6 sai lầm cần lưu ý khi triển khai xác thực đa yếu tố

An toàn thông tin - Ngày đăng : 18:09, 07/09/2020

Bảo mật dữ liệu tài khoản và thông tin cá nhân của người dùng đang ngày càng được coi trọng, chính vì thế việc sử dụng phương thức xác thực nhiều yếu tố đang trở thành yêu cầu bắt buộc tại nhiều quốc gia trên thế giới, đặc biệt trong lĩnh vực tài chính ngân hàng.

Xác thực đa yếu tố (MFA) là một hệ thống bảo mật yêu cầu nhiều phương thức xác thực từ các danh mục thông tin đăng nhập độc lập để xác minh danh tính của người dùng cho thông tin đăng nhập hoặc giao dịch khác. 

Mục tiêu của MFA là tạo ra một lớp bảo vệ kiên cố, đồng thời gây khó khăn cho một người không được phép truy cập vào một mục tiêu cụ thể, như: vị trí thực tế, thiết bị máy tính, mạng hoặc cơ sở dữ liệu. Nếu một yếu tố xác thực bị xâm phạm, kẻ tấn công vẫn phải vượt qua ít nhất một rào cản nữa để có thể xâm nhập trái phép thành công vào mục tiêu.

6 sai lầm cần lưu ý khi triển khai xác thực đa yếu tố - Ảnh 1.

MFA dường như đang được nhiều tổ chức, doanh nghiệp yêu cầu bắt buộc sử dụng. Một cuộc khảo sát với 47.000 tổ chức do LastPass thực hiện vào cuối năm 2019 cho thấy 57% doanh nghiệp trên khắp thế giới hiện đang sử dụng MFA, tăng 12% so với năm trước.

Số liệu thống kê cũng cho thấy những hiệu quả mà MFA mang lại. Phát biểu tại hội nghị bảo mật RSA hồi đầu năm nay, các kĩ sư Microsoft cho biết có đến 99,9% số tài khoản bị đánh cắp mà họ theo dõi hàng tháng không sử dụng MFA.

Qua theo dõi hơn 30 tỷ hành vi đăng nhập mỗi ngày và hơn một tỷ người dùng hoạt động hàng tháng, trung bình có khoảng 0,5% tổng số tài khoản bị đánh cắp mỗi tháng. Tất cả các cuộc tấn công thì đều đem lại những hậu quả, song mọi thứ sẽ nghiêm trọng hơn khi những cuộc tấn công này nhắm đến người dùng doanh nghiệp. Trong số những tài khoản đặc biệt nhạy cảm này, chỉ có khoảng 11% kích hoạt giải pháp MFA tính đến tháng 1/2020, Microsoft cho hay.

Nguyên nhân là do là nhiều công ty đang gặp phải các thách thức trong việc sử dụng cũng như những sai lầm khi triển khai MFA. MFA thậm chí còn được coi là một rắc rối, đặc biệt đối với người dùng cuối. 

Richard Bird, Giám đốc công nghệ thông tin tại Ping Identity cho biết: "Có rất nhiều việc cần phải làm để nâng cao hiểu biết và sự chấp nhận MFA".

Một số sai lầm phổ biến mà các tổ chức, doanh nghiệp thường mắc phải khi triển khai MFA là gì? Dưới đây là một số sai lầm cần chú ý nếu tổ chức của bạn đang cân nhắc hoặc sử dụng MFA để tăng cường bảo mật.

1. MFA trở thành một tùy chọn

Bird của Ping Identity cho biết sai lầm phổ biến nhất mà ông thường thấy ở các khách hàng là triển khai MFA như một lựa chọn hoặc một tùy chọn.

Bird lý giải khi người dùng được đưa ra các lựa chọn mà không có những giải thích rõ ràng cũng như giá trị mang lại, họ sẽ chọn phương pháp cảm thấy dễ dàng nhất hoặc tiếp tục sử dụng phương pháp mà họ cảm thấy thoải mái. "Bảo mật không phải là một sự lựa chọn", ông nhấn mạnh.

Do đó, nếu tổ chức của bạn dự định triển khai MFA, hãy đảm bảo rằng việc sử dụng nó là bắt buộc.

2. Các yếu tố xác thực đối với MFA

Khi kích hoạt MFA, chúng ta có thêm một lớp bảo mật khác giữa dữ liệu của chúng ta và kẻ tấn công. Tuy nhiên, điều quan trọng là làm cho việc xác thực trở nên dễ dàng và an toàn hơn thông qua MFA. Bởi việc sử dụng các yếu tố xác thực phức tạp sẽ khiến người dùng khó nhớ và không muốn sử dụng.

Có từ 3 - 5 yếu tố xác thực khác nhau có thể được sử dụng bởi các hệ thống MFA. Tuy nhiên, hầu hết các hệ thống sử dụng 3 yếu tố sau:

- Những gì người dùng biết: Là những gì mà chỉ bạn mới có thể biết, ví dụ: Mật khẩu, mã PIN.... 

- Những gì người dùng có: Là những gì mà chỉ bạn mới có, ví dụ mã thông báo bảo mật,...

- Những gì thuộc về duy nhất người dùng: Là những đặc điểm chỉ bạn có, ví dụ xác minh sinh trắc học.

Do đó, giải pháp là sử dụng kết hợp 3 yếu tố này để tạo một hệ thống MFA an toàn và dễ dàng cho người dùng.

3. Chỉ triển khai MFA đối với một số người dùng và ứng dụng

Chỉ triển khai MFA đối với một số nhân viên được coi là quan trọng là một thực tiễn phổ biến mà công ty cung cấp phần mềm trên nền tảng điện toán đám mây Okta quan sát thấy trong các tổ chức.

Công ty này cho biết: "Chúng tôi thấy các tổ chức đôi khi chỉ áp dụng triển khai MFA cho các giám đốc điều hành vì theo lý thuyết các giám đốc điều hành có quyền truy cập vào thông tin nhạy cảm".

6 sai lầm cần lưu ý khi triển khai xác thực đa yếu tố - Ảnh 2.

Stephen Banda, quản lý cấp cao về các giải pháp bảo mật tại Lookout cho biết việc chỉ tăng cường bảo mật bằng MFA đối với một số ứng dụng mà không phải tất cả là một sai lầm. Ông nhấn mạnh: "Chúng tôi đã thấy các triển khai mà không được áp dụng MFA cho tất cả các ứng dụng đang được một tổ chức sử dụng… Một lần nữa, MFA nên được yêu cầu bắt buộc cho tất cả các ứng dụng vì những kẻ tấn công có thể phát hiện ra lỗ hổng này và tìm cách truy cập bằng thông tin đăng nhập bị đánh cắp".

Do đó, bài học rút ra cho các tổ chức là tất cả các nhân viên và ứng dụng đều có vai trò quan trọng, vì vậy, hãy thực thi MFA cho mọi người và bất kỳ ứng dụng nào có chứa dữ liệu nhạy cảm.

4. SMS MFA: Phổ biến nhất nhưng lại kém an toàn nhất

Mặc dù SMS MFA là lựa chọn cực kỳ phổ biến với các nhà cung cấp dịch vụ nhưng nó có nhiều lỗ hổng nên không thể đáp ứng mục đích của yếu tố xác thực. Mọi người có thể nhận được SMS theo hàng chục cách mà chả cần đến điện thoại. Ví dụ, bạn có thể gửi tiếp SMS của mình đến máy tính bảng hoặc địa chỉ email. Hoặc là bạn có thể truy cập SMS online thông qua trang web của nhà cung cấp điện thoại di động của bạn chỉ bằng mật khẩu.

6 sai lầm cần lưu ý khi triển khai xác thực đa yếu tố - Ảnh 3.

Do đó, theo Banda của Lookout, thay vì chỉ dựa vào việc gửi mã xác thực qua SMS, bạn hãy sử dụng một ứng dụng xác thực. Điều này sẽ giúp giảm thiểu rủi ro liên quan đến phương pháp xác thực qua SMS.

5. Triển khai MFA tại một số địa điểm nhất định

Các doanh nghiệp thường nhanh chóng triển khai MFA sau khi xảy ra vi phạm nhằm giải quyết các vấn đề về xác thực trong một lĩnh vực, địa điểm nhất định. Trong ngắn hạn, những giải pháp này có vẻ tuyệt vời. Tuy nhiên, giải pháp MFA không được duy trì đúng cách, sẽ dẫn đến việc sử dụng giảm dần và có thể khiến doanh nghiệp gặp phải những vi phạm tương tự.

Triển khai MFA là một chiến lược và quy trình tổng thể, do đó cần thực hiện riển khai MFA trên toàn tổ chức chứ không chỉ ở địa điểm hay văn phòng nào đó.

6. Đánh giá thấp tác động của MFA đối với hoạt động của doanh nghiệp

Một sai lầm phổ biến khác là đánh giá thấp tác động của MFA đối với các quy trình kinh doanh cũng như quy trình làm việc. Về bản chất, MFA sẽ có tạo ra những thay đổi đáng kể và ảnh hưởng đến người dùng. Việc này phải được xem xét và tính toán trong quá trình lập kế hoạch.

Những thay đổi về quy trình xử lý và những yêu cầu mới về hành vi chắc chắn sẽ dẫn đến việc phản đối áp dụng. Các tổ chức cần xem xét và đánh giá những tác động của MFA đối với từng người và từng bộ phận và thông báo những thay đổi đó cho người dùng càng sớm càng tốt.

TH