Passkey so với xác thực hai yếu tố (2FA): Cái nào bảo vệ tiền điện tử của bạn tốt hơn?
Mật khẩu của bạn bị rò rỉ trong một vụ vi phạm bảo mật mà bạn không hề hay biết. Vài tuần sau, ai đó thử dùng mật khẩu đó trên sàn giao dịch tiền điện tử của bạn, và thứ duy nhất ngăn cách họ với số dư tài khoản của bạn chỉ là một mã sáu chữ số được gửi đến điện thoại của bạn. Mã đó lẽ ra phải là bức tường bảo vệ. Trong nhiều năm, nó đã đủ tốt. Passkey so với xác thực hai yếu tố (2FA) là cuộc tranh luận về việc liệu bức tường bảo mật đó có còn đáng tin cậy hay không, và câu trả lời trung thực là điều quan trọng nhất đối với bất kỳ ai đang nắm giữ tiền chỉ di chuyển theo một chiều. Hướng dẫn này giải thích cả hai phương pháp một cách dễ hiểu, so sánh chúng trực tiếp và chỉ ra lý do tại sao các cuộc tấn công thực sự rút sạch tài khoản lại hầu như không bị chậm lại đối với xác thực hai yếu tố truyền thống.
Xác thực hai yếu tố (2FA) là gì?
Xác thực hai yếu tố, đôi khi được viết tắt là 2 factor, là một bước kiểm tra thứ hai được thêm vào mật khẩu của bạn, và ý tưởng đằng sau nó khá đơn giản đến nỗi hầu hết mọi người đã sử dụng nó mà không cần suy nghĩ. Ngay cả khi ai đó đánh cắp yếu tố đầu tiên, họ vẫn cần yếu tố thứ hai trước khi có thể đăng nhập. Các chuyên gia bảo mật thường phân loại các yếu tố này thành ba nhóm chính: thứ bạn biết như mật khẩu hoặc mã PIN, thứ bạn sở hữu như điện thoại hoặc thiết bị xác thực phần cứng, và thứ bạn là như dấu vân tay hoặc quét khuôn mặt, và thiết lập 2FA chỉ đơn giản là kết hợp bất kỳ hai trong số chúng.
Vấn đề nằm ở chỗ không phải tất cả các yếu tố xác thực thứ hai đều có hiệu quả như nhau, và nút bật "Bật xác thực hai yếu tố" đã âm thầm che giấu điều đó. Mã SMS là lựa chọn yếu nhất và phổ biến nhất, mã từ ứng dụng xác thực như Google Authenticator , thường là mã TOTP tự động thay đổi sau mỗi 30 giây, mạnh hơn đáng kể, và khóa bảo mật vật lý còn mạnh hơn nữa. Microsoft cho biết việc bật xác thực đa yếu tố (MFA) chặn được khoảng 99,9% các cuộc tấn công tài khoản tự động, điều này cho thấy mức cơ bản hoạt động tốt đối với các nỗ lực tấn công hàng loạt, ít tốn công sức, và câu hỏi mà toàn bộ bài viết này xoay quanh là điều gì sẽ xảy ra khi kẻ tấn công không hề có ý định tấn công dễ dàng.
Dưới đây là cách các yếu tố thứ hai phổ biến được xếp hạng.
| Phương pháp xác thực hai yếu tố (2FA) | Cách thức hoạt động | Chống lừa đảo trực tuyến? | Điểm yếu chính |
|---|---|---|---|
| Mã SMS | Mã xác nhận một lần sẽ được gửi qua tin nhắn đến số điện thoại của bạn. | KHÔNG | Hoán đổi SIM, chặn SS7 |
| Ứng dụng xác thực (TOTP) | Xoay mã trong ứng dụng | KHÔNG | Lừa đảo qua trung gian thời gian thực |
| Đẩy thông báo phê duyệt | Nhấn vào "xác nhận" trên điện thoại của bạn. | KHÔNG | Mệt mỏi với Bộ Ngoại giao, ném bom nhanh chóng |
| Khóa bảo mật phần cứng | Khóa vật lý bạn cắm vào hoặc chạm vào | Đúng | Chi phí, có thể bị mất |
Bước đột phá quan trọng nằm ở hàng cuối cùng. Mã SMS, mã ứng dụng và thông báo đẩy đều có chung một điểm yếu, đó là con người có thể bị thuyết phục hoàn thành chúng trên trang web sai, trong khi khóa bảo mật phần cứng thì không thể bị thuyết phục làm bất cứ điều gì. Đó cũng chính là đặc tính mà khóa bảo mật được xây dựng dựa trên, vì vậy sự khác biệt thực sự nằm ở các yếu tố dễ bị lừa đảo và các yếu tố chống lừa đảo, chứ không phải giữa mật khẩu và yếu tố xác thực thứ hai.
Mã khóa là gì và mã khóa hoạt động như thế nào?
Mã khóa không phải là một mã mạnh hơn; nó là một cặp khóa mã hóa, và hiểu được cặp khóa đó mới thực sự là điểm mấu chốt. Khi bạn tạo mã khóa cho một trang web hoặc ứng dụng, thiết bị của bạn sẽ tự động tạo ra hai giá trị được liên kết, một khóa công khai và một khóa riêng tư, sử dụng các tiêu chuẩn FIDO2 và WebAuthn mà Apple, Google và Microsoft đều đã tích hợp vào hệ thống của họ như là xương sống của xác thực không cần mật khẩu.
Công nghệ mã định danh (passkey) đã phát triển rất nhanh. Liên minh FIDO báo cáo rằng tính đến tháng 5 năm 2026, có khoảng 5 tỷ mã định danh đang được sử dụng, với 75% người tiêu dùng đã kích hoạt một mã trên ít nhất một tài khoản. Đây không còn là một tính năng dành riêng cho một nhóm nhỏ người dùng nữa.
Sự bắt tay giữa khóa công khai và khóa riêng tư
Sự phân tách giữa hai khóa chính là điều giúp mật khẩu được bảo mật. Hãy tưởng tượng khóa công khai như một ổ khóa mà trang web giữ một bản sao, còn khóa riêng tư là thứ duy nhất có thể mở nó, được niêm phong bên trong điện thoại của bạn. Khi bạn đăng nhập, trang web sẽ gửi cho thiết bị của bạn một câu đố dùng một lần để ký. Thiết bị của bạn ký câu đố đó bằng khóa riêng tư, gửi lại câu trả lời, máy chủ kiểm tra nó so với khóa công khai mà nó đã giữ, và bạn đã đăng nhập thành công. Không có thông tin bí mật nào được truyền qua mạng, vì vậy kẻ nghe lén không thể đánh cắp và phát lại bất cứ thứ gì sau này.
Xác thực sinh trắc học hoặc mã PIN của thiết bị sẽ mở khóa khóa riêng tư cục bộ để có thể ký. Dấu vân tay cũng không bao giờ được gửi đến máy chủ. Hãy so sánh điều đó với mật khẩu, thứ mà bạn cung cấp đầy đủ mỗi khi đăng nhập — tin tưởng vào người ở đầu bên kia sẽ lưu trữ nó một cách an toàn.
Nơi lưu trữ mật khẩu của bạn: được đồng bộ hóa hay chỉ lưu trữ trên thiết bị?
Mật khẩu có hai loại. Mật khẩu được đồng bộ hóa nằm trong trình quản lý mật khẩu hoặc chuỗi khóa của nền tảng (của Apple, Google, hoặc các công cụ như 1Password hay Bitwarden) và theo bạn trên nhiều thiết bị. Mật khẩu gắn liền với thiết bị, bao gồm cả những mật khẩu trên khóa bảo mật phần cứng, không bao giờ rời khỏi thiết bị phần cứng duy nhất đã tạo ra chúng. Mật khẩu được đồng bộ hóa tiện lợi hơn và không bị mất khi điện thoại bị mất; mật khẩu gắn liền với thiết bị cung cấp bảo mật vật lý mạnh nhất vì các khóa mã hóa được gắn vào một vật thể duy nhất mà bạn có thể khóa trong ngăn kéo.
Passkeys so với xác thực hai yếu tố (2FA): những điểm khác biệt chính
Cách dễ hiểu nhất để nắm rõ sự khác biệt là: xác thực hai yếu tố (2FA) thêm một bước vào mật khẩu, trong khi mã khóa (passkey) thay thế hoàn toàn mật khẩu. Khi bạn hiểu theo cách đó, mọi thứ còn lại sẽ dễ dàng hơn. 2FA vẫn phụ thuộc vào một bí mật có thể bị lộ. Mã khóa thì không có bí mật chung nào để bị lộ ngay từ đầu.
Thay đổi nhỏ đó tác động đến mọi thứ khác, từ khả năng chống lừa đảo trực tuyến đến tốc độ đăng nhập. Các nhà cung cấp triển khai mã xác thực cho biết quá trình đăng nhập nhanh hơn và thành công hơn đáng kể so với phương pháp sử dụng mật khẩu kèm mã xác nhận qua SMS, bởi vì không cần phải nhập gì và không cần chờ đợi gì cả. Bảng dưới đây trình bày những điểm khác biệt chính.
| Điều quan trọng là gì | Xác thực hai yếu tố (mật khẩu + SMS/TOTP) | Mật khẩu |
|---|---|---|
| Thay thế mật khẩu | Không, nó còn làm tăng thêm nữa. | Đúng |
| Chống lừa đảo | Không (mã có thể được truyền tải) | Có (liên kết với tên miền thực) |
| Tiếp xúc với việc đổi SIM | Có, bằng tin nhắn SMS | KHÔNG |
| Bí mật được chia sẻ để đánh cắp | Đúng | KHÔNG |
| Tốc độ đăng nhập | Chậm hơn (nhập mã) | Nhanh hơn (chạm hoặc quét) |
| Khôi phục nếu thiết bị bị mất | Mã dự phòng / SMS | Khóa đồng bộ hoặc sao lưu |
Bản thân mã khóa có phải là một hình thức xác thực hai yếu tố (2FA) hay đa yếu tố (MFA) không?
Đây là điểm tinh tế khiến mọi người bối rối. Khi bạn mở khóa bằng mật khẩu, hai bước kiểm tra diễn ra cùng một lúc. Bạn chứng minh mình đang cầm thiết bị lưu trữ khóa riêng tư, và dấu vân tay hoặc quét khuôn mặt chứng minh thiết bị thực sự nằm trong tay bạn. Đó là hai yếu tố trong một lần chạm, điều này khiến mật khẩu tự nó đã là xác thực đa yếu tố. Thêm xác thực hai yếu tố truyền thống (2FA) vào đó, bạn chủ yếu chỉ thêm một lời nhắc thứ hai, chứ không phải là một bức tường thứ hai.
Đây là lý do tại sao Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) chỉ coi FIDO2/WebAuthn và thẻ thông minh PKI là phương thức xác thực đa yếu tố (MFA) thực sự chống lại các cuộc tấn công lừa đảo. Mã khóa xác thực không phải là phiên bản yếu hơn của yếu tố xác thực thứ hai; nó được thiết kế để trở thành phương thức xác thực đa yếu tố, được tích hợp vào một bước duy nhất.
Vì sao tấn công lừa đảo (phishing) phá vỡ xác thực hai yếu tố (2FA) nhưng không ảnh hưởng đến mật khẩu?
Tấn công lừa đảo (phishing) là phương thức quyết định toàn bộ cuộc tranh luận này. Báo cáo Điều tra Vi phạm Dữ liệu năm 2025 của Verizon cho thấy việc đánh cắp thông tin đăng nhập đứng sau 22% các vụ vi phạm và tấn công lừa đảo đứng sau 16% khác, vì vậy đây không phải là những thủ đoạn mới lạ mà là cánh cửa chính mà hầu hết những kẻ xâm nhập thực sự đi qua.
Hãy hình dung cái bẫy thường gặp. Một email cảnh báo rằng tài khoản của bạn đã bị khóa, bạn nhấp vào một trang trông giống hệt trang Exchange của bạn, và bạn nhập mật khẩu cùng mã sáu chữ số từ ứng dụng xác thực của mình một cách cẩn thận. Trên trang web thật, mã đó sẽ hoạt động bình thường. Nhưng trên trang web giả mạo của kẻ tấn công, chúng có thể lấy được mã đó và sử dụng lại để đăng nhập vào tài khoản thật chỉ trong vài giây, và yếu tố xác thực thứ hai mà bạn tin tưởng đã cho phép chúng truy cập trực tiếp. Đây là phần mà mọi người thường đánh giá thấp. Xác thực hai yếu tố (2FA) vẫn yêu cầu người dùng cung cấp thông tin, và người dùng có thể bị thuyết phục làm bất cứ điều gì. Khóa riêng tư thì không cung cấp gì cả. Khóa riêng tư không thể được nhập, đọc to hoặc dán vào một biểu mẫu giả mạo, và nó chỉ hoạt động trên chính xác tên miền mà bạn đã tạo ra nó, vì vậy trang web giả mạo không có gì để thu thập và không có gì để sử dụng lại.
Việc đổi SIM và vấn đề mã SMS
Tin nhắn SMS là điểm yếu dễ bị tổn thương của xác thực hai yếu tố (2FA). Trong trường hợp đổi SIM , kẻ tấn công thuyết phục nhà mạng chuyển số điện thoại của bạn sang điện thoại của chúng, và mọi mã xác thực dành cho bạn giờ đây sẽ hiển thị trên màn hình của chúng. Trung tâm Khiếu nại Tội phạm Internet của FBI đã ghi nhận 982 trường hợp đổi SIM trong báo cáo năm 2024, với thiệt hại gần 26 triệu đô la, và đó chỉ là những trường hợp mà người dân thực sự báo cáo. Tin nhắn SMS cũng có thể bị chặn hoàn toàn thông qua các lỗ hổng trong giao thức viễn thông SS7 đã lỗi thời, điều này dẫn đến một sự thật khó chịu: bất kỳ mã nào truyền qua mạng điện thoại đều là mã mà người khác có thể âm thầm chuyển hướng.
Lừa đảo qua OTP và mệt mỏi vì xác thực đa yếu tố
Ngay cả ứng dụng xác thực cũng không tránh khỏi, vì kẻ tấn công sử dụng các trang web chuyển tiếp thời gian thực nằm giữa bạn và quá trình đăng nhập thực sự, thu thập mã TOTP của bạn và phát lại nó trong vòng 30 giây. Xác thực hai yếu tố dựa trên thông báo đẩy cũng có một chế độ lỗi riêng được gọi là mệt mỏi đa xác thực (MFA fatigue), trong đó kẻ tấn công liên tục gửi các lời nhắc phê duyệt cho đến khi người dùng mệt mỏi cuối cùng nhấn nút phê duyệt chỉ để chấm dứt tiếng chuông báo. Không có thủ đoạn nào trong số này hiệu quả với mật khẩu, vì ngay từ đầu không có mã nào để chặn và không có lời nhắc nào có thể được phê duyệt nhầm.
Sử dụng mật khẩu trên các sàn giao dịch và ví tiền điện tử.
Đây là lúc mà việc so sánh giữa mật khẩu và xác thực hai yếu tố (2FA) không còn mang tính lý thuyết nữa, và hầu hết các hướng dẫn chung đều im lặng. Ngân hàng có thể hoàn trả khoản phí gian lận. Blockchain thì không thể. Khi kẻ tấn công đánh cắp thông tin đăng nhập tài khoản giao dịch của bạn và rút hết tiền, giao dịch đó là không thể thay đổi. Báo cáo Tội phạm Internet năm 2025 của FBI thống kê tổng thiệt hại là 20,9 tỷ đô la, trong đó khoảng 11,4 tỷ đô la liên quan đến gian lận tiền điện tử, và việc chiếm đoạt tài khoản là một phần không thể thiếu trong đó.
Các sàn giao dịch lớn, bao gồm Coinbase, Binance và Kraken, hiện cho phép bạn bảo vệ thông tin đăng nhập bằng mật khẩu. Kích hoạt tính năng này sẽ loại bỏ mã SMS mà các nhóm tội phạm đánh cắp SIM thường nhắm đến và thay thế bằng một mật khẩu mà kẻ tấn công không thể đánh cắp từ nước khác.
Có một điểm khác biệt rất quan trọng, bởi vì rất dễ nhầm lẫn. Mã khóa (passkey) bảo mật cách bạn đăng nhập vào tài khoản lưu ký trên sàn giao dịch. Nó không giống với khóa riêng tư hoặc cụm từ hạt giống của ví tự quản lý của bạn, và nó không thay thế chúng. Nếu bạn tự giữ tiền điện tử của mình, cụm từ hạt giống vẫn là chìa khóa chính cho số tiền của bạn; mã khóa bảo vệ cánh cửa của sàn giao dịch, chứ không phải kho tiền bạn tự mang theo. Hiểu rõ điều này là sự khác biệt giữa bảo mật tài khoản thực sự và cảm giác bảo mật giả tạo.
Mã khóa cũng rất phù hợp khi kết hợp với các biện pháp kiểm soát mà sàn giao dịch đã cung cấp. Hãy bật nó cho việc đăng nhập, sau đó thêm danh sách cho phép địa chỉ rút tiền để ngay cả khi bị chiếm đoạt, tiền cũng không thể gửi đến ví không xác định mà không cần chờ đợi. Mã khóa ngăn chặn sự xâm nhập; danh sách cho phép hạn chế thiệt hại nếu có bất kỳ lỗ hổng nào khác xảy ra. Khi được sử dụng cùng nhau, mã khóa và xác thực hai yếu tố (2FA) tăng cường bảo mật hơn nhiều so với việc sử dụng riêng lẻ từng loại, và tài khoản của bạn sẽ không còn phụ thuộc vào một mã có thể được chuyển hướng qua mạng đến điện thoại của người lạ.
Khi bạn vẫn cần xác thực hai yếu tố truyền thống (2FA).
Mã khóa bảo mật (passkey) chưa phổ biến ở mọi nơi, và việc lựa chọn giữa passkey và xác thực hai yếu tố (2FA) thường phụ thuộc vào những gì dịch vụ đó hỗ trợ, vì vậy đừng loại bỏ yếu tố xác thực thứ hai ngay từ đầu. Liên minh FIDO thống kê hơn 15 tỷ tài khoản đã sẵn sàng sử dụng passkey tính đến năm 2025, nhưng phạm vi phủ sóng trên các trang web nhỏ hơn vẫn còn chưa đồng đều, và nhiều dịch vụ bạn đang sử dụng vẫn chỉ cung cấp mật khẩu và mã. Đối với những dịch vụ đó, hãy giữ lại 2FA và chỉ cần chọn phiên bản tốt hơn, chẳng hạn như ứng dụng xác thực thay vì SMS. Khôi phục cài đặt là một lợi ích khác của 2FA. Nếu bạn làm mất thiết bị lưu trữ mã khóa bảo mật, thì yếu tố xác thực dự phòng hoặc bộ mã khôi phục đã lưu sẽ giúp bạn truy cập lại. Thiết lập thông minh sử dụng cả hai, với passkey ở những nơi bạn có thể sử dụng, 2FA dựa trên ứng dụng ở những nơi bạn không thể sử dụng, và một kế hoạch khôi phục được tích hợp sẵn.
Ngoài ra còn có một chi phí chuyển đổi cần được đề cập. Cho đến khi một trang web hỗ trợ mã xác thực (passkey), bạn sẽ chỉ có thể sử dụng tùy chọn mạnh nhất hiện có, và đối với nhiều dịch vụ, điều đó vẫn có nghĩa là một ứng dụng xác thực thông thường. Hãy coi đó như một giai đoạn chờ đợi chứ không phải là đích đến, và hãy kiểm tra lại các tài khoản quan trọng của bạn vài tháng một lần, bởi vì việc hỗ trợ mã xác thực đang ngày càng mở rộng và tài khoản mà bạn không thể bảo vệ vào mùa xuân năm ngoái giờ đây có thể đã hỗ trợ.
Cách chuyển đổi từ xác thực hai yếu tố (2FA) sang mật khẩu
Việc chuyển đổi là cả một quá trình, không phải là một bước nhảy vọt duy nhất — và quy tắc duy nhất là không bao giờ xóa đường dẫn khôi phục của bạn giữa chừng quá trình chuyển đổi. Dưới đây là trình tự hợp lý:
1. Thay thế tin nhắn SMS bằng ứng dụng xác thực trên mọi tài khoản vẫn sử dụng mã. Chỉ riêng điều này thôi cũng đã loại bỏ nguy cơ bị đánh cắp SIM.
2. Thêm mật khẩu vào bất cứ nơi nào có tùy chọn này, thường là trong phần cài đặt bảo mật tài khoản hoặc đăng nhập.
3. Lưu trữ mã khóa trong trình quản lý mật khẩu đã được đồng bộ hóa hoặc trên khóa bảo mật phần cứng, tùy thuộc vào mức độ bảo mật vật lý mà bạn mong muốn.
4. Hãy giữ một phương thức xác thực dự phòng và lưu mã khôi phục của bạn ở một nơi nào đó ngoại tuyến.
5. Chỉ loại bỏ xác thực SMS sau khi mật khẩu đăng nhập thành công.
Hãy bắt đầu với các tài khoản chứa tiền hoặc thông tin nhận dạng: email của bạn (chìa khóa chính để đặt lại mật khẩu), tài khoản Exchange, trình quản lý mật khẩu. Sau đó, tiếp tục với các tài khoản khác. Toàn bộ quá trình chuyển đổi có thể mất cả buổi chiều, và phần lớn thời gian là chờ các trang tải xong.
Kết luận: dùng mật khẩu, xác thực hai yếu tố, hay cả hai?
Trong cuộc tranh luận giữa mã xác thực (passkey) và xác thực hai yếu tố (2FA), mã xác thực thắng thế ở những cuộc tấn công thực sự làm rút sạch tiền trong tài khoản. Các cuộc tấn công lừa đảo (phishing) và hoán đổi SIM thường bỏ qua mã SMS và thường cả mã ứng dụng, nhưng lại gặp phải rào cản với mã xác thực. Hãy sử dụng mã xác thực bất cứ khi nào được cung cấp, coi nó là phương thức xác thực mặc định trên mọi sàn giao dịch tiền điện tử, và giữ lại xác thực hai yếu tố trên ứng dụng làm phương án dự phòng cho những hệ thống chưa được cập nhật. Câu hỏi thực sự không phải là nên tin tưởng vào phương thức nào, mà là bạn có thể chuyển đổi các tài khoản quan trọng nhất nhanh đến mức nào. Bạn sẽ chuyển đổi sang phương thức nào trước tiên?
