Ngày 16 tháng 1 năm 2023Tin tức về hackerQuản lý danh tính / MFA
Khi xem xét các nhà cung cấp xác thực, nhiều tổ chức xem xét tính dễ cấu hình, tính phổ biến của việc sử dụng và tính ổn định kỹ thuật. Các tổ chức không phải lúc nào cũng được đánh giá chỉ dựa trên các số liệu đó. Ngày càng có nhiều nhu cầu đánh giá quyền sở hữu, chính sách của công ty và sự ổn định hoặc bất ổn mà nó mang lại.
Thay đổi lãnh đạo ảnh hưởng đến sự ổn định như thế nào
Trong những tháng gần đây, một ví dụ nổi bật là Twitter. Nền tảng Twitter đã xuất hiện từ năm 2006 và được hàng triệu người trên toàn thế giới sử dụng. Với nhiều người dùng và hệ thống xác thực có vẻ mạnh mẽ, các tổ chức đã sử dụng Twitter làm dịch vụ xác thực chính hoặc phụ.
Sự lãnh đạo và chính sách không nhất quán có nghĩa là sự ổn định của một nền tảng có thể thay đổi, điều này đặc biệt đúng với Twitter gần đây. Việc thay đổi quyền sở hữu đối với Elon Musk đã dẫn đến những thay đổi lớn đối với nhân sự và chính sách. Do những thay đổi đó, một phần lớn nhân viên đã bị sa thải, nhưng điều này bao gồm nhiều cá nhân chịu trách nhiệm về sự ổn định kỹ thuật của nền tảng.
Điều này lên đến đỉnh điểm trong việc ngừng xác thực hai yếu tố SMS của Twitter. Với các văn bản bị trễ hoặc không tồn tại, nhiều người dùng không thể đăng nhập vào Twitter. Điều này ảnh hưởng đến các hệ thống dựa vào Twitter làm nhà cung cấp xác thực chính và phụ của họ.
Không chỉ giới hạn ở các vấn đề xác thực, những thay đổi này còn dẫn đến mối lo ngại mới về sự an toàn và quyền riêng tư của dữ liệu người dùng. Twitter đã phải tuân theo nghị định về sự đồng ý của FTC từ các vấn đề trước đây xung quanh dữ liệu người dùng và một phần lớn nhân viên chịu trách nhiệm tuân thủ đã bị sa thải. Ngay cả khi nhà cung cấp xác thực vẫn hoạt động, nó có thể khiến một tổ chức rơi vào tình trạng khó chịu về trạng thái lưu trữ của họ trên các máy chủ của Twitter.
Chiến lược cho sự ổn định của dịch vụ xác thực
Sử dụng dịch vụ xác thực mạnh mẽ và được thiết lập tốt của một nền tảng có thể tiết kiệm thời gian và tiền bạc cho các tổ chức so với việc triển khai dịch vụ của riêng họ. Việc loại bỏ các nền tảng của bên thứ ba thường không khả thi hoặc thậm chí không được khuyến nghị. Thay vào đó, lập kế hoạch chủ động là điều cần thiết nếu một tổ chức cần duy trì sự ổn định và bảo mật với các nền tảng xác thực của mình.
Điều quan trọng là phải hỏi và trả lời các câu hỏi sau đây khi xem xét cách dịch vụ xác thực của tổ chức bạn sẽ xử lý các gián đoạn tiềm ẩn trong các nhà cung cấp dịch vụ xác thực.
Dịch vụ xác thực của tổ chức có hỗ trợ nhiều nhà cung cấp danh tính không? Nếu không có nhà cung cấp, có nhà cung cấp dự phòng nào không và có thể chuyển đổi nhà cung cấp nhanh như thế nào? Sự gián đoạn đối với người dùng là gì? Họ sẽ đăng xuất khỏi các phiên hiện tại hay nó sẽ liền mạch và có hiệu lực trong lần đăng nhập tiếp theo? Nếu MFA được định cấu hình, các tùy chọn khả dụng là gì? Có nhiều phương pháp để xác minh người dùng không và nếu một phương pháp bị xóa, điều đó có làm giảm chất lượng dịch vụ xác thực không?
Nếu một tổ chức chọn Twitter làm nguồn xác thực hai yếu tố, tổ chức đó có thể nhận thấy rằng các sự kiện gần đây cho thấy một sự thay đổi cần thiết. Nếu vậy, việc chuyển đổi có thể được thực hiện dễ dàng hơn nếu nhiều nền tảng MFA đã có sẵn và được định cấu hình.
Nếu một tổ chức có thể chọn hệ thống xác thực hoạt động dựa trên nhu cầu hiện tại, thì ngay cả những vấn đề hiển thị với một nền tảng chính như Twitter cũng sẽ được giảm nhẹ và người dùng của tổ chức sẽ thấy ít thay đổi.
Cung cấp nhiều tùy chọn MFA
Để hiểu cách thức hoạt động của điều này trong thực tế, người ta có thể tìm đến Microsoft. Với Azure, sau khi MFA được định cấu hình, bạn có thể cung cấp một số tùy chọn hoặc giới hạn các phương thức xác minh khả dụng. Thay vì tin nhắn SMS, bạn có thể nhận cuộc gọi điện thoại hoặc sử dụng mã thông báo phần cứng. Nếu bạn cung cấp cả 3, bạn sẽ không bị khóa tài khoản nếu một dịch vụ cụ thể không khả dụng.
Gần giống với Google Workspace, nơi bạn có thể cung cấp một hoặc nhiều tùy chọn xác thực. Nếu bạn bật nhiều hơn một, bạn sẽ không mất khả năng xác thực người dùng của mình trong trường hợp xảy ra lỗi dịch vụ. Cả Microsoft và Google đều có thể linh hoạt hơn. Cả hai đều không cung cấp đầy đủ các tùy chọn để tích hợp với các dịch vụ như Twitter.
Một ví dụ về hệ thống cung cấp vô số tùy chọn là Okta. Bằng cách bật Đăng nhập xã hội, bạn có thể cho phép người dùng đăng nhập thông qua các dịch vụ phổ biến như Facebook hoặc Twitter. Tuy nhiên, bạn nên sao lưu thông tin đăng nhập xã hội đó bằng cấu hình MFA có thể bao gồm các tùy chọn như SMS, ứng dụng xác thực hoặc thiết bị phần cứng như Yubikey.
Giảm thiểu tính không ổn định của xác thực với Specops uReset
Một tổ chức có thể cảm thấy không thoải mái với những thay đổi đối với nhà cung cấp xác thực của mình. Nếu vậy, việc triển khai một sản phẩm, chẳng hạn như Specops uReset, sẽ loại bỏ sự phụ thuộc vào nền tảng xác thực có vấn đề, ít nhất là đối với việc đặt lại mật khẩu.
Tính linh hoạt để lựa chọn từ nhiều nhà cung cấp xác thực có trọng số giúp dễ dàng loại bỏ nhà cung cấp có vấn đề trong khi vẫn để người dùng và nhân viên bàn dịch vụ có thể đặt lại mật khẩu. Thay đổi trọng số để bù đắp sự mất mát của nhà cung cấp đã sử dụng trước đó và người dùng của bạn có thể nhanh chóng quay lại làm việc!
Vì nhiều nhà cung cấp đang được sử dụng nên bạn có thể yêu cầu người dùng cuối sử dụng kết hợp các dịch vụ nhận dạng đáng tin cậy để thực hiện đặt lại mật khẩu tự phục vụ mà không lo mất quyền truy cập vào dịch vụ xác thực quan trọng trước đây.
Quản lý sự không ổn định của nền tảng với việc lập kế hoạch
Những thay đổi về nền tảng rất khó dự đoán và phản ứng, nhưng tổ chức của bạn có thể sẵn sàng cho mọi thay đổi nếu có tầm nhìn xa và lập kế hoạch. Ngay cả những nhà lãnh đạo hay thay đổi nhất cũng có thể được lên kế hoạch bằng cách kiến trúc các dịch vụ xác thực linh hoạt.
Với các sản phẩm như Specops uReset, người dùng sẽ không bị khóa khi dịch vụ xác thực ngừng hoạt động. Sử dụng các tùy chọn đặt lại mật khẩu khác nhau, họ có thể nhanh chóng quay lại làm việc.
