Xác thực là gì?
Tìm hiểu cách xác minh danh tính của mọi người, ứng dụng và dịch vụ trước khi cấp cho họ quyền truy nhập vào các tài nguyên và hệ thống kỹ thuật số.
Định nghĩa về hoạt động xác thực
Xác thực là quy trình mà các công ty sử dụng để xác nhận rằng chỉ những người, dịch vụ và ứng dụng phù hợp, có quyền phù hợp mới có thể tiếp cận được tài nguyên của tổ chức. Đây là một phần quan trọng trong an ninh mạng vì ưu tiên số một của kẻ xấu là có được quyền truy nhập trái phép vào hệ thống. Chúng thực hiện việc này bằng cách lấy cắp tên người dùng và mật khẩu của người dùng có quyền truy nhập. Quy trình xác thực bao gồm ba bước chính:
- Nhận dạng: Người dùng thường cho biết họ là ai thông qua tên người dùng.
- Xác thực: Thông thường, người dùng chứng minh họ không phải là kẻ mạo danh bằng cách nhập mật khẩu (thông tin mà trên lý thuyết là chỉ người dùng đó biết), nhưng để tăng cường bảo mật, nhiều tổ chức cũng yêu cầu người dùng chứng minh danh tính bằng vật dụng họ có (điện thoại hoặc thiết bị nhận mã thông báo) hoặc yếu tố sinh trắc (quét khuôn mặt hoặc vân tay).
- Ủy quyền: Hệ thống xác minh rằng người dùng có quyền đối với hệ thống mà họ đang cố gắng truy nhập.
Tại sao hoạt động xác thực lại quan trọng?
Xác thực rất quan trọng vì hoạt động này giúp các tổ chức bảo vệ hệ thống, dữ liệu, mạng, website và ứng dụng của họ khỏi các cuộc tấn công. Hoạt động này cũng giúp các cá nhân giữ bí mật dữ liệu cá nhân của họ, đồng thời giúp giảm rủi ro khi họ giao dịch kinh doanh trực tuyến, chẳng hạn như giao dịch ngân hàng hoặc đầu tư. Khi các quy trình xác thực yếu, kẻ tấn công sẽ dễ dàng xâm phạm tài khoản hơn bằng cách đoán mật khẩu cá nhân hoặc lừa mọi người cung cấp thông tin xác thực của họ. Điều này có thể dẫn đến những rủi ro sau:
- Vi phạm hoặc trích rút dữ liệu.
- Cài đặt phần mềm xấu, như mã độc tống tiền.
- Không tuân thủ các quy định về quyền riêng tư của dữ liệu trong ngành hoặc khu vực.
Cách thức vận hành của hoạt động xác thực
Đối với mọi người, hoạt động xác thực liên quan đến việc thiết lập tên người dùng, mật khẩu và các phương pháp xác thực khác, như quét khuôn mặt, dấu vân tay hoặc mã PIN. Để bảo vệ danh tính, không phương pháp xác thực nào trong số này được lưu vào cơ sở dữ liệu của dịch vụ. Mật khẩu được băm (không phải được mật mã hóa) và hàm băm được lưu vào cơ sở dữ liệu. Khi người dùng nhập mật khẩu, mật khẩu đã nhập cũng được băm, sau đó hệ thống so sánh các hàm băm với nhau. Nếu hai hàm băm khớp thì người dùng sẽ được cấp quyền truy nhập. Đối với dấu vân tay và quét khuôn mặt, thông tin sẽ được mã hóa, mật mã hóa và lưu trên thiết bị.
Các loại phương pháp xác thực
Trong xác thực hiện đại, quy trình xác thực được ủy quyền cho một hệ thống danh tính riêng biệt, đáng tin cậy, trái ngược với xác thực truyền thống, trong đó mỗi hệ thống tự xác nhận danh tính trong chính hệ thống đó. Cũng có thay đổi về loại phương pháp xác thực được sử dụng. Hầu hết các ứng dụng đều yêu cầu tên người dùng và mật khẩu. Tuy nhiên, do kẻ xấu ngày càng thông thạo việc lấy cắp mật khẩu nên cộng đồng bảo mật đã phát triển một số phương pháp mới để giúp bảo vệ danh tính.
Xác thực dựa trên mật khẩu
Xác thực dựa trên mật khẩu là hình thức xác thực phổ biến nhất. Nhiều ứng dụng và dịch vụ yêu cầu mọi người tạo mật khẩu sử dụng tổ hợp các số, chữ cái và ký hiệu để giảm nguy cơ kẻ xấu đoán được mật khẩu. Tuy nhiên, mật khẩu cũng tạo ra những thách thức về bảo mật và khả năng sử dụng. Mọi người khó nghĩ ra và ghi nhớ từng mật khẩu riêng cho mỗi tài khoản trực tuyến của họ. Đó là lý do họ thường sử dụng lại mật khẩu. Và những kẻ tấn công sử dụng nhiều chiến thuật để đoán hoặc lấy cắp mật khẩu, hoặc dụ dỗ mọi người miễn cưỡng chia sẻ mật khẩu. Vì lý do này, các tổ chức đang chuyển từ mật khẩu sang các hình thức xác thực khác an toàn hơn.
Xác thực dựa trên chứng chỉ
Xác thực dựa trên chứng chỉ là một phương pháp được mật mã hóa cho phép thiết bị và mọi người nhận dạng chính mình với các thiết bị và hệ thống khác. Hai ví dụ phổ biến là thẻ thông minh hoặc khi thiết bị của nhân viên gửi chứng chỉ kỹ thuật số đến một mạng hoặc máy chủ.
Xác thực sinh trắc
Trong xác thực sinh trắc, mọi người xác minh danh tính của mình bằng các đặc điểm sinh học. Ví dụ: Nhiều người sử dụng ngón tay hoặc ngón cái để đăng nhập vào điện thoại của họ và một số máy tính quét khuôn mặt hoặc võng mạc của người dùng để xác minh danh tính của họ. Dữ liệu sinh trắc cũng được liên kết với một thiết bị cụ thể, vì vậy kẻ tấn công không thể sử dụng dữ liệu này khi không có quyền truy nhập vào thiết bị đó. Loại xác thực này ngày càng phổ biến vì dễ dùng với mọi người – họ không phải ghi nhớ bất kỳ thông tin gì – và an toàn hơn mật khẩu bởi kẻ xấu rất khó lấy cắp thông tin.
Xác thực dựa trên mã thông báo
Trong hoạt động xác thực dựa trên mã thông báo, cả thiết bị và hệ thống đều tạo ra một số mới, đơn nhất, gọi là mã PIN một lần dựa theo thời gian (TOTP) có hiệu lực trong 30 giây. Nếu các số khớp, hệ thống sẽ xác minh rằng người dùng có thiết bị.
Mật khẩu một lần
Mật khẩu một lần (OTP) là các mã được tạo cho một sự kiện đăng nhập cụ thể, sẽ sớm hết hạn sau khi được cấp. Mật khẩu được gửi qua tin nhắn SMS, email hoặc thiết bị nhận mã thông báo.
Thông báo đẩy
Một số ứng dụng và dịch vụ sử dụng thông báo đẩy để xác thực người dùng. Trong những trường hợp này, mọi người nhận được thông báo trên điện thoại yêu cầu họ chấp thuận hoặc từ chối yêu cầu truy nhập. Vì đôi khi mọi người vô tình chấp thuận thông báo đẩy ngay cả khi họ đang cố gắng đăng nhập vào dịch vụ gửi thông báo nên đôi lúc phương pháp này được kết hợp với phương pháp OTP. Với phương pháp OTP, hệ thống sẽ tạo ra một số duy nhất mà người dùng phải nhập. Phương pháp này tăng cường khả năng chống lừa đảo qua mạng cho việc xác thực.
Xác thực bằng giọng nói
Trong phương pháp xác thực bằng giọng nói, người dùng đang cố gắng truy nhập một dịch vụ sẽ nhận được cuộc gọi điện thoại yêu cầu họ nhập mã hoặc nhận dạng chính mình bằng lời nói.
Xác thực đa yếu tố
Một trong những cách tốt nhất để giảm bớt sự xâm phạm tài khoản là yêu cầu thực hiện hai hoặc nhiều phương pháp xác thực, có thể bao gồm bất kỳ phương pháp nào được liệt kê ở trên. Một biện pháp có hiệu quả tốt nhất là yêu cầu hai yếu tố bất kỳ trong các yếu tố sau:
- Thông tin mà người dùng biết, thường là mật khẩu.
- Vật dụng mà họ có, chẳng hạn như thiết bị đáng tin cậy không dễ tạo bản sao, như điện thoại hoặc thiết bị nhận mã thông báo.
- Thông tin sinh trắc của người dùng, như quét khuôn mặt hoặc dấu vân tay.
Ví dụ: Nhiều tổ chức yêu cầu mật khẩu (thông tin mà người dùng biết), đồng thời gửi OTP qua SMS tới một thiết bị đáng tin cậy (vật dụng mà người dùng có) trước khi cho phép truy nhập.
Xác thực 2 bước
Xác thực 2 bước là một loại xác thực đa yếu tố yêu cầu hai hình thức xác thực.
Mặc dù thuật ngữ xác thực (đôi khi được gọi là AuthN) và ủy quyền (đôi khi được gọi là AuthZ) thường được sử dụng hoán đổi nhau, song đây là hai hình thức tuy có liên quan nhưng lại hoàn toàn tách biệt. Hoạt động xác thực xác nhận rằng người dùng đang đăng nhập không phải là kẻ mạo danh, còn hoạt động ủy quyền xác nhận người dùng có quyền phù hợp để truy nhập thông tin họ muốn. Ví dụ: Ai đó trong bộ phận nhân sự có thể có quyền truy nhập vào các hệ thống nhạy cảm, chẳng hạn như bảng lương hoặc tệp thông tin về nhân viên, mà những người khác không thể xem được. Cả xác thực và ủy quyền đều rất quan trọng với việc tăng năng suất cũng như bảo vệ dữ liệu nhạy cảm, tài sản trí tuệ và quyền riêng tư.
Biện pháp tốt nhất về bảo mật xác thực
Vì kẻ tấn công thường dùng cách xâm phạm tài khoản để có được quyền truy nhập trái phép vào tài nguyên của công ty nên bạn cần thiết lập trạng thái bảo mật xác thực mạnh mẽ. Dưới đây là một số điều bạn có thể làm để bảo vệ tổ chức của mình:
-
Triển khai xác thực đa yếu tố
Điều quan trọng nhất bạn có thể làm để giảm rủi ro bị xâm phạm tài khoản là bật xác thực đa yếu tố và yêu cầu tối thiểu là xác thực 2 bước. Những kẻ tấn công sẽ khó lấy cắp được thông tin cho nhiều phương thức xác thực, đặc biệt nếu một trong số đó là yếu tố sinh trắc học hoặc vật dụng mà người dùng sở hữu, chẳng hạn như một thiết bị. Để giúp việc xác thực trở nên đơn giản nhất cho nhân viên, khách hàng và đối tác, hãy cho họ lựa chọn giữa một số yếu tố khác nhau. Tuy vậy, cũng cần lưu ý rằng không phải tất cả các phương pháp xác thực đều có tác động giống nhau. Có một số phương pháp an toàn hơn các phương pháp còn lại. Ví dụ: Tuy việc nhận SMS là tốt hơn không áp dụng biện pháp nào, song thông báo đẩy vẫn an toàn hơn.
-
Chuyển sang không dùng mật khẩu
Sau khi thiết lập xác thực đa yếu tố, bạn thậm chí có thể chọn việc giới hạn sử dụng mật khẩu và khuyến khích mọi người sử dụng hai hoặc nhiều phương pháp xác thực khác, chẳng hạn như mã PIN và sinh trắc học. Giảm sử dụng mật khẩu và chuyển sang không dùng mật khẩu sẽ hợp lý hóa quy trình đăng nhập và giảm rủi ro xâm phạm.
-
Áp dụng các giải pháp bảo vệ bằng mật khẩu
Ngoài việc giáo dục nhân viên, bạn có thể sử dụng các công cụ khác để giảm việc sử dụng mật khẩu dễ đoán. Các giải pháp bảo vệ bằng mật khẩu cho phép bạn cấm những mật khẩu phổ biến như Matkhau1. Bên cạnh đó, bạn có thể tạo danh sách tùy chỉnh dành riêng cho công ty hoặc khu vực của mình, chẳng hạn như tên của đội thể thao hoặc địa danh tại địa phương.
-
Cho phép xác thực đa yếu tố dựa trên rủi ro
Một số sự kiện xác thực là chỉ báo về xâm phạm, như khi một nhân viên cố gắng truy nhập mạng của bạn từ một thiết bị mới hoặc vị trí lạ. Các sự kiện đăng nhập khác có thể không khác thường nhưng lại có rủi ro cao hơn, chẳng hạn như khi chuyên gia nhân sự cần truy nhập thông tin định danh cá nhân của nhân viên. Để giảm rủi ro, hãy đặt cấu hình giải pháp quản lý quyền truy nhập và danh tính (IAM) của bạn để yêu cầu ít nhất là 2 yếu tố xác thực khi phát hiện các loại sự kiện này.
-
Ưu tiên tính tiện dụng
Cần có sự đồng thuận từ nhân viên và các bên liên quan khác để bảo mật hiệu quả. Các chính sách bảo mật đôi khi có thể ngăn mọi người tham gia vào các hoạt động trực tuyến rủi ro, nhưng nếu các chính sách quá phức tạp, mọi người sẽ tìm ra cách giải quyết khác. Giải pháp tốt nhất là giải pháp phù hợp với hành vi thực tế của con người. Triển khai các tính năng như tự đặt lại mật khẩu để mọi người không cần phải gọi cho bộ phận trợ giúp khi quên mật khẩu. Điều này cũng có thể khuyến khích người dùng chọn mật khẩu mạnh vì họ biết rằng sẽ dễ dàng đặt lại mật khẩu nếu họ quên mật khẩu sau này. Cho phép mọi người chọn phương pháp ủy quyền mà họ thích cũng là một cách hay để giúp họ đăng nhập dễ dàng hơn.
-
Triển khai đăng nhập một lần
Một tính năng tuyệt vời giúp nâng cao tính tiện dụng và cải thiện bảo mật là đăng nhập một lần (SSO). Không ai thích bị hỏi mật khẩu mỗi khi chuyển đổi giữa các ứng dụng, mọi người có thể sẽ muốn sử dụng cùng một mật khẩu cho nhiều tài khoản để tiết kiệm thời gian. Với đăng nhập một lần, nhân viên chỉ cần đăng nhập một lần để truy nhập vào hầu hết hoặc tất cả các ứng dụng họ cần cho công việc. Điều này làm giảm trở ngại và cho phép bạn áp dụng các chính sách bảo mật chung hoặc có điều kiện, chẳng hạn như xác thực đa yếu tố, cho tất cả phần mềm mà nhân viên sử dụng.
-
Sử dụng nguyên tắc đặc quyền tối thiểu
Giới hạn số lượng tài khoản đặc quyền dựa trên vai trò và cung cấp cho mọi người đặc quyền tối thiểu cần thiết để họ thực hiện công việc. Việc thiết lập tính năng quản lý quyền truy nhập góp phần đảm bảo giảm số người có thể truy nhập vào hệ thống và dữ liệu quan trọng nhất của bạn. Khi ai đó cần thực hiện tác vụ nhạy cảm, hãy sử dụng quản lý quyền truy nhập đặc quyền, chẳng hạn như kích hoạt vừa đúng lúc kèm theo thời lượng, để giảm rủi ro triệt để hơn. Điều này cũng góp phần đặt ra yêu cầu chỉ thực hiện hoạt động quản trị trên các thiết bị rất an toàn, tách biệt với máy tính mà mọi người sử dụng cho các tác vụ hàng ngày.
-
Giả định vi phạm và tiến hành kiểm tra thường xuyên
Trong nhiều tổ chức, vai trò và tình trạng việc làm của mọi người thay đổi thường xuyên. Nhân viên rời khỏi công ty hoặc chuyển đổi phòng ban. Đối tác triển khai và kết thúc dự án. Vấn đề có thể phát sinh từ đây nếu các quy tắc truy nhập không theo kịp. Điều quan trọng là phải đảm bảo rằng mọi người không giữ quyền truy nhập vào các hệ thống và tệp không còn cần cho công việc của họ nữa. Để giảm nguy cơ kẻ tấn công có được thông tin nhạy cảm, hãy sử dụng giải pháp quản trị danh tính nhằm giúp bạn kiểm tra các tài khoản và vai trò của mình một cách nhất quán. Các công cụ này cũng giúp bạn đảm bảo rằng mọi người chỉ có quyền truy nhập vào những gì họ cần, cũng như tài khoản của những người đã rời khỏi tổ chức không còn hoạt động nữa.
-
Bảo vệ danh tính khỏi các mối đe dọa
Các giải pháp quản lý truy cập và danh tính cung cấp nhiều công cụ giúp bạn giảm nguy cơ bị xâm phạm tài khoản. Tuy nhiên, cách sáng suốt vẫn là lường trước hành vi vi phạm. Thậm chí, những nhân viên được đào tạo tốt đôi khi vẫn bị lừa đảo qua mạng. Để sớm phát hiện hành vi xâm phạm tài khoản, hãy đầu tư vào các giải pháp bảo vệ trước mối đe dọa danh tính và triển khai các chính sách giúp bạn phát hiện và ứng phó với hoạt động đáng ngờ. Nhiều giải pháp hiện đại, như Microsoft Security Copilot, không chỉ sử dụng AI để phát hiện các mối đe dọa mà còn để tự động ứng phó với các mối đe dọa này.
Các giải pháp xác thực đám mây
Xác thực có vai trò rất quan trọng đối với cả chương trình an ninh mạng mạnh và việc hỗ trợ năng suất của nhân viên. Giải pháp quản lý quyền truy nhập và danh tính dựa trên nền tảng đám mây toàn diện, như Microsoft Entra, cung cấp cho bạn các công cụ nhằm giúp mọi người dễ dàng có được những gì họ cần để thực hiện công việc của mình, đồng thời áp dụng các biện pháp kiểm soát mạnh mẽ giúp giảm nguy cơ kẻ tấn công xâm phạm tài khoản và giành quyền truy nhập vào dữ liệu nhạy cảm.
Tìm hiểu thêm về Microsoft Security
Microsoft Entra ID
Bảo vệ tổ chức của bạn bằng các giải pháp quản lý truy cập và danh tính.
Quản trị danh tính Microsoft Entra
Tự động đảm bảo đúng người có đúng quyền truy nhập vào đúng ứng dụng, ở đúng thời điểm.
Giải pháp Quản lý quyền của Microsoft Entra
Sở hữu một giải pháp hợp nhất để quản lý các quyền cho mọi danh tính trên hạ tầng đa đám mây của bạn.
ID Xác minh của Microsoft Entra
Phân cấp quản lý cho danh tính của bạn bằng dịch vụ thông tin xác thực có thể xác minh được quản lý, dựa trên các tiêu chuẩn mở.
Microsoft Entra Workload ID
Quản lý và bảo mật danh tính được cấp cho các ứng dụng và dịch vụ.
Câu hỏi thường gặp
-
Có nhiều loại xác thực khác nhau. Ví dụ:
- Nhiều người đăng nhập vào điện thoại bằng phương pháp nhận diện khuôn mặt hoặc dấu vân tay.
- Ngân hàng và các dịch vụ khác thường yêu cầu mọi người đăng nhập bằng mật khẩu cùng với mã được gửi tự động qua SMS.
- Một số tài khoản chỉ yêu cầu tên người dùng và mật khẩu, mặc dù nhiều tổ chức đang chuyển sang xác thực đa yếu tố để tăng tính bảo mật.
- Nhân viên thường đăng nhập vào máy tính của họ và có quyền truy nhập vào một số ứng dụng khác nhau cùng một lúc, được gọi là đăng nhập một lần.
- Ngoài ra, còn có các tài khoản cho phép người dùng đăng nhập bằng tài khoản Facebook hoặc Google. Trong trường hợp này, Facebook, Google hoặc Microsoft chịu trách nhiệm xác thực người dùng và chuyển việc định quyền cho dịch vụ mà người dùng muốn truy nhập.
-
Xác thực đám mây là một dịch vụ xác nhận rằng chỉ đúng người, đúng ứng dụng, có đúng quyền mới có thể truy nhập vào các tài nguyên và mạng trên đám mây. Nhiều ứng dụng đám mây tích hợp sẵn xác thực trên nền điện toán đám mây. Tuy nhiên, cũng có các giải pháp rộng hơn, chẳng hạn như Microsoft Entra ID, được thiết kế để xử lý việc xác thực trên nhiều ứng dụng và dịch vụ đám mây. Các giải pháp này thường sử dụng giao thức SAML để cho phép một dịch vụ xác thực hoạt động trên nhiều tài khoản.
-
Mặc dù thuật ngữ xác thực và ủy quyền thường được sử dụng hoán đổi nhau, song đây là hai hình thức tuy có liên quan nhưng lại hoàn toàn tách biệt. Hoạt động xác thực xác nhận rằng người dùng đang đăng nhập không phải là kẻ mạo danh, còn hoạt động ủy quyền xác nhận người dùng có quyền phù hợp để truy nhập thông tin họ muốn. Khi kết hợp cùng nhau, xác thực và ủy quyền giúp làm giảm nguy cơ kẻ tấn công có quyền truy nhập vào dữ liệu nhạy cảm.
-
Xác thực được sử dụng để xác minh rằng mọi người và thực thể không phải là kẻ mạo danh trước khi cung cấp cho họ quyền truy nhập vào các tài nguyên và mạng kỹ thuật số. Mặc dù mục tiêu chính là bảo mật nhưng các giải pháp xác thực hiện đại cũng được thiết kế để cải thiện khả năng sử dụng. Ví dụ: Nhiều tổ chức triển khai các giải pháp đăng nhập một lần để giúp nhân viên dễ dàng tìm thấy những gì họ cần để thực hiện công việc. Dịch vụ người tiêu dùng thường cho phép mọi người đăng nhập bằng tài khoản Facebook, Google hoặc Microsoft của họ để đẩy nhanh quá trình xác thực.
Theo dõi Microsoft Security