thấy các mã không hợp lệ sau khi nhập — hãy mở menu ứng dụng và nhấn vào "Hiệu chỉnh thời gian cho mã" để đồng bộ lại đồng hồ thiết bị.

Đồng bộ mã Google Authenticator với tài khoản Google của bạn.

Tính năng đồng bộ hóa đám mây, được thêm vào ngày 24 tháng 4 năm 2023 với phiên bản 6.0 trên Android và 4.0 trên iOS, là phương thức tiện lợi. Sau khi được kích hoạt, mọi mã bạn thêm hoặc xóa sẽ hiển thị trên mọi điện thoại đã đăng nhập vào cùng một tài khoản Google, mà không cần mã QR. Đối với hầu hết các lần đăng nhập thông thường, đây chính xác là điều người dùng mong muốn.

Vấn đề bảo mật cần được xem xét kỹ lưỡng. Trong vòng 48 giờ sau khi ra mắt vào tháng 4 năm 2023, các nhà nghiên cứu bảo mật tại Mysk Inc. đã chứng minh rằng lưu lượng truy cập mang mã TOTP đến máy chủ của Google không được mã hóa đầu cuối. Google đã công khai cam kết sẽ bổ sung mã hóa đầu cuối "trong tương lai", nhưng tại thời điểm viết bài này, quá trình đồng bộ hóa chỉ được bảo vệ bằng mã hóa phía máy chủ của Google, điều đó có nghĩa là về mặt kỹ thuật, chính Google cũng có thể đọc được các mã này. Đối với tài khoản Spotify hoặc Twitter, đó là sự đánh đổi chấp nhận được so với việc mất quyền truy cập. Còn đối với trình quản lý mật khẩu chính hoặc sàn giao dịch tiền điện tử lưu ký, tôi thích phương pháp mã QR hơn và chấp nhận sự bất tiện đó.

Để bật đồng bộ hóa, hãy mở Google Authenticator trên điện thoại cũ, chạm vào ảnh đại diện hoặc biểu tượng hồ sơ ở góc trên bên phải và đăng nhập bằng tài khoản Google mà bạn muốn sử dụng làm bản sao lưu. Một biểu tượng đám mây màu xanh lá cây sẽ xuất hiện bên cạnh mỗi mục đã được đồng bộ hóa. Mở ứng dụng tương tự trên điện thoại mới, đăng nhập bằng cùng tài khoản Google đó và các mã sẽ xuất hiện trong vài giây. Không cần quét mã QR và không cần xác thực sinh trắc học.

Nếu bạn muốn chuyển đổi Google Authenticator mà hầu như không tốn phí, đồng bộ hóa là giải pháp — nhưng chỉ nên sử dụng nó cho các tài khoản có giá trị thấp nếu bạn không tin tưởng vào thiết kế không mã hóa đầu cuối (no-E2EE). Hãy giữ các mã hạt giống có giá trị cao (ngân hàng, tiền điện tử, GitHub quan trọng) gắn liền với một thiết bị duy nhất thông qua xuất mã QR, hoặc chuyển chúng hoàn toàn sang khóa mật khẩu hoặc khóa phần cứng. Bảng thông tin về xác thực đa yếu tố (MFA) chống lừa đảo năm 2022 của CISA, được khẳng định lại vào năm 2024, xếp hạng khóa phần cứng FIDO2 cao hơn bất kỳ phương pháp TOTP nào.

Cài đặt Google Authenticator trên thiết bị mới mà không cần điện thoại cũ.

Nếu điện thoại cũ đã bị mất, bị đánh cắp hoặc bị hỏng hoàn toàn, thì không có phương pháp nào ở trên hiệu quả, vì tất cả đều cần thiết bị nguồn. Không có tùy chọn "khôi phục từ đám mây" trừ khi bạn đã bật đồng bộ hóa trước khi mất điện thoại. Phương án tiếp theo là lựa chọn duy nhất, và nó khá chậm.

Đối với mỗi dịch vụ được liên kết, bạn cần đăng nhập bằng một cách khác và liên kết lại xác thực hai yếu tố (2FA) với điện thoại mới một cách riêng lẻ. Mã dự phòng là cách nhanh nhất để khôi phục tài khoản của bạn: Google cấp mười mã dự phòng dùng một lần từ tài khoản Google của bạn trong quá trình thiết lập 2FA, GitHub cấp mười sáu mã, hầu hết các sàn giao dịch cấp tám đến mười hai mã. Nếu bạn đã lưu chúng trong trình quản lý mật khẩu hoặc đã in ra, hãy sử dụng một mã để đăng nhập, sau đó vào Cài đặt bảo mật, xóa liên kết xác thực cũ khỏi thiết bị khác và ghép nối điện thoại mới bằng cách quét mã QR mới để đẩy các mã đó vào tài khoản Google của bạn một lần nữa.

Nếu bạn không có mã dự phòng, bạn sẽ bị chậm trễ. Tài liệu hỗ trợ của Coinbase cho biết thời gian thiết lập lại xác thực hai yếu tố (2FA) là từ 48 đến 72 giờ, lâu hơn khi quá trình xác minh danh tính bắt đầu. Một số ngân hàng yêu cầu bạn đến trực tiếp chi nhánh. Bài học rút ra: hãy thiết lập Google Authenticator với mã dự phòng được liên kết với trình quản lý mật khẩu ngay từ ngày đầu tiên bạn kích hoạt, và in một bản sao giấy lưu trữ ở nơi không có trong điện thoại của bạn. Dù bằng cách nào, hãy luôn giữ một danh sách kiểm tra tên người dùng và email khôi phục cho mỗi tài khoản trực tuyến được bảo vệ bởi Authenticator.

Di chuyển mã xác thực hai yếu tố (2FA) giữa Android và iPhone mà không mất quyền truy cập.

Việc chuyển đổi giữa các nền tảng là nơi tập trung nhiều chủ đề trợ giúp nhất. Quá trình chuyển đổi Google Authenticator hoạt động theo cả hai chiều trên iOS và Android, nhưng có hai lỗi thường xuyên xảy ra. Lỗi đầu tiên là quá trình quét mã QR xuất khẩu thành công nhưng thiết bị mới chỉ hiển thị một phần nhỏ các tài khoản. Điều này hầu như luôn là do giới hạn mười tài khoản mỗi mã QR bị âm thầm kích hoạt, đặc biệt khi ứng dụng iOS tạo mã QR. Hãy giảm số lượng tài khoản xuất khẩu xuống còn năm tài khoản một lần. Lỗi thứ hai là menu xuất khẩu hiển thị "không có tài khoản nào để xuất" trên iOS mặc dù các mã rõ ràng đang hoạt động. Cách khắc phục trong các bản dựng năm 2026 là cập nhật lên phiên bản TestFlight hoặc App Store mới nhất, buộc thoát ứng dụng và bật lại cài đặt sinh trắc học của thiết bị một lần.

Hãy chụp ảnh màn hình từng mã QR xuất khẩu trước khi quét — trên một thiết bị khác, hoặc in chúng ra. Bất kỳ thiết bị nào cũng có thể quét mã QR để nhập, nhưng Google không cho phép bạn tạo lại cùng một bản xuất khẩu, vì vậy một ảnh chụp màn hình rõ nét sẽ giúp bạn tiết kiệm được năm phút làm việc và tránh khỏi tình huống hoảng loạn như đã đề cập ở trên. Cho dù bạn đang chuyển đổi trên iOS hay Android, việc lưu trữ các ảnh chụp màn hình mã QR đó một cách an toàn (trong ghi chú được mã hóa bằng trình quản lý mật khẩu) là biện pháp bảo hiểm rẻ nhất có thể.

Sử dụng tài khoản Google Authenticator với các sàn giao dịch tiền điện tử và Web3.

Việc chiếm đoạt tài khoản trên sàn giao dịch hoặc ví tiền điện tử về cơ bản là không thể đảo ngược: một khi tiền đã được chuyển đi, chúng sẽ biến mất. Mã xác thực là mức tối thiểu, và báo cáo của Microsoft về mức tăng 146% hàng năm đối với các cuộc tấn công lừa đảo qua trung gian (AIT) đến năm 2024 cho thấy ngay cả TOTP cũng không đủ. Chiến dịch AIT "quy tắc ứng xử" tháng 5 năm 2026 đã ảnh hưởng đến hơn 35.000 người dùng trên 13.000 tổ chức tại 26 quốc gia - những kẻ tấn công đã giả mạo các trang đăng nhập hợp pháp, thu thập mã TOTP trong thời gian thực và đánh cắp cookie phiên trước khi người dùng nhận ra. Trước tiên, hãy liên kết khóa phần cứng (YubiKey hoặc tương tự) với tài khoản Google chính, sau đó thêm lớp xác thực Authenticator ở phía sàn giao dịch và vô hiệu hóa xác thực hai yếu tố qua SMS ngay khi Authenticator được xác nhận hoạt động. Số liệu IC3 năm 2024 của FBI cho thấy tổng thiệt hại do tội phạm mạng lên tới 16,6 tỷ đô la, và các khiếu nại liên quan đến tiền điện tử tiếp tục tăng lên mỗi năm.

Các bộ xử lý thanh toán tiền điện tử cần được đối xử bình đẳng như các sàn giao dịch. Ví dụ, Plisio hỗ trợ TOTP cho tài khoản người bán và việc liên kết nó thông qua Google Authenticator (hoặc bất kỳ ứng dụng nào tương thích với TOTP) sẽ bảo vệ bảng điều khiển kiểm soát các giao dịch đi ra. Khi chuyển sang điện thoại mới, hãy xử lý bảng điều khiển cổng thanh toán giống như một ví nóng: chỉ xuất mã QR, không đồng bộ hóa đám mây, mã sao lưu mới được tạo và lưu trữ sau khi chuyển đổi.

Các ứng dụng thay thế cho Google Authenticator đáng để cân nhắc

Sự sụp đổ của Authy đã làm xáo trộn thị trường. Vào ngày 19 tháng 3 năm 2024, Twilio đã ngừng hỗ trợ ứng dụng Authy trên máy tính để bàn sớm hơn nhiều tháng so với ngày dự kiến ban đầu là tháng 8. Sau đó, vào tháng 7 năm 2024, tin tặc đã đánh cắp 33.420.546 số điện thoại của người dùng Authy thông qua một API không được xác thực, và Twilio đã xác nhận vụ xâm phạm này. Hai vụ tấn công trong vòng bốn tháng. Người dùng Authy tản mát khắp nơi.

Tháng 9 năm 2024, Apple đã âm thầm thực hiện một điều đáng chú ý. iOS 18 đã tách iCloud Keychain thành một ứng dụng Mật khẩu chuyên dụng, tự động tạo mã TOTP, điền tự động trong Safari và đồng bộ hóa với mã hóa đầu cuối. Đối với người dùng chỉ sử dụng sản phẩm của Apple, điều này loại bỏ hoàn toàn nhu cầu sử dụng ứng dụng xác thực riêng biệt. Còn đối với những người khác, bảng trên là danh sách rút gọn.

Hãy giữ mã Google Authenticator của bạn an toàn sau khi chuyển đổi.

Hãy kiểm tra lại danh sách này ngay khi quá trình nhập dữ liệu hoàn tất. Đăng nhập vào ít nhất ba dịch vụ quan trọng nhất đã được liên kết từ điện thoại mới và xác nhận rằng mã hoạt động — và màn hình chính của ứng dụng xác thực hiển thị tất cả các tài khoản bạn mong đợi. Tạo lại mã dự phòng trên mọi dịch vụ bạn vừa chuyển; lưu trữ chúng trong trình quản lý mật khẩu và trên giấy, ở những nơi khác nhau. Xóa dữ liệu trên điện thoại cũ thông qua Tìm iPhone của tôi hoặc Tìm thiết bị Android của tôi trước khi chuyển giao. Đối với tài khoản Google chính, hãy thêm một mã xác thực hoặc khóa bảo mật phần cứng, vì vậy ngay cả một điện thoại khác có cài đặt Google Authenticator của bạn cũng không đủ. Thiết lập nhiều lớp đó là điều ngăn chặn các chiến dịch AiTM mà Microsoft đã theo dõi đến năm 2026. Quan trọng hơn, đó là điều biến quá trình chuyển Google Authenticator tiếp theo thành một công việc chỉ mất mười lăm phút thay vì gây hoảng loạn.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.