MFA (xác thực nhiều yếu tố) là gì?
Xác thực nhiều yếu tố (MFA) là một quy trình đăng nhập tài khoản gồm nhiều bước, trong đó, yêu cầu người dùng nhập thêm thông tin khác ngoài mật khẩu. Ví dụ: cùng với mật khẩu, người dùng có thể được yêu cầu nhập mã gửi qua email, trả lời câu hỏi bí mật hoặc quét vân tay. Hình thức xác thực thứ hai có thể giúp ngăn chặn truy cập tài khoản trái phép khi mật khẩu hệ thống bị lộ.
Tại sao xác thực nhiều yếu tố lại quan trọng?
Bảo mật kỹ thuật số nắm một vai trò vô cùng quan trọng trong thế giới ngày nay bởi vì cả doanh nghiệp lẫn người dùng đều lưu trữ thông tin nhạy cảm trực tuyến. Mọi cá nhân tương tác với các ứng dụng, dịch vụ và dữ liệu được lưu trữ trên mạng Internet bằng những tài khoản trực tuyến. Nếu bị lộ hoặc sử dụng trái phép, thông tin trực tuyến này có thể gây ra những hậu quả nghiêm trọng ngoài đời thực, chẳng hạn như ăn cắp tài chính, gián đoạn kinh doanh hoặc mất quyền riêng tư.
Tuy rằng mật khẩu có thể bảo vệ các tài sản kỹ thuật số, nhưng chỉ vậy thì chưa đủ. Những tay tội phạm không gian ảo “lành nghề” luôn chủ động nỗ lực khai thác mật khẩu. Khi nắm được một mật khẩu, chúng sẽ có thể giành được quyền truy cập nhiều tài khoản mà bạn đã dùng chung mật khẩu. Xác thực nhiều yếu tố đóng vai trò như một lớp bảo mật bổ sung để ngăn chặn người dùng trái phép truy cập vào các tài khoản này, ngay cả khi mật khẩu đã bị đánh cắp. Các doanh nghiệp sử dụng xác thực nhiều yếu tố để xác minh danh tính người dùng và trao quyền truy cập nhanh chóng cũng như thuận tiện cho người dùng được ủy quyền.
Xác thực nhiều yếu tố mang lại những lợi ích gì?
Giảm thiểu rủi ro bảo mật
Xác thực nhiều yếu tố giảm thiểu rủi ro từ sai sót của con người, mật khẩu bị lộ và đánh mất thiết bị.
Thúc đẩy các sáng kiến kỹ thuật số
Các tổ chức có thể tự tin triển khai các sáng kiến kỹ thuật số. Các doanh nghiệp sử dụng xác thực nhiều yếu tố để giúp bảo vệ dữ liệu của tổ chức cũng như người dùng để họ có thể thực hiện các tương tác và giao dịch trực tuyến một cách bảo mật.
Cải thiện ứng phó bảo mật
Các công ty có thể cấu hình một hệ thống xác thực nhiều yếu tố để chủ động gửi cảnh báo mỗi khi phát hiện thấy hoạt động đăng nhập khả nghi. Điều này giúp cho cả công ty lẫn người dùng ứng phó nhanh chóng hơn với những cuộc tấn công mạng, qua đó giảm thiểu thiệt hại có thể xảy ra.
Xác thực nhiều yếu tố hoạt động như thế nào?
Xác thực nhiều yếu tố hoạt động bằng cách yêu cầu người dùng cung cấp nhiều loại thông tin định danh vào thời điểm đăng ký tài khoản. Hệ thống sẽ lưu trữ thông tin định danh này và thông tin người dùng để xác minh người dùng trong lần đăng nhập tiếp theo. Đăng nhập là một quy trình gồm nhiều bước xác minh các thông tin nhận dạng khác cùng với mật khẩu.
Chúng tôi mô tả các bước trong quy trình xác thực nhiều yếu tố bên dưới:
Đăng ký
Người dùng tạo tài khoản bao gồm tên người dùng và mật khẩu. Sau đó, họ liên kết tài khoản của mình với các đối tượng khác, chẳng hạn như điện thoại di động hoặc chuỗi khóa phần cứng vật lý. Các đối tượng này cũng có thể là ảo, ví dụ như địa chỉ email, số điện thoại di động hoặc mã của ứng dụng trình xác thực. Tất cả các đối tượng này giúp nhận dạng người dùng duy nhất và không nên được chia sẻ với người khác.
Xác thực
Khi một người dùng có MFA được kích hoạt đăng nhập vào một trang web, họ sẽ được nhắc nhập tên người dùng và mật khẩu (yếu tố đầu tiên–thông tin họ biết) và phản hồi xác thực từ thiết bị MFA của họ (yếu tố thứ hai–thông tin họ có).
Nếu xác minh được mật khẩu, hệ thống sẽ kết nối tới các đối tượng khác. Ví dụ: hệ thống có thể sẽ gửi một mã số đến thiết bị phần cứng hoặc gửi mã thông qua tin nhắn SMS đến thiết bị di động của người dùng.
Phản ứng
Người dùng hoàn tất quy trình xác thực bằng cách xác minh các đối tượng khác. Ví dụ: họ có thể nhập mã vừa nhận được hoặc nhấn nút trên thiết bị phần cứng. Người dùng chỉ có thể truy cập vào hệ thống khi tất cả những thông tin khác đã được xác minh.
Triển khai quy trình
Xác thực nhiều yếu tố có thể được triển khai theo nhiều cách khác nhau. Sau đây là một số ví dụ:
- Hệ thống chỉ yêu cầu mật khẩu và một thông tin định danh nữa, được gọi là xác thực hai yếu tố hoặc xác thực hai bước.
- Thay vì hệ thống, một ứng dụng của bên thứ ba được gọi là trình xác thực sẽ xác minh danh tính của người dùng. Người dùng nhập mật mã vào trình xác thực và trình xác thực xác nhận người dùng vào hệ thống.
- Trong quá trình xác minh, người dùng nhập thông tin sinh trắc học bằng cách quét vân tay, võng mạc hoặc bộ phận cơ thể khác.
- Hệ thống có thể sẽ yêu cầu nhiều bước xác thực khi bạn truy cập lần đầu trên một thiết bị mới. Sau đó, nó sẽ ghi nhớ thiết bị và chỉ yêu cầu mật khẩu của bạn.
Xác thực nhiều yếu tố thích ứng là gì?
Xác thực nhiều yếu tố thích ứng, hay MFA thích ứng, sử dụng các quy tắc kinh doanh và thông tin về người dùng để xác định yếu tố xác thực nó nên áp dụng. Các doanh nghiệp sử dụng xác thực thích ứng để cân bằng giữa các yêu cầu bảo mật và trải nghiệm người dùng.
Ví dụ: các giải pháp xác thực thích ứng có thể tăng hoặc giảm số bước xác thực người dùng một cách linh hoạt bằng cách sử dụng thông tin người dùng theo ngữ cảnh như:
- Số lần đăng nhập thất bại
- Vị trí địa lý của người dùng
- Vận tốc địa lý hoặc khoảng cách vật lý giữa các lần đăng nhập liên tiếp
- Thiết bị được sử dụng để đăng nhập
- Ngày và thời gian của lần đăng nhập
- Hệ điều hành
- Địa chỉ IP nguồn
- Vai trò của người dùng
Trí tuệ nhân tạo có thể cải thiện xác thực nhiều yếu tố như thế nào?
Các giải pháp xác thực thích ứng sử dụng trí tuệ nhân tạo (AI) và máy học (ML) để phân tích xu hướng và xác định các hoạt động truy cập hệ thống khả nghi. Những giải pháp này có thể theo dõi hoạt động của người dùng theo thời gian để xác định các kiểu mẫu, thiết lập hồ sơ người dùng cơ bản và phát hiện hành vi bất thường, chẳng hạn như:
- Hoạt động đăng nhập trong khung giờ bất thường
- Hoạt động đăng nhập từ địa điểm bất thường
- Hoạt động đăng nhập từ thiết bị bất thường
Các thuật toán ML chỉ định xếp hạng rủi ro cho các sự kiện khả nghi và điều chỉnh nhiều yếu tố xác thực trong thời gian thực dựa trên các chính sách kinh doanh. Ví dụ: nếu hành vi được xếp hạng rủi ro thấp, người dùng có thể đăng nhập chỉ bằng tên người dùng và mật khẩu. Mặt khác, người dùng sẽ phải nhập mã được gửi qua tin nhắn SMS đối với hành vi xếp hạng rủi ro trung bình và nếu hành vi có rủi ro cao, người dùng sẽ bị từ chối hoàn toàn quyền truy cập.
Một số ví dụ về xác thực nhiều yếu tố
Bên dưới là một số ví dụ về cách doanh nghiệp có thể sử dụng xác thực nhiều yếu tố:
Cho phép nhân viên truy cập từ xa
Một công ty muốn trao quyền truy cập tài nguyên từ xa cho các nhân viên. Họ có thể thiết lập một quy trình xác thực nhiều yếu tố yêu cầu đăng nhập, chuỗi khóa phần cứng và quét vân tay trên máy tính xách tay được công ty cung cấp cho nhân viên dùng tại nhà. Dựa trên địa chỉ IP của nhân viên, công ty có thể thiết lập các quy tắc yêu cầu nhân viên sử dụng xác thực hai yếu tố khi làm việc tại nhà. Tuy nhiên, công ty có thể yêu cầu xác thực ba yếu tố khi nhân viên làm việc trên bất kỳ mạng wifi nào khác.
Chỉ cho phép nhân viên tại chỗ truy cập hệ thống
Một bệnh viện muốn trao quyền truy cập các ứng dụng y tế và dữ liệu bệnh nhân cho toàn bộ nhân viên. Bệnh viện sẽ phát cho các nhân viên thẻ cảm ứng để truy cập những ứng dụng này khi họ đang ở chỗ làm. Khi bắt đầu mỗi ca làm việc, nhân viên sẽ phải đăng nhập và quẹt thẻ vào hệ thống trung tâm. Trong ca làm việc, họ có thể truy cập tất cả các tài nguyên chỉ bằng một lần quẹt thẻ mà không cần thực hiện thêm yêu cầu đăng nhập. Khi kết thúc ca làm việc, quyền truy cập của thẻ sẽ bị vô hiệu. Điều này sẽ giảm thiểu rủi ro truy cập trái phép từ thẻ bị mất.
Có những phương pháp xác thực nhiều yếu tố nào?
Các phương pháp xác thực MFA được dựa trên thông tin bạn biết, thông tin bạn có và/hoặc thông tin trên cơ thể bạn. Dưới đây là một số yếu tố xác thực phổ biến:
Yếu tố hiểu biết
Trong phương thức sử dụng yếu tố hiểu biết, người dùng phải chứng minh danh tính của họ bằng cách tiết lộ những thông tin mà không một ai khác biết. Một ví dụ điển hình của yếu tố xác thực này chính là các câu hỏi bí mật với câu trả lời chỉ riêng người dùng mới biết, chẳng hạn như tên thú cưng đầu tiên hoặc tên mẹ của họ trước khi kết hôn. Các ứng dụng cũng có thể yêu cầu nhập mã pin bốn chữ số.
Những phương thức này chỉ có thể giữ được tính bảo mật khi không ai khác nắm được thông tin bí mật đó. Tội phạm có thể điều tra về lịch sử cá nhân của người dùng hoặc lừa họ tiết lộ ra thông tin này. Mã pin cũng có thể bị bẻ khóa bằng phương pháp brute-force đoán mọi tổ hợp số có bốn chữ số có thể tồn tại.
Yếu tố sở hữu
Trong phương thức sử dụng yếu tố sở hữu, người dùng chứng minh danh tính của mình bằng một thứ chỉ riêng họ sở hữu. Sau đây là một số ví dụ:
- Các thiết bị vật lý như điện thoại di động, thẻ bảo mật, thẻ định danh, chuỗi khóa phần cứng và khóa bảo mật.
- Các tài sản kỹ thuật số như tài khoản email và ứng dụng trình xác thực
Hệ thống gửi một mã bí mật dưới dạng tin nhắn kỹ thuật số tới những thiết bị hoặc tài sản này, sau đó, người dùng sẽ nhập lại mã đó vào hệ thống. Tài khoản có thể bị lộ nếu thiết bị bị mất hoặc đánh cắp. Một số thẻ bảo mật giải quyết vấn đề này bằng cách kết nối trực tiếp với hệ thống, do đó không thể truy cập những thẻ này bằng phương thức kỹ thuật số.
Yếu tố sinh trắc học
Phương thức sử dụng yếu tố sinh trắc học dùng các đặc điểm sinh trắc của người dùng. Sau đây là một số ví dụ về các yếu tố xác thực như vậy:
- Quét vân tay
- Quét võng mạc
- Nhận dạng giọng nói
- Nhận dạng khuôn mặt
- Đặc điểm sinh trắc về hành vi như thói quen đánh máy
Ứng dụng phải thu thập và lưu trữ thông tin này cùng với mật khẩu trong quá trình đăng ký. Doanh nghiệp quản lý ứng dụng phải bảo mật thông tin sinh trắc học cùng với mật khẩu.
Đâu là phương pháp thực hành tốt nhất để xác thực nhiều yếu tố?
Tất cả các doanh nghiệp nên thiết lập các chính sách trên toàn tổ chức để hạn chế khả năng truy cập và bảo mật tài nguyên kỹ thuật số. Sau đây là một số phương pháp thực hành tốt nhất để quản lý hoạt động truy cập:
Tạo vai trò người dùng
Bạn có thể tinh chỉnh các chính sách kiểm soát truy cập bằng cách gộp người dùng thành các vai trò. Ví dụ: bạn có thể trao cho người dùng cấp quản trị viên nhiều quyền truy cập hơn so với người dùng cuối.
Thiết lập chính sách mật khẩu nghiêm ngặt
Bạn vẫn nên áp dụng các chính sách nghiêm ngặt ngay cả khi sử dụng xác thực ba hoặc bốn yếu tố. Bạn có thể triển khai các quy tắc để tạo mật khẩu với sự kết hợp của chữ hoa, chữ thường, ký tự đặc biệt và chữ số.
Xoay vòng thông tin chứng thực bảo mật
Yêu cầu người dùng của bạn thay đổi mật khẩu thường xuyên là một phương pháp thực hành tuyệt vời. Bạn có thể tự động hóa quá trình này bằng cách yêu cầu hệ thống từ chối quyền truy cập cho đến khi mật khẩu được thay đổi.
Tuân thủ chính sách đặc quyền tối thiểu
Luôn trao cho người dùng mới cấp đặc quyền và quyền truy cập thấp nhất trong hệ thống của bạn. Bạn có thể tăng cấp đặc quyền bằng cách ủy quyền thủ công hoặc dần theo thời gian khi người dùng xây dựng được lòng tin thông qua thông tin chứng thực đã xác minh.
AWS Identity là gì?
Bạn có thể sử dụng Dịch vụ AWS Identity để quản lý danh tính, tài nguyên và quyền một cách bảo mật trên quy mô lớn. Chẳng hạn, các dịch vụ này mang tới cho:
- Lực lượng lao động của bạn lựa chọn về nơi quản lý danh tính và thông tin chứng thực của nhân viên cũng như các quyền chi tiết để cấp đúng quyền truy cập cho đúng người, vào đúng thời điểm.
- Các nhà phát triển của bạn thêm thời gian để xây dựng các ứng dụng tuyệt vời cho khách hàng bằng cách tạo điều kiện để họ thêm quyền kiểm soát hoạt động đăng ký, đăng nhập và truy cập của người dùng vào trang web cũng như ứng dụng di động của bạn một cách nhanh chóng và dễ dàng.
Ví dụ: đối với các ứng dụng hướng tới khách hàng của bạn, Amazon Cognito sẽ giúp bạn tạo trải nghiệm khách hàng đăng ký và đăng nhập đơn giản, bảo mật, có quy mô linh hoạt và dựa trên tiêu chuẩn cho ứng dụng của bạn. Amazon Cognito hỗ trợ xác thực nhiều yếu tố và mã hóa dữ liệu đang được lưu trữ và dữ liệu truyền. Dịch vụ này giúp bạn đáp ứng nhiều yêu cầu về bảo mật và tuân thủ, bao gồm cả những yêu cầu đối với các tổ chức chịu sự quản lý chặt chẽ như những công ty chăm sóc sức khỏe và tổ chức kinh doanh.
Ngoài ra, dịch vụ Quản lý danh tính và truy cập (IAM) trong AWS cung cấp biện pháp kiểm soát quyền truy cập chi tiết trên toàn bộ phạm vi AWS. Với IAM, bạn có thể chỉ định những cá nhân có quyền truy cập, loại dịch vụ và tài nguyên mà họ có thể truy cập và điều kiện truy cập. Với các chính sách IAM, bạn có thể quản lý quyền cho lực lượng lao động và hệ thống của mình để đảm bảo các quyền với đặc quyền tối thiểu nhất.
Xác thực nhiều yếu tố (MFA) là một tính năng của AWS IAM, giúp bổ sung lớp bảo vệ khác ngoài tên người dùng và mật khẩu của bạn. Khi đã bật MFA, lúc người dùng đăng nhập vào Bảng điều khiển quản lý AWS, họ sẽ được nhắc nhập tên người dùng và mật khẩu (yếu tố đầu tiên–thông tin họ biết), cũng như nhập mã xác thực từ thiết bị AWS MFA (yếu tố thứ hai–thông tin họ có). Khi được kết hợp với nhau, những yếu tố này sẽ cung cấp bảo mật nâng cao cho tài nguyên và cài đặt tài khoản AWS của bạn.