Two-Factor Authentication (2FA)

Xác thực 2 bước (2FA) thêm lớp bảo mật thứ hai sau mật khẩu. Người dùng phải cung cấp thêm mã OTP từ app, SMS, hoặc email để đăng nhập thành công.

Phương thức hỗ trợ

Cấu hình cho System Admin

System Settings > Security > Two-Factor Authentication:

Bắt buộc 2FA cho Tenant

Bật bắt buộc 2FA theo tenant profile:

Tenant Profiles > [Profile] > Security:

Cài đặt 2FA cho User

Bước 1: Mở cài đặt bảo mật

Profile > Security > Two-Factor Authentication > Add 2FA method

Bước 2: Chọn phương thức

Authenticator App (TOTP)

1. Mở Google Authenticator / Authy
2. Quét QR Code hiển thị trên màn hình
3. Nhập mã 6 số từ app để xác nhận
4. Lưu cài đặt

SMS

1. Nhập số điện thoại
2. Nhận mã OTP qua SMS
3. Xác nhận để kích hoạt

Email

1. Email sẽ là địa chỉ email tài khoản
2. Click "Send verification code"
3. Nhập mã nhận được

Backup Codes

Sau khi bật bất kỳ phương thức nào:

1. Click "Generate backup codes"
2. Nhận 8 mã, mỗi mã dùng được 1 lần
3. In ra hoặc lưu an toàn — không thể xem lại

Luồng đăng nhập với 2FA

Quản lý 2FA của User

User tự quản lý tại Profile > Security:

• Xem phương thức đang bật
• Thêm phương thức mới
• Xóa phương thức
• Tạo backup codes mới
• Disable 2FA (nếu không bị bắt buộc)

Admin: Xóa 2FA cho User

Khi user mất thiết bị và backup codes:

User sẽ phải cài đặt lại 2FA sau lần đăng nhập kế tiếp.

Tích hợp với OAuth 2.0

Nếu dùng SSO (OAuth 2.0), 2FA của VieLang IoT không áp dụng — thay vào đó dùng 2FA của identity provider (Google, Azure AD, Keycloak...).

Lưu ý bảo mật

• Backup codes cần được lưu offline (không lưu trên cùng thiết bị)
• SMS 2FA dễ bị SIM swap attack — ưu tiên Authenticator App
• TOTP tạo mã mới mỗi 30 giây, không thể reuse
• Sau 3 lần nhập sai → tài khoản bị khóa tạm thời