Nhân viên là một trong những yếu tố cơ bản của bất kỳ tổ chức/doanh nghiệp (TC/DN) nào. Tuy nhiên, hầu hết các vấn đề an toàn thông tin đều phát sinh từ sự cẩu thả và sai sót của nhân viên. Một sai lầm phổ biến nhất của nhân viên là sử dụng mật khẩu yếu. Báo cáo của Verizon (Tập đoàn viễn thông đa quốc gia của Mỹ) đã tiết lộ rằng 81% các vụ vi phạm dữ liệu xảy ra do mật khẩu yếu, bị đánh cắp hoặc sử dụng sai. Tuy nhiên, dường như xu hướng loại bỏ mật khẩu đang trở nên phổ biến hơn. Theo Công ty tư vấn và nghiên cứu công nghệ Gartner (Mỹ), đến năm 2022, 90% doanh nghiệp quy mô vừa và 60% doanh nghiệp quy mô toàn cầu sẽ chuyển sang phương pháp xác thực không dùng mật khẩu.
Định nghĩa về xác thực không dùng mật khẩu
Xác thực không dùng mật khẩu là quá trình xác minh danh tính của người dùng bằng một yếu tố khác không phải là mật khẩu. Phương pháp này tăng cường tính an toàn bằng cách loại bỏ các hoạt động quản lý mật khẩu và nguy cơ từ nhiều mối đe dọa. Đây là một lĩnh vực mới trong quản lý định danh và truy cập và được dự đoán sẽ cách mạng hóa cách thức làm việc của nhân viên.
Đánh cắp thông tin xác thực và lạm dụng mật khẩu ngày càng tiếp tục gia tăng. Do đó, các tổ chức đang hướng tới phương pháp xác thực không dùng mật khẩu để giải quyết khiếm khuyết của mật khẩu và bảo vệ quyền truy cập vào dữ liệu, hệ thống và mạng.
Đối với các doanh nghiệp, nhu cầu xác thực không dùng mật khẩu càng thiết yếu. Nó cũng giảm thiểu gánh nặng phải tạo mật khẩu mới ba tháng một lần, trong khi đó chi phí cho bộ phận CNTT được giảm xuống do không đầu tư vào biện pháp quản lý mật khẩu.
Các phương pháp xác thực không dùng mật khẩu
Xác thực không dùng mật khẩu là phương pháp tiếp cận tương đối mới. Do đó, việc chọn kiểu triển khai phù hợp cho nhu cầu của doanh nghiệp khá khó khăn. Có nhiều cách khác nhau để triển khai xác thực không dùng mật khẩu, bao gồm:
1. Xác thực sinh trắc học: Tính năng này sử dụng các đặc điểm cơ thể độc nhất để xác minh người dùng mà không yêu cầu mật khẩu.
2. Liên kết ma thuật (magic link): Phương pháp này yêu cầu địa chỉ email của người dùng trong cửa sổ đăng nhập. Người dùng nhận được một liên kết trong email của họ và khi nhấp vào sẽ có thể đăng nhập vào tài khoản. Liên kết hết hạn trong vòng vài giờ và người dùng nhận được một liên kết mới mỗi khi họ đăng nhập.
3. Thông báo đẩy (push notification): người dùng nhận được thông báo đẩy thông qua ứng dụng riêng của dịch vụ hoặc xác thực chuyên dụng trên thiết bị di động. Theo đó, nhà cung cấp dịch vụ sẽ gửi thông báo cho người dùng qua kênh liên lạc an toàn nhất hiện có. Người dùng trả lời xác thực bằng cách thực hiện một hành động đối với thông báo đẩy để xác minh danh tính của họ và sau đó có thể truy cập dịch vụ. Một số ứng dụng xác thực chuyên dụng trên thiết bị di động bao gồm: ESET Secure Authentication, Rapid Identity,...
4. Mật khẩu dùng một lần: Phương pháp này yêu cầu người dùng nhập mã nhận được qua email hoặc tin nhắn văn bản. Mã được gửi mỗi khi người dùng đăng nhập.
5. Đăng nhập một lần (Single-Sign-On) Một phương pháp xác thực không dùng mật khẩu hiệu quả khác là đăng nhập một lần. Phương pháp này cho phép nhân viên truy cập vào tất cả các tài khoản của họ mà không cần tạo hoặc ghi nhớ các mật khẩu phức tạp.
Lợi ích đối với TC/DN mà xác thực không dùng mật khẩu mang lại
Củng cố vị thế, tình trạng an toàn mạng
Các doanh nghiệp chịu thiệt hại trung bình 3,92 triệu USD do vi phạm dữ liệu. Nếu tội phạm mạng có quyền truy cập vào mật khẩu, nghĩa là chúng có quyền truy cập vào dữ liệu bí mật của công ty. Chúng thậm chí có thể lấy được dữ liệu của các nhân viên khác và thay đổi dữ liệu đó. Tuy nhiên, không cần lo ngại về việc đánh cắp dữ liệu hoặc danh tính đối với xác thực không dùng mật khẩu. Đó là bởi mã token cứng chỉ cấp quyền truy cập cho một số người dùng có đặc quyền.
Bảo vệ chống lại tấn công lừa đảo
Lừa đảo là loại tấn công mạng phổ biến nhất, chiếm hơn 80% số lượng tấn công được báo cáo. Trong hầu hết các sự cố, mục đích của kẻ tấn công là đánh lừa người dùng để xâm phạm thông tin đăng nhập của họ.
Xác thực không dùng mật khẩu sử dụng một số phương pháp xác thực hiện đại giúp giảm nguy cơ bị nhắm đến qua các cuộc tấn công lừa đảo. Với phương pháp tiếp cận này, nhân viên sẽ không cần phải cung cấp bất kỳ thông tin nhạy cảm nào cho các tác nhân đe dọa để chúng giành được quyền truy cập vào tài khoản hoặc dữ liệu bí mật khác khi họ nhận được email lừa đảo.
Cải thiện an toàn chuỗi cung ứng
Chuỗi cung ứng thường tiềm ẩn nhiều rủi ro an toàn mạng do bên thứ ba gây ra. Với phương pháp xác thực không dùng mật khẩu, bất kỳ bên thứ ba nào cũng không dễ dàng xâm nhập mạng và truy cập cơ sở dữ liệu để cài đặt mã độc vào trang web mục tiêu. Do đó, phương pháp xác thực hiện đại này ngăn chặn các cuộc tấn công chuỗi cung ứng phần mềm và cải thiện an toàn chuỗi cung ứng.
Năng suất lao động cao hơn
Nhân viên thường được yêu cầu tạo mật khẩu mạnh và phức tạp để cải thiện các tiêu chuẩn bảo mật. Điều này đã trở nên khá khắt khe và khiến nhân viên mệt mỏi. Họ phải nhớ rất nhiều mật khẩu mỗi khi họ đăng nhập vào một nơi nào đó.
Nhưng với xác thực không dùng mật khẩu, nhân viên sẽ có các tùy chọn phương pháp xác thực tiện lợi và an toàn hơn. Điều này sẽ cho phép người dùng truy cập nhanh chóng và dễ dàng vào các tài nguyên và ít gây mệt mỏi hơn.
Những thách thức đối với phương pháp xác thực không dùng mật khẩu
Không dễ dàng triển khai
Xác thực không dùng mật khẩu dường như là một cách tiếp cận an toàn và dễ sử dụng, tuy nhiên lại có những thách thức trong việc triển khai nó. Vấn đề quan trọng nhất là ngân sách và sự phức tạp để chuyển đổi. Trong việc thiết lập ngân sách cho xác thực không dùng mật khẩu, doanh nghiệp nên tính toán cả chi phí mua phần cứng cũng như chi phí thiết lập và cấu hình.
Doanh nghiệp nên thực hiện xác thực không dùng mật khẩu dựa trên khóa công khai với các mức độ bảo vệ khác nhau. Họ cần sử dụng cả môđun mật mã dựa trên phần cứng và phần mềm ở phía máy khách. Tuy nhiên, đây sẽ là một thách thức thực sự đối với bất kỳ công ty phát triển phần mềm nào. Một bước triển khai sai có thể khiến tổ chức dễ bị tấn công chuỗi cung ứng phần mềm.
Khó khắc phục sự cố
Do phương pháp xác thực không dùng mật khẩu vẫn còn chưa quen thuộc với nhiều người, nên người dùng có thể gặp phải các vấn đề: Người dùng có thể gặp trục trặc khi muốn đăng nhập vào một thiết bị khác. Hơn nữa, nếu một người làm mất thiết bị đã xác thực của họ, có thể việc khắc phục sự cố và lấy lại tài khoản của họ sẽ mất thời gian. Do đó, một công ty sẽ cần một đội ngũ hỗ trợ có kinh nghiệm từ công ty quản lý định danh và truy cập để giúp đỡ khi các vấn đề như vậy phát sinh.
Tăng chi phí
Mặc dù nhiều doanh nghiệp có thể tiết kiệm được chi phí với xác thực không dùng mật khẩu, nhưng chi phí cài đặt của phương pháp xác thực này ban đầu có thể tốn kém. Một doanh nghiệp cần đầu tư ban đầu dựa trên hình thức triển khai mà doanh nghiệp đó mong muốn. Ví dụ, đối với phương pháp xác thực dựa trên điện thoại thông minh, doanh nghiệp sẽ cần phải xem xét chi phí phát triển để đảm bảo rằng nó được thực hiện trơn tru. Tuy nhiên, sau khi triển khai sẽ không phát sinh thêm chi phí nào khác.
Một số điện thoại thông minh không hỗ trợ sinh trắc học
Khi sử dụng sinh trắc học cho phương pháp xác thực không dùng mật khẩu, người dùng phải có điện thoại thông minh có máy quét. Đối với những người dùng sử dụng điện thoại thông minh không hỗ trợ sinh trắc học thì việc triển khai là không thể. Đây có thể là một hạn chế đáng kể nếu doanh nghiệp đang cung cấp dịch vụ thông qua ứng dụng dựa trên điện thoại thông minh.
Một tương lai không dùng mật khẩu
Theo Gartner, đến năm 2022, 60% doanh nghiệp lớn và 90% doanh nghiệp vừa sẽ áp dụng phương pháp không dùng mật khẩu trong khoảng 50% trường hợp sử dụng. Như đã đề cập, tuy có một số hạn chế, nhưng chúng có thể được khắc phục cũng như những lợi ích đem lại là nổi bật hơn.
Mục tiêu của xác thực không dùng mật khẩu là cung cấp các công nghệ và hỗ trợ các trường hợp sử dụng làm giảm (nếu không muốn nói là loại bỏ) việc sử dụng mật khẩu. Đó là một động thái hợp lý đối với các tổ chức vì việc sử dụng mật khẩu tiềm ẩn những rủi ro bảo mật nổi cộm. Các tổ chức phải xoay trục để nhanh chóng đáp ứng sự thay đổi trong văn hóa làm việc kết hợp và hỗ trợ lực lượng lao động phân tán có khả năng làm việc an toàn từ mọi nơi. Xác thực không dùng mật khẩu là một giải pháp hiệu quả đảm bảo một môi trường làm việc an toàn hơn và thậm chí còn mang lại sự tiện lợi cho nhân viên!
|
Tài liệu tham khảo |
Đỗ Đoàn Kết
08:00 | 11/08/2021
14:00 | 07/03/2022
13:00 | 14/07/2022
15:00 | 27/06/2022
07:00 | 10/05/2021
16:00 | 30/12/2021
10:00 | 27/05/2022
09:00 | 25/07/2024
Thế vận hội Olympics – một sự kiện thể thao lớn nhất trong năm 2024 sẽ được bắt đầu vào ngày 27/7 tại Paris, Pháp. Đây sẽ là thời điểm tội phạm mạng tìm kiếm cơ hội tấn công nhắm vào các tổ chức, cá nhân với động cơ trực tiếp là tài chính thông qua các hình thức như lừa đảo, gian lận kỹ thuật số hoặc thu thập dữ liệu có giá trị từ người tham dự, người xem và nhà tài trợ.
13:00 | 17/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
10:00 | 28/03/2024
Google Drive là một trong những nền tảng lưu trữ đám mây được sử dụng nhiều nhất hiện nay, cùng với một số dịch vụ khác như Microsoft OneDrive và Dropbox. Tuy nhiên, chính sự phổ biến này là mục tiêu để những kẻ tấn công tìm cách khai thác bởi mục tiêu ảnh hưởng lớn đến nhiều đối tượng. Bài báo này sẽ cung cấp những giải pháp cần thiết nhằm tăng cường bảo mật khi lưu trữ tệp trên Google Drive để bảo vệ an toàn dữ liệu của người dùng trước các mối đe dọa truy cập trái phép và những rủi ro tiềm ẩn khác.
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong cuộc đua 5G tại Việt Nam, Viettel đã vươn lên dẫn đầu khi trở thành nhà mạng đầu tiên chính thức tuyên bố khai trương mạng 5G. Trong khi đó, các nhà mạng khác cũng đang ráo riết chuẩn bị cho việc triển khai dịch vụ 5G, hứa hẹn một thị trường viễn thông sôi động và cạnh tranh trong thời gian tới.
09:00 | 29/10/2024
