Hãy ngừng sử dụng Google Authenticator!

Đây là một bài viết khuyến nghị chung với người dùng internet.

Ngày nay, khi sử dụng các dịch vụ internet, chúng ta luôn được nhắc thiết lập bảo mật Xác minh 2 bước (2FA hoặc 2SV) và thường được giới thiệu dùng Google Authenticator để lưu và tạo mã xác thực này. Có lẽ do Authenticator này xuất hiện sớm và có cái tên Google nên dễ được phổ biến và tin tưởng rộng rãi.

Tuy nhiên, tại thời điểm 2023, một điểm chí mạng mà Authenticator này vẫn chưa hỗ trợ là khả năng tự động backup/ sync. Đồng nghĩa với việc khi mất hoặc hỏng máy điện thoại thì bạn sẽ gặp rắc rối khá to! 🫥 Bạn có thể backup thủ công, nhưng cũng vẫn phải lo tính an toàn về bảo mật và lưu trữ cho chỗ backup đó 🫠

Hãy chuyển sang sử dụng các Authenticator khác có tính năng tự động backup/sync! Có thể sẽ có quan điểm cho rằng mã bảo mật nếu sync lên cloud của nhà cung cấp thì có yên tâm ko. Điều này theo mình thì chúng ta cứ tìm tới Authenticator khác được cung cấp bởi hãng lớn thì ok thôi. Ngoài ra, miễn là bạn không lưu chung thông tin username, pasword cùng chỗ của nhà cung cấp Authenticator thì cũng không đáng lo ngại.

Có 2 Authenticator mình thấy uy tín và phổ biến khá là Authy của Twilio và Microsoft Authenticator.

Mình sử dụng Authy đã lâu và thấy Authy có nhiều điểm cộng nhất so với các lựa chọn khác nên sẽ giới thiệu về Authy dưới đây.

Mình biết tới hãng Twilio từ tầm 2013 khi làm dev code dịch vụ gửi SMS quốc tế từ nhà cung cấp này. Tới khi tìm kiếm giải pháp thay thế Google Authenticator thấy sản phẩm từ Twilio thì yên tâm luôn và dùng tới giờ.
Tự động sync dữ liệu về máy điện thoại mới sau khi xác thực bằng SMS về sđt + mật khẩu
Có app native trên windows, macos. (Microsoft Authenticator chưa thấy có).

Việc có lựa chọn để sẵn Authenticator trên máy tính không thì bạn cân nhắc giữa tiện lợi và bảo mật. Nếu máy cá nhân, thiết lập các bảo mật đảm bảo thì dùng Authy Desktop để copy-paste khá tiện.

Cá nhân mình không lưu mật khẩu gì trong máy tính mà sử dụng BitWarden. Cả BitWarden và Authy trên desktop đều có master password và BitWarden có chế độ tự động out sau 1 thời gian không tương tác.

Vậy, bạn có đang dùng Google Authenticator không, hãy nên lo lắng và xem xét việc chuyển sớm đi nhé 😄

Các bạn đang sử dụng những tool/ công nghệ gì khác xoay quanh việc bảo mật các tài khoản trên internet của mình không? hãy chia sẻ thêm nhé.

Update 22/4/2023

Sau gần 1 tuần bài viết này nhận được các comment tại Fanpage góp ý cũng như phản biện, mình xin ghi nhận và muốn làm rõ thêm 1 số nội dung

FIDO2/ Security token

Bài viết chưa đề cập tới các giải pháp với công nghệ xịn hơn như dùng FIDO2/ Security token. Có lẽ nên là 1 chủ đề khác vì FIDO2 vẫn chưa là một giải pháp dễ tiếp cận với đa số người dùng. Ngoài ra, kể cả cá nhân mình có đang dùng Yubikey thì mình vẫn luôn cài đặt lớp 2FA với Authenticator (Authy) trước làm lớp 2FA dự phòng. Vậy sẽ vẫn quay về chủ đề nên hay ko nên dùng Authenticator nào, chính là chủ đề của bài viết này.

Sự tiện dụng và bảo mật luôn tỉ lệ nghịch.

Đúng vậy, tuy nhiên khi các giải pháp cloud có thể đảm bảo uy tín thì chúng ta nên cân nhắc sử dụng để cuộc sống thuận tiện hơn. Giống như xu hướng chúng ta không dùng Microsoft Word/ Excel ở máy local nữa mà chuyển lên dùng Google Docs, Google Sheet vậy; bởi vì sự tiện lợi và uy tín của các sản phẩm Google Drive. Bài viết này hướng tới khuyến nghị chuyển đổi sang Authenticator khác vì điểm yếu quan trọng mà mình sẽ đề cập lại ở ý dưới đây.