Sai lầm về mật khẩu khi tiếp nhận nhân viên mới tạo ra rủi ro không đáng có

Tiếp nhận nhân viên mới là khoảng thời gian bận rộn đối với các đội ngũ IT. Nhân viên mới cần thiết bị, tài khoản, quyền truy cập và mật khẩu, tất cả phải được cung cấp trong một khung thời gian eo hẹp. Điều đó thường có nghĩa là phải chia sẻ một mật khẩu tạm thời "ngày đầu tiên" để nhân viên có thể truy cập hệ thống lần đầu. Vấn đề là những mật khẩu này không phải lúc nào cũng chỉ là tạm thời. Chúng có thể được gửi qua email hoặc SMS, được tái sử dụng trên nhiều tài khoản, hoặc không bao giờ được thay đổi.
Rủi ro mật khẩu khi onboarding

Tiếp nhận nhân viên mới (onboarding) là khoảng thời gian bận rộn đối với các đội ngũ IT. Nhân viên mới cần thiết bị, tài khoản, quyền truy cập và mật khẩu, tất cả phải được cung cấp trong một khung thời gian eo hẹp.

Điều đó thường có nghĩa là phải chia sẻ một mật khẩu tạm thời "ngày đầu tiên" để nhân viên có thể truy cập hệ thống lần đầu. Vấn đề là những mật khẩu này không phải lúc nào cũng chỉ là tạm thời. Chúng có thể được gửi qua email hoặc SMS, được tái sử dụng trên nhiều tài khoản, hoặc không bao giờ được thay đổi, tạo ra rủi ro không đáng có trong quá trình onboarding.

Đối với những kẻ tấn công, các thông tin xác thực onboarding yếu hoặc được quản lý kém có thể cung cấp một con đường dễ dàng vào hệ thống doanh nghiệp. Để làm cho quy trình onboarding an toàn hơn mà không làm chậm bước tiến của nhân viên mới, điều quan trọng là phải hiểu tại sao các phương pháp chia sẻ mật khẩu điển hình lại gây ra rủi ro.

Khi sự tiện lợi lấn át bảo mật

Cách phổ biến nhất để chia sẻ thông tin xác thực ban đầu với nhân viên mới là gửi chúng dưới dạng văn bản thuần túy (plain text) qua email hoặc SMS. Cách này nhanh chóng và tiện lợi, đặc biệt là trong các giai đoạn onboarding bận rộn, nhưng nó cũng tạo ra một điểm phơi nhiễm lộ liễu. Nếu những tin nhắn đó bị chặn, chuyển tiếp hoặc được truy cập trên một thiết bị không an toàn, những kẻ tấn công có thể giành được quyền truy cập ngay lập tức vào các tài khoản và hệ thống của công ty.

Một phương pháp thay thế là chia sẻ mật khẩu bằng miệng, trực tiếp hoặc qua điện thoại. Mặc dù điều này làm giảm rủi ro bị chặn kỹ thuật số, nhưng nó lại tạo ra những thách thức vận hành riêng. Các đội ngũ IT và nhân viên mới cần điều phối lịch trình, và quy trình thường bị gián đoạn khi quản lý hoặc bên thứ ba được yêu cầu chuyển tiếp thông tin xác thực thay mặt cho IT. Càng nhiều người tham gia vào việc xử lý mật khẩu, khả năng nó bị xử lý sai hoặc bị tiết lộ càng lớn.

Cả hai phương pháp đều không cung cấp một cách xử lý thông tin xác thực onboarding thực sự an toàn hoặc có khả năng mở rộng. Trong nhiều trường hợp, các tổ chức đang đánh đổi giữa sự dễ dàng truy cập và tính bảo mật, và mật khẩu tạm thời cuối cùng trở thành một điểm yếu lâu dài thay vì chỉ là một bước onboarding ngắn hạn.

Cách tiếp cận an toàn hơn cho mật khẩu onboarding

Các phương pháp onboarding truyền thống tạo ra rủi ro vì các tổ chức bị buộc phải chia sẻ mật khẩu tạm thời ngay từ đầu. Giải quyết vấn đề này là các giải pháp chuyên dụng như Specops First Day Password, một phần của Specops uReset, giúp loại bỏ hoàn toàn nhu cầu phân phối mật khẩu ngày đầu tiên.

Specops First Day Password
Specops First Day Password

Thay vì nhận thông tin xác thực tạm thời qua email, SMS hoặc điện thoại, nhân viên mới sẽ tự thiết lập mật khẩu của mình thông qua một quy trình đăng ký an toàn. Người dùng nhận được một liên kết đăng ký qua email cá nhân, tin nhắn văn bản hoặc tùy chọn "reset mật khẩu của tôi" trên thiết bị đã gia nhập domain của họ. Sau khi xác minh danh tính bằng địa chỉ email cá nhân hoặc số điện thoại di động, họ có thể tạo một mật khẩu đáp ứng các yêu cầu chính sách của tổ chức ngay từ đầu.

Cách tiếp cận này làm giảm rủi ro liên quan đến việc thông tin xác thực onboarding bị chặn hoặc xử lý sai, đồng thời làm cho quy trình trở nên dễ dàng hơn cho cả đội ngũ IT và nhân viên mới.

Specops uReset
Specops uReset

Rủi ro từ việc mật khẩu tạm thời trở thành vĩnh viễn

Hầu hết các thông tin xác thực onboarding được thiết kế để mang tính tạm thời, với kỳ vọng nhân viên sẽ tạo mật khẩu mới sau lần đăng nhập đầu tiên. Tuy nhiên, những người dùng bận rộn rất dễ bỏ qua bước này và trì hoãn việc thay đổi mật khẩu. Quy trình onboarding cũng có thể không thực thi việc reset bắt buộc, hoặc các thông tin xác thực tạm thời có thể vẫn hoạt động mà không ai nhận ra.

Điều đó tạo ra một vấn đề vì mật khẩu ngày đầu tiên hiếm khi được thiết kế với mục tiêu bảo mật lâu dài. Chúng đơn giản hơn, dễ đoán hơn hoặc được tạo hàng loạt để đẩy nhanh quá trình onboarding. Nếu những thông tin xác thực đó vẫn hoạt động, chúng trở thành mục tiêu dễ dàng cho những kẻ tấn công đang tìm kiếm các cách thức ít tốn công sức để xâm nhập vào hệ thống doanh nghiệp.

Các sự cố gần đây cho thấy mức độ nguy hiểm của các thông tin xác thực mặc định hoặc tạm thời không thay đổi, đặc biệt là khi chúng bị để lộ trên các hệ thống kết nối Internet hoặc gắn liền với dữ liệu người dùng nhạy cảm.

Khai thác thông tin xác thực yếu trong hạ tầng quan trọng

Vào tháng 11 năm 2023, Cơ quan Quản lý Nước Đô thị Aliquippa ở Pennsylvania, Hoa Kỳ, đã bị nhóm hacktivist Cyber Av3ngers có liên hệ với Iran nhắm mục tiêu. Các hacker đã khai thác các bộ điều khiển logic lập trình (PLCs) được bảo vệ bằng thông tin xác thực mặc định "1111", cho phép chúng giành quyền kiểm soát một trạm tăng áp từ xa phục vụ hai thị trấn. Mặc dù không có rủi ro đối với nguồn cung cấp nước, mức độ nghiêm trọng của rủi ro đã được làm nổi bật bởi việc CISA cảnh báo các cơ sở khác cập nhật thông tin xác thực mặc định trong các hệ thống tương tự và ngắt kết nối PLCs khỏi Internet công cộng.

Sự cố này là một ví dụ điển hình về việc thông tin xác thực thiết lập ban đầu có thể trở thành điểm yếu bảo mật lâu dài như thế nào. Một mật khẩu dành cho việc triển khai ban đầu hoặc thử nghiệm vẫn hoạt động trên các hệ thống sản xuất, mang lại cho những kẻ tấn công một con đường thẳng vào môi trường công nghệ vận hành.

Xâm nhập nền tảng tuyển dụng qua tài khoản admin được bảo vệ kém

Vào năm 2025, các nhà nghiên cứu phát hiện ra rằng nền tảng tuyển dụng hỗ trợ AI của McDonald's, McHire, có thể bị truy cập thông qua một tài khoản quản trị viên cũ yếu, được cho là sử dụng "123456" làm cả tên người dùng và mật khẩu. Nền tảng này, do Paradox.ai vận hành, xử lý khối lượng lớn thông tin ứng viên như một phần của quy trình tuyển dụng và onboarding.

Sử dụng các thông tin xác thực mặc định, các nhà nghiên cứu đã có thể truy cập vào môi trường "nhà hàng" thử nghiệm trong nền tảng McHire. Từ đó, họ có thể xem các tương tác trò chuyện liên quan đến hơn 64 triệu đơn xin việc. Paradox.ai đã phản hồi nhanh chóng sau khi vấn đề được tiết lộ một cách có trách nhiệm, khắc phục lỗ hổng và cập nhật các chính sách bảo mật của mình. Tuy nhiên, sự cố làm nổi bật mức độ dễ dàng mà các thông tin xác thực mặc định hoặc thử nghiệm bị lãng quên có thể tạo ra sự phơi nhiễm nghiêm trọng khi chúng vẫn kết nối với các hệ thống thực tế.

Bảo mật quy trình onboarding với Specops

Mật khẩu sẽ không sớm biến mất; ngay cả khi passkeys và xác thực không mật khẩu (passwordless) ngày càng phổ biến, mật khẩu vẫn đóng vai trò trung tâm trong hầu hết các quy trình quản lý truy cập và onboarding.

Điều đó có nghĩa là các tổ chức cần những cách thức an toàn, đáng tin cậy để quản lý thông tin xác thực trong suốt toàn bộ vòng đời của chúng, bao gồm cả mật khẩu đầu tiên mà người dùng nhận được. Việc chia sẻ thông tin xác thực tạm thời hoặc quên reset mật khẩu mặc định sẽ tạo ra rủi ro không đáng có mà những kẻ tấn công nhanh chóng khai thác.

Giảm thiểu rủi ro đó không nhất thiết phải làm cho việc onboarding trở nên phức tạp hơn. Bằng cách cho phép người dùng tự tạo mật khẩu an toàn ngay từ ngày đầu tiên, các tổ chức có thể cải thiện bảo mật đồng thời cung cấp cho các đội ngũ IT một quy trình onboarding dễ quản lý và có khả năng mở rộng hơn.

Specops giúp các tổ chức tăng cường bảo mật mật khẩu ở mọi giai đoạn của vòng đời người dùng, từ lúc onboarding và tạo mật khẩu cho đến việc thực thi chính sách liên tục và bảo vệ chống lại mật khẩu bị rò rỉ.