Ở cực nhiều công ty nhỏ và team Việt Nam mình, có một thói quen phổ biến đến mức ai cũng nghĩ là bình thường: cả team dùng chung một tài khoản luôn Mật khẩu fanpage được ném vào nhóm chat. Tài khoản quảng cáo được ghi trong file Excel đặt tên "TÀI KHOẢN CHUNG, KHÔNG XÓA" (classic vãi). Email công ty đăng nhập sẵn trên máy của bốn năm người khác nhau.
Mọi thứ chill phết, cho đến khi nó không còn chill nữa
Khi nhân viên nghỉ việc mang theo "chìa khóa" nhà
Kịch bản quen thuộc không hơn: một nhân viên rời công ty, và không ai nhớ ra rằng bạn ấy vẫn còn quyền truy cập vào tài khoản quảng cáo, fanpage, email khách hàng. Trong đa số trường hợp thì oke, không có drama gì xảy ra. Nhưng khi có tranh chấp về lương, thái độ hay quyền lợi, những tài khoản dùng chung này trở thành lỗ hổng chí mạng luôn nha
Đã có không ít vụ việc doanh nghiệp mất quyền kiểm soát fanpage hàng trăm nghìn lượt theo dõi, hay tài khoản quảng cáo bị tiêu tiền ngoài tầm kiểm soát, xuất phát từ chính người trong nhà cũ đấy.
Ngay cả khi không có ý đồ xấu, mật khẩu dùng chung vẫn xịt nát: nó thường yếu (để mọi người dễ nhớ), ít khi được thay đổi (vì đổi là cả team phải cập nhật, mệt lắm), và khi rò rỉ thì không thể truy nguồn được, vì ai cũng xài nó cả
Vì sao doanh nghiệp nhỏ vẫn chấp nhận rủi ro?
Câu trả lời thường là: vì các nền tảng không cho lựa chọn tốt hơn, hoặc lựa chọn tốt hơn quá đắt đỏ.
Nhiều công cụ mà doanh nghiệp nhỏ dùng hằng ngày không có cơ chế tài khoản con, hoặc tính phí theo số người dùng với mỗi ghế thêm vài chục USD mỗi tháng. Với một agency 5 người quản lý hàng chục tài khoản công cụ khác nhau cho khách hàng, chi phí nhân bản tài khoản trở nên đáng kể lắm. Dùng chung mật khẩu, vì vậy, là lựa chọn "tiết kiệm", cho đến khi tính cả chi phí của một sự cố (lúc đó thì toang rồi)
Nguyên tắc vàng: giao quyền truy cập, không giao mật khẩu
Giới bảo mật có một nguyên tắc đơn giản để xử lý bài toán này: nhân viên chỉ cần quyền truy cập để làm việc, không cần biết mật khẩu. Khi hai thứ đó tách rời nhau, việc một người rời đi chỉ đơn giản là thu hồi quyền, không cần đổi mật khẩu, không cần thông báo cả team. Ez game!
Trên thực tế, nguyên tắc này có thể triển khai theo ba cách, tùy quy mô và túi tiền nha.
Cách 1: Trình quản lý mật khẩu có tính năng chia sẻ
Các app như 1Password hay Bitwarden cho phép chia sẻ thông tin đăng nhập theo nhóm, thu hồi khi cần, và mật khẩu có thể được điền tự động mà không hiển thị cho người dùng. Đây là bước nâng cấp dễ nhất từ file Excel đấy, chi phí chỉ vài USD mỗi người mỗi tháng, thậm chí miễn phí với Bitwarden bản cơ bản luôn
Cách 2: Đăng nhập một lần (SSO)
Đăng nhập tập trung qua Google Workspace hay Microsoft 365 là chuẩn mực ở doanh nghiệp lớn: mỗi nhân viên một danh tính, nghỉ việc là khóa một nơi, mất quyền mọi nơi. Nhược điểm là chỉ áp dụng được với các dịch vụ hỗ trợ SSO thôi, trong khi rất nhiều nền tảng phổ biến ở Việt Nam mình thì không support
Cách 3: Chia sẻ phiên đăng nhập thay vì tài khoản
Đây là hướng tiếp cận mới hơn, phổ biến trong giới agency và vận hành thương mại điện tử, những ngành mà một team phải thao tác trên hàng chục tài khoản nền tảng của khách hàng. Các trình duyệt làm việc nhóm như Incogniton cho phép quản lý tạo hồ sơ trình duyệt đã đăng nhập sẵn, rồi cấp cho từng thành viên quyền sử dụng hồ sơ đó với vai trò và giới hạn cụ thể.
Nhân viên mở trình duyệt là vào thẳng phiên làm việc nhưng không bao giờ nhìn thấy mật khẩu gốc; khi họ rời đi, quản lý chỉ cần gỡ tài khoản thành viên là xong. Cách này lấp đúng khoảng trống mà trình quản lý mật khẩu và SSO chưa xử lý được: những nền tảng không hỗ trợ nhiều người dùng trên một tài khoản. Khá pro đúng không!
Bảo mật là quy trình, không phải công cụ
Dù chọn giải pháp nào, điểm mấu chốt vẫn là quy trình: doanh nghiệp cần biết ai đang có quyền truy cập vào cái gì, và có sẵn kịch bản thu hồi khi nhân sự thay đổi. Một buổi rà soát đơn giản, liệt kê toàn bộ tài khoản, ai đang giữ, mật khẩu thay đổi lần cuối khi nào, thường cho ra kết quả khiến chính chủ doanh nghiệp giật mình luôn nha
Nguồn: techz.vn