Những lợi ích và thách thức của xác thực không dùng mật khẩu

08:47 | 15/02/2022

Theo Công ty tư vấn và nghiên cứu công nghệ Gartner (Mỹ), đến năm 2022, 90% doanh nghiệp quy mô vừa và 60% doanh nghiệp quy mô toàn cầu sẽ chuyển sang phương pháp xác thực không dùng mật khẩu.

Nhân viên là một trong những yếu tố cơ bản của bất kỳ tổ chức/doanh nghiệp (TC/DN) nào. Tuy nhiên, hầu hết các vấn đề an toàn thông tin đều phát sinh từ sự cẩu thả và sai sót của nhân viên. Một sai lầm phổ biến nhất của nhân viên là sử dụng mật khẩu yếu. Báo cáo của Verizon (Tập đoàn viễn thông đa quốc gia của Mỹ) đã tiết lộ rằng 81% các vụ vi phạm dữ liệu xảy ra do mật khẩu yếu, bị đánh cắp hoặc sử dụng sai. Tuy nhiên, dường như xu hướng loại bỏ mật khẩu đang trở nên phổ biến hơn. Theo Công ty tư vấn và nghiên cứu công nghệ Gartner (Mỹ), đến năm 2022, 90% doanh nghiệp quy mô vừa và 60% doanh nghiệp quy mô toàn cầu sẽ chuyển sang phương pháp xác thực không dùng mật khẩu.

Định nghĩa về xác thực không dùng mật khẩu

Xác thực không dùng mật khẩu là quá trình xác minh danh tính của người dùng bằng một yếu tố khác không phải là mật khẩu. Phương pháp này tăng cường tính an toàn bằng cách loại bỏ các hoạt động quản lý mật khẩu và nguy cơ từ nhiều mối đe dọa. Đây là một lĩnh vực mới trong quản lý định danh và truy cập và được dự đoán sẽ cách mạng hóa cách thức làm việc của nhân viên.

Đánh cắp thông tin xác thực và lạm dụng mật khẩu ngày càng tiếp tục gia tăng. Do đó, các tổ chức đang hướng tới phương pháp xác thực không dùng mật khẩu để giải quyết khiếm khuyết của mật khẩu và bảo vệ quyền truy cập vào dữ liệu, hệ thống và mạng.

Đối với các doanh nghiệp, nhu cầu xác thực không dùng mật khẩu càng thiết yếu. Nó cũng giảm thiểu gánh nặng phải tạo mật khẩu mới ba tháng một lần, trong khi đó chi phí cho bộ phận CNTT được giảm xuống do không đầu tư vào biện pháp quản lý mật khẩu.

Các phương pháp xác thực không dùng mật khẩu

Xác thực không dùng mật khẩu là phương pháp tiếp cận tương đối mới. Do đó, việc chọn kiểu triển khai phù hợp cho nhu cầu của doanh nghiệp khá khó khăn. Có nhiều cách khác nhau để triển khai xác thực không dùng mật khẩu, bao gồm:

1. Xác thực sinh trắc học: Tính năng này sử dụng các đặc điểm cơ thể độc nhất để xác minh người dùng mà không yêu cầu mật khẩu.

2. Liên kết ma thuật (magic link): Phương pháp này yêu cầu địa chỉ email của người dùng trong cửa sổ đăng nhập. Người dùng nhận được một liên kết trong email của họ và khi nhấp vào sẽ có thể đăng nhập vào tài khoản. Liên kết hết hạn trong vòng vài giờ và người dùng nhận được một liên kết mới mỗi khi họ đăng nhập.

3. Thông báo đẩy (push notification): người dùng nhận được thông báo đẩy thông qua ứng dụng riêng của dịch vụ hoặc xác thực chuyên dụng trên thiết bị di động. Theo đó, nhà cung cấp dịch vụ sẽ gửi thông báo cho người dùng qua kênh liên lạc an toàn nhất hiện có. Người dùng trả lời xác thực bằng cách thực hiện một hành động đối với thông báo đẩy để xác minh danh tính của họ và sau đó có thể truy cập dịch vụ. Một số ứng dụng xác thực chuyên dụng trên thiết bị di động bao gồm: ESET Secure Authentication, Rapid Identity,...

4. Mật khẩu dùng một lần: Phương pháp này yêu cầu người dùng nhập mã nhận được qua email hoặc tin nhắn văn bản. Mã được gửi mỗi khi người dùng đăng nhập.

5. Đăng nhập một lần (Single-Sign-On) Một phương pháp xác thực không dùng mật khẩu hiệu quả khác là đăng nhập một lần. Phương pháp này cho phép nhân viên truy cập vào tất cả các tài khoản của họ mà không cần tạo hoặc ghi nhớ các mật khẩu phức tạp.

Lợi ích đối với TC/DN mà xác thực không dùng mật khẩu mang lại

Củng cố vị thế, tình trạng an toàn mạng

Các doanh nghiệp chịu thiệt hại trung bình 3,92 triệu USD do vi phạm dữ liệu. Nếu tội phạm mạng có quyền truy cập vào mật khẩu, nghĩa là chúng có quyền truy cập vào dữ liệu bí mật của công ty. Chúng thậm chí có thể lấy được dữ liệu của các nhân viên khác và thay đổi dữ liệu đó. Tuy nhiên, không cần lo ngại về việc đánh cắp dữ liệu hoặc danh tính đối với xác thực không dùng mật khẩu. Đó là bởi mã token cứng chỉ cấp quyền truy cập cho một số người dùng có đặc quyền.

Bảo vệ chống lại tấn công lừa đảo

Lừa đảo là loại tấn công mạng phổ biến nhất, chiếm hơn 80% số lượng tấn công được báo cáo. Trong hầu hết các sự cố, mục đích của kẻ tấn công là đánh lừa người dùng để xâm phạm thông tin đăng nhập của họ.

Xác thực không dùng mật khẩu sử dụng một số phương pháp xác thực hiện đại giúp giảm nguy cơ bị nhắm đến qua các cuộc tấn công lừa đảo. Với phương pháp tiếp cận này, nhân viên sẽ không cần phải cung cấp bất kỳ thông tin nhạy cảm nào cho các tác nhân đe dọa để chúng giành được quyền truy cập vào tài khoản hoặc dữ liệu bí mật khác khi họ nhận được email lừa đảo.

Cải thiện an toàn chuỗi cung ứng

Chuỗi cung ứng thường tiềm ẩn nhiều rủi ro an toàn mạng do bên thứ ba gây ra. Với phương pháp xác thực không dùng mật khẩu, bất kỳ bên thứ ba nào cũng không dễ dàng xâm nhập mạng và truy cập cơ sở dữ liệu để cài đặt mã độc vào trang web mục tiêu. Do đó, phương pháp xác thực hiện đại này ngăn chặn các cuộc tấn công chuỗi cung ứng phần mềm và cải thiện an toàn chuỗi cung ứng.

Năng suất lao động cao hơn

Nhân viên thường được yêu cầu tạo mật khẩu mạnh và phức tạp để cải thiện các tiêu chuẩn bảo mật. Điều này đã trở nên khá khắt khe và khiến nhân viên mệt mỏi. Họ phải nhớ rất nhiều mật khẩu mỗi khi họ đăng nhập vào một nơi nào đó.

Nhưng với xác thực không dùng mật khẩu, nhân viên sẽ có các tùy chọn phương pháp xác thực tiện lợi và an toàn hơn. Điều này sẽ cho phép người dùng truy cập nhanh chóng và dễ dàng vào các tài nguyên và ít gây mệt mỏi hơn.

Những thách thức đối với phương pháp xác thực không dùng mật khẩu

Không dễ dàng triển khai

Xác thực không dùng mật khẩu dường như là một cách tiếp cận an toàn và dễ sử dụng, tuy nhiên lại có những thách thức trong việc triển khai nó. Vấn đề quan trọng nhất là ngân sách và sự phức tạp để chuyển đổi. Trong việc thiết lập ngân sách cho xác thực không dùng mật khẩu, doanh nghiệp nên tính toán cả chi phí mua phần cứng cũng như chi phí thiết lập và cấu hình.

Doanh nghiệp nên thực hiện xác thực không dùng mật khẩu dựa trên khóa công khai với các mức độ bảo vệ khác nhau. Họ cần sử dụng cả môđun mật mã dựa trên phần cứng và phần mềm ở phía máy khách. Tuy nhiên, đây sẽ là một thách thức thực sự đối với bất kỳ công ty phát triển phần mềm nào. Một bước triển khai sai có thể khiến tổ chức dễ bị tấn công chuỗi cung ứng phần mềm.

Khó khắc phục sự cố

Do phương pháp xác thực không dùng mật khẩu vẫn còn chưa quen thuộc với nhiều người, nên người dùng có thể gặp phải các vấn đề: Người dùng có thể gặp trục trặc khi muốn đăng nhập vào một thiết bị khác. Hơn nữa, nếu một người làm mất thiết bị đã xác thực của họ, có thể việc khắc phục sự cố và lấy lại tài khoản của họ sẽ mất thời gian. Do đó, một công ty sẽ cần một đội ngũ hỗ trợ có kinh nghiệm từ công ty quản lý định danh và truy cập để giúp đỡ khi các vấn đề như vậy phát sinh.

Tăng chi phí

Mặc dù nhiều doanh nghiệp có thể tiết kiệm được chi phí với xác thực không dùng mật khẩu, nhưng chi phí cài đặt của phương pháp xác thực này ban đầu có thể tốn kém. Một doanh nghiệp cần đầu tư ban đầu dựa trên hình thức triển khai mà doanh nghiệp đó mong muốn. Ví dụ, đối với phương pháp xác thực dựa trên điện thoại thông minh, doanh nghiệp sẽ cần phải xem xét chi phí phát triển để đảm bảo rằng nó được thực hiện trơn tru. Tuy nhiên, sau khi triển khai sẽ không phát sinh thêm chi phí nào khác.

Một số điện thoại thông minh không hỗ trợ sinh trắc học

Khi sử dụng sinh trắc học cho phương pháp xác thực không dùng mật khẩu, người dùng phải có điện thoại thông minh có máy quét. Đối với những người dùng sử dụng điện thoại thông minh không hỗ trợ sinh trắc học thì việc triển khai là không thể. Đây có thể là một hạn chế đáng kể nếu doanh nghiệp đang cung cấp dịch vụ thông qua ứng dụng dựa trên điện thoại thông minh.

Một tương lai không dùng mật khẩu

Theo Gartner, đến năm 2022, 60% doanh nghiệp lớn và 90% doanh nghiệp vừa sẽ áp dụng phương pháp không dùng mật khẩu trong khoảng 50% trường hợp sử dụng. Như đã đề cập, tuy có một số hạn chế, nhưng chúng có thể được khắc phục cũng như những lợi ích đem lại là nổi bật hơn.

Mục tiêu của xác thực không dùng mật khẩu là cung cấp các công nghệ và hỗ trợ các trường hợp sử dụng làm giảm (nếu không muốn nói là loại bỏ) việc sử dụng mật khẩu. Đó là một động thái hợp lý đối với các tổ chức vì việc sử dụng mật khẩu tiềm ẩn những rủi ro bảo mật nổi cộm. Các tổ chức phải xoay trục để nhanh chóng đáp ứng sự thay đổi trong văn hóa làm việc kết hợp và hỗ trợ lực lượng lao động phân tán có khả năng làm việc an toàn từ mọi nơi. Xác thực không dùng mật khẩu là một giải pháp hiệu quả đảm bảo một môi trường làm việc an toàn hơn và thậm chí còn mang lại sự tiện lợi cho nhân viên!

Tài liệu tham khảo

  1. https://www.cxotoday.com/expert-opinion/is-passwordless-authentication-the-solution-for-your-password-problems/
  2. https://www.infosecurity-magazine.com/next-gen-infosec/benefits-challenges-passwordless/
  3. https://blog.teamstack.com/the-benefits-and-pitfalls-of-passwordless-authentication/