Tìm hiểu về MFA (Multi-Factor Authentication) – Kiến thức cần biết cho Tester

Oct 30, 2025

Table of Contents

1. MFA là gì?

MFA, hay xác thực đa yếu tố, là một phương pháp bảo mật, trong đó yêu cầu người dùng cung cấp từ hai yếu tố xác thực trở lên để truy cập tài khoản hoặc hệ thống phần mềm nào đó. Các yếu tố xác thực này có thể thuộc một trong ba loại chính sau đây:

● Những gì bạn biết, ví dụ như mật khẩu, mã PIN, v.v…

● Những gì bạn có, ví dụ điện thoại – và số điện thoại, thẻ bảo mật, thiết bị tạo token, v.v…

● Những gì thuộc về bạn, ví dụ như vân tay, khuôn mặt, giọng nói của bạn, v.v…

Với MFA, khi một trong các yếu tố xác thực bị xâm phạm, kẻ tấn công vẫn không thể truy cập tài khoản của bạn. Để truy cập được, hệ thống luôn yêu cầu bạn cung cấp thêm yếu tố thứ hai hoặc thứ ba.

3 yếu tố chính trong việc xác thực tài khoản

Trong thực tế, MFA có thể có nhiều tên gọi khác nhau. Ví dụ Google gọi là “xác thực 2 bước” (hay được viết tắt là 2FA).

2. Tại sao cần sử dụng MFA?

Công nghệ càng hiện đại thì việc tấn công mạng ngày càng tinh vi, nếu chỉ sử dụng một lớp bảo mật (như mật khẩu) để bảo vệ tài khoản của bạn đã không còn an toàn nữa. Với các dạng tấn công phổ biến như phishing (lừa đảo qua email) hay brute force (tấn công thử sai mật khẩu theo kiểu dò tìm vét cạn) thì MFA giúp tăng cường bảo mật bằng cách thêm các lớp bảo vệ, khiến việc truy cập trái phép trở nên khó khăn hơn. Từ đó, giúp bảo vệ tài khoản của bạn an toàn hơn trên không gian mạng.

3. Cách hoạt động của MFA

MFA hoạt động bằng cách yêu cầu người dùng xác thực qua nhiều yếu tố trước khi cho phép truy cập. Quy trình thường bao gồm các bước sau:

Nhập thông tin đăng nhập ban đầu: Người dùng cung cấp tên đăng nhập và mật khẩu
Xác thực yếu tố thứ hai: Nếu thông tin ở bước 1 đúng, hệ thống sẽ yêu cầu thêm một yếu tố xác thực thứ 2 như mã OTP gửi qua SMS hoặc trên ứng dụng Authenticator.
Kiểm tra thông tin: Hệ thống xác nhận yếu tố thứ hai so với thông tin đã lưu trong cơ sở dữ liệu
Cấp quyền truy cập: Nếu tất cả các yếu tố trên đều đúng, người dùng được phép truy cập vào hệ thống

Quá trình này giúp đảm bảo rằng ngay cả khi một yếu tố bị xâm phạm, tài khoản của bạn vẫn an toàn.

Minh hoạ cơ chế hoạt động của chức năng MFA

4. Lợi ích của MFA

Sau đây là ba lợi ích hàng đầu của MFA:

● Bảo vệ tài khoản tốt hơn: Ngăn chặn truy cập trái phép ngay cả khi bị lộ mật khẩu

● Dễ sử dụng: Các phương pháp hiện đại như vân tay hoặc khuôn mặt giúp tăng trải nghiệm người dùng

● Tăng sự an tâm: Người dùng có thể yên tâm rằng tài khoản của mình được bảo vệ tốt hơn

5. Cách kiểm thử chức năng MFA

Tại sao cần kiểm thử MFA?

MFA là một tính năng quan trọng đảm bảo bảo mật, nhưng nếu triển khai sai hoặc không đủ chặt chẽ, có thể để lại lỗ hổng bảo mật. Việc kiểm thử kỹ chức năng MFA giúp đảm bảo chức năng này hoạt động đúng và an toàn.

Các loại kiểm thử cần thực hiện

Kiểm thử chức năng (Functional Testing)

Kiểm thử khả dụng (Usability Testing)

Kiểm thử bảo mật (Security Testing)

Kiểm thử hiệu năng (Performance Testing)

6. Một số trường hợp kiểm thử (test case) phổ biến

Đăng nhập thành công với xác thực 2 lớp
- Người dùng nhập đúng mật khẩu
- Nhập đúng mã OTP hợp lệ và còn hiệu lực
- Mong muốn hệ thống cho phép truy cập
Đăng nhập thất bại
- Người dùng nhập đúng mật khẩu nhưng sai mã OTP
- Hệ thống không cho phép truy cập và thông báo lỗi phù hợp.
Mã OTP hết hạn
- Người dùng nhập mã OTP sau thời gian hết hạn (ví dụ 5 phút)
- Hệ thống từ chối mã và yêu cầu tạo mã mới
Thử lại quá nhiều lần
- Người dùng nhập sai mã OTP nhiều lần liên tiếp (ví dụ hơn 5 lần)
- Hệ thống khóa tạm thời tài khoản hoặc gửi cảnh báo bảo mật.
Xử lý khi mất thiết bị xác thực
- Người dùng báo mất điện thoại hoặc thiết bị chứa ứng dụng Authenticator
- Hệ thống cung cấp phương án khôi phục đáng tin cậy (qua email, câu hỏi bảo mật, đến trung tâm giao dịch, v.v…)
Kiểm tra với yếu tố xác thực khác nhau
- Kiểm tra vân tay, khuôn mặt, hoặc các yếu tố khác hoạt động đúng cách

ST: https://www.testing.vn/mfa/

You need to login in order to like this post: click here