Nhân viên là một trong những yếu tố cơ bản của bất kỳ tổ chức/doanh nghiệp (TC/DN) nào. Tuy nhiên, hầu hết các vấn đề an toàn thông tin đều phát sinh từ sự cẩu thả và sai sót của nhân viên. Một sai lầm phổ biến nhất của nhân viên là sử dụng mật khẩu yếu. Báo cáo của Verizon (Tập đoàn viễn thông đa quốc gia của Mỹ) đã tiết lộ rằng 81% các vụ vi phạm dữ liệu xảy ra do mật khẩu yếu, bị đánh cắp hoặc sử dụng sai. Tuy nhiên, dường như xu hướng loại bỏ mật khẩu đang trở nên phổ biến hơn. Theo Công ty tư vấn và nghiên cứu công nghệ Gartner (Mỹ), đến năm 2022, 90% doanh nghiệp quy mô vừa và 60% doanh nghiệp quy mô toàn cầu sẽ chuyển sang phương pháp xác thực không dùng mật khẩu.
Định nghĩa về xác thực không dùng mật khẩu
Xác thực không dùng mật khẩu là quá trình xác minh danh tính của người dùng bằng một yếu tố khác không phải là mật khẩu. Phương pháp này tăng cường tính an toàn bằng cách loại bỏ các hoạt động quản lý mật khẩu và nguy cơ từ nhiều mối đe dọa. Đây là một lĩnh vực mới trong quản lý định danh và truy cập và được dự đoán sẽ cách mạng hóa cách thức làm việc của nhân viên.
Đánh cắp thông tin xác thực và lạm dụng mật khẩu ngày càng tiếp tục gia tăng. Do đó, các tổ chức đang hướng tới phương pháp xác thực không dùng mật khẩu để giải quyết khiếm khuyết của mật khẩu và bảo vệ quyền truy cập vào dữ liệu, hệ thống và mạng.
Đối với các doanh nghiệp, nhu cầu xác thực không dùng mật khẩu càng thiết yếu. Nó cũng giảm thiểu gánh nặng phải tạo mật khẩu mới ba tháng một lần, trong khi đó chi phí cho bộ phận CNTT được giảm xuống do không đầu tư vào biện pháp quản lý mật khẩu.
Các phương pháp xác thực không dùng mật khẩu
Xác thực không dùng mật khẩu là phương pháp tiếp cận tương đối mới. Do đó, việc chọn kiểu triển khai phù hợp cho nhu cầu của doanh nghiệp khá khó khăn. Có nhiều cách khác nhau để triển khai xác thực không dùng mật khẩu, bao gồm:
1. Xác thực sinh trắc học: Tính năng này sử dụng các đặc điểm cơ thể độc nhất để xác minh người dùng mà không yêu cầu mật khẩu.
2. Liên kết ma thuật (magic link): Phương pháp này yêu cầu địa chỉ email của người dùng trong cửa sổ đăng nhập. Người dùng nhận được một liên kết trong email của họ và khi nhấp vào sẽ có thể đăng nhập vào tài khoản. Liên kết hết hạn trong vòng vài giờ và người dùng nhận được một liên kết mới mỗi khi họ đăng nhập.
3. Thông báo đẩy (push notification): người dùng nhận được thông báo đẩy thông qua ứng dụng riêng của dịch vụ hoặc xác thực chuyên dụng trên thiết bị di động. Theo đó, nhà cung cấp dịch vụ sẽ gửi thông báo cho người dùng qua kênh liên lạc an toàn nhất hiện có. Người dùng trả lời xác thực bằng cách thực hiện một hành động đối với thông báo đẩy để xác minh danh tính của họ và sau đó có thể truy cập dịch vụ. Một số ứng dụng xác thực chuyên dụng trên thiết bị di động bao gồm: ESET Secure Authentication, Rapid Identity,...
4. Mật khẩu dùng một lần: Phương pháp này yêu cầu người dùng nhập mã nhận được qua email hoặc tin nhắn văn bản. Mã được gửi mỗi khi người dùng đăng nhập.
5. Đăng nhập một lần (Single-Sign-On) Một phương pháp xác thực không dùng mật khẩu hiệu quả khác là đăng nhập một lần. Phương pháp này cho phép nhân viên truy cập vào tất cả các tài khoản của họ mà không cần tạo hoặc ghi nhớ các mật khẩu phức tạp.
Lợi ích đối với TC/DN mà xác thực không dùng mật khẩu mang lại
Củng cố vị thế, tình trạng an toàn mạng
Các doanh nghiệp chịu thiệt hại trung bình 3,92 triệu USD do vi phạm dữ liệu. Nếu tội phạm mạng có quyền truy cập vào mật khẩu, nghĩa là chúng có quyền truy cập vào dữ liệu bí mật của công ty. Chúng thậm chí có thể lấy được dữ liệu của các nhân viên khác và thay đổi dữ liệu đó. Tuy nhiên, không cần lo ngại về việc đánh cắp dữ liệu hoặc danh tính đối với xác thực không dùng mật khẩu. Đó là bởi mã token cứng chỉ cấp quyền truy cập cho một số người dùng có đặc quyền.
Bảo vệ chống lại tấn công lừa đảo
Lừa đảo là loại tấn công mạng phổ biến nhất, chiếm hơn 80% số lượng tấn công được báo cáo. Trong hầu hết các sự cố, mục đích của kẻ tấn công là đánh lừa người dùng để xâm phạm thông tin đăng nhập của họ.
Xác thực không dùng mật khẩu sử dụng một số phương pháp xác thực hiện đại giúp giảm nguy cơ bị nhắm đến qua các cuộc tấn công lừa đảo. Với phương pháp tiếp cận này, nhân viên sẽ không cần phải cung cấp bất kỳ thông tin nhạy cảm nào cho các tác nhân đe dọa để chúng giành được quyền truy cập vào tài khoản hoặc dữ liệu bí mật khác khi họ nhận được email lừa đảo.
Cải thiện an toàn chuỗi cung ứng
Chuỗi cung ứng thường tiềm ẩn nhiều rủi ro an toàn mạng do bên thứ ba gây ra. Với phương pháp xác thực không dùng mật khẩu, bất kỳ bên thứ ba nào cũng không dễ dàng xâm nhập mạng và truy cập cơ sở dữ liệu để cài đặt mã độc vào trang web mục tiêu. Do đó, phương pháp xác thực hiện đại này ngăn chặn các cuộc tấn công chuỗi cung ứng phần mềm và cải thiện an toàn chuỗi cung ứng.
Năng suất lao động cao hơn
Nhân viên thường được yêu cầu tạo mật khẩu mạnh và phức tạp để cải thiện các tiêu chuẩn bảo mật. Điều này đã trở nên khá khắt khe và khiến nhân viên mệt mỏi. Họ phải nhớ rất nhiều mật khẩu mỗi khi họ đăng nhập vào một nơi nào đó.
Nhưng với xác thực không dùng mật khẩu, nhân viên sẽ có các tùy chọn phương pháp xác thực tiện lợi và an toàn hơn. Điều này sẽ cho phép người dùng truy cập nhanh chóng và dễ dàng vào các tài nguyên và ít gây mệt mỏi hơn.
Những thách thức đối với phương pháp xác thực không dùng mật khẩu
Không dễ dàng triển khai
Xác thực không dùng mật khẩu dường như là một cách tiếp cận an toàn và dễ sử dụng, tuy nhiên lại có những thách thức trong việc triển khai nó. Vấn đề quan trọng nhất là ngân sách và sự phức tạp để chuyển đổi. Trong việc thiết lập ngân sách cho xác thực không dùng mật khẩu, doanh nghiệp nên tính toán cả chi phí mua phần cứng cũng như chi phí thiết lập và cấu hình.
Doanh nghiệp nên thực hiện xác thực không dùng mật khẩu dựa trên khóa công khai với các mức độ bảo vệ khác nhau. Họ cần sử dụng cả môđun mật mã dựa trên phần cứng và phần mềm ở phía máy khách. Tuy nhiên, đây sẽ là một thách thức thực sự đối với bất kỳ công ty phát triển phần mềm nào. Một bước triển khai sai có thể khiến tổ chức dễ bị tấn công chuỗi cung ứng phần mềm.
Khó khắc phục sự cố
Do phương pháp xác thực không dùng mật khẩu vẫn còn chưa quen thuộc với nhiều người, nên người dùng có thể gặp phải các vấn đề: Người dùng có thể gặp trục trặc khi muốn đăng nhập vào một thiết bị khác. Hơn nữa, nếu một người làm mất thiết bị đã xác thực của họ, có thể việc khắc phục sự cố và lấy lại tài khoản của họ sẽ mất thời gian. Do đó, một công ty sẽ cần một đội ngũ hỗ trợ có kinh nghiệm từ công ty quản lý định danh và truy cập để giúp đỡ khi các vấn đề như vậy phát sinh.
Tăng chi phí
Mặc dù nhiều doanh nghiệp có thể tiết kiệm được chi phí với xác thực không dùng mật khẩu, nhưng chi phí cài đặt của phương pháp xác thực này ban đầu có thể tốn kém. Một doanh nghiệp cần đầu tư ban đầu dựa trên hình thức triển khai mà doanh nghiệp đó mong muốn. Ví dụ, đối với phương pháp xác thực dựa trên điện thoại thông minh, doanh nghiệp sẽ cần phải xem xét chi phí phát triển để đảm bảo rằng nó được thực hiện trơn tru. Tuy nhiên, sau khi triển khai sẽ không phát sinh thêm chi phí nào khác.
Một số điện thoại thông minh không hỗ trợ sinh trắc học
Khi sử dụng sinh trắc học cho phương pháp xác thực không dùng mật khẩu, người dùng phải có điện thoại thông minh có máy quét. Đối với những người dùng sử dụng điện thoại thông minh không hỗ trợ sinh trắc học thì việc triển khai là không thể. Đây có thể là một hạn chế đáng kể nếu doanh nghiệp đang cung cấp dịch vụ thông qua ứng dụng dựa trên điện thoại thông minh.
Một tương lai không dùng mật khẩu
Theo Gartner, đến năm 2022, 60% doanh nghiệp lớn và 90% doanh nghiệp vừa sẽ áp dụng phương pháp không dùng mật khẩu trong khoảng 50% trường hợp sử dụng. Như đã đề cập, tuy có một số hạn chế, nhưng chúng có thể được khắc phục cũng như những lợi ích đem lại là nổi bật hơn.
Mục tiêu của xác thực không dùng mật khẩu là cung cấp các công nghệ và hỗ trợ các trường hợp sử dụng làm giảm (nếu không muốn nói là loại bỏ) việc sử dụng mật khẩu. Đó là một động thái hợp lý đối với các tổ chức vì việc sử dụng mật khẩu tiềm ẩn những rủi ro bảo mật nổi cộm. Các tổ chức phải xoay trục để nhanh chóng đáp ứng sự thay đổi trong văn hóa làm việc kết hợp và hỗ trợ lực lượng lao động phân tán có khả năng làm việc an toàn từ mọi nơi. Xác thực không dùng mật khẩu là một giải pháp hiệu quả đảm bảo một môi trường làm việc an toàn hơn và thậm chí còn mang lại sự tiện lợi cho nhân viên!
|
Tài liệu tham khảo |
Đỗ Đoàn Kết
08:00 | 11/08/2021
14:00 | 07/03/2022
13:00 | 14/07/2022
15:00 | 27/06/2022
07:00 | 10/05/2021
16:00 | 30/12/2021
10:00 | 27/05/2022
10:00 | 22/09/2023
Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.
14:00 | 17/05/2023
Một trong những lý do khiến các tổ chức e ngại khi sử dụng các dịch vụ điện toán đám mây là vấn đề về an toàn thông tin. Tuy nhiên, dù nhìn nhận từ góc độ nào thì hầu hết chúng ta đều phải công nhận là các nhà cung cấp dịch vụ điện toán đám mây lớn như Amazon, Microsoft hay Google đều có nhiều nguồn lực và nhân sự giỏi về an ninh bảo mật hơn hầu hết các doanh nghiệp khác. Vậy tại sao chúng ta liên tục nhận được tin tức về các sự cố bảo mật của các doanh nghiệp khi sử dụng điện toán đám mây?
17:00 | 18/01/2023
Ngày nay, mạng không dây đang trở nên phổ biến trong các tổ chức, doanh nghiệp và cá nhân. Sự ra đời, phát triển và cải tiến không ngừng của mạng Wifi đã giải quyết được những hạn chế trước đó của mạng có dây truyền thống. Tuy nhiên, công nghệ mạng Wifi vẫn còn tồn tại những điểm yếu liên quan đến tính bảo mật và an toàn thông tin (ATTT). Do tính chất môi trường truyền dẫn vô tuyến nên mạng Wifi rất dễ bị rò rỉ thông tin do tác động của môi trường bên ngoài, đặc biệt là sự tấn công từ các tin tặc.
08:00 | 18/04/2022
Google Chrome là một trong những trình duyệt phổ biến nhất hiện nay, cung cấp cho người dùng trải nghiệm lướt web nhanh, đi kèm theo đó là kho tiện ích mở rộng phong phú. Tuy nhiên, cũng tương tự như nhiều phần mềm khác, trình duyệt Google Chrome đôi khi cũng gặp một số lỗi khiến người dùng không thể truy cập Internet, chẳng hạn như lỗi Your connection was interrupted (kết nối bị gián đoạn). Bài báo dưới đây sẽ giới thiệu 5 cách khắc phục lỗi trình duyệt Chrome không truy cập được Internet.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.
16:00 | 27/07/2023
Để bảo vệ thông tin dữ liệu được an toàn và tránh bị truy cập trái phép, mã hóa là một trong những cách thức hiệu quả nhất đảm bảo dữ liệu không thể đọc/ghi được, ngay cả trong trường hợp bị xâm phạm. Trong số 1 (065) 2022 của Tạp chí An toàn thông tin đã hướng dẫn về cách mã hóa ổ đĩa cứng sử dụng Bitlocker. Tuy nhiên, với người dùng phiên bản Windows 10 Home thì giải pháp này lại không được hỗ trợ. Bài viết sau sẽ giới thiệu đến độc giả VeraCrypt, một công cụ mã hóa miễn phí đa nền tảng với khả năng hỗ trợ nhiều thuật toán mật mã và hàm băm, cho phép người dùng mã hóa các tệp tin, phân vùng hệ thống và tạo ổ đĩa ảo mã hóa với tùy chọn phù hợp.
15:00 | 03/09/2023
