Sự ra đời của giải pháp xác thực không dùng mật khẩu loại bỏ sự phụ thuộc vào mật khẩu và mang lại trải nghiệm người dùng tốt hơn, bớt gánh nặng cho các nhân viên IT cũng như có mức độ bảo mật tốt hơn.
Tuy nhiên, hiện nay vẫn chưa thể dễ dàng có được giải pháp xác thực không dùng mật khẩu. Rất khó cho các tổ chức để có thể giải quyết các thách thức về truy cập bằng bất kỳ giải pháp không sử dụng mật khẩu nào. Môi trường CNTT phức tạp và lai (cả đám mây và tại chỗ), chi phí quản lý và vận hành cũng như các quy định tuân thủ đều gây khó khăn khi phải đưa ra một giải pháp tổng thể.
Hiện nay, thực tế cho thấy sự gia tăng nhanh chóng của tỉ lệ sử dụng thiết bị di động trong tổ chức. Việc phải nhập nhiều mật khẩu để truy cập các tài nguyên có sẵn trong thiết bị di động là chính là một thách thức đối với bất kỳ thành viên. Đặc biệt, đối với những thành viên chủ chốt (những người mang lại doanh thu cao nhất cho tổ chức), các vấn đề về truy cập và thời gian gián đoạn hoạt động liên quan có thể gây tốn kém cho tổ chức.
Các tổ chức vẫn đang gặp khó khăn với làm việc từ xa. Việc các tổ chức mở cửa văn phòng trở lại cho nhân viên đi làm chưa xác định được thời hạn thì làm việc từ xa sẽ tiếp tục là một điều bình thường mới. Đội ngũ làm việc từ xa dựa vào nhiều ứng dụng, mạng và máy chủ để hoàn thành công việc.
Đối với các tổ chức lớn, số lượng công cụ mà các nhân viên dùng cho công việc là rất nhiều, có thể trở nên quá tải. Để có trải nghiệm người dùng lý tưởng, thì tổ chức muốn đơn giản hóa quyền truy cập cho nhân viên bằng một giải pháp ứng dụng dành cho thiết bị di động. Tuy nhiên, nhu cầu xác thực của tổ chức có thể đơn giản hoặc phức tạp. Cách tiếp cận không dùng mật khẩu có nghĩa là nhân viên không chỉ không phải nhớ mật khẩu phức tạp và tuân thủ các chính sách bảo mật khác nhau, mà họ cũng không phải thay đổi mật khẩu định kỳ.
Lý tưởng nhất là tổ chức muốn nhân viên có cùng một trải nghiệm người dùng trên thiết bị di động như trên PC. Ví dụ: tính năng di động hoàn toàn dành cho những nhân viên chủ chốt, có nghĩa là loại bỏ nhu cầu cần có PC để đặt lại mật khẩu.
Các thiết bị di động hiện có nhiều quyền truy cập vào thông tin của tổ chức như các thiết bị đầu cuối truyền thống. Khi nhân viên tiếp tục làm việc từ xa, sự phụ thuộc của nhân viên vào thiết bị di động ngày càng gia tăng. Khi các công ty nhận thức được thực tế rằng làm việc từ xa sẽ trở thành điều bình thường mới đối với nhiều nhân viên của họ, họ sẽ xem xét lại giải pháp đối với thiết bị di động. Với việc các thiết bị cá nhân (hoặc các thiết bị hỗ trợ cá nhân) ngày càng được cho phép sử dụng, các tổ chức cần xem xét áp dụng nền tảng zero-trust.
Trên thực tế, điều này khiến việc nhận diện thiết bị người dùng theo thời gian thực và khả năng cung cấp quyền truy cập có điều kiện vào dữ liệu của công ty trở nên quan trọng hơn. Mật khẩu được biết đến là một điểm yếu trong hệ thống máy tính và bị tội phạm mạng coi là mục tiêu mềm.
Thật vậy, tấn công mật khẩu là nguyên nhân dẫn đến một tỷ lệ lớn các vi phạm bảo mật. Những vi phạm như vậy, đặc biệt đối với thông tin của nhân viên cấp cao hoặc quản trị viên CNTT sẽ mang lại rủi ro cho dữ liệu và hệ thống CNTT. Thông tin đăng nhập yếu hoặc bị đánh cắp ngày càng gia tăng cho thấy sự cần thiết của một giải pháp bảo mật tài khoản của các tổ chức hơn là chỉ dựa vào mật khẩu.
Trong môi trường không dùng mật khẩu thì không cần lưu trữ hoặc quản lý mật khẩu. Do đó, đội ngũ CNTT không còn gánh nặng trong việc thiết lập chính sách mật khẩu, phát hiện rò rỉ thông tin đăng nhập, đặt lại mật khẩu người dùng đã quên và tuân thủ các quy định về lưu trữ mật khẩu. Có thể nói, đối với nhiều đội ngũ hỗ trợ khách hàng, thì yêu cầu đặt lại mật khẩu là yêu cầu phổ biến nhất từ người dùng.
Một nghiên cứu trước đây đã cho thấy rằng, đối với một số tổ chức lớn hơn, có thể chi tới 1 triệu USD mỗi năm cho nhân sự và cơ sở hạ tầng chỉ để xử lý việc đặt lại mật khẩu. Đặt lại mật khẩu có lẽ không phải là một vấn đề phức tạp đối với hầu hết các bộ phận CNTT, nhưng số lượng yêu cầu quá lớn khiến việc xử lý những yêu cầu này trở thành một nhiệm vụ mất rất nhiều thời gian.
Vấn đề này sẽ tiêu tốn nhiều thời gian cho các bộ phận hỗ trợ khách hàng khi tính ra mỗi ngày, mỗi tuần hoặc thậm chí mỗi tháng. Đó là một trong những chi phí ngầm mà tổ chức sẽ phải gánh chịu, nhưng có thể loại bỏ bằng cách áp dụng kết nối không dùng mật khẩu cho các nhân viên trong môi trường mạng của tổ chức.
Mật khẩu vẫn là một điểm yếu đối với đội ngũ có nhiệm vụ bảo mật dữ liệu của khách hàng và tổ chức, trong đó mật khẩu là mục tiêu số một của tội phạm mạng. Đối với các bộ phận CNTT, mật khẩu là một gánh nặng theo nhiều khía cạnh. Đối với những nhân viên chủ chốt của tổ chức, thời gian là điều quan trọng - không nên lãng phí thời gian giải quyết các vấn đề đăng nhập hoặc đặt lại mật khẩu. Đây là những lý do để tổ chức loại bỏ mật khẩu và chuyển sang áp dụng giải pháp không dùng mật khẩu.
Đỗ Đoàn Kết
(Theo Help Net Security)
07:00 | 23/03/2021
08:00 | 05/03/2021
08:00 | 15/02/2022
08:00 | 12/03/2021
07:00 | 24/05/2021
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
10:00 | 10/11/2023
Google đã thực hiện một bước quan trọng nhằm tăng cường bảo mật Internet của Chrome bằng cách tự động nâng cấp các yêu cầu HTTP không an toàn lên các kết nối HTTPS cho toàn bộ người dùng.
11:00 | 27/01/2023
Các tổ chức/doanh nghiệp nên thực hiện quản lý rủi ro trong suốt chu trình phát triển phần mềm thay vì quay trở về các xu hướng phát triển trước đó. Tần suất xuất hiện rủi ro sẽ tiếp tục tăng nhanh khi các tác động tiêu cực của các lỗi xuất hiện trong chu trình phát triển phần mềm ngày càng nghiêm trọng. Các phương pháp và cách thực hành trước đây về thực hiện quản trị, rủi ro và tuân thủ (GRC) đều xoay quanh các quy trình thủ công, sử dụng bảng tính hoặc nhận dạng hồi tố,… đã quá lỗi thời, không thể bắt kịp với sự phát triển nhanh chóng của công nghệ. Kết quả là, các doanh nghiệp đã đưa quản lý rủi ro vào thời đại kỹ thuật số, biến GRC thành quản lý rủi ro kỹ thuật số (DRM). Những DRM được áp dụng đó đưa ra các quyết định bảo mật tốt hơn, bảo vệ dữ liệu khách hàng và đảm bảo sự hài lòng của các bên liên quan. Việc thực hiện DRM cũng dẫn đến hiệu quả cao hơn thông qua tự động hóa.
09:00 | 13/12/2022
Công nghệ Blockchain (chuỗi khối) tạo ra chuỗi thông tin được bảo vệ an toàn, ghi nhận thời điểm giao dịch và không thể bị thay đổi. Blockchain cũng hứa hẹn một phương pháp hiệu quả trong việc tăng tốc độ quy trình xử lý. Với khả năng chia sẻ thông tin dữ liệu minh bạch, tiết kiệm không gian lưu trữ và bảo mật cao, công nghệ này mang lại nhiều triển vọng trong việc bảo hộ quyền sở hữu trí tuệ (SHTT) - một lĩnh vực đóng vai trò quan trọng trong thúc đẩy đổi mới sáng tạo và phát triển bền vững của các quốc gia.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024
