Hướng dẫn cấu hình Xác thực đa yếu tố (Multi-Factor Authentication – MFA)

Mục lục

1. TỔNG QUAN
   1.1 MFA là gì?
    1.2 Vì sao MFA quan trọng với Akabot Center?

2. Hướng dẫn kích hoạt MFA
   2.1 MFA bắt buộc theo hệ thống
    2.2 MFA tùy chọn (User/Admin kiểm soát)

3. Quản lý & Khắc phục sự cố
   3.1 Quản lý
    3.2 Khắc phục sự cố

1. TỔNG QUAN

1.1 MFA là gì?

Xác thực đa yếu tố (Multi-Factor Authentication – MFA) là phương thức bảo mật yêu cầu người dùng cung cấp từ hai yếu tố xác thực trở lên để truy cập vào tài nguyên (ứng dụng hoặc tài khoản trực tuyến).

Thay vì chỉ nhập tên đăng nhập và mật khẩu (yếu tố bạn biết), MFA yêu cầu thêm các yếu tố thuộc các nhóm sau:

• Kiến thức (Knowledge): Thứ bạn biết, ví dụ như mật khẩu hoặc mã PIN

• Sở hữu (Possession): Thứ bạn có, ví dụ điện thoại (qua ứng dụng xác thực) hoặc thiết bị bảo mật vật lý

• Sinh trắc học (Inherence): Thứ bạn là, ví dụ dấu vân tay hoặc nhận diện khuôn mặt

1.2 Vì sao MFA quan trọng với Akabot Center?

Akabot Center là trung tâm vận hành, quản lý và giám sát toàn bộ hoạt động của các robot phần mềm (bot). Việc bảo mật quyền truy cập vào Akabot Center là cực kỳ quan trọng đối với toàn bộ hệ thống tự động hóa của doanh nghiệp.

Việc áp dụng MFA mang lại các lợi ích sau:

• Tăng cường bảo mật: Ngăn chặn hiệu quả các cuộc tấn công chiếm quyền tài khoản, ngay cả khi mật khẩu bị lộ

• Bảo vệ dữ liệu nhạy cảm: Chỉ cho phép người dùng được ủy quyền truy cập vào quy trình bot, dữ liệu và cấu hình quan trọng

• Giảm thiểu rủi ro: Hạn chế nguy cơ bot bị điều khiển trái phép gây gián đoạn vận hành hoặc thiệt hại kinh doanh

• Tuân thủ tiêu chuẩn bảo mật: Đáp ứng các yêu cầu an toàn thông tin và tiêu chuẩn bảo mật của ngành

2. Hướng dẫn kích hoạt MFA

Tùy theo chính sách bảo mật của tổ chức, MFA trên Akabot Center có thể được triển khai theo 2 hình thức sau:

2.1 MFA bắt buộc theo hệ thống (System-Required MFA)

Trong trường hợp này, MFA được áp dụng cho toàn bộ người dùng (bao gồm cả Administrator). Mọi tài khoản đều bắt buộc phải cấu hình và sử dụng MFA khi đăng nhập.

Chi tiết cấu hình MFA

• display.enabled: true
  → MFA được bật và hoạt động trong hệ thống

• display.required: true
  → MFA là bắt buộc với tất cả người dùng

• secret-key
  → Khóa bí mật dùng để mã hóa secret key và backup code của người dùng

• otp-max-failure-count: 3
  → Số lần nhập sai OTP tối đa trước khi tài khoản bị khóa/tạm dừng

• backup-code

  • length: 10 → Mỗi mã backup gồm 10 ký tự

  • count: 5 → Cung cấp 5 mã backup cho mỗi người dùng

• failed-attempt-timeout: 30000
  → Thời gian chờ sau khi vượt quá số lần nhập sai OTP
  → 30.000 ms = 30 giây

• *cleanup-schedule-cron: "0 0/5 * * "
  → Lịch cron dọn dẹp dữ liệu MFA cũ
  → Chạy mỗi 5 phút để xóa dữ liệu lỗi, backup code cũ hoặc phiên MFA không hợp lệ

A. Hướng dẫn chung cho người dùng

Kể từ lần đăng nhập tiếp theo sau khi chính sách có hiệu lực, người dùng cần thực hiện các bước sau:

1. Đăng nhập bằng username và password như bình thường
   
   
   

2. Quét mã QR bằng ứng dụng xác thực (Google Authenticator, Microsoft Authenticator, …)

   • Nếu không quét được, chọn Manual Entry và nhập Secret Key
     
     
     

3. Nhập 2 mã xác thực liên tiếp

   • Mã thứ nhất

   • Chờ ~30 giây để nhập mã thứ hai
     
     

     Note: Việc nhập 2 mã liên tiếp giúp đảm bảo đồng bộ giữa hệ thống và ứng dụng

     
     

4. Nhấn Verify để hoàn tất

5. Lưu Backup Codes (khuyến nghị)

   • Copy All → lưu vào password manager

   • Download → tải file và lưu trữ an toàn
     

6. Nhấn Login để hoàn tất đăng nhập

   • Có thể dùng Backup Code nếu không truy cập được ứng dụng xác thực

2.2 MFA tùy chọn (System-Optional MFA)

Trong trường hợp này, MFA là tính năng bảo mật tùy chọn. Người dùng hoặc Admin có thể bật/tắt theo nhu cầu.

Chi tiết cấu hình MFA

• display.enabled: true
  Ý nghĩa: MFA được bật và đang hoạt động trong hệ thống.
  Nếu đặt là false, MFA sẽ bị tắt và người dùng không cần cấu hình MFA.

• display.required: false
  Ý nghĩa: MFA không bắt buộc đối với người dùng.
  Nếu đặt là true, hệ thống sẽ yêu cầu tất cả người dùng phải bật MFA (MFA bắt buộc theo hệ thống).
  Khi kết hợp với display.enabled: true, điều này có nghĩa là MFA đã được bật nhưng người dùng có thể tự chọn bật hoặc tắt.

• secret-key
  Ý nghĩa: Khóa bí mật dùng để mã hóa secret key và backup codes của người dùng.

• otp-max-failure-count: 3
  Ý nghĩa: Số lần nhập sai mã OTP tối đa trước khi tài khoản bị khóa hoặc tạm thời bị chặn.
  Trong ví dụ này, người dùng có 3 lần thử OTP.

• backup-code

  • length: 10 → Mỗi mã backup gồm 10 ký tự

  • count: 5 → Cung cấp 5 mã backup cho người dùng, dùng khi không thể sử dụng OTP chính

• failed-attempt-timeout: 30000
  Ý nghĩa: Thời gian chờ sau khi vượt quá số lần nhập sai OTP tối đa.
  Giá trị 30000 tương đương 30.000 ms = 30 giây trước khi người dùng có thể thử lại.

• *cleanup-schedule-cron: "0 0/5 * * "
  Ý nghĩa: Lịch cron dùng để dọn dẹp dữ liệu MFA cũ.
  Cấu hình "0 0/5 * * *" có nghĩa là chạy mỗi 5 phút.
  Dùng để xóa số lần thử thất bại, backup codes cũ hoặc các phiên MFA không hợp lệ.

B. Hướng dẫn cho Administrator

1. Đăng nhập Akabot Center bằng tài khoản Admin

2. Vào Administration → Users

3. Chọn người dùng cần bật MFA

4. Mở chi tiết tài khoản → Action 

5. Chọn edit
   
   
   

6. Tại màn hình Update User, bật MFA (Off → On)
   

7. Nhấn Save
    Người dùng sẽ phải cấu hình MFA ở lần đăng nhập tiếp theo

C. Hướng dẫn cho Người dùng

Bật MFA

1. Đăng nhập Akabot Center

2. Chọn My Profile
   

3. Chọn Multi-Factor Authentication
   

4. Bật MFA và xác nhận
   

5. Quét QR code / nhập Secret Key
   
   - Mở ứng dụng xác thực (Google Authenticator, Microsoft Authenticator, v.v.) trên điện thoại của bạn.
   - Sử dụng ứng dụng để quét mã QR hiển thị trên màn hình.
   - Nếu không thể quét mã, hãy chọn Manual Entry và nhập Secret Key được cung cấp. 

6. Nhập mã xác thực từ ứng dụng:

   
   

   - Nhập mã đầu tiên vào ô “Enter the first code” (ô 2.1 – Bước 5).

   - Chờ mã tiếp theo xuất hiện (khoảng 30 giây), sau đó nhập vào ô “Enter the second code” (ô 2.2 – Bước 5).

   Lưu ý: Việc nhập hai mã liên tiếp giúp đảm bảo ứng dụng xác thực và hệ thống được đồng bộ chính xác.

7. Nhấn Verify

8. Lưu Backup Codes
   
   

   Các mã này có thể được sử dụng để đăng nhập trong trường hợp bạn mất quyền truy cập vào ứng dụng xác thực. Vui lòng lưu trữ chúng một cách an toàn bằng một trong các cách sau:

   • Copy All: Sao chép các mã và lưu vào trình quản lý mật khẩu hoặc tệp cá nhân an toàn.

   • Download: Tải xuống tệp chứa các mã và lưu giữ ở nơi an toàn.

   
   

9. Nhấn Save để hoàn tất

Tắt MFA

1. Đăng nhập Akabot Center

2. Vào My Profile → Multi-Factor Authentication
   

3. Chọn xác thực đa yếu tố
   

4. Trên màn hình Xác thực đa yếu tố, chuyển nút gạt và xác nhận để kích hoạt MFA.    
   

3. Quản lý & Xử lý sự cố

3.1. Quản lý

Reset MFA

Bước 1: Đăng nhập vào Akabot Center bằng tài khoản có quyền quản trị (Administrator).

Bước 2: Truy cập Administration → Users.

Bước 3: Trong danh sách người dùng, chọn tài khoản cần reset MFA để mở trang chi tiết.

Lưu ý: Chỉ reset MFA đối với những người dùng đã bật MFA trước đó.

Bước 4: Nhấn nút Action.

Bước 5: Chọn “Reset MFA”.

Bước 6: Xác nhận thao tác.

3.2. Xử lý sự cố

Không quét được mã QR

• Kiểm tra camera điện thoại và đảm bảo ánh sáng đầy đủ.

• Thử sử dụng tùy chọn Manual Entry và nhập secret key được cung cấp.

Mã xác thực không hợp lệ

• Kiểm tra xem thời gian trên điện thoại đã được đồng bộ với thời gian quốc tế hay chưa.

  Sai lệch thời gian là nguyên nhân phổ biến gây ra lỗi này.

• Đảm bảo bạn đang nhập mã xác thực đúng với tài khoản Akabot Center trong ứng dụng xác thực (Authenticator).

Mất điện thoại hoặc thiết bị xác thực

• Sử dụng một trong các mã khôi phục (recovery codes) đã lưu trước đó để đăng nhập.

• Sau khi đăng nhập thành công:

  • Vào cài đặt bảo mật của tài khoản

  • Tắt MFA cũ và thiết lập lại MFA với thiết bị mới.

• Nếu không lưu recovery codes, vui lòng liên hệ quản trị hệ thống để được hỗ trợ.