Marketing Executive @CyStack
Bảo mật thông tin dữ liệu đang trở thành thách thức không hề nhỏ đối với các doanh nghiệp hiện nay. Trong doanh nghiệp có rất nhiều tài liệu nội bộ được chia sẻ như thông tin khách hàng, thông tin nhân viên, hay bí mật kinh doanh,… Nếu không được bảo vệ tốt, nguy cơ dữ liệu bị đánh cắp là rất cao.
Do đó, việc thiết lập chính sách đăng nhập để bảo vệ hệ thống thông tin của doanh nghiệp khỏi các mối đe dọa từ tấn công an ninh mạng là điều vô cùng cần thiết.
Vậy làm thế nào để thiết lập chính sách đăng nhập an toàn cho doanh nghiệp của bạn?
Chính sách đăng nhập là gì?
Chính sách đăng nhập là một bộ quy tắc về mật khẩu mà tất cả các nhân viên buộc phải tuân theo khi tạo, sử dụng, lưu trữ và chia sẻ mật khẩu trong doanh nghiệp.
Ví dụ: Chính sách đăng nhập có thể quy định rằng không được chia sẻ mật khẩu bằng cách viết ra hoặc gửi tin nhắn. Chính sách cũng có thể chỉ ra khi nào nhân viên cần phải thay đổi mật khẩu (ví dụ: cứ sau 90 ngày) và khi nào bộ phận CNTT nên cập nhật mật khẩu nếu có nhân viên nghỉ việc.
Chính sách đăng nhập cũng có thể đưa ra các yêu cầu về đặc điểm của mật khẩu và làm rõ cách người dùng từ xa có thể truy cập mạng công ty một cách an toàn, chẳng hạn như bằng VPN.
Chính sách đăng nhập phải được quản lý cấp cao phê duyệt, xem xét và cập nhật định kỳ để phản ánh đúng với tình trạng hoạt động của doanh nghiệp.
Tại sao doanh nghiệp cần thiết lập chính sách đăng nhập?
Nguy cơ bảo mật từ mật khẩu yếu
Mật khẩu vẫn là tuyến phòng thủ đầu tiên trong việc bảo vệ dữ liệu kinh doanh và thông tin khách hàng. Tuy nhiên, vấn nạn mật khẩu bị xâm phạm tiếp tục là nguyên nhân hàng đầu dẫn đến vi phạm dữ liệu. Trong báo cáo điều tra về tình trạng vi phạm dữ liệu năm 2020 của Verizon DBIR cũng cho thấy 81% vụ việc liên quan đến việc sử dụng thông tin đăng nhập bị mất/đánh cắp.
Qua đó cho thấy số mật khẩu mà nhân viên sử dụng hàng ngày tác động rất lớn đến mức độ bảo mật của doanh nghiệp. Và việc thiết lập chính sách đăng nhập là vô cùng cần thiết để giúp nhân viên tạo thói quen bảo mật dữ liệu, từ đó tăng cường khả năng phòng thủ của doanh nghiệp trên môi trường mạng.
Tác động khác của mật khẩu đối với doanh nghiệp
Bên cạnh việc xâm phạm dữ liệu, mật khẩu cũng ảnh hưởng đến các doanh nghiệp theo nhiều cách khác. Tạp chí Infosecurity cho rằng nhiều doanh nghiệp lớn đã tiêu tốn hơn 945.000 USD mỗi năm cho các chi phí liên quan đến mật khẩu, mỗi lần đặt lại mật khẩu có giá trung bình khoảng 68 USD. Con số này đã gây ra gánh nặng tài chính cho không ít doanh nghiệp, đặc biệt là các doanh nghiệp vừa và nhỏ.
Không những vậy, tất cả những yêu cầu mật khẩu đó có thể khiến nhân viên làm việc kém hiệu quả hơn. Họ không thể làm việc tốt nếu phải liên tục gọi cho bộ phận CNTT để được hỗ trợ về mật khẩu. Điều này có thể khiến doanh nghiệp chịu tổn hại do tiến độ công việc bị ảnh hưởng, trì hoãn.
Có thể thấy, mật khẩu yếu là một nhược điểm lớn đối với các doanh nghiệp. Để ngăn chặn các vi phạm liên quan đến mật khẩu, điều quan trọng nhất đó là phải đảm bảo người dùng tạo mật khẩu mạnh và tuân theo các khuyến nghị và quy tắc mật khẩu.
Chính sách đăng nhập giúp doanh nghiệp đặt ra các quy tắc quản lý mật khẩu và đảm bảo người dùng tuân thủ theo đó. Đây cũng là một phần quan trọng trong hoạt động bảo mật doanh nghiệp.
Cách thiết lập chính sách đăng nhập an toàn
Dưới đây là 6 quy tắc tạo nên một chính sách đăng nhập an toàn và hiệu quả:
Không sử dụng chung, sử dụng lại mật khẩu
Không sử dụng cùng một mật khẩu cho tất cả các ứng dụng, trang web và dịch vụ. Nếu một trang web bị xâm phạm, nó có thể ảnh hưởng đến phần còn lại của doanh nghiệp bạn.
Đặt thời hạn cho mật khẩu
Bạn có thể thiết lập thời hạn cho mật khẩu, theo đó người dùng sẽ phải thay đổi mật khẩu sau khoảng thời gian đã được cài đặt. Điều này đảm bảo rằng người dùng phải thay đổi mật khẩu theo định kỳ. Và mật khẩu của mỗi người dùng sẽ tự động hết hạn “n” ngày kể từ khi mật khẩu được tạo. Đừng quên gửi thông báo qua email để thông báo cho người dùng đã đến lúc thay đổi mật khẩu của họ.
Sử dụng mật khẩu mạnh
Sử dụng mật khẩu mạnh, được tạo ngẫu nhiên và duy nhất. Mật khẩu phải là sự kết hợp vô nghĩa từ các chữ cái (bao gồm cả chữ hoa và chữ thường), số và ký tự đặc biệt. Cài đặt này để đảm bảo tất cả người dùng trong tổ chức có mật khẩu mạnh và an toàn. Bạn có thể khuyến khích nhân viên sử dụng các công cụ tạo mật khẩu mạnh, ngẫu nhiên khi tạo mật khẩu mới để nâng cao hiệu quả.
Mật khẩu không được chứa bất kỳ yếu tố nào liên quan đến tên người dùng, số điện thoại, ngày sinh hoặc các thông tin có thể dễ dàng lấy được khác. Nếu người dùng là mục tiêu của một nỗ lực lừa đảo trực tuyến, tin tặc có thể thu thập nhiều thông tin khác nhau của người dùng qua các kênh rời rạc để dự đoán mật khẩu của hàng loạt tài khoản mà họ sở hữu.
Tránh sử dụng các ký tự lặp lại hoặc nối tiếp như 11111111 hoặc abcd1234.
Độ dài tối thiểu của mật khẩu
Mật khẩu càng dài càng khó phá vỡ hơn. Các chuyên gia về bảo mật khuyến cáo người dùng nên sử dụng mật khẩu có có độ dài tối thiểu 8 ký tự và tốt nhất nên có 11 ký tự trở lên.
Khi bạn cài đặt độ dài tối thiểu cho mật khẩu, người dùng sẽ phải tạo các mật khẩu mới có độ dài ký tự tối thiểu được thiết lập trong chính sách này.
Giới hạn thời gian đăng nhập
Các hệ thống không nên cho phép người dùng duy trì trạng thái đăng nhập vô thời hạn hoặc có tính năng “nhớ tôi”. Hãy thực hiện đăng xuất theo thời gian và yêu cầu nhập mật khẩu mỗi khi bắt đầu một phiên mới.
Triển khai xác thực đa yếu tố
Xác thực là một quá trình xác minh danh tính của người dùng trước khi cấp quyền truy cập. Có một số cách phổ biến mà người dùng có thể chứng minh danh tính của mình như:
- Điều bạn biết: Thông tin chỉ người dùng biết, như mật khẩu hoặc câu trả lời cho câu hỏi “bí mật”.
- Thứ bạn có: Chẳng hạn như mã OTP.
- Bạn là ai: Dữ liệu sinh trắc học của người dùng, như dấu vân tay, khuôn mặt, nhận dạng giọng nói hoặc quét võng mạc.
- Đạn đang ở đâu: Sử dụng GPS của điện thoại thông minh để xác định danh tính của người dùng theo vị trí.
Các loại xác thực phổ biến hiện nay gồm có:
Xác thực hai tố (2FA): Sử dụng hai trong số các yếu tố trên để xác minh danh tính người dùng.
Xác thực đa yếu tố (MFA): Sử dụng hai hoặc ba yếu tố trên để xác minh danh tính người dùng.
Thiết lập chính sách đăng nhập an toàn với Locker
Với Chính sách đăng nhập từ Locker cho doanh nghiệp, bạn có thể dễ dàng kiểm soát quyền truy cập của các nhân viên, đặt các yêu cầu về mật khẩu hay quản lý xác thực hai yếu tố và cách xử lý khi phát hiện các hoạt động đăng nhập bất thường. Đồng thời, hỗ trợ nhân viên tạo, mã hoá, lưu trữ và cập nhật mật khẩu một cách an toàn và bảo mật. Từ đó nâng cao độ bảo mật và tăng hiệu quả làm việc cho doanh nghiệp.
Trong bảng quản trị Locker cho doanh nghiệp, bạn có thể thiết lập các tiêu chí đăng nhập mà mọi người phải tuân theo gồm:
Chính sách mật khẩu
Chính sách mật khẩu của Locker cho doanh nghiệp sẽ bao gồm các yêu cầu về mật khẩu mà người dùng sử dụng cho các tài khoản trực tuyến của mình và Master Password để đăng nhập vào tài khoản Locker.
Bạn có thể đặt ra quy tắc về độ dài tối thiểu và độ phức tạp của mật khẩu/Master Password như: Buộc phải có chữ in thường, chữ in hoa, số hay ký tự đặc biệt. Ngay sau khi được thiết lập, các quy tắc này sẽ được áp dụng cho tất cả mật khẩu có trong kho của họ. Điều này sẽ giúp người dùng loại bỏ thói quen sử dụng mật khẩu yếu và buộc phải sử dụng mật khẩu mạnh.
Ngoài ra, các thành viên có thể tạo mật khẩu mạnh bằng công cụ Tạo mật khẩu mạnh ngẫu nhiên được tích hợp sẵn trong Locker chỉ với một cú nhấp chuột và lưu lại nhanh chóng. Khi cần, mật khẩu sẽ tự động được điền vào biểu mẫu nhờ tính năng Tự động điền.
Chính sách đăng nhập
Chính sách đăng nhập cho phép bạn đặt ra các quy tắc về đăng nhập gồm:
- Chặn đăng nhập không thành công khi có người dùng đăng nhập thất bại nhiều lần. Tại đây bạn có thể cài đặt số lần đăng nhập thất bại và chặn trong khoảng thời gian bao lâu. Sau khi được thiết lập, người dùng sẽ bị chặn đăng nhập nếu vi phạm các quy tắc bạn đã đặt ra. Ngoài ra, bạn cũng có thể tuỳ chọn nhận email khi thành viên bị chặn để nắm bắt thông tin kịp thời và có hướng xử lý thích hợp.
- Đăng nhập không cần mật khẩu. Quy tắc này yêu cầu người dùng phải đăng nhập bằng phương pháp không cần mật khẩu (theo tiêu chuẩn FIDO 2). Bạn có thể lựa chọn cách người dùng đăng nhập bằng một trong hai cách: Người dùng có thể chọn không dùng mật khẩu hoặc sử dụng Master Password hoặc Chỉ cho phép không dùng mật khẩu (Master Password bị tắt).
- Đăng nhập với 2FA. Quy tắc này yêu cầu người dùng phải sử dụng Xác thực hai yếu tố (2FA) để đăng nhập vào tài khoản Locker của họ lần đầu tiên trên thiết bị mới. Khi được bật, người dùng buộc phải sử dụng trình xác thực mà họ chọn, chẳng hạn như: Locker, Authy, Google Authenticator,… Bạn cũng có thể tùy chỉnh quy tắc này sẽ chỉ áp dụng cho Quản trị viên cấp cao và Quản trị viên hay áp dụng cho tất cả mọi người.
Như bạn có thể thấy, với những nguy cơ mà rò rỉ dữ liệu mang lại, việc triển khai chính sách đăng nhập không đơn thuần chỉ là một lựa chọn mà đó là điều tất yếu. Nhất là khi mỗi ngày trôi qua, tội phạm mạng đang không ngừng nghĩ ra các phương pháp và công nghệ mới để đánh cắp dữ liệu từ người dùng.
Hy vọng với những thông tin mà bài viết chia sẻ đã giúp bạn đọc hiểu hơn về tầm quan trọng của chính sách đăng nhập, cũng như cách thiết lập chính sách đăng nhập với Locker cho doanh nghiệp. Đừng quên tiếp tục theo dõi Locker để không bỏ lỡ những kiến thức và mẹo bảo mật mới.