Cơ chế đăng nhập một lần có an toàn?

HG| 16/10/2015 12:04
Theo dõi ICTVietnam trên

Cơ chế đăng nhập 1 lần (single sign-on - SSO) mang lại nhiều lợi ích, nhưng nó cũng tiềm ẩn một số nguy cơ về bảo mật mà người quản lý cần phải lường trước.

Hiện nay, các công ty đang có xu hướng sử dụng những dịch vụ dựa trên đám mây. Ngoại trừ phần mềm quản lý mã nguồn và gói phần mềm cộng tác được sử dụng để theo dõi những sự thay đổi của sản phẩm thì mọi thứ khác như email, bán hàng, tiếp thị, phần mềm tài chính, phần mềm kế toán, thậm thậm chí là công cụ quản lý mật khẩu “password vault” cũng được chuyển vào đám mây. Và như vậy, với khoảng 20 ứng dụng doanh nghiệp thì cũng tương tương ứng với 20 mật khẩu khác nhau cần phải nhớ. Khi đó, SSO trở thành giải pháp hiệu quả và tiện dụng, người dùng chỉ cần một mật khẩu là có thể kích hoạt được tất cả các ứng dụng cần thiết phục vụ cho công việc.

Ngoài ra, SSO còn hỗ trợ cả những vấn đề về người dùng. Khi các ứng dụng trên đám mây không được quản lý tập trung bởi nhóm IT mà được phân quyền quản lý cho các bộ phận khác như, đội ngũ tiếp thị quản lý các ứng dụng riêng của họ, nhóm quản lý nhân lực quản lý những ứng dụng quản lý chất lượng..., sự phân tán này dẫn đến tình trạng nhiều nhân viên truy nhập vào các ứng dụng của công ty trên đám mây. SSO cũng trợ giúp giải quyết cả những vấn đề như vậy.

Mặc dù SSO rất tiện lợi và hữu ích, nhưng nếu không triển khai một cách đúng đắn, SSO có thể là nguyên nhân gây ra những thiệt hại nhiều hơn là những tiện ích mà nó mang lại. Khi mật khẩu đã được xác thực thành công, người dùng có thể truy nhập vào nhiều ứng dụng trong hệ thống. Do vậy, nếu không được bảo mật tốt, kẻ tấn công tiếp cận được một ứng dụng là có thể tấn công vào toàn bộ hệ thống.

SSO không phải lúc nào cũng là một sự hoàn hảo. Ví dụ như Active Directory của Microsoft là một dịch vụ thư mục giúp tự động hóa việc quản lý hệ thống tài khoản người dùng. Tại một vị trí, Active Directory có thể xóa bỏ hoặc vô hiệu hóa một tài khoản của những người đã nghỉ việc hoặc chuyển sang bộ phận khác. Lý tưởng hơn nữa là khi đặc điểm nhận dạng của một người được tạo ra thì tài khoản, dịch vụ và các chức năng đi kèm sẽ lập tức có hiệu lực trong Active Directory, đồng thời những tài khoản liên quan (dù là trên hệ thống mạng nội bộ hay trên đám mây) cũng được tạo ra cho các ứng dụng khác nhau giúp cho người dùng có thể truy nhập được tất cả. Tuy nhiên, điều này không phải lúc nào cũng thực hiện được, bởi không phải mọi ứng dụng đều có thể tích hợpActive Directory và một số còn hỗ trợ tính năng SSO. Những thứ đó bao gồm chuẩn SAML (Security Assertion Markup Language) hoặc những ứng dụng tích hợp hay đồng bộ hóa trực tiếp. Khi điều đó xảy ra, người dùng không thể truy nhập theo cơ chế SSO mà phải đăng nhập trực tiếp tới ứng dụng.

Đặc biệt, với dịch vụ SSO cung cấp một cổng ứng dụng được gửi tới nhiều nhân viên, chỉ với thao tác nhấn và kích chuột là có thể truy nhập được tất cả các ứng dụng doanh nghiệp đã tích hợp SSO, thậm chí cả những ứng dụng cá nhân như ngân hàng, Amazon và eBay. Người dùng không cần phải nhớ hoặc lưu lại mật khẩu cho những tài khoản của mình. Tính năng này tuy tiện dụng với những người đi du lịch hay thường xuyên làm việc ở nhà. Nhưng nó tiềm ẩn nhiều mối nguy hại đối với những người sử dụng máy tính tại những điểm Internet công cộng hay ở sảnh khách sạn bởi khi họ log off không đúng sẽ để lại một cổng đăng nhập khiến cho bất cứ ai cũng có khả năng truy nhập được vào những thông tin nhạy cảm. Do vậy mà việc đăng nhập cần phải được bảo vệ bằng cơ chế bảo mật sử dụng hai nhân tố xác thực và mã hóa. Ngoài ra phải thiết lập chế độ timeout khi máy tính ở trạng thái không hoạt động để giảm bớt rủi ro cho người dùng khi họ rời khỏi máy tính ở nơi công cộng.

Cuối cùng, việc lựa chọn nhà cung cấp dịch vụ SSO, dù là đám trên mây hay trên hệ thống mạng nội bộ cũng cần phải được xem xét kỹ lưỡng độ an toàn trước khi giao phó trọng trách và các tiện ích của mình cho bên thứ 3.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Cơ chế đăng nhập một lần có an toàn?
POWERED BY ONECMS - A PRODUCT OF NEKO