Xu hướng bảo mật không dùng mật khẩu

Den Jones, Giám đốc chiến lược (CSO) tại Banyan Security trong cuộc phỏng vấn với Help Net Security đã giải thích những lợi ích của việc triển khai xác thực không cần mật khẩu và quy trình mà mọi tổ chức phải trải qua khi triển khai công nghệ này.

Trong tương lai, việc sử dụng mật khẩu chắc chắn sẽ chấm dứt và điều này sẽ sớm xảy ra. Mật khẩu được sử dụng ở nhiều cấp độ khác nhau, từ hệ điều hành đến các ứng dụng, cũng như cơ sở hạ tầng.

Có thể trong tương lai chúng ta sẽ thấy việc sử dụng mật khẩu trên các hệ điều hành và các ứng dụng sẽ giảm rất nhanh so với sử dụng mật khẩu đối với hạ tầng. Điều này đặc biệt đúng với cơ sở hạ tầng đã cũ. Đặc biệt, người dùng cuối cũng sẽ giảm nhu cầu về mật khẩu trong cuộc sống hàng ngày của họ. Điều này cũng mang lại nhiều lợi ích cho tổ chức hơn so với lợi ích của các quản trị viên hệ thống.

Giải pháp không mật khẩu là như thế nào và đang trên đà gia tăng áp dụng?

Không mật khẩu sẽ giúp cải thiện bảo mật cũng như trải nghiệm của người dùng. Từ góc độ bảo mật, không nhập mật khẩu thì kẻ xấu sẽ khó lấy cắp thông tin đăng nhập hơn vì nó không nằm trong bộ nhớ cũng như không được ghi vào giấy. 

Rõ ràng từ kinh nghiệm, tất cả chúng ta đều biết việc sử dụng mật khẩu nhiều khi "phiền phức" tới mức nào, vì vậy, việc loại bỏ mật khẩu là rất tốt và cần tăng tốc độ của tiến trình xác thực.

Những lợi ích chính của xác thực không mật khẩu và ảnh hưởng đối với doanh nghiệp

Xác thực không cần mật khẩu ảnh hưởng tích cực đến ít nhất ba lĩnh vực của một tổ chức là: Bảo mật, CNTT và người dùng cuối.

Bảo mật không mật khẩu làm giảm diện tích bề mặt tấn công, giảm đáng kể khả năng bị tấn công. Các thông tin đăng nhập bị mất và bị đánh cắp đột nhiên không còn là vấn đề nữa. Bảo mật không mật khẩu giúp người dùng không còn phải lo lắng về việc tuân theo các quy tắc xung quanh độ phức tạp, độ dài và tỷ lệ doanh thu.

Làm thế nào giải quyết được vấn đề không cần mật khẩu? Điều này được giải quyết bằng cách tận dụng các xác thực dành riêng cho từng thiết bị mà người dùng có. Cách này có thể đảm bảo mức độ bảo mật cao trong khi vẫn thực sự cải thiện tốt trải nghiệm người dùng.

Người dùng cuối mất rất nhiều thời gian cho các vấn đề về mật khẩu. Trong thực tế, số lần yêu cầu trợ giúp mang tính thường xuyên nhất là những vấn đề liên quan đến mật khẩu như quên mật khẩu, khó thay đổi mật khẩu, vấn đề truy cập… Những vấn đề này chiếm một tỷ lệ đáng kinh ngạc trong tổng yêu cầu trợ giúp khiến đội ngũ CNTT không còn thời gian cho nhiệm vụ cốt lõi là cải thiện năng suất.

Bảo mật không mật khẩu có thực sự đáng tin cậy không?

Từ góc độ bảo mật, triển khai giải pháp không mật khẩu dựa trên xác thực bảo mật hơn nhiều so với việc sử dụng các thông tin đăng nhập theo chuẩn. Kết quả của bạn sẽ vừa có nhận dạng và xác thực thiết bị, liên kết chặt chẽ giữa người dùng và thiết bị. 

Nếu bạn thậm chí còn có ứng dụng quản lý thiết bị di động (MDM) hoặc phần mềm quản lý các thiết bị cuối (UEM) thống nhất thì giờ đây đối với những thiết bị bạn không kiểm soát hoặc quản lý, bạn đã có thể tin tưởng vào tình trạng bảo mật của thiết bị. Bạn không còn có nguy cơ bị mất hoặc trộm thông tin đăng nhập và bạn loại bỏ yêu cầu trợ giúp liên quan đến mật khẩu.

Từ góc độ quyền riêng tư, dữ liệu sẽ an toàn hơn và khi có nhiều ứng dụng hỗ trợ công nghệ không mật khẩu, thì việc truy cập vào các tài khoản của mọi người sẽ khó khăn hơn và bởi vì đó dữ liệu cá nhân. Việc truy cập hồ sơ của ai đó trong một tài khoản có thể dẫn đến việc biết những thông tin chi tiết cho phép truy cập vào các tài khoản khác, chẳng hạn như câu hỏi và câu trả lời bí mật được sử dụng trong quy trình đặt lại mật khẩu.

Các bước thực hiện để triển khai công nghệ không mật khẩu

Bước đầu tiên và quan trọng nhất là kích hoạt xác thực đa yếu tố (MFA). Ngoài ra, còn có ba điều cần xem xét.

Đầu tiên, triển khai một nền tảng hỗ trợ xác thực dựa trên chứng chỉ, lưu trữ và quản lý an toàn các chứng chỉ được gắn với người dùng và thiết bị cụ thể.

Thứ hai, tạo khả năng bảo mật thông minh, sử dụng xác thực nhật ký dữ liệu để tìm kiếm các sự kiện bất thường hoặc độc hại. Điều này có thể giúp xác định khả năng xâm phạm tài khoản, cho phép người dùng xác nhận xem sự kiện có phải là họ hay không.

Thứ ba, mặc dù không yêu cầu nghiêm ngặt, nhưng nếu giảm bớt quá trình xác minh người dùng thì việc tăng cường nâng cấp thiết bị là cách tốt nhất để làm hài lòng những người dùng và cải thiện khả năng bảo vệ của bạn một cách sâu sắc.

Khi có bảo mật không dùng mật khẩu mật khẩu truyền thống còn được sử dụng hay không?

Theo khuyến nghị của Den Jones, chúng ta sẽ vẫn sử dụng mật khẩu trong thời gian tới. Tuy nhiên, theo thời gian, việc sử dụng sẽ giảm dần. Mật khẩu vẫn sẽ có trong nền tảng và chúng có thể được sử dụng như một phương pháp dự phòng.

Đó không phải là tất cả vì bạn có thể giảm việc sử dụng mật khẩu dựa trên các ứng dụng hoặc nhóm người dùng cụ thể. Một số hệ thống có khả năng tiếp tục sử dụng mật khẩu, nhưng bạn hoàn toàn nên sử dụng MFA với những trường hợp này./.