Xác thực hai bước với TOTP Nó đã trở thành lá chắn thiết yếu để bảo vệ tài khoản của bạn: một mã thứ hai thay đổi định kỳ và bạn phải nhập cùng với mật khẩu. Trong bài viết này, tôi mang đến cho bạn một hướng dẫn toàn diện với các so sánh ứng dụng, mẹo cấu hình và các trường hợp sử dụng thực tế, tất cả đều được giải thích chi tiết và dễ hiểu để bạn không bị lạc lối.
Ngoài một danh sách đơn giản, ở đây bạn sẽ tìm thấy thông tin thực tế Để chọn ứng dụng TOTP tốt nhất, hãy tìm hiểu cách thiết lập ứng dụng trên các dịch vụ phổ biến (GitHub, Bitwarden, Nextcloud, v.v.), hiểu cách triển khai ứng dụng trong backend của bạn bằng Node.js và tránh những lỗi thường gặp có thể khiến bạn bị khóa tài khoản. Hãy cùng bắt đầu nào.
TOTP là gì và tại sao bạn nên kích hoạt nó ngay hôm nay
TOTP (Mật khẩu một lần dựa trên thời gian) Đây là một thuật toán tạo mật khẩu dùng một lần dựa trên thời gian. Ứng dụng của bạn và máy chủ chia sẻ một bí mật; sử dụng đồng hồ hệ thống, cả hai đều tính toán cùng một mã, thường được làm mới sau mỗi 30 giây. Vì thuật toán này hoạt động ngoại tuyến, Nó nhanh, đáng tin cậy và rất thoải máivà thêm lớp thứ hai có tác dụng ngăn chặn các cuộc tấn công ngay cả khi mật khẩu của bạn bị rò rỉ.
Trong 2FA có một số phương pháp (SMS, email, sinh trắc học, chìa khóa vật lý, thông báo đẩy...), nhưng Ứng dụng TOTP thường là lựa chọn cân bằng nhất Về quyền riêng tư, khả năng truy cập và kiểm soát. Lưu ý: SMS hữu ích như một giải pháp cứu cánh, nhưng không mạnh mẽ hoặc đáng tin cậy, đặc biệt là ở bên ngoài Hoa Kỳ.
Những mẹo quan trọng trước khi bạn bắt đầu
Đầu tiên Không xóa tài khoản 2FA khỏi ứng dụng của bạn. mà không cần phải hủy kích hoạt nó khỏi trang web của dịch vụ trước. Rất dễ bị chặn vĩnh viễn. Thứ hai, hãy tạo và lưu mã khôi phục bất cứ khi nào có sẵn. Thứ ba, hãy lập kế hoạch sao lưu: chọn các ứng dụng có sao lưu đám mây được mã hóa, xuất sang tệp được mã hóa hoặc sử dụng tính năng đồng bộ hóa tài khoản để tránh mất mã thông báo khi đổi điện thoại.
Một lưu ý thực tế: Cứ 39 giây lại có một cuộc tấn công mạng ở bất kỳ đâu trên thế giới. Kích hoạt 2FA bằng TOTP chỉ mất chưa đầy hai phút và tăng cường bảo mật. Nếu bạn cũng thêm khóa bảo mật vật lý làm phương pháp thay thế, bạn sẽ cần phải làm điều đó.
Cách chọn ứng dụng TOTP của bạn: những điều cần lưu ý và những điều cần tránh
Các ứng dụng tốt nhất kết hợp bảo mật, dễ dàng, xuất/sao lưu và khả năng tương thích đa nền tảng. Điều quan trọng là chúng có thể được bảo vệ bằng sinh trắc học hoặc mã PIN, ẩn mã trên màn hình và cung cấp bản sao lưu được mã hóa hoặc xuất dữ liệu an toàn. Nếu bạn sử dụng nhiều hệ điều hành, hãy tìm đồng bộ hóa giữa Android, iOS và máy tính để bàn.
Tránh xa những ứng dụng không có bản sao lưu hoặc xuất, các bản sao không tương thích giữa các nền tảng (nếu bạn chuyển đổi giữa iOS và Android), hoặc yêu cầu số điện thoại nếu bạn không cần. Những chi tiết nhỏ nhặt tạo nên sự khác biệt lớn trong thời điểm khủng hoảng.
So sánh đầy đủ các ứng dụng xác thực TOTP
Dưới đây bạn có một cái nhìn tổng quan với các tính năng và sắc thái liên quan nhất của các công cụ xuất hiện thường xuyên nhất trong các hướng dẫn, tài liệu và phân tích chuyên sâu tốt nhất.
Google Authenticator (Android, iOS)
Đây là tài liệu tham khảo kinh điển: miễn phí, đơn giản và không cần tài khoảnXuất tất cả token cùng lúc bằng một mã QR duy nhất để di chuyển sang điện thoại khác. Trên iOS, bạn có thể bảo mật quyền truy cập bằng Face ID/Touch ID và tìm kiếm token. Ứng dụng này không có bản sao lưu đám mây gốc và không phải lúc nào cũng ẩn mã, điều này có thể gây bất tiện khi sử dụng ở nơi công cộng. Lý tưởng nếu bạn không muốn đám mây và bạn ưu tiên sự đơn giản.
Microsoft Authenticator (Android, iOS)
Kết hợp trình quản lý mật khẩu và TOTP với Bảo vệ sinh trắc học/mã PIN, ẩn mã và sao lưu đám mây. Điểm yếu: Sao lưu iOS và Android là không tương thích với nhau, không xuất mã thông báo và chiếm nhiều dung lượng (150-200 MB). Nếu bạn đang sử dụng hệ sinh thái Microsoft, tính năng này giúp việc đăng nhập dễ dàng hơn nhiều.
Twilio Authy (Android, iOS, Windows, macOS, Linux)
Ngôi sao đa nền tảng: đồng bộ hóa hoàn hảo giữa thiết bị di động và máy tính để bàn, với sao lưu đám mây và bảo mật mã PIN/sinh trắc học. Cần tạo tài khoản bằng số điện thoại và giao diện di động sẽ hiển thị một mã thông báo tại một thời điểm, kém linh hoạt hơn khi có nhiều tài khoản. Nó không xuất/nhập mã thông báo, nhưng là một lựa chọn thay thế tốt nhất cho Google/Microsoft.
Duo Mobile (Android, iOS)
Rất phổ biến trong các công ty, giao diện sạch sẽ và đơn giản, ẩn mã và cho phép sao lưu lên Google Cloud (Android) hoặc iCloud (iOS) mà không cần tạo tài khoản mới. Ứng dụng không có tính năng bảo vệ quyền truy cập và Không hỗ trợ bản sao iOS/Android lẫn nhau. Nếu bạn không định thay đổi nền tảng, thì nó có thể phục vụ bạn một cách hoàn hảo.
FreeOTP (Android, iOS)
Dự án nguồn mở, tối giản và rất nhẹ (2-3 MB). Không có lưu trữ đám mây hoặc xuất mã thông báo; trên iOS, bạn không thể tạo mã thông báo bằng khóa thủ công (chỉ có thể tạo mã QR). Trên iOS, bạn có thể bảo vệ mã thông báo bằng Face ID/Touch ID, và mã sẽ bị ẩn theo mặc định và sau 30 giây không hoạt động. Dành cho những ai ưu tiên sự tối giản và riêng tư.
andOTP (Android)
Rất đầy đủ và mã nguồn mở: Khóa mã PIN/mật khẩu/vân tay, nhãn, tìm kiếm, tự động ẩn và khóa khi không hoạt động, "nút báo động" để xóa mọi thứ và xuất sang tệp được mã hóa (ví dụ: Google Drive). Tính năng này đã ngừng hoạt động, nhưng vẫn rất ổn định. Rủi ro: : Việc khôi phục khóa dễ dàng đòi hỏi khả năng bảo vệ truy cập rất tốt.
Trình xác thực Aegis (Android)
Giải pháp thay thế nguồn mở hiện đại, miễn phí, có mã hóa, sinh trắc học và các tùy chọn sao lưu tốt. Nó hỗ trợ nhập từ Authy/andOTP và hầu hết các định dạng 2FA. Một số tính năng mạnh mẽ yêu cầu quyền root, điều này không dành cho tất cả mọi người. Cân bằng tốt giữa bảo mật và khả năng sử dụng.
Xác thực OTP (iOS, macOS)
Mạnh mẽ đối với Apple: các thư mục để sắp xếp, xuất ra tệp, đọc mã khóa/mã QR, đồng bộ hóa iCloud và bảo vệ bằng Face ID/Touch ID hoặc mật khẩu. Tính năng này không ẩn mã và một số tính năng phải trả phí trên macOS. Dành cho iPhone/Mac, Nó là hoàn thiện nhất.
Bước hai (iOS, macOS)
Tối giản, với đồng bộ iCloud và hỗ trợ Apple Watch. Không có bảo vệ truy cập, không ẩn mã, không xuất/nhập mã thông báo, và phiên bản miễn phí giới hạn bạn tối đa mười mã thông báo. Trên macOS, tính năng này yêu cầu quyền chụp ảnh màn hình để đọc mã QR. Hoàn hảo nếu bạn muốn thứ gì đó rất đơn giản trong hệ sinh thái Apple.
WinAuth (Windows)
Hướng đến game thủ: hỗ trợ mã thông báo không chuẩn Steam, Battle.net hoặc Trion/Gamigo, ngoài TOTP tiêu chuẩn. Nó cho phép bạn mã hóa dữ liệu, xuất dữ liệu dưới dạng văn bản thuần túy hoặc tệp được mã hóa, bảo vệ bằng mật khẩu hoặc YubiKey và tự động ẩn mã. Nó chỉ tồn tại cho Windows và theo nguyên tắc, Không khuyến khích sử dụng 2FA trên PCnhưng đối với trò chơi thì đây là một viên ngọc quý.
Ứng dụng Authenticator (hệ sinh thái Apple)
Kiểm tra với các ứng dụng dành cho iPhone, iPad, Mac và Apple Watch, và tiện ích mở rộng cho hầu hết các trình duyệt (Safari, Chrome, Brave, Tor, Vivaldi…). Phiên bản miễn phí của nó rất hạn chế; phiên bản trả phí bổ sung tính năng sao lưu và đồng bộ hóa. Nó bao gồm mã hóa, chia sẻ với gia đình và khóa bằng Face ID. Nếu bạn sống ở Apple, đây là một lựa chọn đáng cân nhắc.
2FAS (Xác thực 2FA)
Đơn giản, miễn phí và có mã hóa E2E, hoạt động ngoại tuyến và cho phép bạn liên kết mã thông báo bằng khóa hoặc mã QR và đồng bộ hóa chúng với Google Drive. Sao lưu để bạn không bị mất mã thông báo, tiện ích mở rộng trình duyệt, mã PIN/sinh trắc học và không có quảng cáo. Ít tùy chọn nâng cao. nhưng rất đáng tin cậy Cho ngày này sang ngày khác.
1Password (có TOTP tích hợp)
Trình quản lý mật khẩu trả phí bao gồm 2FA TOTP Tích hợp. Điểm cộng lớn là tính năng tự động điền mã trên các trang web được hỗ trợ và quản lý thông tin đăng nhập thống nhất. Đây không phải là ứng dụng 2FA thuần túy, nhưng nếu bạn đã sử dụng 1Password, nó đơn giản hóa cuộc sống của bạn trên thiết bị di động, máy tính để bàn và trình duyệt.
Bitwarden (có TOTP tích hợp)
Mã nguồn mở và miễn phí cho người dùng đơn lẻ; phiên bản trả phí bổ sung TOTP tự động hoàn thành trên các trang web và ứng dụng. Nó tạo mã sáu chữ số (SHA-1, 30 giây) theo mặc định và cho phép bạn tùy chỉnh các tham số bằng cách chỉnh sửa URI TOTP. Tiện ích mở rộng trình duyệt sẽ sao chép TOTP vào bảng tạm sau khi tự động hoàn thành nếu bạn bật tùy chọn này. Rất tròn để tập trung mật khẩu và 2FA.
Trình xác thực TOTP (BinaryBoot)
Giao diện sạch sẽ và hỗ trợ rộng rãi cho các dịch vụ 2FA. Nó cung cấp Đồng bộ đám mây cao cấp với Google Drive (bạn kiểm soát dữ liệu), tiện ích mở rộng trình duyệt (cao cấp), chủ đề tối, thẻ và tìm kiếm, hỗ trợ đa nền tảng (Android/iOS), sử dụng nhiều thiết bị (sao lưu được mã hóa), nhiều tiện ích, tùy chỉnh biểu tượng và bảo mật sinh trắc học với tùy chọn chặn ảnh chụp màn hình. Phiên bản miễn phí có phần hạn chế.
Protectimus Smart OTP
Có sẵn trên Android và iOS, tương thích với đồng hồ Android, hỗ trợ nhiều giao thức và cho phép bạn bảo vệ ứng dụng bằng mã PIN. Ít được biết đến hơn, nhưng rất đầy đủ nếu bạn đang tìm kiếm nhiều tiêu chuẩn và sử dụng trong thiết bị đeo.
Hướng dẫn thực hiện: Cách kích hoạt TOTP trên các dịch vụ phổ biến
Chúng ta hãy đi theo hướng dẫn cụ thể, được chắt lọc từ tài liệu chính thức để bạn có thể thiết lập TOTP mà không bị lạc đường.
Cấu hình TOTP trên GitHub (ứng dụng TOTP hoặc SMS, với các phương pháp bổ sung)
GitHub khuyên bạn nên sử dụng Ứng dụng TOTP dựa trên đám mây và khóa bảo mật như một phương án dự phòng thay vì SMS. Sau khi kích hoạt 2FA, tài khoản của bạn sẽ bước vào thời gian xác minh 28 ngày: nếu bạn không vượt qua được quy trình xác thực, bạn sẽ được nhắc xác thực 2FA vào ngày thứ 28 và có thể cấu hình lại nếu có sự cố xảy ra.
- TOTP từng bước: Cài đặt người dùng → Mật khẩu và xác thực → Bật 2FA → Quét mã QR bằng ứng dụng TOTP hoặc sử dụng khóa thiết lập thủ công (Nhập TOTP, Nhãn GitHub: , GitHub Issuer, SHA1, 6 chữ số, 30 giây). Xác minh bằng mã hiện tại và tải xuống mã khôi phục.
- SMS như một giải pháp thay thế: Nhập số điện thoại của bạn sau khi vượt qua CAPTCHA, nhập mã nhận được qua SMS và lưu mã khôi phục. Chỉ sử dụng tùy chọn này nếu bạn không thể sử dụng TOTP.
- Chìa khóa thông hànhNếu bạn đã có 2FA qua ứng dụng TOTP hoặc SMS, hãy thêm mật khẩu để đăng nhập mà không cần mật khẩu nhưng vẫn đáp ứng yêu cầu 2FA.
- Khóa bảo mật (WebAuthn)Sau khi kích hoạt 2FA, hãy đăng ký một khóa tương thích. Khóa này được tính là yếu tố thứ hai và yêu cầu bạn nhập mật khẩu; nếu bạn làm mất mật khẩu, bạn có thể sử dụng SMS hoặc ứng dụng TOTP.
- GitHub di động: Sau khi có TOTP hoặc SMS, bạn có thể sử dụng ứng dụng di động với thông báo đẩy; không dựa vào TOTP và sử dụng mã hóa khóa công khai.
Nếu ứng dụng TOTP không phù hợp với bạn, đăng ký SMS làm phương án B và sau đó thêm khóa bảo mật để nâng cao tiêu chuẩn bảo mật mà không làm mọi thứ trở nên phức tạp.
Bitwarden Authenticator: Tạo, Tự động điền và Thủ thuật
Bitwarden tạo TOTP gồm 6 chữ số với SHA-1 và vòng quay 30 giâyBạn có thể quét mã QR từ tiện ích mở rộng của trình duyệt (biểu tượng camera) hoặc nhập mã thủ công trên iOS/Android. Sau khi cấu hình, bạn sẽ thấy biểu tượng TOTP xoay tròn bên trong sản phẩm và có thể sao chép nó như mật khẩu.
Tự động hoàn thànhTiện ích mở rộng của trình duyệt sẽ tự động điền TOTP hoặc sao chép vào bảng tạm sau khi tự động điền nếu bạn bật "Tự động điền khi tải trang". Trên thiết bị di động, mã sẽ được sao chép vào bảng tạm sau khi tự động điền thông tin đăng nhập.
Nếu mã của bạn không hoạt động, đồng bộ hóa đồng hồ thiết bị (Bật/tắt thời gian tự động trên Android/iOS; trên macOS, cũng làm tương tự đối với ngày/giờ và múi giờ.) Nếu một dịch vụ yêu cầu các tham số khác nhau, hãy chỉnh sửa URI otpauth thủ công trong mục để điều chỉnh chữ số, chu kỳ hoặc thuật toán.
Trên iOS 16+, bạn có thể đặt Bitwarden làm xác minh ứng dụng mặc định Khi quét mã từ camera: Cài đặt → Mật khẩu → Tùy chọn mật khẩu → Thiết lập mã xác minh bằng → Bitwarden. Khi quét, hãy nhấn "Mở trong Bitwarden" để lưu.
Đối với tài khoản Microsoft Azure/Office 365: Trong quá trình thiết lập 2FA, hãy chọn “một ứng dụng xác thực khác” thay vì Microsoft Authenticator và quét mã QR bằng Bitwarden. Đối với Steam, hãy sử dụng URI có tiền tố. steam:// theo sau là khóa bí mật của bạn; các mã sẽ là 5 ký tự chữ và số.
Nextcloud: TOTP và Mã sao lưu
Nếu phiên bản của bạn cho phép 2FA, trong tùy chọn cá nhân của bạn, bạn sẽ thấy mã bí mật và mã QR để quét bằng ứng dụng TOTP của bạn. Tạo và lưu mã dự phòng ở một nơi an toàn (không phải trên điện thoại), vì chúng sẽ giúp bạn thoát khỏi rắc rối nếu bạn mất yếu tố thứ hai.
Khi đăng nhập, hãy nhập mật khẩu TOTP vào trình duyệt hoặc chọn một bước thứ hai khác nếu bạn đã thiết lập. Nếu bạn sử dụng WebAuthn, không sử dụng lại cùng một mã thông báo đối với 2FA và đăng nhập không cần mật khẩu, vì nó sẽ không còn là yếu tố "kép" nữa.
Nghiên cứu điển hình của doanh nghiệp: Cổng thông tin thuốc đặc trị (AEMPS)
Ví dụ về luồng điển hình: cài đặt ứng dụng TOTP (Microsoft/Google Authenticator, FreeOTP, Authy…) và từ trình duyệt yêu cầu "Đặt lại mã xác minh" trên trang thông tin đăng nhập. Bạn sẽ nhận được email có liên kết hiển thị mã QR.
Quét mã QR bằng ứng dụng của bạn, bạn sẽ thấy mã đầu tiên của bạn và quay lại trình duyệt để nhập mã này vào trang đặt lại. Từ đó, đăng nhập bằng cách chọn phương thức "Mã xác minh": tên người dùng, mật khẩu và mã TOTP hiện tại hiển thị trên điện thoại của bạn.
Chìa khóa cứng: YubiKey như một phụ kiện sang trọng
Để đảm bảo an ninh tối đa, YubiKey của Yubico Đây là tiêu chuẩn vàng: Khóa vật lý đạt chuẩn IP68, không dùng pin, bền bỉ và tương thích với FIDO2, U2F, OTP, Thẻ thông minh, v.v. Chúng hoạt động hoàn hảo với Google, Facebook và nhiều dịch vụ khác. Nếu một dịch vụ không hỗ trợ phần cứng, bạn có thể sử dụng ứng dụng xác thực của họ sao lưu. Thậm chí còn có các mô hình được chứng nhận FIPS cho các môi trường yêu cầu điều này.
Lý tưởng: Ứng dụng TOTP + YubiKeyBạn sẽ luôn có một yếu tố thứ hai khả dụng và một yếu tố bảo mật cao khác khi bạn muốn tối đa hóa khả năng bảo vệ của mình.
Triển khai TOTP ở phần phụ trợ của bạn (Node.js với otplib)
Nếu bạn phát triển ứng dụng của riêng mình, TOTP rất dễ tích hợp với otplib và một chút Express.js. Quy trình làm việc gồm hai giai đoạn: liên kết bí mật TOTP với người dùng và xác thực mã khi đăng nhập.
- Hội: Tạo một bí mật trên máy chủ, tạo URI OTP và hiển thị dưới dạng mã QR (sử dụng các thư viện như QRcode). Người dùng quét mã này bằng ứng dụng và gửi cho bạn một TOTP. xác thực và lưu liên kết.
- xác minh: tại mỗi lần đăng nhập sau khi nhập đúng mật khẩu, yêu cầu TOTP và kiểm tra tính hợp lệ của nó với bí mật đã lưu. Nếu hợp lệ, bạn hoàn tất đăng nhập.
Như bạn có thể thấy, đây là một mô hình rất rõ ràng: bạn đồng bộ hóa một bí mậtBạn xác thực mã đầu tiên và sau đó so sánh mã TOTP luân phiên với mỗi lần đăng nhập. Đơn giản, mạnh mẽ và tương thích với hầu hết các ứng dụng xác thực.
Những mẹo và cách làm hay sẽ giúp bạn tránh được rắc rối
Hãy nghĩ về “kế hoạch B” của bạn: mã phục hồi và các phương pháp thay thế (khóa bảo mật, SMS, ứng dụng di động đẩy) và nếu bạn dựa vào đồng bộ hóa đám mây, hãy kiểm tra xem có sự không tương thích giữa iOS và Android (Trường hợp Microsoft và Duo) để bạn không gặp bất ngờ khi đổi điện thoại.
Khi nào nên sử dụng trình quản lý mật khẩu có TOTP tích hợp
Nếu bạn đã sử dụng Bitwarden hoặc 1Password, kích hoạt mô-đun TOTP Hợp nhất mật khẩu và xác thực hai yếu tố, với tính năng tự động điền trong cùng một công cụ. Ưu điểm: tốc độ nhanh và ít gây cản trở. Nhược điểm: bạn tập trung nhiều yếu tố nhạy cảm hơn vào một nơi, do đó bảo vệ nó bằng 2FA mạnh mẽ và kiểm tra các tùy chọn xuất/sao lưu an toàn.
Tóm tắt các ứng dụng nổi bật và khả năng tương thích
Android: Google Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, Aegis và OTP, 2FAS, Protectimus, TOTP Authenticator, WinAuth (không dành cho thiết bị di động). Trong iOS: Google Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, OTP Auth, Step Two, Ứng dụng Authenticator, TOTP Authenticator. Bàn làm việc: Authy (Win/macOS/Linux), OTP Auth (macOS), Bước hai (macOS), WinAuth (Windows).
đến mã thông báo trò chơi điện tử đặc biệt, WinAuth tỏa sáng với Steam và Battle.net; Bitwarden có thể xử lý Steam với steam://Tại Apple, xác thực tích hợp trên iOS 15 trở lên và Safari 15 trở lên thì tính năng này hữu ích, nhưng tính năng tự động hoàn thành không phải lúc nào cũng chính xác và không nhanh nhạy như ứng dụng chuyên dụng.
Danh sách kiểm tra nhanh để chọn ứng dụng TOTP của bạn
- Bạn có cần đa nền tảng thực sự (di động + máy tính để bàn)? Authy là lựa chọn an toàn.
- Chủ nghĩa tối giản và không có mây? Google Authenticator hoặc FreeOTP là một cơ sở tốt.
- Mã nguồn mở với khả năng kiểm soát tốt? Aegis (Android) hoặc OTP Auth (iOS) nổi bật.
- Trình quản lý tất cả trong một + TOTP? Bitwarden hoặc 1Password làm cho nó đơn giản hơn nhiều.
- Thế giới game? WinAuth hỗ trợ các mã thông báo không chuẩn.
Dù lựa chọn của bạn là gì, tạo bản sao lưu và lưu mã phục hồi. Đây là cứu cánh khi mọi thứ trở nên tồi tệ nhất.
Kích hoạt TOTP mang lại cho bạn bước tiến lớn về bảo mật với chi phí thời gian tối thiểu và với các ứng dụng đã xem, bạn có thể chọn ứng dụng phù hợp nhất với mình: từ các giải pháp đơn giản, không cần đám mây đến các hệ sinh thái được đồng bộ hóa trên mọi thiết bị, bao gồm trình quản lý tự động hoàn thành mã cho bạn hoặc khóa vật lý để khép vòng lặp. các tình huống bảo mật caoVới một vài quyết định đúng đắn và một kế hoạch dự phòng, Tài khoản của bạn chuyển từ trạng thái "tùy thuộc" sang trạng thái "không sợ hãi".
