MFA là gì? Tầm quan trọng của MFA trong bảo mật Doanh nghiệp
Bạn có từng lo lắng về việc tài khoản của mình có thể bị hack? Bạn đã bao giờ nghĩ rằng chỉ cần một mật khẩu mạnh là đủ để bảo vệ tài khoản của mình? Nếu vậy, bạn đã nhầm. Mật khẩu là một trong những phương thức xác thực phổ biến nhất, nhưng nó cũng là phương thức dễ bị tấn công nhất. Chỉ cần một chút nỗ lực, tin tặc có thể đánh cắp mật khẩu của bạn và truy cập trái phép vào tài khoản của bạn. Vậy làm thế nào để bảo vệ tài khoản của bạn khỏi bị tấn công? Câu trả lời là: xác thực đa nhân tố (MFA). Trong bài viết dưới đây, người đọc sẽ được hiểu rõ hơn MFA là gì cũng như các lợi ích,… mang lại. Khám phá ngay
MFA là gì?
MFA (Xác thực đa yếu tố) là quy trình khi đăng nhập tài khoản sẽ gồm nhiều bước, lúc đó hệ thống sẽ yêu cầu người dùng phải nhập thêm các thông tin khác ngoài mật khẩu của mình. Xác thực đa yếu tố kết hợp hai hoặc nhiều thông tin xác thực độc lập – những gì người dùng biết, chẳng hạn như mật khẩu; những gì người dùng có, chẳng hạn như mã thông báo bảo mật; và người dùng là ai, bằng cách sử dụng các phương pháp xác minh sinh trắc học.
Việc tạo lớp bảo vệ nhiều lớp bằng cách sử dụng xác thực đa yếu tố (MFA) sẽ làm tăng khó khăn khi người dùng trái phép truy cập vào mục tiêu, chẳng hạn như vị trí thực tế, thiết bị máy tính, mạng hoặc cơ sở dữ liệu. Kẻ tấn công vẫn phải vượt qua một hoặc nhiều chướng ngại vật để xâm nhập mục tiêu thành công, ngay cả khi một trong các yếu tố bị xâm phạm.
Các hệ thống MFA thường dựa vào xác thực hai yếu tố (2FA). Các nhà cung cấp đang ngày càng đề cập đến bất kỳ hệ thống xác thực nào cần hai hoặc nhiều thông tin xác thực danh tính để giảm nguy cơ bị tấn công mạng dưới dạng đa yếu tố. Một phần thiết yếu của hệ thống quản lý danh tính và quyền truy cập là xác thực đa yếu tố.
Tóm lại, MFA là một phương pháp bảo mật hiệu quả có thể mang lại nhiều lợi ích cho doanh nghiệp. Doanh nghiệp nên cân nhắc triển khai MFA cho tất cả các tài khoản và ứng dụng quan trọng của mình.
Cách thức hoạt động của MFA
Khi người dùng đăng ký tài khoản, nhiều loại nhận dạng sẽ được yêu cầu để cung cấp xác thực đa yếu tố. Để xác thực người dùng cho lần đăng nhập tiếp theo, hệ thống sẽ lưu ID này và dữ liệu người dùng. Mật khẩu và các chi tiết ID khác được xác minh trong suốt quy trình đăng nhập nhiều bước. Dưới đây, GCS sẽ đi vào chi tiết hơn các giai đoạn liên quan đến xác thực đa yếu tố:
1. Đăng ký
Người dùng tạo tài khoản với tên người dùng và mật khẩu. Sau đó, bạn cần liên kết các thiết bị khác, chẳng hạn như thiết bị điện thoại di động hoặc thiết bị thông minh phần cứng vật lý, với tài khoản hiện tại. Mục này cũng có thể là ảo, chẳng hạn như địa chỉ email, số điện thoại di động hoặc mã ứng dụng xác thực. Tất cả các mục này giúp nhận dạng duy nhất người dùng và không được chia sẻ với người khác.
2. Xác minh
Phản hồi xác thực từ thiết bị MFA của người dùng (yếu tố thứ hai, những gì họ sở hữu) cũng như tên người dùng và mật khẩu của họ (yếu tố đầu tiên, những gì họ biết) được yêu cầu khi người dùng kích hoạt MFA đăng nhập vào một trang web.
Hệ thống sẽ kết nối với những thứ khác nếu nó có thể xác thực mật khẩu. Ví dụ: nó có thể truyền mã qua SMS tới thiết bị di động của người dùng hoặc cung cấp mã số cho thiết bị vật lý.
3. Hoàn tất quá trình
Bằng cách xác thực các đối tượng còn lại, người dùng sẽ hoàn thành thủ tục xác thực. Ví dụ: họ có thể nhấn nút trên thiết bị vật lý hoặc nhập mã mà họ được cung cấp. Chỉ khi tất cả các dữ liệu khác đã được xác nhận, người dùng mới có thể truy cập vào hệ thống.
4. Thực hiện quy trình
Xác thực đa yếu tố có thể được thực hiện theo nhiều cách khác nhau. Đây là một số ví dụ:
- Hệ thống chỉ yêu cầu mật khẩu và một ID nữa, được gọi là xác thực hai yếu tố hoặc xác thực hai bước.
- Thay vì hệ thống, một ứng dụng của bên thứ ba được gọi là trình xác thực sẽ xác minh danh tính của người dùng. Người dùng nhập mật mã vào trình xác thực và trình xác thực sẽ xác nhận người dùng với hệ thống.
- Trong quá trình xác minh, người dùng nhập thông tin sinh trắc học bằng cách quét dấu vân tay, võng mạc hoặc bộ phận cơ thể khác.
- Hệ thống chỉ có thể yêu cầu nhiều xác thực khi bạn truy cập lần đầu tiên trên một thiết bị mới. Sau đó, nó sẽ ghi nhớ máy và chỉ hỏi mật khẩu của bạn.
Các phương thức xác thực MFA phổ biến
Khi chưa biết về MFA là gì, nhiều người còn cho rằng Yếu tố xác thực là một loại thông tin xác thực được sử dụng để xác minh danh tính. Đối với MFA, mỗi yếu tố bổ sung nhằm mục đích tăng cường sự đảm bảo rằng một thực thể tham gia vào một số loại hình giao tiếp hoặc yêu cầu quyền truy cập vào hệ thống là ai – hoặc cái gì – mà thực thể đó nói. Việc sử dụng nhiều hình thức xác thực có thể khiến công việc của hacker trở nên khó khăn hơn.
Các phương thức xác thực thường dựa trên 3 yếu tố gồm có: yếu tố kiến thức (Knowledge factor), yếu tố sở hữu (Possession factor), yếu tố cố hữu (Inherence factor). MFA hoạt động bằng cách kết hợp hai hoặc nhiều yếu tố từ các danh mục này.
1. Yếu tố kiến thức (Knowledge factor)
Việc trả lời câu hỏi bảo mật cá nhân thường được yêu cầu để xác thực dựa trên kiến thức. Mật khẩu dùng một lần (OTP), số nhận dạng cá nhân gồm bốn chữ số (PIN) và mật khẩu là những ví dụ về công nghệ bảo mật dựa trên yếu tố kiến thức. Ví dụ về các tình huống người dùng sử dụng các phương thức xác thực MFA dựa trên yếu tố kiến thức điển hình như sau:
- Vuốt thẻ ghi nợ và nhập mã PIN khi thanh toán hàng tạp hóa.
- Tải xuống ứng dụng khách mạng riêng ảo có chứng chỉ kỹ thuật số hợp lệ và đăng nhập vào VPN trước khi có quyền truy cập vào mạng.
- Cung cấp câu trả lời cho các câu hỏi bảo mật cá nhân – chẳng hạn như tên thời con gái của mẹ hoặc địa chỉ trước đây – để có quyền truy cập hệ thống.
2. Yếu tố sở hữu (Possession factor)
Người dùng phải sở hữu thứ gì đó cụ thể để đăng nhập, chẳng hạn như huy hiệu, mã thông báo, chìa khóa thông minh hoặc thẻ mô-đun nhận dạng thuê bao điện thoại di động (SIM). Để xác thực trên thiết bị di động, điện thoại thông minh thường cung cấp yếu tố sở hữu kết hợp với ứng dụng OTP.
Các phương thức xác thực đa nhân tố MFA dựa trên yếu tố sở hữu bao gồm:
- Mã thông báo bảo mật là các thiết bị phần cứng nhỏ lưu trữ thông tin cá nhân của người dùng và được sử dụng để xác thực danh tính của người đó bằng điện tử. Thiết bị có thể là thẻ thông minh hoặc chip nhúng trong một đối tượng như ổ đĩa Universal Serial Bus (USB) hoặc thẻ không dây.
- Mã thông báo phần mềm là các ứng dụng bảo mật dựa trên phần mềm tạo mã PIN đăng nhập sử dụng một lần. Mã thông báo phần mềm thường được sử dụng để xác thực đa yếu tố di động, trong đó chính thiết bị – chẳng hạn như điện thoại thông minh – cung cấp xác thực yếu tố sở hữu.
Các trường hợp người dùng cần phải sử dụng các phương pháp xác thực MFA dựa trên yếu tố sở hữu bao gồm:
- Xác thực di động, nơi người dùng cuối nhận mã trên điện thoại thông minh của họ để nhận hoặc cấp quyền truy cập – các biến thể bao gồm tin nhắn văn bản và cuộc gọi điện thoại được gửi tới người dùng dưới dạng phương thức ngoài băng tần, ứng dụng OTP trên điện thoại thông minh, thẻ SIM và thẻ thông minh được lưu trữ dữ liệu xác thực.
- Gắn mã thông báo phần cứng USB vào máy tính để bàn tạo OTP và sử dụng nó để đăng nhập vào máy khách VPN.
3. Yếu tố cố hữu (Inherence factor)
Bất kỳ đặc điểm sinh học nào của người dùng đều được xác nhận để đăng nhập chính là các phương thức xác thực dựa trên yếu tố cố hữu (Inherence). Công nghệ nhân tố kế thừa bao gồm các phương pháp xác minh sinh trắc học sau:
- Quét võng mạc hoặc mống mắt.
- Quét vân tay.
- Xác thực bằng giọng nói.
- Hình học bàn tay.
- Máy quét chữ ký số.
- Nhận dạng khuôn mặt.
Các thành phần của thiết bị sinh trắc học bao gồm đầu đọc, cơ sở dữ liệu và phần mềm để chuyển đổi dữ liệu sinh trắc học được quét sang định dạng kỹ thuật số được tiêu chuẩn hóa và để so sánh các điểm trùng khớp của dữ liệu được quan sát với dữ liệu được lưu trữ.
Các trường hợp yếu tố nhận dạng điển hình bao gồm:
- Sử dụng dấu vân tay hoặc nhận dạng khuôn mặt để truy cập điện thoại thông minh.
- Cung cấp chữ ký số tại quầy thanh toán bán lẻ.
- Xác định tội phạm bằng cách sử dụng hình học dái tai.
Vị trí của người dùng thường được đề xuất làm yếu tố thứ tư để xác thực. Một lần nữa, sự phổ biến của điện thoại thông minh có thể giúp giảm bớt gánh nặng xác thực: Người dùng thường mang theo điện thoại của họ và tất cả điện thoại thông minh cơ bản đều có Hệ thống định vị toàn cầu theo dõi, cung cấp xác nhận đáng tin cậy về vị trí đăng nhập.
Xác thực dựa trên thời gian cũng được sử dụng để chứng minh danh tính của một người bằng cách phát hiện sự hiện diện tại một thời điểm cụ thể trong ngày và cấp quyền truy cập vào một hệ thống hoặc địa điểm nhất định. Ví dụ: khách hàng của ngân hàng không thể sử dụng thẻ ATM của họ ở Hoa Kỳ và sau đó ở Nga sau 15 phút. Những loại khóa logic này có thể được sử dụng để giúp ngăn chặn nhiều trường hợp lừa đảo ngân hàng trực tuyến.
Ưu điểm, hạn chế của MFA
Xác thực đa yếu tố được tạo ra để tăng cường khả năng truy cập bảo mật vào hệ thống và ứng dụng thông qua phần cứng và phần mềm. Mục đích là để xác thực danh tính của người dùng và đảm bảo tính toàn vẹn của các giao dịch kỹ thuật số của họ. Nhược điểm của MFA là người dùng thường quên câu trả lời cho các câu hỏi cá nhân xác minh danh tính của họ và một số người dùng chia sẻ mã thông báo ID và mật khẩu cá nhân. Theo đó, GCS Vietnam sẽ chỉ ra MFA sẽ có các lợi ích và bất lợi sau:
1. Ưu điểm
- Thêm các lớp bảo mật ở cấp độ phần cứng, phần mềm và ID cá nhân.
- Có thể sử dụng OTP gửi tới điện thoại được tạo ngẫu nhiên theo thời gian thực và hacker khó có thể phá vỡ.
- Có thể giảm tới 99,9% vi phạm bảo mật chỉ bằng mật khẩu.
- Người dùng có thể dễ dàng thiết lập.
- Cho phép doanh nghiệp lựa chọn hạn chế quyền truy cập theo thời gian trong ngày hoặc địa điểm.
- Có chi phí có thể mở rộng vì có những công cụ MFA đắt tiền và rất phức tạp nhưng cũng có những công cụ có giá cả phải chăng hơn dành cho các doanh nghiệp nhỏ.
- Cải thiện các biện pháp bảo mật và phản hồi cho các công ty vì họ có thể thiết lập hệ thống xác thực đa yếu tố để chủ động tạo cảnh báo bất cứ khi nào phát hiện thấy các nỗ lực đăng nhập đáng ngờ.
- Cung cấp xác thực thích ứng, giúp thay đổi nơi làm việc khi ngày càng có nhiều nhân viên làm việc từ xa.
- Giúp đáp ứng Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (Health Insurance Portability and Accountability Act) cũng như các yêu cầu tuân thủ, trong đó chỉ yêu cầu quyền truy cập được phép và hạn chế vào thông tin nhạy cảm, chẳng hạn như hồ sơ y tế cá nhân.
2. Hạn chế
- Yêu cầu điện thoại để nhận mã tin nhắn văn bản.
- Mã thông báo phần cứng có thể bị mất hoặc bị đánh cắp.
- Điện thoại có thể bị mất hoặc bị đánh cắp.
- Dữ liệu sinh trắc học được tính toán bằng thuật toán MFA cho ID cá nhân, chẳng hạn như dấu vân tay, không phải lúc nào cũng chính xác và có thể tạo ra kết quả dương tính hoặc âm tính giả.
- Xác minh MFA có thể không thành công nếu mạng hoặc Internet bị mất.
- Các kỹ thuật MFA phải liên tục được nâng cấp để bảo vệ chống lại tội phạm mạng làm việc không ngừng nghỉ để phá vỡ chúng.
Tại sao MFA quan trọng trong việc lưu trữ đám mây?
MFA quan trọng trong việc lưu trữ đám mây vì nó giúp tăng cường bảo mật tài khoản của bạn bằng cách thêm một lớp bảo vệ bổ sung. Nếu tin tặc đánh cắp mật khẩu của bạn, họ vẫn sẽ không thể đăng nhập vào tài khoản của bạn nếu họ không có mã xác thực hoặc đặc điểm sinh trắc học của bạn. Với việc sử dụng Google Workspace cho doanh nghiệp thì khả năng bị đánh cắp sẽ giảm đi đáng kể. Cụ thể hơn, MFA giúp bảo vệ dữ liệu của doanh nghiệp dùng Google Workspace khỏi các loại tấn công sau:
- Tấn công brute-force: Đây là loại tấn công phổ biến nhất, trong đó tin tặc cố gắng đoán mật khẩu của bạn bằng cách thử các mật khẩu phổ biến hoặc kết hợp các ký tự ngẫu nhiên. MFA giúp ngăn chặn loại tấn công này bằng cách yêu cầu tin tặc phải có một yếu tố xác thực bổ sung ngoài mật khẩu.
- Tấn công phishing: Trong loại tấn công này, tin tặc gửi cho bạn một email giả mạo yêu cầu bạn cung cấp thông tin đăng nhập của mình. MFA giúp ngăn chặn loại tấn công này bằng cách yêu cầu bạn cung cấp một yếu tố xác thực bổ sung mà tin tặc không thể biết được.
- Tấn công man-in-the-middle: Trong loại tấn công này, tin tặc chặn kết nối giữa bạn và máy chủ và thay thế thông tin xác thực của bạn bằng thông tin của họ. MFA giúp ngăn chặn loại tấn công này bằng cách yêu cầu bạn cung cấp một yếu tố xác thực bổ sung mà tin tặc không thể truy cập được.
Lợi ích của MFA đối với doanh nghiệp
MFA là một phương pháp bảo mật hiệu quả có thể giúp doanh nghiệp giảm thiểu rủi ro bị tấn công mạng. Dưới đây là một số lợi ích cụ thể của MFA đối với doanh nghiệp:
- Tăng cường bảo mật: MFA giúp tăng cường bảo mật tài khoản của doanh nghiệp bằng cách thêm một lớp bảo vệ bổ sung. Nếu tin tặc đánh cắp mật khẩu của một người dùng, họ vẫn sẽ không thể đăng nhập vào tài khoản đó nếu họ không có mã xác thực hoặc đặc điểm sinh trắc học của người dùng.
- Giảm thiểu rủi ro vi phạm dữ liệu: MFA có thể giúp giảm thiểu rủi ro vi phạm dữ liệu bằng cách ngăn chặn tin tặc truy cập vào dữ liệu của doanh nghiệp.
- Tuân thủ quy định: MFA có thể giúp doanh nghiệp tuân thủ các quy định bảo mật, chẳng hạn như Đạo luật Bảo vệ Dữ liệu Chung (GDPR) của Châu Âu.
- Tăng cường kiểm soát truy cập: MFA cho phép doanh nghiệp kiểm soát chặt chẽ hơn việc truy cập vào tài khoản và dữ liệu của họ.
Lời kết
Mong rằng qua bài viết này, người dùng đã hiểu rõ hơn về bảo mật MFA là gì và những lợi ích, tác dụng mà nó đem lại cho doanh nghiệp. Nếu có bất kỳ thắc mắc hay cần sự hỗ trợ tư vấn nào, các bạn hãy liên hệ với GCS Technology Vietnam qua Hotline: 024.9999.7777 để được tư vấn và triển khai dịch vụ bảo mật phù hợp với doanh nghiệp của mình nhé.