Trong thời đại số, bảo mật thông tin cá nhân và doanh nghiệp trở nên quan trọng hơn bao giờ hết. Để đối phó với các mối đe dọa an ninh mạng ngày càng tinh vi, các giải pháp xác thực mạnh mẽ là điều cần thiết. Microsoft, với nền tảng Microsoft Entra ID, đã mang đến một bước đột phá mới với phương thức xác thực FIDO2.
Microsoft Entra ID là gì?
Microsoft Entra ID (trước đây là Azure Active Directory) là nền tảng quản lý danh tính và quyền truy cập đa đám mây của Microsoft, nhằm mục đích bảo vệ danh tính và quyền truy cập vào tài nguyên. Với Entra ID, người dùng có thể:
- Đánh giá rủi ro từ nhiều góc độ thông qua xem xét danh tính, quyền và tài nguyên sử dụng.
- Tự động thực thi các chính sách trên hạ tầng đám mây nhất quán.
- Ngăn chặn hành vi vi phạm dữ liệu do sử dụng không đúng mục đích.
Các phương thức xác thực hiện có
Trước đây, Microsoft Entra ID đã hỗ trợ các phương thức xác thực như mật khẩu, xác thực đa yếu tố (MFA) và xác thực dựa trên rủi ro. Tuy nhiên, từ tháng 8/2023, Microsoft đã công bố một bước tiến đáng kể trong việc tăng cường bảo mật cho dịch vụ Microsoft Entra ID với việc tích hợp xác thực FIDO2, giúp người dùng không còn lo lắng về việc mật khẩu bị đánh cắp hay quên mật khẩu. Thay vào đó, bạn chỉ cần một thao tác đơn giản như chạm vào khóa bảo mật hoặc sử dụng vân tay là có thể đăng nhập.
Yêu cầu để sử dụng phương thức xác thực với khóa (FIDO2)
Để sử dụng FIDO2, người dùng cần một thiết bị hỗ trợ chuẩn này, một trình duyệt tương thích và một tài khoản Entra ID đã được cấu hình đúng cách.
- Thiết bị hỗ trợ FIDO2: Thiết bị phải hỗ trợ chuẩn FIDO2, như khóa YubiKey, điện thoại thông minh có tích hợp cảm biến vân tay hoặc khuôn mặt.
- Trình duyệt web tương thích: Sử dụng trình duyệt web hỗ trợ FIDO2, như Chrome, Edge, Firefox (cập nhật trình duyệt lên phiên bản mới nhất).
- Cấu hình Entra ID: Quản trị viên cần cấu hình Entra ID để cho phép sử dụng phương thức xác thực FIDO2.
- Khóa FIDO2 đã đăng ký: Người dùng cần đăng ký khóa FIDO2 của mình với tài khoản Microsoft Entra ID.
Quy trình đăng nhập bằng khóa bảo mật FIDO2
- Người dùng cắm khóa bảo mật FIDO2 vào máy tính: Khóa bảo mật được kết nối với máy tính thông qua cổng USB.
- Hệ thống nhận diện khóa bảo mật: Máy tính nhận biết sự xuất hiện của khóa bảo mật.
- Yêu cầu xác thực: Máy tính gửi yêu cầu xác thực đến hệ thống Microsoft Entra ID.
- Mã xác thực (nonce): Hệ thống Microsoft Entra ID gửi một mã xác thực ngẫu nhiên (nonce) về máy tính.
- Mở khóa khóa bảo mật: Người dùng thực hiện thao tác (nhấn nút, chạm vân tay,…) để mở khóa thông tin cá nhân được lưu trữ an toàn trong khóa bảo mật.
- Ký mã xác thực: Khóa bảo mật sử dụng thông tin cá nhân để tạo một chữ ký điện tử cho mã xác thực.
- Gửi yêu cầu xác thực: Máy tính gửi yêu cầu xác thực kèm theo chữ ký điện tử đến hệ thống Microsoft Entra ID.
- Xác minh chữ ký: Hệ thống Microsoft Entra ID kiểm tra tính hợp lệ của chữ ký điện tử bằng cách sử dụng thông tin công khai của khóa bảo mật.
- Cấp quyền truy cập: Nếu chữ ký hợp lệ, hệ thống Microsoft Entra ID cấp quyền truy cập cho người dùng và cho phép họ sử dụng các tài nguyên nội bộ.
Việc tích hợp FIDO2 và hỗ trợ khóa YubiKey cho Microsoft Entra ID là một tín hiệu đáng mừng, cho thấy xu hướng chuyển đổi sang các phương thức xác thực mạnh mẽ hơn. Do đó, người dùng có thể bảo vệ tài khoản của mình một cách hiệu quả hơn trước các mối đe dọa an ninh mạng ngày càng gia tăng.