Bảo mật tài khoản 101: Giải thích 2FA & KYC

Giới thiệu

Hai biện pháp kiểm soát cấp tài khoản quyết định mức độ an toàn thực sự của tài khoản MC Markets của bạn: Xác thực hai yếu tố (2FA), bảo vệ việc đăng nhập và thao tác khỏi truy cập trái phép, và xác minh KYC, thiết lập danh tính của bạn trong khuôn khổ tuân thủ của nền tảng. Cả hai đều nhanh chóng để thiết lập, cả hai đều mang lại giá trị gấp nhiều lần thời gian bạn bỏ ra, và cả hai đều nên được thực hiện sớm trong quá trình làm quen — chứ không phải sau khi có sự cố xảy ra.

Hướng dẫn này sẽ giải thích chức năng của từng biện pháp, cách thiết lập 2FA với Google Authenticator, và cách hệ thống KYC ba cấp L0 / L1 / L2 hoạt động.

1. Xác thực hai yếu tố (2FA)

Tại sao nên bật

Để bảo mật tài sản tối ưu, MC Markets đặc biệt khuyến nghị bật Xác thực hai yếu tố (2FA).

2FA yêu cầu một bằng chứng danh tính thứ hai ngoài mật khẩu của bạn — thường là một mã dựa trên thời gian được tạo bởi ứng dụng xác thực trên điện thoại của bạn. Ngay cả khi ai đó lấy được mật khẩu của bạn thông qua lừa đảo (phishing), phần mềm độc hại hoặc vi phạm dữ liệu ở một dịch vụ không liên quan, họ vẫn không thể đăng nhập hay thực hiện các thao tác nhạy cảm nếu không có mã luân phiên trên thiết bị vật lý của bạn.

Cài đặt đơn lẻ này loại bỏ loại hình xâm phạm tài khoản phổ biến nhất. Hãy bật ngay khi bạn tạo tài khoản.

Cách thiết lập

1. Tải xuống một ứng dụng xác thực. Google Authenticator là lựa chọn được khuyến nghị; bất kỳ ứng dụng TOTP tương thích nào (Authy, 1Password, v.v.) cũng đều hoạt động được.
2. Trên trang web MC Markets, vào Trung tâm người dùng → Hoàn tất liên kết Google Authenticator — trang sẽ hiển thị một mã QR.
3. Quét mã QR do nền tảng cung cấp bằng ứng dụng xác thực của bạn để liên kết nó với tài khoản MC Markets của bạn.
4. Nhập mã luân phiên để xác nhận liên kết.

Sau khi liên kết, ứng dụng sẽ hiển thị một mã 6 chữ số mới sau mỗi 30 giây. Bạn sẽ cần mã này cho các thao tác nhạy cảm — bổ sung thêm một lớp kiểm tra bảo mật ngăn chặn truy cập trái phép vào tài khoản của bạn.

Một vài thực hành tốt nhất

• Hãy dùng ứng dụng xác thực, không dùng SMS. Mã qua SMS có thể bị chặn bắt qua các cuộc tấn công SIM-swap; còn TOTP dựa trên ứng dụng thì không.
• Hãy lưu lại các mã dự phòng (backup codes) khi được nhắc trong quá trình thiết lập. Nếu bạn mất điện thoại, đây là cách bạn truy cập lại tài khoản của mình.
• Đừng chia sẻ mã QR hay mã dự phòng của bạn với bất kỳ ai. Bất kỳ ai nắm giữ chúng đều có thể vượt qua 2FA trên tài khoản của bạn.

2. KYC: Hệ thống ba cấp L0 / L1 / L2

KYC (Know Your Customer) là quy trình xác minh danh tính được yêu cầu bởi các cơ quan quản lý tài chính tại các khu vực pháp lý lớn — được trình bày chi tiết trong hướng dẫn Pháp lý & Quyền riêng tư. MC Markets triển khai KYC dưới dạng hệ thống ba cấp:

• L0 (Xác minh cơ bản): Họ tên đầy đủ, khu vực cư trú, quốc tịch, loại giấy tờ tùy thân, số giấy tờ và ngày hết hạn.
• L1 (Xác minh giấy tờ): Tải lên chứng minh nhân dân/căn cước, hộ chiếu hoặc giấy phép lái xe do chính phủ cấp.
• L2 (Xác minh khuôn mặt): Hoàn tất nhận diện khuôn mặt.

Mỗi cấp tương ứng với một mức độ xác minh danh tính sâu hơn — và một bộ các năng lực cũng như hạn mức rộng hơn tương ứng dành cho bạn. Các yêu cầu cụ thể, loại giấy tờ và khác biệt về năng lực của từng cấp được công bố trên các trang xác minh tài khoản của nền tảng — luôn kiểm tra ở đó để biết thông tin chi tiết mới nhất.

Xác minh L0 thường được xử lý nhanh chóng. Các cấp xác minh cao hơn có thể mất nhiều thời gian xét duyệt hơn. Bạn sẽ được thông báo qua nền tảng khi quá trình xác minh hoàn tất.

Giao dịch tiền điện tử (hợp đồng và giao ngay) không yêu cầu KYC. Các tài sản RWA — ngoại hối, vàng, bạc, chỉ số, dầu thô và cổ phiếu Mỹ — yêu cầu Xác minh cơ bản L0. Các yêu cầu cụ thể tuân theo trang xác minh của nền tảng.

Tại sao tồn tại KYC phân cấp

Có ba lý do:

• Tuân thủ quy định. Các quy tắc quốc tế về AML và chống tài trợ khủng bố yêu cầu các nền tảng phải xác minh danh tính người dùng, đặc biệt khi khối lượng giao dịch tăng lên.
• Bảo vệ người dùng. Các tài khoản đã được xác minh ít hấp dẫn hơn đối với gian lận và khó bị xâm phạm hơn thông qua kỹ thuật lừa đảo xã hội (social engineering).
• Tăng dần độ phức tạp. KYC phân cấp có nghĩa là một người dùng lần đầu thông thường không bị yêu cầu xác minh giấy tờ đầy đủ ngay từ ngày đầu — nhưng một nhà giao dịch nghiêm túc có thể nâng cấp khi nhu cầu của họ tăng lên.

Để biết chi tiết về khuôn khổ pháp lý rộng hơn của MC Markets — quy định của FSA, tuân thủ AML và các khu vực bị hạn chế — hãy xem hướng dẫn Pháp lý & Quyền riêng tư.

3. Mô hình tư duy hai lớp

Một cách hữu ích để hình dung về bảo mật tài khoản của MC Markets:

• 2FA bảo vệ lớp truy cập tài khoản. Nó trả lời câu hỏi: "Người đang cố đăng nhập hay giao dịch có thực sự là bạn không?"
• Cấp KYC xác định lớp tin cậy của nền tảng. Nó trả lời câu hỏi: "Danh tính đã được xác minh này được phép thực hiện mức độ hoạt động nào?"

Cả hai đều cần thiết; chúng bảo vệ chống lại những thứ khác nhau. 2FA mà không có KYC khiến bạn có một đăng nhập đã được xác minh nhưng năng lực nền tảng bị hạn chế; KYC mà không có 2FA khiến bạn có đầy đủ năng lực nhưng một đăng nhập dễ bị tấn công. Thiết lập đúng đắn là có cả hai.

Quên Mật khẩu quỹ? Nhấp [Đặt lại], hoàn tất xác minh qua email hoặc Google Authenticator, và đặt mật khẩu mới. Sau khi đặt lại thành công, tài khoản sẽ bước vào thời gian khóa rút tiền 24 giờ (tùy theo hiển thị thời gian thực trên trang và quyết toán cuối cùng của hệ thống).

Tại sao tôi không thể rút tiền sau khi sửa đổi cài đặt bảo mật? Bất kỳ thay đổi nào đối với Mật khẩu quỹ, Google Authenticator hoặc liên kết email của bạn đều sẽ kích hoạt thời gian khóa rút tiền 24 giờ để bảo vệ tài sản của bạn (tùy theo hiển thị thời gian thực trên trang và quyết toán cuối cùng của hệ thống).

4. Tóm tắt nhanh

Tại sao người dùng ví cần liên kết email? Việc liên kết email được dùng để mở khóa 2FA và các tính năng bảo mật khác, đảm bảo an toàn cho tài khoản của bạn.

Bốn ý đáng ghi nhớ:

• Hãy bật 2FA ngay khi bạn tạo tài khoản. Dùng Google Authenticator (hoặc một ứng dụng TOTP tương thích) — quét mã QR do nền tảng cung cấp, nhập mã luân phiên, lưu các mã dự phòng của bạn.
• 2FA chặn truy cập trái phép ngay cả khi ai đó có được mật khẩu của bạn — đây là hành động bảo mật có tác động lớn nhất mà bạn có thể thực hiện.
• KYC vận hành dưới dạng hệ thống ba cấp L0 / L1 / L2. Các cấp cao hơn mở khóa các năng lực rộng hơn; các yêu cầu cụ thể có trên các trang xác minh của nền tảng.
• 2FA và KYC bảo vệ những thứ khác nhau — cả hai đều nên được thiết lập sớm, chứ không phải sau khi có sự cố.

Tuyên bố rủi ro

Cơ chế 2FA và KYC được mô tả ở đây phản ánh cách triển khai hiện tại của MC Markets và có thể được cập nhật; luôn kiểm tra tài liệu chính thức để biết các quy trình, yêu cầu giấy tờ và năng lực theo cấp mới nhất. Để biết chi tiết về khuôn khổ pháp lý rộng hơn của nền tảng, hãy xem hướng dẫn Pháp lý & Quyền riêng tư. Giao dịch trên nền tảng tiềm ẩn rủi ro đáng kể; chỉ giao dịch với số vốn mà bạn có thể chấp nhận mất.