2FA cho crypto, làm cho đúng: Bản nâng cấp năm phút đáng giá nhất

Logic của 2FA: mật khẩu là 'thứ bạn biết', và kiến thức thì rò rỉ — qua phishing, lộ dữ liệu, dùng lại. Yếu tố thứ hai thêm 'thứ bạn có', nên mật khẩu bị trộm đơn lẻ không mở được gì. Sàn nào cũng có, và việc bật nó không có gì để thương lượng. Cái bẫy là loại phổ biến nhất lại yếu nhất, và tài khoản crypto chính là nơi kẻ tấn công chịu khó khai thác điều đó.

Mã SMS thất thủ trước chiếm SIM: kẻ tấn công thuyết phục hoặc mua chuộc nhà mạng chuyển số của bạn sang SIM của chúng — dùng dữ liệu cá nhân rò rỉ để qua 'xác minh' — và mã bảo mật từ đó đổ về điện thoại của chúng. Không phải lý thuyết: đó là kịch bản chuẩn sau vô số vụ rút sạch tài khoản sàn, và người được biết là có coin bị nhắm đích danh. Cách sửa không tốn xu nào: app xác thực (TOTP) sinh mã trên thiết bị của bạn từ một bí mật cục bộ không bao giờ chạm vào mạng di động. Miễn nhiễm nhà mạng ngay từ thiết kế.

Toàn bộ chiếc thang theo thứ tự sức mạnh: SMS (hơn không có, hãy cho nghỉ hưu), app xác thực (chuẩn thực dụng — nhớ sao lưu seed của nó khi hiện ra, kẻo mất điện thoại là một hành trình khổ ải với bộ phận hỗ trợ), và khóa bảo mật phần cứng (FIDO2/passkey) — thêm miễn nhiễm phishing vì khóa từ chối xác thực với tên miền giả ở tầng mật mã. Hành động năm phút: mở trang bảo mật của sàn, bật 2FA dạng app hoặc khóa, gỡ số điện thoại khỏi phương thức xác thực và khôi phục, rồi làm y vậy với tài khoản email — cái neo của tất cả những thứ còn lại.