MFA là gì và vì sao IT quan trọng?

MFA, viết tắt của multi-factor authentication (xác thực đa yếu tố), nghĩa là người dùng cần nhiều hơn một cách để chứng minh rằng đó thực sự là họ trước khi đăng nhập. Thông thường, điều đó gồm một thứ họ biết, như mật khẩu, cộng với một thứ họ có, như mã trên điện thoại hoặc xác nhận trên ứng dụng.

Nếu ai đó đánh cắp hoặc đoán được mật khẩu, MFA sẽ khiến kẻ đó khó truy cập vào tài khoản hơn. MFA không khiến tài khoản “không thể bị hack”, và không nhà cung cấp trung thực nào lại hứa như vậy. Tuy nhiên, đây là một trong những bước đơn giản và hữu ích nhất mà doanh nghiệp có thể thực hiện để giảm rủi ro đăng nhập có thể tránh được.

Với doanh nghiệp nhỏ, MFA thường quan trọng nhất cho email, lưu trữ tệp trên đám mây, kế toán, bảng lương, hệ thống khách hàng, công cụ truy cập từ xa và mọi tài khoản lưu trữ thông tin nhạy cảm. Nếu đội của bạn dùng hằng ngày chỉ một vài ứng dụng quen thuộc, thì đây thường là những nơi đầu tiên nên rà soát.

Nhiều vấn đề của doanh nghiệp bắt đầu từ một lần đăng nhập trông rất bình thường. Mật khẩu bị dùng lại, bị đoán, bị đánh cắp trong email lừa đảo (phishing), hoặc bị lộ trong một vụ rò rỉ tại công ty khác. Khi tài khoản đã được mở, người ngoài có thể đọc email, chuyển hướng khoản thanh toán, đặt lại mật khẩu khác, hoặc truy cập tệp và danh bạ.

Đó là lý do vì sao MFA quan trọng. MFA tạo thêm “ma sát” đối với kẻ không đúng người, trong khi vẫn giúp công việc bình thường của đội bạn tiếp tục diễn ra. MFA đặc biệt quan trọng đối với chủ doanh nghiệp, quản lý, nhân sự tài chính và bất kỳ ai có quyền truy cập bảng lương, ngân hàng, hồ sơ khách hàng hoặc các thiết lập quản trị.

MFA cũng có thể giúp đáp ứng các kỳ vọng tuân thủ cơ bản ở một số ngành. Yêu cầu tùy theo ngành và từng bang, nhưng doanh nghiệp y tế có thể nghe về HIPAA, viết tắt của Health Insurance Portability and Accountability Act (Đạo luật về tính bảo đảm quyền lợi và trách nhiệm giải trình về bảo hiểm y tế). Các doanh nghiệp xử lý thanh toán thẻ có thể nghe về PCI, viết tắt của Payment Card Industry Data Security Standard (Chuẩn bảo mật dữ liệu ngành thẻ thanh toán). Những công ty làm việc với khách hàng lớn hơn có thể cũng nghe về SOC 2, một khung tham chiếu phổ biến về cách các tổ chức dịch vụ quản lý các biện pháp kiểm soát bảo mật. MFA không phải là câu trả lời duy nhất cho bất kỳ mục tiêu nào trong số này, nhưng thường là một phần của nền tảng hợp lý.

Những ví dụ phổ biến nhất là mã được gửi qua tin nhắn SMS đến điện thoại, một lời nhắc trong ứng dụng xác thực, mã luân phiên từ chính ứng dụng đó, hoặc khóa bảo mật dạng vật lý (physical security key). Nói đơn giản, khóa bảo mật vật lý là một thiết bị nhỏ mà bạn chạm hoặc cắm vào để xác nhận đó thực sự là bạn.

Không phải tất cả phương thức MFA đều giống nhau. Tin nhắn SMS phổ biến và dễ hiểu, nhưng xác nhận dựa trên ứng dụng hoặc khóa phần cứng thường mạnh hơn. Nhà cung cấp tốt sẽ giải thích các đánh đổi bằng ngôn ngữ dễ hiểu và giúp doanh nghiệp chọn phương án phù hợp với ngân sách, nhân sự và quy trình làm việc hằng ngày.

Bạn cũng có thể nghe thuật ngữ endpoint, nghĩa là thiết bị làm việc như laptop, máy tính để bàn, máy tính bảng hoặc điện thoại. MFA bảo vệ các lần đăng nhập vào tài khoản, trong khi bảo vệ thiết bị tập trung vào chính endpoint. Cả hai đều quan trọng, nhưng giải quyết những vấn đề khác nhau.

MFA tốt được bật cho những tài khoản quan trọng nhất, đặc biệt là email doanh nghiệp, truy cập từ xa, chia sẻ tệp, bảng lương, hệ thống kế toán và các tài khoản quản trị (admin). Nó được thiết lập theo cách để nhân sự có thể dùng thực sự mà không bị rối liên tục.

MFA tốt cũng bao gồm kế hoạch cho việc mất điện thoại, nhân sự mới, nhân viên đã thôi việc và các phương thức xác minh dự phòng. Nếu một người rời công ty hoặc mất thiết bị, doanh nghiệp vẫn nên có cách khôi phục quyền truy cập mà không rơi vào trạng thái hoảng loạn.

Hầu hết doanh nghiệp cũng cần một vài hạng mục cơ bản liên quan. Patching (vá/cập nhật) là việc luôn cập nhật phần mềm để sửa các lỗi đã biết. EDR, viết tắt của endpoint detection and response (phát hiện và phản hồi trên thiết bị đầu cuối), là phần mềm giúp theo dõi các thiết bị doanh nghiệp để phát hiện hành vi đáng ngờ. RMM, viết tắt của remote monitoring and management (giám sát và quản lý từ xa), là phần mềm mà nhiều nhà cung cấp dịch vụ quản trị (managed service providers) dùng để theo dõi tình trạng thiết bị và áp dụng bảo trì định kỳ. Đây là những hạng mục tách biệt với MFA, nhưng thường được thảo luận cùng nhau như một phần của “nền tảng bảo mật” mang tính thực tế.

Nếu bạn đang trao đổi với một managed service provider, thường gọi là MSP, hãy hỏi họ xử lý việc triển khai MFA ra sao, có đào tạo gì, cách khôi phục như thế nào, và các trường hợp ngoại lệ (exceptions) được xử lý ra sao. Hãy yêu cầu giải thích bằng ngôn ngữ đơn giản, không phải thuật ngữ “buzzwords”. Bạn có thể xem thêm các câu trả lời dễ hiểu trong help library của chúng tôi hoặc khám phá managed IT service topics.

Nếu bạn không phải người am hiểu kỹ thuật, bạn không cần bắt đầu từ tên sản phẩm. Hãy bắt đầu từ các câu hỏi dành cho doanh nghiệp. Tài khoản nào quan trọng nhất, ai có quyền truy cập quản trị (admin), nếu mất điện thoại thì sao, và nhân sự sẽ được hỗ trợ thế nào nếu bị khóa ngoài tài khoản?

Nếu bạn đang so sánh các nhà cung cấp, hãy hỏi liệu việc thiết lập MFA có được bao gồm trong phí dịch vụ hàng tháng hay được tính riêng. Hãy hỏi cách thức onboarding (thiết lập ban đầu) diễn ra ra sao, việc đào tạo nhân sự được xử lý như thế nào và liệu lãnh đạo và người dùng bộ phận tài chính có được chú ý thêm hay không. Nếu nhà cung cấp nhắc đến SLA, đó là service level agreement (thỏa thuận mức dịch vụ), tức là tài liệu giải thích các mục tiêu phản hồi và điều khoản dịch vụ.

Bạn cũng có thể nghe vCIO, viết tắt của virtual chief information officer (giám đốc công nghệ thông tin ảo). Thông thường, điều đó là một cố vấn cấp cao hỗ trợ việc lập kế hoạch, lập ngân sách và ra các quyết định về IT. Không phải doanh nghiệp nhỏ nào cũng cần đến mức hỗ trợ này, nhưng một số doanh nghiệp sẽ được lợi từ sự hướng dẫn khi xác định ưu tiên bảo mật.

Nếu bạn muốn được hỗ trợ tìm một nhà cung cấp độc lập có thể giải thích rõ ràng, hãy get matched. NodeBridge IT là dịch vụ ghép cặp miễn phí. Chúng tôi không quản lý, giám sát, bảo mật, sửa chữa hay truy cập các hệ thống hoặc tài khoản của bạn.