Trong một động thái an ninh mạng tuyệt vời cần được tất cả các nhà cung cấp nhân rộng, Google đang dần chuyển sang đặt xác thực đa yếu tố (MFA) làm mặc định. Để nhầm lẫn vấn đề, Google không gọi MFA là “MFA;” thay vào đó nó gọi nó là “xác minh hai bước (2SV).”
Phần thú vị hơn là Google cũng đang thúc đẩy việc sử dụng phần mềm tuân thủ FIDO được nhúng trong điện thoại. Nó thậm chí còn có phiên bản iOS, vì vậy nó có thể có trong tất cả các điện thoại Android cũng như Apple.
Nói rõ hơn, khóa nội bộ này không được thiết kế để xác thực người dùng, theo Jonathan Skelker, giám đốc sản phẩm của Google Account Security. Điện thoại Android và iOS đang sử dụng sinh trắc học cho điều đó (chủ yếu là nhận dạng khuôn mặt với một số xác thực dấu vân tay) – và sinh trắc học, về lý thuyết, cung cấp đủ khả năng xác thực. Phần mềm tuân thủ FIDO được thiết kế để xác thực thiết bị để truy cập không qua điện thoại, chẳng hạn như Gmail hoặc Google Drive.
Tóm lại, sinh trắc học xác thực người dùng và sau đó khóa bên trong xác thực điện thoại.
Câu hỏi tiếp theo được đặt ra là liệu các công ty khác ngoài Google có thể tận dụng ứng dụng này hay không. Tôi đoán rằng, khi Google đã cố gắng bao gồm đối thủ truyền kiếp của Apple, câu trả lời có thể là có.
Tất cả điều này bắt đầu vào ngày 6 tháng 5, khi Google công bố thay đổi mặc định trong một bài đăng trên blog, báo trước đây là bước quan trọng để loại bỏ mật khẩu không hiệu quả.
Một mặt, có một chiếc điện thoại gần như luôn ở bên cạnh để thay thế chìa khóa phần cứng là bảo mật thông minh. Nó bổ sung thêm một chút tiện lợi cho quy trình, điều mà người dùng nên đánh giá cao. Và việc sử dụng nó thành cài đặt mặc định cũng rất thông minh, vì sự lười biếng của người dùng đã được biết rõ.
Thay vì bắt người dùng phải tìm hiểu kỹ các cài đặt để kích hoạt MFA của Google, nó ở đó theo mặc định. Hãy để một số ít người không thích nó – từ góc độ bảo mật, giá cả và sự tiện lợi, thực sự không có nhiều điều để không thích — dành thời gian của họ cho việc cài đặt.
Nhưng trong môi trường doanh nghiệp, vẫn có một lý do lớn để gắn bó với các chìa khóa bên ngoài: tính nhất quán. Đầu tiên, các phím bên ngoài này đã được mua số lượng lớn, vậy tại sao bạn không sử dụng chúng? Ngoài ra, người dùng có nhiều loại điện thoại khác nhau và việc tiêu chuẩn hóa cho nhân viên và nhà thầu chỉ làm cho các phím bên ngoài dễ dàng hơn.
Trong cuộc phỏng vấn, Skelker cho biết không có lợi thế bảo mật nào đối với các khóa bên trong của Google khi so sánh với các khóa bên ngoài, vì cả hai đều tuân thủ FIDO. Sau đó, một lần nữa, đó là ngày hôm nay. Có khả năng rất cao là Google sẽ sớm – có khả năng trong vài năm tới – tăng cường mạnh mẽ tính bảo mật cho các khóa phần mềm nội bộ của mình. Khi nào và nếu điều đó xảy ra, quyết định của CIO / CISO sẽ rất khác.
Đột nhiên, bạn có một khóa miễn phí tốt hơn các khóa phần cứng hiện có. Và nó sẽ thuộc quyền sở hữu của hầu hết tất cả nhân viên và nhà thầu.
Tôi hoan nghênh nỗ lực của Google trong việc loại bỏ mật khẩu, có một vấn đề toàn ngành trên tất cả các ngành dọc. Miễn là phần lớn các nhà cung cấp và doanh nghiệp yêu cầu mật khẩu, thì có một vài chỗ không giúp được gì nhiều. Trong một thế giới hoàn hảo, người dùng sẽ từ chối truy cập vào các môi trường vẫn yêu cầu mật khẩu. Doanh thu có một cách thu hút sự chú ý của các giám đốc điều hành.
Tuy nhiên, đáng buồn thay, hầu hết người dùng không đủ quan tâm để làm điều đó, cũng như không nhiều người hiểu những rủi ro bảo mật do mật khẩu và mã PIN gây ra, đặc biệt là khi tự sử dụng.
Bản quyền © 2021 IDG Communications, Inc.