Ngay sau khi Google xác nhận người dùng Gmail tại Mỹ có thể thay đổi địa chỉ email chính mà không làm mất dữ liệu – kèm theo các cảnh báo bảo mật liên quan – một khuyến cáo quan trọng khác tiếp tục được đưa ra: không tắt xác thực hai yếu tố (2FA).
Dù tưởng chừng hiển nhiên, lời nhắc này trở nên đáng chú ý sau một vụ tài khoản Gmail bị tấn công, khi nạn nhân lại được khuyên vô hiệu hóa 2FA – một trong những lời khuyên bị giới chuyên gia đánh giá là sai lầm nghiêm trọng.
Thực tế, người dùng tuyệt đối không nên tắt 2FA cho tài khoản Gmail. Trên các diễn đàn như Reddit, nơi người dùng thường chia sẻ kinh nghiệm và quan điểm, không phải mọi lời khuyên đều đáng tin cậy, đặc biệt trong lĩnh vực bảo mật. Một bài đăng ngày 31/3 trên diễn đàn Gmail cho biết tài khoản của một người dùng đã bị xâm nhập, dù họ đã đổi mật khẩu và tạo mã khôi phục mới. Tuy nhiên, ngay sau đó, xuất hiện ý kiến cho rằng nên tắt 2FA để “dễ dàng sử dụng các tùy chọn khôi phục hơn”.
Lập luận này bị nhiều chuyên gia và cộng đồng phản bác. Việc cho rằng 2FA gây cản trở quá trình khôi phục tài khoản là không chính xác, bởi chính các mã khôi phục được thiết kế nhằm hỗ trợ người dùng lấy lại quyền truy cập một cách an toàn. Dù 2FA không phải “lá chắn tuyệt đối” – bởi tin tặc vẫn có thể khai thác các kỹ thuật như lừa đảo hoặc đánh cắp cookie phiên – nhưng đây vẫn là lớp bảo vệ quan trọng, giúp giảm đáng kể nguy cơ bị xâm nhập.
Ảnh minh hoạ
Cộng đồng Reddit cũng nhanh chóng lên tiếng bác bỏ quan điểm sai lệch này. Nhiều ý kiến khẳng định việc tắt 2FA để kiểm soát lại tài khoản là lựa chọn tồi, trừ trường hợp đặc biệt khi kẻ tấn công đã chiếm quyền truy cập hoàn toàn.
Ngoài ra, một số khuyến nghị khác như thay đổi mật khẩu định kỳ mỗi 2 tháng cũng bị đánh giá là không cần thiết, thậm chí tiềm ẩn rủi ro.
Theo các chuyên gia, người dùng chỉ nên thay đổi mật khẩu khi có dấu hiệu bị lộ hoặc nghi ngờ bị xâm phạm; việc thay đổi quá thường xuyên có thể khiến người dùng sử dụng mật khẩu yếu hơn hoặc dễ nhầm lẫn.
Đại diện Google nhấn mạnh, để giảm thiểu nguy cơ bị chiếm đoạt tài khoản, người dùng nên bật xác minh hai bước, sử dụng mật khẩu mạnh, kiểm tra định kỳ các thiết bị đăng nhập, đảm bảo thông tin liên hệ và khôi phục luôn chính xác, đồng thời thiết lập email hoặc số điện thoại dự phòng.
Trên hết, việc duy trì 2FA vẫn là yếu tố then chốt trong bảo vệ tài khoản – và không nên vô hiệu hóa trong bất kỳ trường hợp nào nếu không thực sự cần thiết.
