Thực tế là chúng tôi tiếp tục dựa vào mật khẩu điều này đi sâu vào thời đại kỹ thuật số thì hơi chói tai. Những mảnh ghép chữ và số này, tương đương với các phím khung kỹ thuật số, từng được dùng như một công cụ có giá trị. Thật không may, mật khẩu bây giờ rắc rối hơn nhiều so với giá trị của chúng. Chúng cung cấp ít khả năng bảo vệ chống lại hành vi trộm cắp danh tính, vi phạm và vô số các vấn đề khác.
Tuy nhiên, việc loại bỏ hoàn toàn mật khẩu là điều không cần bàn cãi - ít nhất là vào lúc này. Mặc dù chúng có thể được xếp hạng là một lỗi bảo mật gần như hoàn toàn và là một trở ngại cho tất cả mọi người, chúng vẫn là một tiêu chuẩn cố định. Do đó, xác thực đa yếu tố (MFA) đã trở thành một nhu cầu cần thiết, nhưng nó cũng đặt ra những thách thức liên quan đến các vấn đề hoàn toàn.
Đây là phần đầu tiên của loạt bài gồm hai phần về cách các doanh nghiệp có thể áp dụng các phương pháp xác thực mạnh hơn và tốt hơn. Mặc dù cần phải tăng cường áp dụng MFA ngay lập tức, điều quan trọng là phải chuyển sang các khuôn khổ không mật khẩu nâng cao và an toàn hơn, bao gồm cả những khuôn khổ sử dụng sinh trắc học.
Xấu hổ về sự giàu có
Như với mọi công nghệ, tích lũy các giải pháp cuối cùng trở thành một vấn đề mới. Hầu hết các tổ chức và nhiều người tiêu dùng nhận ra sự cần thiết phải vượt ra ngoài xác thực chỉ bằng mật khẩu. Nhưng xác thực hai yếu tố (2FA) và thậm chí nhiều kỹ thuật MFA chưa bao giờ được thiết kế cho các khuôn khổ kỹ thuật số phức tạp ngày nay.
“Khi bạn đăng nhập vào sáu hệ thống khác nhau trong ngày và mỗi hệ thống sử dụng một phương pháp khác nhau… bạn kết thúc với PTSD xác thực hai yếu tố,” Michael Engle, đồng sáng lập và giám đốc an ninh tại 1Kosmos cho biết. “Bạn dành một khoảng thời gian đáng kể để tìm nạp mã và khởi chạy ứng dụng.”
Sự kết hợp của các phương pháp - bao gồm mật khẩu một lần dựa trên thời gian (TOTP), SMS và email 2FA, 2FA dựa trên đẩy, mã thông báo yếu tố thứ hai phổ quát (U2F), WebAuthnvà đại lý máy tính để bàn - giới thiệu một loạt các lựa chọn thường gây nhầm lẫn cho cả công ty và người tiêu dùng. Làm cho vấn đề tồi tệ hơn, chúng cung cấp các cấp độ bảo vệ khác nhau và hầu hết mọi người không được trang bị để hiểu những ưu và khuyết điểm. Ví dụ: mã SMS và email được sử dụng rộng rãi dễ dàng bị chặn hoặc bị xâm phạm khi kẻ gian có quyền truy cập vào thiết bị. Bộ công cụ hỗ trợ tấn công trung gian và các cách khai thác mật khẩu khác hiện đã được phổ biến rộng rãi trên các trang web như GitHub.
Sự mệt mỏi của người tiêu dùng và doanh nghiệp đang ở mức đỉnh điểm. Và trong khi các hệ thống MFA và không mật khẩu tốt hơn đáng kể đang hình thành - Apple, Google và Microsoft đã thông báo rằng họ đang chuyển sang đăng nhập không cần mật khẩu được xây dựng trên tiêu chuẩn FIDO2 - các tổ chức tiếp tục đấu tranh với việc nhận con nuôi.
Thiết kế, khả năng sử dụng và chức năng đều rất quan trọng. Cần thuyết phục mọi người vượt ra ngoài mật khẩu cơ bản và áp dụng MFA, nhưng điều quan trọng là phải triển khai các phương pháp MFA cấp cao hơn trong khi chuyển sang không có mật khẩu.
“Điều này đòi hỏi UX và giáo dục được cải thiện. Don Tait, một nhà phân tích cấp cao tại Omdia Consulting, cho biết:
Kinh doanh mạo hiểm
Đó là một thực tế đáng ngạc nhiên và hoàn toàn đáng lo ngại: Mặc dù có một chuỗi các vụ hack, tấn công, vi phạm và sự cố dường như vô tận - 81% các vụ vi phạm liên quan đến hack là do vấn đề mật khẩu - chỉ 29% người tiêu dùng tin rằng sự bất tiện của 2FA luôn đáng để đánh đổi về mặt an ninh. Khoảng 36% sẵn sàng sử dụng 2FA trong một số trường hợp, tùy thuộc vào mức độ quan trọng của tài khoản.
Lý do cho sự thận trọng này ít nhất một phần bắt nguồn từ bản chất của thế giới trực tuyến ngày nay. Dù tốt hơn hay tệ hơn, mọi người mong đợi các trang web tải ngay lập tức và họ tìm kiếm quyền truy cập vào tài khoản mà không có bất kỳ độ trễ nào - ngay cả khi hàng chục API và máy chủ trên khắp thế giới được yêu cầu cho một giao dịch. Đáng chú ý, một nghiên cứu do Microsoft thực hiện nhận thấy rằng một người bình thường chỉ có khoảng thời gian chú ý khoảng tám giây.
Tuy nhiên, rõ ràng rằng các khuôn khổ MFA có thể là một rắc rối lớn. Thông thường, cần phải yêu cầu mã văn bản hoặc rút điện thoại ra và mở ứng dụng xác thực từ Google hoặc Microsoft và nhập mã. Trong khi đó, các mã thông báo vật lý, chẳng hạn như YubiKey, cung cấp khả năng bảo mật tuyệt vời - nhưng chúng có thể khó thiết lập và sử dụng.
Sự tham gia của MFA đang tăng lên do đại dịch và những cảnh báo đáng ngại về rủi ro khi chỉ dựa vào mật khẩu; Okta tìm thấy rằng việc áp dụng MFA đã tăng khoảng 80% trong giai đoạn đầu của đại dịch. Tuy nhiên, các cuộc tấn công ngày càng leo thang và ngày càng tinh vi hơn. Kết quả ròng là một bước lùi tương đối.
Jasson Casey, Giám đốc công nghệ của nhà cung cấp dịch vụ xác thực Beyond Identity cho biết: “Có quá nhiều công ty đưa ra quá ít suy nghĩ về cách triển khai MFA nâng cao hơn và các hệ thống không mật khẩu. “Bạn không thể xây dựng một kiến trúc bảo mật mà không xem xét thiết kế và khả năng sử dụng. Khi mức độ ma sát tăng lên, sự tham gia sẽ giảm xuống. ”
Những vấn đề này diễn ra theo một số cách. Các yếu tố thiết kế có thể ẩn các tùy chọn MFA hoặc cung cấp các hướng dẫn khó hiểu về cách thiết lập nó. Đôi khi chúng cung cấp các cảnh báo khó hiểu hoặc đáng ngại khiến người dùng sợ hãi hoặc một trang web hoặc dịch vụ không truyền đạt giá trị của việc sử dụng MFA. Thông thường, người dùng không thấy bất kỳ lý do thuyết phục nào để áp dụng lớp bảo mật bổ sung này.
Kalev Rundu, giám đốc sản phẩm cấp cao tại công ty xác thực Veriff cho biết: “Mọi người chuyển sang sử dụng các dịch vụ kỹ thuật số vì họ đang tìm kiếm sự dễ sử dụng và tiện lợi. MFA không được khác biệt. Nó phải phù hợp hoàn toàn với tương tác kỹ thuật số rộng hơn và mang lại lợi thế rõ ràng hoặc các hình thức xác thực khác.
Thiết kế về bảo mật
Đạt được lượt mua là rất quan trọng. Các nhà nghiên cứu từ Viện Max Planck về Bảo mật và Quyền riêng tư; Đại học California, San Diego; và Facebook nhận thấy rằng một trong những chìa khóa để thuyết phục mọi người bật MFA là trình bày quyết định như một sự lựa chọn trao quyền cho cá nhân. Điều này có thể bao gồm một thông báo như, "Bạn có thể tăng cường khả năng bảo vệ khỏi bị hack tài khoản" hoặc "Bảo vệ tài khoản, các trang và bạn bè của bạn."
Khi các nhà nghiên cứu thử nghiệm phương pháp tiếp cận trách nhiệm cá nhân này với các nút đi kèm trên Facebook, nó đã dẫn đến tỷ lệ chấp nhận MFA tăng 33% trong số 622,419 người tham gia. Khi người dùng xem một thông báo về những lợi ích của việc được bảo vệ, họ có khả năng áp dụng MFA cao hơn 28%. Mặt khác, nút trách nhiệm công ty không thúc đẩy bất kỳ thay đổi nào trong hành vi.
Một kỹ thuật khác để thúc đẩy việc áp dụng xoay quanh một động lực hoặc một phần thưởng - một cách tiếp cận đã thu hút được sự chú ý trong các nền tảng trò chơi như Fortnight và World of Warcraft. Vào năm 2019, một nhóm các nhà nghiên cứu từ Đại học Bonn và Đại học Leibniz Hannover ở Đức nhận thấy rằng ngay cả một động lực nhỏ, chẳng hạn như một hình đại diện được nâng cấp hoặc một món quà nhỏ khác, có thể đẩy số lên.
Màu sắc, vị trí và các yếu tố thiết kế cũng quan trọng. Cung cấp yêu cầu vào đúng thời điểm - mà không làm gián đoạn luồng tương tác hoặc giao dịch - là rất quan trọng.
Engle của 1Kosmos nói: “Nó phải dễ dàng đến mức làm lần đầu tiên gần như không có bất kỳ sự cọ xát nào. Mã QR và xác thực đẩy sang ứng dụng có thể hữu ích, đặc biệt khi người dùng có thể cho phép đăng nhập từ một thiết bị được ủy quyền riêng biệt.
Tuy nhiên, không có phương pháp nào trong số này là liền mạch - và chúng không chống được đạn. Tương lai của MFA và các hệ thống hoàn toàn không cần mật khẩu nằm trong sinh trắc học, FIDO2 và các hệ thống mới nổi không chỉ xác thực tài khoản trên thiết bị mà còn xác minh danh tính của một người.
Tait của Omdia nói: “Một kỷ nguyên xác thực mới đang xuất hiện.
Trong phần 2, Dark Reading sẽ xem xét không gian không có mật khẩu đang phát triển nhanh chóng và những gì các công ty cần làm để loại bỏ mật khẩu một lần và mãi mãi.
