Xác thực dựa trên thiết bị di động không có khả năng chống phishing và tạo ra các khoảng trống trong MFA
Theo Báo cáo Chi phí Vi phạm Dữ liệu 2022 (IBM Security Cost of a Data Breach), chi phí trung bình của một vụ vi phạm dữ liệu trong khu vực công là 2,07 triệu USD,1 trong đó thông tin xác thực bị đánh cắp và phishing là các vector tấn công hàng đầu. Mặc dù MFA có thể đóng vai trò là tuyến phòng thủ đầu tiên mạnh mẽ trước phishing và ransomware, nhưng không phải mọi hình thức MFA đều được tạo ra như nhau.
Các phương thức xác thực truyền thống như tên người dùng và mật khẩu có thể dễ dàng bị xâm nhập, còn các phương thức xác thực dựa trên thiết bị di động như SMS, mã OTP và thông báo đẩy (push notification) lại rất dễ bị tổn thương trước các cuộc tấn công phishing hiện đại, mã độc, hoán đổi SIM (SIM swap) và tấn công trung gian (Man-in-the-Middle – MiTM). Xác thực dựa trên thiết bị di động cũng tạo ra những lỗ hổng trong chiến lược MFA khi người dùng không thể, không muốn hoặc không được phép sử dụng xác thực di động do các hạn chế từ công đoàn, sở thích cá nhân, sự không ổn định của vùng phủ sóng di động, lý do tài chính và nhiều yếu tố khác.
Bảo vệ quyền truy cập quan trọng cho nhân viên và người dân với YubiKey
Để bảo vệ trước các mối đe dọa an ninh mạng hiện đại, Yubico cung cấp YubiKey – khóa bảo mật phần cứng đạt chứng nhận FIPS 140-2 dành cho xác thực hai yếu tố (2FA), MFA và xác thực không mật khẩu ở quy mô lớn với khả năng chống phishing. Đây là giải pháp duy nhất được chứng minh có thể loại bỏ hoàn toàn hành vi chiếm đoạt tài khoản trong các nghiên cứu độc lập,2 đồng thời đáp ứng các yêu cầu MFA chống phishing trong Sắc lệnh Hành pháp 14028 năm 2021 của Nhà Trắng về bảo vệ an ninh mạng quốc gia.
YubiKeys đặc biệt phù hợp với những người dùng không thể, không muốn hoặc không sử dụng xác thực di động, đồng thời rất dễ triển khai và sử dụng – một YubiKey duy nhất có thể hoạt động trên các ứng dụng, dịch vụ và thiết bị hiện đại lẫn cũ, với khả năng hỗ trợ đa giao thức gồm Smart Card, OTP, OpenPGP, FIDO U2F và FIDO2/WebAuthn trên cùng một khóa, mà không cần pin hoặc kết nối internet.
Cách YubiKey giúp bảo vệ công nghệ, dữ liệu và người dùng của bạn:
1. Đáp ứng các yêu cầu về bảo hiểm an ninh mạng
Các bang, thành phố và quận hạt tại Hoa Kỳ có thể đối mặt với tình trạng thiếu hụt năng lực bảo hiểm an ninh mạng và chi phí bảo hiểm gia tăng nếu phạm vi triển khai MFA không được áp dụng đầy đủ trên toàn bộ hệ sinh thái. Những hạn chế có thể bao gồm giảm giới hạn bồi thường, tăng mức khấu trừ và thu hẹp điều khoản bảo hiểm. Việc không được gia hạn hợp đồng bảo hiểm an ninh mạng cũng có thể xảy ra, khiến tổ chức đối mặt với rủi ro nghiêm trọng nếu bị tin tặc, phishing hoặc ransomware tấn công. YubiKeys mang lại mức bảo vệ MFA mạnh nhất trong ngành, giúp đảm bảo tuân thủ các yêu cầu bảo hiểm an ninh mạng của bạn.
2. Bảo vệ quyền truy cập dữ liệu từ mọi nơi và trên mọi thiết bị
YubiKeys cung cấp MFA chống phishing, đảm bảo chỉ người dùng được ủy quyền mới có thể truy cập đúng ứng dụng và dữ liệu cần thiết. YubiKeys tích hợp liền mạch với các giải pháp quản lý định danh và truy cập (IAM) cũng như nhà cung cấp danh tính (IDP) hiện có như Microsoft, Okta, DUO, Ping và hơn 700 ứng dụng, dịch vụ khác ngay khi triển khai, bao gồm Google Suite, Microsoft Azure, Microsoft Office 365, Box, Jamf và các giải pháp quản lý định danh và thông tin xác thực (ICAM), giúp loại bỏ nhu cầu thay thế toàn bộ hệ thống hiện tại.
Một YubiKey duy nhất có thể hoạt động trên nhiều thiết bị như máy tính để bàn, laptop, thiết bị di động, máy tính bảng, notebook và các máy trạm dùng chung, cho phép người dùng sử dụng cùng một khóa khi chuyển đổi giữa các thiết bị. Đồng thời, thiết bị này cũng có tính di động cao, đảm bảo những người dùng thường xuyên di chuyển như lực lượng thực thi pháp luật và nhân viên phản ứng khẩn cấp có thể truy cập an toàn, tuân thủ CJIS vào các dữ liệu quan trọng phục vụ hoạt động an toàn công cộng; đồng thời nhân viên làm việc trong các cơ quan cải huấn có thể xác thực an toàn mà không cần sử dụng thiết bị di động.
“Lợi ích lớn nhất là bạn không cần phải sử dụng điện thoại và chờ cuộc gọi hoặc tin nhắn chứa OTP. YubiKey là một giải pháp đơn giản hơn rất nhiều, tôi chỉ cần cắm vào, chạm nút và hoàn tất.”
Curtis Chiuu – Kĩ sư hệ thống chủ chốt, thành phố Sacramento – Hoa Kỳ
3. Bảo vệ hạ tầng bầu cử
Hệ sinh thái bầu cử là mục tiêu hàng đầu của các mối đe dọa an ninh mạng, và MFA chống phishing là một thực tiễn bảo mật CNTT mà các bang và quận hạt nên triển khai. YubiKey cung cấp xác thực phần cứng mạnh mẽ nhằm bảo vệ cơ sở dữ liệu đăng ký cử tri, sổ bầu cử điện tử (e-pollbooks), hệ thống báo cáo đêm bầu cử (ENR), hệ thống quản lý bầu cử cũng như các thiết bị dùng để truy cập các hệ thống này như laptop, desktop và thiết bị di động trước các hành vi xâm nhập trái phép.
“Tôi thích YubiKey hơn so với xác thực bằng điện thoại. Chúng tôi có rất nhiều người dùng trong hệ thống không được cấp điện thoại bởi bang hoặc quận hạt, và chắc chắn tôi không muốn họ sử dụng thiết bị cá nhân cho công việc của cơ quan hay văn phòng. YubiKey thực sự là lựa chọn MFA dễ sử dụng nhất đối với chúng tôi tại bang Washington để đáp ứng các yêu cầu bảo mật bổ sung.”
Curtis Chiuu – Kĩ sư hệ thống chủ chốt, thành phố Sacramento – Hoa Kỳ
4. Bảo vệ các dịch vụ số hướng tới công dân
Các hệ thống của chính quyền bang và địa phương chứa thông tin của công dân như số an sinh xã hội và nhiều dữ liệu nhạy cảm khác. Nhân viên nội bộ cần quyền truy cập an toàn vào các thông tin này, đồng thời người dân bên ngoài cũng cần truy cập các dịch vụ số một cách liền mạch và bảo mật.
Việc tích hợp xác thực chống phishing dựa trên FIDO2/WebAuthn và YubiKeys vào các dịch vụ số hướng tới công dân sẽ mang lại trải nghiệm an toàn và đơn giản, giúp người dân được bảo vệ trước các cuộc tấn công phishing và chiếm đoạt tài khoản. YubiKeys cũng có thể thu hẹp khoảng cách số đối với những người dân không có hoặc không đủ khả năng sở hữu thiết bị di động.
Quản lý vòng đời: Trao quyền cho người dùng với YubiKeys
Yubico giúp việc triển khai MFA chống phishing trở nên vô cùng thuận tiện. Bạn có thể tận dụng các nền tảng IAM, ICAM và IDP hiện có để quản lý việc cấp phát, thu hồi và thực thi chính sách đối với YubiKeys. Đồng thời, Yubico cũng giúp đưa YubiKeys trực tiếp tới tay người dùng thông qua các dịch vụ như YubiKey as a Service – mô hình dịch vụ linh hoạt và tiết kiệm chi phí để mua YubiKeys, cùng YubiEnterprise Delivery – dịch vụ phân phối trọn gói bao gồm vận chuyển và theo dõi sản phẩm Yubico.
Sau khi người dùng nhận được YubiKeys, bước tiếp theo là đăng ký các khóa này với các ứng dụng và thiết bị mà họ sẽ sử dụng. Nếu người dùng rời khỏi tổ chức, một số đơn vị sẽ thu hồi YubiKeys trước khi họ nghỉ việc, trong khi những đơn vị khác cho phép người dùng tiếp tục giữ YubiKey để sử dụng cho các tài khoản cá nhân của họ.

