Xác thực hai lớp (2FA) là gì?

Xác thực hai lớp (2FA) là lớp bảo mật bổ sung yêu cầu hai hình thức nhận dạng trước khi truy cập tài khoản. Thường kết hợp thứ bạn biết (mật khẩu) với thứ bạn có (mã TOTP từ ứng dụng xác thực).

2FA Pro hoạt động như thế nào?

2FA Pro tạo mã TOTP theo chuẩn RFC 6238. Nhập khóa bí mật, công cụ sẽ tính toán mã 6 số thay đổi mỗi 30 giây. Mã được xử lý cục bộ và không lưu trên máy chủ.

2FA Pro có tương thích Google Authenticator không?

Có, 2FA Pro tương thích hoàn toàn với Google Authenticator và các ứng dụng như Microsoft Authenticator, Authy, LastPass Authenticator. Chúng tôi sử dụng cùng chuẩn TOTP.

Dùng 2FA Pro có an toàn không?

2FA Pro xử lý dữ liệu cục bộ trên trình duyệt - khóa bí mật không bao giờ được gửi đi hoặc lưu trữ. Chúng tôi tuân thủ chuẩn bảo mật và công cụ mã nguồn mở để bạn kiểm chứng.

Công Cụ Tạo Mã Xác Thực Hai Lớp (2FA) Trực Tuyến

Cách tạo mã 2FA trong 3 bước đơn giản

1

Sao chép Secret Key của bạn

Khi kích hoạt xác thực hai yếu tố trên Google, Facebook, GitHub hoặc bất kỳ dịch vụ nào khác, hãy sao chép Base32 secret key được hiển thị bên cạnh QR code.
2

Dán và tạo

Dán secret key vào ô generator 2FA ở trên và nhấp Generate Code. Mã TOTP 6 chữ số mới được tính toán ngay lập tức trong trình duyệt của bạn.
3

Dùng mã 2FA để đăng nhập

Nhập mã xác minh 6 chữ số vào form đăng nhập trước khi bộ đếm thời gian 30 giây kết thúc. Mã tự động được làm mới cho mỗi lần đăng nhập mới.

Các dịch vụ và nền tảng tương thích với 2FA

Generator mã 2FA của chúng tôi hoàn toàn tương thích với bất kỳ dịch vụ nào tuân theo tiêu chuẩn TOTP RFC 6238. Dưới đây là các nền tảng phổ biến nhất mà bạn có thể sử dụng authenticator này:

Google / Gmail

Facebook / Meta

Instagram

X (Twitter)

Microsoft / Outlook

GitHub

GitLab

Bitbucket

Dropbox

Amazon / AWS

PayPal

Coinbase

Binance

Kraken

Discord

Slack

Steam

Epic Games

Fortnite

Roblox

Twitch

WordPress

Cloudflare

DigitalOcean

LastPass

1Password

Bitwarden

Apple ID

Snapchat

TikTok

Tại sao nên dùng Generator 2FA TOTP này

100% riêng tư và cục bộ

Toàn bộ việc tạo mã TOTP diễn ra trực tiếp trong trình duyệt của bạn. Secret key 2FA của bạn không bao giờ được gửi đến bất kỳ máy chủ nào, giữ dữ liệu authenticator hoàn toàn riêng tư.

Mã 6 chữ số tức thì

Tạo mã dùng một lần dựa trên thời gian ngay lập tức với làm mới tự động 30 giây. Hoạt động như giải pháp thay thế đầy đủ cho Google Authenticator, Authy và Microsoft Authenticator.

Trình quét QR code tích hợp

Quét bất kỳ QR code 2FA nào bằng camera hoặc tải ảnh lên. Công cụ tự động đọc otpauth URI, vì vậy bạn không cần gõ Base32 secret key thủ công.

Hỗ trợ TOTP và HOTP

Chuyển đổi giữa thuật toán dựa trên thời gian (TOTP / RFC 6238) và dựa trên bộ đếm (HOTP / RFC 4226). Hỗ trợ hash HMAC-SHA1, HMAC-SHA256 và HMAC-SHA512.

Câu hỏi thường gặp về 2FA

2FA (xác thực hai yếu tố) là gì?

2FA, hay xác thực hai yếu tố, là một phương pháp bảo mật yêu cầu hai bước xác minh khác nhau để truy cập tài khoản: thứ bạn biết (mật khẩu) và thứ bạn có (mã 2FA từ ứng dụng authenticator). Ngay cả khi hacker đánh cắp mật khẩu của bạn, họ không thể đăng nhập mà không có mã 2FA dựa trên thời gian.

Generator 2FA này có tương thích với Google Authenticator không?

Có. Generator 2FA online của chúng tôi sử dụng chính xác cùng thuật toán TOTP RFC 6238 như Google Authenticator, Microsoft Authenticator, Authy và 1Password. Mã 6 chữ số được tạo ở đây sẽ khớp với mã từ các ứng dụng đó cho cùng một secret key.

Tại sao mã 2FA của tôi thay đổi mỗi 30 giây?

Mã TOTP là mật khẩu dùng một lần dựa trên thời gian, được bắt nguồn từ dấu thời gian Unix hiện tại và secret key của bạn, xoay vòng theo khoảng thời gian cố định (thường là 30 giây). Thời gian sống ngắn này ngăn chặn các cuộc tấn công replay và giữ cho xác thực hai yếu tố an toàn.

Nhập secret key 2FA trên website này có an toàn không?

Có. Toàn bộ việc tạo mã 2FA diễn ra cục bộ trong trình duyệt của bạn bằng Web Crypto API. Secret key không bao giờ rời khỏi thiết bị của bạn và không bao giờ được gửi đến bất kỳ máy chủ nào. Để an toàn tối đa, hãy xem secret key như mật khẩu và không chia sẻ.

Sự khác biệt giữa TOTP và HOTP là gì?

TOTP (Time-based One-Time Password, RFC 6238) tạo ra mã dựa trên thời gian hiện tại, đó là lý do mã thay đổi mỗi 30 giây. HOTP (HMAC-based One-Time Password, RFC 4226) sử dụng bộ đếm tăng dần. Cả hai đều là các loại mã 2FA; TOTP phổ biến hơn nhiều hiện nay.

Tôi có thể dùng cái này làm ứng dụng authenticator chính không?

Có. Bạn có thể lưu trữ nhiều tài khoản 2FA trong tab My Accounts với lưu trữ cục bộ được mã hóa, xuất backup được mã hóa và khôi phục trên các thiết bị khác. Công cụ hoạt động như progressive web app (PWA), vì vậy có thể được cài đặt như authenticator gốc.

Phải làm gì nếu mã 2FA của tôi bị website từ chối?

Mã 2FA sai thường có nghĩa là đồng hồ thiết bị của bạn không đồng bộ, hoặc secret key được sao chép sai. Đảm bảo Base32 secret không có khoảng trắng thừa, thời gian hệ thống được đặt tự động, và thử mã tiếp theo sau khi làm mới 30 giây.

Công cụ 2FA này có hoạt động offline không?

Có. Sau lần truy cập đầu tiên, authenticator được cache bởi service worker, vì vậy bạn có thể tạo mã TOTP mà không cần kết nối internet. Hoàn hảo cho việc đi du lịch hoặc khi ứng dụng authenticator chính không khả dụng.

Tại sao xác thực hai yếu tố lại quan trọng

Mật khẩu một mình không còn đủ nữa. Hàng tỷ thông tin đăng nhập bị rò rỉ trong các vụ rò rỉ dữ liệu mỗi năm, và các bộ phishing tinh vi có thể đánh bại cả mật khẩu phức tạp. Xác thực hai yếu tố, còn được gọi là 2FA, multi-factor authentication (MFA) hay xác minh hai bước, thêm một lớp thứ hai mà kẻ tấn công từ xa không thể dễ dàng vượt qua.

TOTP authenticator như cái này là phương pháp 2FA được hỗ trợ rộng rãi nhất, hoạt động trên Google, Microsoft, Apple ID, GitHub, Facebook, Instagram, Snapchat, TikTok, Steam, Epic Games, Fortnite, Discord và gần như mọi dịch vụ online lớn. Với mã 2FA 6 chữ số mới xoay vòng mỗi 30 giây, mật khẩu bị rò rỉ trở nên vô dụng một mình.

Bật 2FA ở mọi nơi có thể - email, mạng xã hội, sàn crypto, lưu trữ đám mây, ngân hàng và tài khoản gaming. Kết hợp với trình quản lý mật khẩu mạnh và mật khẩu duy nhất cho mỗi trang, cấu hình xác thực hai yếu tố đúng cách là một trong những nâng cấp lớn nhất bạn có thể thực hiện cho an ninh online.

So sánh các loại phương pháp 2FA: SMS, TOTP, Hardware Key, sinh trắc học

Có nhiều loại xác thực hai yếu tố khả dụng ngày nay, mỗi loại có mức độ bảo mật và tiện lợi khác nhau. Hiểu các lựa chọn này giúp bạn chọn phương pháp 2FA phù hợp cho mỗi tài khoản, từ đăng nhập gaming thông thường đến tài khoản ngân hàng và crypto giá trị cao. Dưới đây chúng tôi so sánh mỗi hình thức 2FA chính mà bạn sẽ gặp trong 2026, với ưu, nhược điểm và khuyến nghị chân thành của chúng tôi.

Phương pháp 2FA	Bảo Mật	Tiện lợi	Phù hợp cho
SMS 2FA	Low	High	Fallback only; vulnerable to SIM swap
TOTP Authenticator App	High	High	Daily 2FA for all accounts
Push Notifications	Medium	Very High	Work accounts with managed devices
Hardware Security Key	Very High	Medium	Email, password manager, crypto
Biometric / Passkey	Very High	Very High	Modern passwordless sign-in
Backup Codes	Medium	One-time	Recovery when authenticator is lost

SMS-based 2FA là hình thức xác thực hai yếu tố phổ biến nhất vì nó hoạt động với bất kỳ điện thoại di động nào. Sau khi nhập mật khẩu, tin nhắn văn bản với mã xác minh 6 chữ số được gửi đến số của bạn. Mặc dù tiện lợi, SMS 2FA dễ bị tấn công SIM swapping, tội phạm lừa nhà mạng để chuyển số của bạn sang thiết bị của họ. NIST đã ngừng khuyến nghị SMS như phương pháp 2FA an toàn cho các tài khoản giá trị cao, và các ngân hàng lớn ngày càng khuyên chuyển sang ứng dụng TOTP authenticator.

Authenticator apps (TOTP) như Google Authenticator, Microsoft Authenticator, Authy và 1Password tạo mật khẩu dùng một lần dựa trên thời gian trực tiếp trên thiết bị mà không cần kết nối mạng. Điều này làm cho TOTP 2FA nhanh hơn, an toàn hơn và miễn nhiễm với các cuộc tấn công SIM swap. Mã xoay vòng mỗi 30 giây dựa trên tiêu chuẩn RFC 6238, và cùng một secret key hoạt động trên tất cả các authenticator tương thích, bao gồm cả generator dựa trên trình duyệt này.

Hardware security keys như YubiKey, Google Titan, SoloKeys và Feitian sử dụng tiêu chuẩn FIDO2 / WebAuthn để chứng minh quyền sở hữu vật lý qua thiết bị USB, NFC hoặc Bluetooth. Hardware key là tiêu chuẩn vàng của bảo mật 2FA vì chúng kháng phishing, các trang đăng nhập giả không thể thu thập chữ ký mật mã, không giống mã TOTP. Dùng hardware key cho các tài khoản quan trọng nhất: email chính, trình quản lý mật khẩu, sàn crypto và danh tính công việc.

Push notification 2FA các ứng dụng như Duo Mobile, push prompt Microsoft Authenticator và Okta Verify gửi một cú nhấn xác nhận đến điện thoại của bạn. Tiện lợi hơn việc gõ mã 2FA 6 chữ số nhưng cần hỗ trợ từ dịch vụ và dễ bị tấn công MFA fatigue, khi tội phạm spam yêu cầu chấp thuận hy vọng bạn nhấn Approve do không chú ý.

Biometric 2FA and passkeys sử dụng nhận diện vân tay hoặc khuôn mặt, thường kết hợp với passkey gắn với thiết bị. Apple Face ID, Windows Hello và máy quét vân tay Android ngày càng được sử dụng làm yếu tố thứ hai cho các thiết bị đã đăng nhập. Passkey dựa trên FIDO2 / WebAuthn đang dần thay thế mật khẩu và TOTP 2FA trên Google, Apple, Microsoft, GitHub và danh sách dịch vụ ngày càng tăng, đây là tương lai của xác thực.

Khuyến nghị của chúng tôi: sử dụng ứng dụng TOTP authenticator làm phương pháp 2FA chính, được hỗ trợ bởi hardware security key cho các tài khoản quan trọng nhất (email chính, trình quản lý mật khẩu, crypto, danh tính công việc). Tránh SMS 2FA khi có thể và luôn lưu backup codes offline ở nơi an toàn.

Cách bật 2FA trên các dịch vụ phổ biến (từng bước)

Thiết lập xác thực hai yếu tố hơi khác nhau giữa các nền tảng, nhưng luồng cơ bản giống nhau ở tất cả các dịch vụ lớn. Dưới đây là hướng dẫn nhanh từng bước để bật 2FA trên các nền tảng phổ biến nhất, tất cả đều hoạt động mượt mà với generator TOTP này.

Bật 2FA trên Google / Gmail

Truy cập myaccount.google.com rồi Security, 2-Step Verification, Get Started. Đăng nhập bằng mật khẩu, chọn Authenticator app. Google hiển thị QR code, quét nó bằng generator TOTP của chúng tôi hoặc dán Base32 secret key. Google cũng hỗ trợ thông báo Google Prompt và hardware security key như các phương pháp 2FA bổ sung cho tài khoản Gmail và Google.

Bật 2FA trên Facebook / Meta

Nhấp vào ảnh đại diện Facebook, mở Settings and Privacy, Settings, Accounts Center, Password and security, Two-factor authentication. Chọn Authentication app và quét QR code hoặc sao chép secret key vào generator mã 2FA của chúng tôi. Facebook cho phép SMS làm backup, nhưng 2FA ứng dụng authenticator được khuyên mạnh để có bảo mật tốt hơn.

Bật 2FA trên Discord

Mở Discord, User Settings (biểu tượng bánh răng), My Account, Enable Two-Factor Auth. Nhập mật khẩu, sau đó dùng QR code được hiển thị hoặc Base32 key thủ công với generator mã 2FA của chúng tôi. Luôn lưu backup codes Discord ngay lập tức, nếu bạn mất quyền truy cập authenticator, Discord cần các mã đó để khôi phục tài khoản.

Bật 2FA trên GitHub

Đi tới Settings, Password and authentication, Two-factor authentication, Enable. Chọn Set up using an app để tạo mã TOTP bằng công cụ 2FA của chúng tôi hoặc bất kỳ authenticator RFC 6238 nào. GitHub cũng hỗ trợ FIDO2 security key làm yếu tố bổ sung, và bắt buộc 2FA cho tất cả contributor trong các kho lưu trữ nhạy cảm.

Bật 2FA trên Microsoft / Outlook

Truy cập account.microsoft.com, Security, Advanced security options, Two-step verification, Turn on. Microsoft thích ứng dụng Microsoft Authenticator riêng của họ nhưng bất kỳ generator TOTP RFC 6238 nào, bao gồm cả của chúng tôi, hoạt động giống hệt. Cùng một thiết lập 2FA bao phủ Outlook, Xbox, Microsoft 365, Teams, OneDrive và tất cả các dịch vụ Microsoft khác.

Bật 2FA trên Fortnite / Epic Games

Truy cập epicgames.com rồi account, password-and-security, Two-factor authentication, Enable Authenticator App. Quét QR code bằng generator 2FA của chúng tôi. Bật 2FA trên Fortnite cũng mang lại cho bạn phần thưởng emote Boogiedown và cải thiện bảo mật tài khoản Rocket League và Epic Games Store của bạn.

Bật 2FA trên Binance / Coinbase / Kraken

Mỗi sàn crypto lớn, Binance, Coinbase, Kraken, Gemini, KuCoin, Bitstamp, yêu cầu 2FA cho việc rút tiền. Kích hoạt tương thích Google Authenticator trong tab bảo mật của mỗi sàn và lưu secret key trong trình quản lý mật khẩu. Mất quyền truy cập 2FA vào tài khoản crypto không có backup codes có thể khóa bạn vĩnh viễn khỏi tiền của mình.

Bật 2FA trên Instagram / TikTok / Snapchat

Instagram, TikTok và Snapchat đều hỗ trợ 2FA ứng dụng authenticator thông qua menu Settings, Security. Mỗi ứng dụng tạo ra QR code tương thích với bất kỳ công cụ TOTP RFC 6238 nào. Xét đến tần suất tài khoản xã hội bị nhắm mục tiêu để đánh cắp tài khoản và bán lại, bật xác thực hai yếu tố trên mỗi tài khoản mạng xã hội là bắt buộc trong 2026.

Sau khi bật 2FA trên bất kỳ dịch vụ nào, hãy kiểm tra nó ngay lập tức bằng cách đăng xuất và đăng nhập lại, trước khi bạn thực sự cần nó. Điều này đảm bảo mã authenticator hoạt động chính xác và bạn đã lưu recovery backup codes một cách an toàn.

Các thực hành tốt nhất về bảo mật 2FA mà mọi người dùng nên tuân theo

Bật xác thực hai yếu tố chỉ là một nửa công việc. Theo các thực hành tốt nhất này sẽ giữ cho thiết lập 2FA của bạn an toàn khỏi các mối đe dọa hiện đại nhắm vào ứng dụng authenticator, mã SMS và luồng khôi phục. Áp dụng dù chỉ một nửa các thực hành dưới đây sẽ đưa bạn vượt 95 phần trăm người dùng về vệ sinh 2FA.

Luôn lưu backup codes của bạn. Mỗi dịch vụ hỗ trợ 2FA tạo ra 8-10 recovery code dùng một lần khi bạn bật authenticator. In chúng ra, lưu trong trình quản lý mật khẩu hoặc trong ghi chú được mã hóa. Không có backup codes, mất điện thoại có thể có nghĩa là mất tài khoản vĩnh viễn, không dịch vụ khách hàng nào có thể khôi phục tài khoản 2FA đã được củng cố mà không có bằng chứng danh tính.
Sử dụng nhiều thiết bị authenticator. Xuất backup 2FA từ công cụ này và nhập trên thiết bị thứ hai, hoặc dùng Authy / 1Password đồng bộ TOTP secret giữa các thiết bị một cách tự nhiên. Google Authenticator giờ có tính năng xuất QR chính thức. Có thiết bị thứ hai có nghĩa là điện thoại mất hoặc hỏng không cắt bạn khỏi mọi tài khoản 2FA vào thời điểm tệ nhất.
Cảnh giác với tấn công MFA fatigue. Kẻ tấn công biết mật khẩu của bạn có thể spam yêu cầu 2FA push notification hy vọng bạn nhấn Approve theo thói quen hoặc bực bội. Điều này đã được dùng trong các vụ rò rỉ nổi tiếng tại Uber và những nơi khác. Luôn kiểm tra ứng dụng nào đang yêu cầu xác nhận và từ chối các prompt không mong đợi, đăng nhập hợp pháp hiếm khi kích hoạt yêu cầu 2FA vô cớ vào giữa đêm.
Bảo vệ khỏi SIM swapping. Ngay cả khi bạn tránh SMS 2FA, số điện thoại của bạn thường được liên kết với luồng khôi phục tài khoản. Yêu cầu nhà mạng thêm PIN hoặc bảo vệ port-out vào tài khoản của bạn để tội phạm không thể chuyển SIM sang thiết bị của họ. Thay đổi này một mình chặn hầu hết các cuộc tấn công SIM swap và miễn phí ở tất cả các nhà mạng lớn.
Kết hợp 2FA với trình quản lý mật khẩu. Mật khẩu mạnh và duy nhất cho mỗi trang cộng TOTP 2FA cộng hardware security key cho các tài khoản quan trọng là tiêu chuẩn vàng của bảo mật tài khoản trong 2026. 1Password, Bitwarden, LastPass và KeePass có thể lưu trữ TOTP secret bên cạnh mật khẩu, một số thậm chí tự động điền cả hai trường cùng lúc cho trải nghiệm đăng nhập liền mạch.
Không bao giờ chia sẻ mã 2FA, kể cả với bộ phận hỗ trợ. Không có công ty hợp pháp, ngân hàng hoặc nền tảng online nào sẽ bao giờ yêu cầu bạn đọc to mã 2FA 6 chữ số, gõ vào chat hoặc gửi qua email. Nếu có ai yêu cầu, dù giả làm hỗ trợ kỹ thuật, ngân hàng của bạn hay người giao hàng, đó là lừa đảo. Cúp máy và liên hệ công ty qua số chính thức hoặc trang web của họ trực tiếp.
Kiểm tra thiết lập 2FA hàng năm. Giữ danh sách mọi tài khoản nơi bạn đã bật xác thực hai yếu tố. Gỡ 2FA khỏi các tài khoản không sử dụng, bật trên các tài khoản mới được tạo và xác minh backup codes vẫn hoạt động. Kiểm tra 2FA hàng năm phát hiện địa chỉ email khôi phục lỗi thời, số điện thoại cũ và seed authenticator bị quên.
Nâng cấp lên passkey khi có sẵn. Passkey FIDO2 / WebAuthn đang dần thay thế mật khẩu và TOTP 2FA trên Google, Apple, Microsoft, GitHub, PayPal và hàng trăm dịch vụ khác. Passkey kháng phishing theo thiết kế và gắn với secure enclave của thiết bị, khi một trang web cung cấp passkey, kích hoạt chúng thay vì chỉ dựa vào mã 2FA.

Khắc phục các vấn đề 2FA phổ biến

Ngay cả thiết lập xác thực hai yếu tố được cấu hình tốt cũng có thể gặp vấn đề. Dưới đây là các vấn đề 2FA phổ biến nhất mà người dùng gặp phải và cách khắc phục thực tế giải quyết hầu hết mà không cần liên hệ hỗ trợ.

\"Invalid 2FA code\" hoặc \"Mã xác minh sai\"

Nguyên nhân phổ biến nhất là đồng hồ thiết bị bị lệch. TOTP dựa vào thời gian chính xác, chỉ cần lệch 30 giây là gây ra mã không khớp. Trên Android: Settings, System, Date and time, Set time automatically. Trên iOS: Settings, General, Date and Time, Set Automatically. Trên Windows: Settings, Time and language, Date and time, Set time automatically. Máy chủ thường chấp nhận mã trong cửa sổ cộng/trừ 1, vì vậy thử mã tiếp theo sau khi làm mới 30 giây thường hoạt động.

Lỗi đánh máy secret key khi nhập thủ công

Base32 chỉ sử dụng A đến Z và 2 đến 7, không có 0, 1, 8 hoặc 9. Các ký tự mơ hồ như O vs 0 hoặc I vs 1 phá hỏng mọi thứ. Sao chép secret key trực tiếp từ QR code của dịch vụ thay vì gõ thủ công, hoặc dùng QR scanner tích hợp của chúng tôi. Nhiều dịch vụ cũng cho phép hiển thị plaintext secret bên cạnh QR code để nhập thủ công dễ dàng hơn.

Mất điện thoại có ứng dụng authenticator

Đầu tiên, thử backup codes, hầu hết các dịch vụ yêu cầu một cái khi bạn không thể truy cập 2FA authenticator. Nếu bạn đã xuất hoặc đồng bộ TOTP secret, khôi phục trên thiết bị mới. Như phương sách cuối cùng, liên hệ đội ngũ hỗ trợ dịch vụ và theo luồng khôi phục tài khoản của họ, thường bao gồm xác minh ID chính phủ hoặc xác nhận các secret khác. Không bao giờ trả tiền cho dịch vụ 2FA recovery của bên thứ ba, họ là kẻ lừa đảo.

QR code không thể quét được

Ánh sáng, tiêu cự camera và phản chiếu màn hình là thủ phạm phổ biến. Thử tải xuống QR dưới dạng tệp hình ảnh và tải lên máy quét hình ảnh của chúng tôi, hoặc nhập thủ công Base32 secret key được hiển thị. Đảm bảo không có phần mở rộng trình duyệt nào đang sửa đổi hiển thị QR.

Tài khoản bị khóa hoàn toàn khỏi 2FA

Hầu hết các dịch vụ hỗ trợ xác minh danh tính qua ID chính phủ, 4 chữ số cuối của thẻ tín dụng, email khôi phục hoặc liên hệ đáng tin cậy. Đăng nhập xã hội (Google, Apple, Microsoft) thường có thể được mở khóa thông qua 2FA của tài khoản gốc. Sàn crypto là nghiêm ngặt nhất, hãy chuẩn bị cho quy trình KYC nhiều ngày. Ghi lại danh tính đúng cách và theo luồng khôi phục chính thức của mỗi dịch vụ.

Push notification không đến

Đảm bảo ứng dụng authenticator có quyền thông báo, tối ưu hóa pin bị tắt riêng cho nó, và thiết bị có kết nối internet hoạt động. Trên Android, một số trình tiết kiệm pin mạnh mẽ tắt các dịch vụ authenticator nền, whitelist ứng dụng 2FA của bạn. Khởi động lại ứng dụng thường làm mới push token.

Cách TOTP hoạt động phía sau hậu trường (phân tích kỹ thuật)

Dành cho những người tò mò về kỹ thuật, đây là từng bước cách mã 2FA TOTP được tạo, theo RFC 6238, cùng thuật toán mà generator 2FA của chúng tôi sử dụng bên trong, và cùng thuật toán mà Google Authenticator, Microsoft Authenticator, Authy và tất cả các authenticator tương thích khác tuân theo.

1. Shared secret. Khi bạn bật 2FA trên một dịch vụ, cả máy chủ và ứng dụng authenticator của bạn đồng ý về một secret key ngẫu nhiên, thường là 160 bits (20 bytes) được mã hóa Base32 để hiển thị có thể đọc được bởi con người. Shared secret này không bao giờ rời khỏi bên nào trong hoạt động bình thường.
2. Time counter. Lấy dấu thời gian Unix hiện tại, chia cho 30, làm tròn xuống. Điều này tạo ra bộ đếm số nguyên tăng ở cả hai bên mỗi 30 giây. Sử dụng thời gian làm bộ đếm có nghĩa là không cần đồng bộ hóa trạng thái giữa máy chủ và authenticator, cả hai bên độc lập tính cùng một giá trị.
3. HMAC-SHA1. Tính hash HMAC-SHA1 bằng shared secret làm khóa và bộ đếm 8 byte big-endian làm thông điệp. Đầu ra là hash mật mã 20 bytes. Các triển khai hiện đại cũng hỗ trợ HMAC-SHA256 và HMAC-SHA512 cho 2FA mạnh hơn khi cả hai bên đồng ý về thuật toán.
4. Dynamic truncation. Lấy byte cuối cùng của hash, mask 4 bits thấp để lấy offset (0 đến 15). Trích xuất 4 bytes từ offset đó trong hash, xóa high bit và xử lý kết quả như số nguyên 32-bit. Đây là thuật toán dynamic truncation từ RFC 4226 (HOTP) làm nền tảng cho TOTP.
5. Modulo cho chữ số. Tính số nguyên 32-bit modulo 10 lũy thừa digit, thường là 10^6 cho mã 2FA 6 chữ số chuẩn, hoặc 10^8 cho một số dịch vụ ngân hàng. Đệm số không ở đầu nếu cần để đầu ra giá trị thấp như 7 trở thành 000007, không phải mã một phần.

Kết quả là mã xác minh 6 chữ số được tính giống hệt bởi authenticator và máy chủ. Khi bạn gõ mã khi đăng nhập, máy chủ tính mã dự kiến cho cửa sổ thời gian hiện tại và so sánh chúng. Vì HMAC chống va chạm, chỉ người giữ shared secret mới có thể tạo mã TOTP hợp lệ, đó là toán học mật mã đằng sau bảo mật 2FA hiện đại. Trong triển khai của chúng tôi, toàn bộ tính toán này xảy ra ở phía client bằng Web Crypto API của trình duyệt, vì vậy secret key của bạn không bao giờ chạm vào máy chủ, và mã chúng tôi tạo khớp chính xác với Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden và tất cả các authenticator tuân thủ RFC 6238.

Bảng thuật ngữ 2FA

Tham khảo nhanh cho các thuật ngữ xác thực hai yếu tố phổ biến nhất mà bạn sẽ gặp khi bật 2FA trên các dịch vụ khác nhau.

2FA: Two-Factor Authentication. Requires two different authentication factors before granting account access.
MFA: Multi-Factor Authentication. Umbrella term covering any use of multiple factors (2FA is the most common form of MFA).
TOTP: Time-based One-Time Password. 6-digit 2FA codes that change every 30 seconds. Defined by RFC 6238.
HOTP: HMAC-based One-Time Password. Counter-based 2FA codes that increment on each use. Defined by RFC 4226.
OTP: One-Time Password. Any code valid for a single login attempt. Includes both TOTP and HOTP variants.
HMAC: Hash-based Message Authentication Code. The cryptographic primitive that underpins both TOTP and HOTP.
Base32: The text encoding used for 2FA secret keys — only A–Z and 2–7, chosen to avoid ambiguous characters.
Authenticator: Any app or device that generates 2FA codes. Examples: Google Authenticator, Authy, 1Password, Microsoft Authenticator.
QR Code: Quick Response barcode containing the otpauth:// URI used to provision a new 2FA secret without typing.
Secret Key: The shared cryptographic key between you and the service, usually 160 bits encoded in Base32.
Recovery Codes: Single-use backup codes to log in when your authenticator is unavailable. Also called backup codes.
SIM Swap: Attack where criminals port your phone number to their SIM card to intercept SMS 2FA codes.
Passkey: Modern FIDO2 / WebAuthn credential replacing passwords plus 2FA on a growing list of sites.
FIDO2: Open authentication standard for phishing-resistant login using hardware keys or device biometrics.
WebAuthn: Web API that implements FIDO2 inside the browser for passkey and hardware key sign-in.
U2F: Universal 2nd Factor. The predecessor of FIDO2, still supported by many hardware security keys.
YubiKey: Popular brand of hardware security key supporting FIDO2, U2F, OTP, and smart card functions.
Phishing-resistant MFA: 2FA methods (hardware keys, passkeys) that cannot be tricked by fake login pages.