Nhịp sống số

Cả công ty dùng chung một mật khẩu: Thói quen khiến doanh nghiệp mất fanpage, tài khoản quảng cáo và 3 cách khắc phục

Cả công ty dùng chung một mật khẩu: Thói quen khiến doanh nghiệp mất fanpage, tài khoản quảng cáo và 3 cách khắc phục

Ở rất nhiều doanh nghiệp nhỏ và đội nhóm tại Việt Nam, có một thói quen phổ biến đến mức được coi là bình thường: cả team dùng chung một tài khoản. Mật khẩu fanpage được gửi qua nhóm chat. Tài khoản quảng cáo được ghi trong file Excel đặt tên "TÀI KHOẢN CHUNG, KHÔNG XÓA". Email công ty đăng nhập sẵn trên máy của bốn năm người khác nhau.

Mọi thứ vận hành trơn tru, cho đến khi nó không còn trơn tru nữa.

Nguyên tắc an toàn là cấp quyền truy cập cho nhân viên thay vì chia sẻ mật khẩu

Khi nhân viên nghỉ việc mang theo chìa khóa

Kịch bản quen thuộc: một nhân viên rời công ty, và không ai nhớ ra rằng người đó vẫn còn quyền truy cập vào tài khoản quảng cáo, fanpage, email khách hàng. Trong đa số trường hợp, chuyện không có gì xảy ra. Nhưng khi có tranh chấp về lương, thái độ hay quyền lợi, những tài khoản dùng chung trở thành điểm yếu chí mạng. Đã có không ít vụ việc doanh nghiệp mất quyền kiểm soát fanpage hàng trăm nghìn lượt theo dõi, hay tài khoản quảng cáo bị tiêu tiền ngoài kiểm soát, xuất phát từ chính người trong nhà cũ.

Ngay cả khi không có ý đồ xấu, mật khẩu dùng chung vẫn rủi ro: nó thường yếu (để mọi người dễ nhớ), ít khi được thay đổi (vì đổi là cả team phải cập nhật), và khi rò rỉ thì không thể truy được nguồn, vì ai cũng dùng nó.

Vì sao doanh nghiệp nhỏ vẫn chấp nhận rủi ro?

Câu trả lời thường là: vì các nền tảng không cho lựa chọn tốt hơn, hoặc lựa chọn tốt hơn quá đắt.

Nhiều công cụ mà doanh nghiệp nhỏ dùng hằng ngày không có cơ chế tài khoản con, hoặc tính phí theo số người dùng với mỗi ghế thêm vài chục USD mỗi tháng. Với một agency 5 người quản lý hàng chục tài khoản công cụ khác nhau cho khách hàng, chi phí nhân bản tài khoản trở nên đáng kể. Dùng chung mật khẩu, vì vậy, là lựa chọn kinh tế, cho đến khi tính cả chi phí của một sự cố.

Nguyên tắc vàng: giao quyền truy cập, không giao mật khẩu

Giới bảo mật có một nguyên tắc đơn giản để xử lý bài toán này: nhân viên chỉ cần quyền truy cập để làm việc, không cần biết mật khẩu. Khi hai thứ đó tách rời nhau, việc một người rời đi chỉ đơn giản là thu hồi quyền, không cần đổi mật khẩu, không cần thông báo cả team.

Trên thực tế, nguyên tắc này có thể triển khai theo ba cách, tùy quy mô và túi tiền.

Ba lớp giải pháp thay thế thói quen dùng chung mật khẩu trong doanh nghiệp.

Cách 1: Trình quản lý mật khẩu có tính năng chia sẻ

Các ứng dụng như 1Password hay Bitwarden cho phép chia sẻ thông tin đăng nhập theo nhóm, thu hồi khi cần, và mật khẩu có thể được điền tự động mà không hiển thị cho người dùng. Đây là bước nâng cấp dễ nhất từ file Excel, chi phí chỉ vài USD mỗi người mỗi tháng, thậm chí miễn phí với Bitwarden bản cơ bản.

Cách 2: Đăng nhập một lần (SSO)

Đăng nhập tập trung qua Google Workspace hay Microsoft 365 là chuẩn mực ở doanh nghiệp lớn: mỗi nhân viên một danh tính, nghỉ việc là khóa một nơi, mất quyền mọi nơi. Nhược điểm là chỉ áp dụng được với các dịch vụ hỗ trợ SSO, trong khi rất nhiều nền tảng phổ biến ở Việt Nam thì không.

Cách 3: Chia sẻ phiên đăng nhập thay vì tài khoản

Đây là hướng tiếp cận mới hơn, phổ biến trong giới agency và vận hành thương mại điện tử, những ngành mà một team phải thao tác trên hàng chục tài khoản nền tảng của khách hàng. Các trình duyệt làm việc nhóm như Incogniton cho phép quản lý tạo hồ sơ trình duyệt đã đăng nhập sẵn, rồi cấp cho từng thành viên quyền sử dụng hồ sơ đó với vai trò và giới hạn cụ thể. Nhân viên mở trình duyệt là vào thẳng phiên làm việc nhưng không bao giờ nhìn thấy mật khẩu gốc; khi họ rời đi, quản lý chỉ cần gỡ tài khoản thành viên là xong. Cách này lấp đúng khoảng trống mà trình quản lý mật khẩu và SSO chưa xử lý được: những nền tảng không hỗ trợ nhiều người dùng trên một tài khoản.

Bảo mật là quy trình, không phải công cụ

Dù chọn giải pháp nào, điểm mấu chốt vẫn là quy trình: doanh nghiệp cần biết ai đang có quyền truy cập vào cái gì, và có sẵn kịch bản thu hồi khi nhân sự thay đổi. Một buổi rà soát đơn giản, liệt kê toàn bộ tài khoản, ai đang giữ, mật khẩu thay đổi lần cuối khi nào, thường cho ra kết quả khiến chính chủ doanh nghiệp giật mình.

Chi phí của việc làm đúng ngay từ đầu, dù là vài trăm nghìn đồng mỗi tháng cho công cụ hay một buổi chiều thiết lập quy trình, gần như luôn rẻ hơn chi phí của sự cố đầu tiên.