Các phương pháp hay nhất để xác thực đa yếu tố

Các phương pháp hay nhất để xác thực đa yếu tố (MFA)

April 28, 2022 | vietsunshine

Ngày nay, rõ ràng là để bảo vệ hệ thống và dữ liệu, các tổ chức cần phải vượt ra ngoài các biện pháp phòng thủ chu vi truyền thống. Bởi vì hầu hết bọn tội phạm mạng hiện đại đều khai thác thông tin đăng nhập của người dùng để có được cơ hội xâm nhập, danh tính người dùng đã trở thành một vành đai mới. Và các tổ chức hàng đầu đang chuyển sang MFA để bảo mật môi trường phức tạp, không đồng nhất của họ.

MFA giảm thiểu rủi ro về mật khẩu bằng cách yêu cầu các yếu tố xác thực bổ sung: thứ mà người dùng biết. Không khó để thực hiện, nhưng một số lập kế hoạch từ trước có thể tăng cường bảo mật hơn nữa và tiết kiệm nhiều thời gian và công sức. MFA là một trong những cách tốt nhất để ngăn người dùng trái phép truy cập vào dữ liệu của công ty. Đây là một phần không thể thiếu của Delinea Identity Servicesvà chúng tôi đề xuất các phương pháp hay nhất sau đây cho MFA:

Triển khai MFA trên toàn doanh nghiệp

Triển khai MFA trong silo cũng giống như việc bạn khóa cửa trước và để cửa sau rộng mở. Để giảm thiểu khả năng bị tấn công, bạn cần xem xét tất cả các điểm truy cập trong tổ chức, bao gồm cả đám mây. Quá nhiều công ty đang di chuyển dữ liệu và khối lượng công việc lên đám mây mà không thực hiện bảo mật nhất quán trên các thành phần đám mây. Đừng là một trong số họ.

Đăng nhập máy chủ và nâng cao đặc quyền là các liên kết phổ biến trong chuỗi tấn công mạng, vì vậy MFA nên được triển khai để truy cập mạng từ xa cho nhân viên phân tán và đối tác kinh doanh trên tất cả các máy chủ. Và đảm bảo bạn yêu cầu MFA cho người dùng muốn thực hiện các lệnh đặc quyền. Điều này sẽ giảm thiểu đáng kể thiệt hại có thể gây ra nếu bọn tội phạm mạng xâm nhập vào mạng của bạn.

Việc triển khai MFA trên tất cả người dùng cuối và người dùng có đặc quyền, ứng dụng đám mây và tại chỗ, VPN, đăng nhập máy chủ và nâng cao đặc quyền giúp bảo vệ khỏi truy cập trái phép, vi phạm dữ liệu và tấn công mạng dựa trên mật khẩu.

Tận dụng ngữ cảnh cho MFA thích ứng (Adaptive MFA)

Lợi ích chính của MFA thích ứng là trải nghiệm người dùng được cải thiện. Thay vì cách tiếp cận “luôn bật” (always-on) liên tục hỏi người dùng về thông tin xác thực phụ, hãy sử dụng ngữ cảnh để tạo ra một phương pháp tiếp cận từng bước, thích ứng chỉ yêu cầu các yếu tố bổ sung khi cần thiết. Thông tin theo ngữ cảnh có thể bao gồm vị trí, mạng, cài đặt thiết bị hoặc thời gian trong ngày để giúp xác định xem người dùng có phải là người mà họ tuyên bố hay không.

Ví dụ: người dùng đăng nhập qua mạng công ty trên thiết bị được quản lý có thể được cấp quyền truy cập bằng mật khẩu của họ. Người dùng đăng nhập từ một mạng không xác định trên thiết bị không được quản lý sẽ được yêu cầu xác thực bổ sung.

Cung cấp nhiều yếu tố xác thực

Trải nghiệm người dùng là yếu tố quan trọng để triển khai MFA thành công, vì vậy bạn phải cân bằng giữa sự tiện lợi của người dùng với tính bảo mật. Cách tiếp cận “một kích thước phù hợp cho tất cả” không linh hoạt, không phù hợp với nhu cầu của những người dùng khác nhau. Một loạt các phương pháp xác thực đã xuất hiện để cung cấp cho các tổ chức một giải pháp MFA cân bằng giữa rủi ro, khả năng sử dụng và chi phí. Mới nhất là sinh trắc học, bao gồm quét vân tay, võng mạc và nhận dạng khuôn mặt. Các tùy chọn khác bao gồm:

  • Hardware tokens
  • Soft tokens
  • SMS/Text message
  • Phone call
  • Email
  • Security questions (câu hỏi bảo mật)

Chọn phương pháp tiếp cận dựa trên tiêu chuẩn

Các tiêu chuẩn giúp đảm bảo rằng giải pháp MFA của bạn có thể hoạt động trong cơ sở hạ tầng CNTT hiện có của bạn. Ví dụ: giải pháp MFA phải tuân thủ các tiêu chuẩn như Remote Authentication Dial-in User Service (RADIUS)  và Open Authentication (OATH). RADIUS là một giao thức mạng cung cấp xác thực, ủy quyền và quản lý tài khoản tập trung cho người dùng kết nối và sử dụng dịch vụ mạng. OATH là một tiêu chuẩn công nghệ mở cho phép các giải pháp cung cấp khả năng xác thực mạnh mẽ của tất cả người dùng trên tất cả các thiết bị, trên tất cả các mạng.

Triển khai MFA kết hợp với các công cụ bảo mật danh tính bổ sung

Giảm thiểu rủi ro về mật khẩu bằng cách kết hợp MFA với các giải pháp khác như đăng nhập một lần (SSO) và truy cập đặc quyền ít nhất. SSO loại bỏ nhu cầu về nhiều mật khẩu bằng cách xác thực người dùng đối với tất cả các ứng dụng và dịch vụ đám mây mà họ đã được cấp quyền. Điều này giúp loại bỏ việc sử dụng các mật khẩu yếu, được sử dụng lại và được lưu trữ không đúng cách.

Bằng cách triển khai đặc quyền ít nhất – cung cấp cho người dùng mức đặc quyền thấp nhất để thực hiện các nhiệm vụ hàng ngày của họ đồng thời cho phép họ nâng cao đặc quyền của mình khi cần – các doanh nghiệp có thể giảm rủi ro liên quan đến tài khoản dùng chung cũng như rủi ro liên quan đến thông tin đăng nhập bị xâm phạm.

Thường xuyên đánh giá lại MFA

Các lỗ hổng bảo mật và bối cảnh mối đe dọa liên tục thay đổi, cũng như cơ sở hạ tầng CNTT, cơ chế xác thực và các ứng dụng có sẵn cho người dùng.

Do môi trường năng động này, các công ty cần tiến hành đánh giá thường xuyên để đảm bảo công nghệ MFA của họ đang tiếp tục đáp ứng nhu cầu của người dùng và tổ chức nói chung và nó đang được áp dụng một cách thích hợp.

Nguồn: Best Practices for Multi-factor Authentication (MFA)

Tags: ,