Các giải pháp Atlassian được sử dụng rộng rãi trong ngành công nghiệp phát triển phần mềm. Nhiều nhóm thực hành phát triển phần mềm nhanh dựa vào các ứng dụng này để quản lý dự án của họ.
Ứng dụng theo dõi vấn đề Jira, kho lưu trữ Git BitBucket, máy chủ triển khai và tích hợp liên tục Tre và nền tảng cộng tác nhóm Confluence đều được coi là các công cụ nhanh nhẹn đã được chứng minh.
Xem xét mức độ nhanh nhẹn phổ biến đã trở thành, không có gì lạ khi Atlassian hiện phục vụ 83 phần trăm của Fortune 500 công ty và có hơn 10 triệu người dùng hoạt động trên toàn thế giới.
Để giúp tạo trải nghiệm tốt hơn cho những người dùng này, Phục vụ Alpha đã phát triển Tiện ích WebAuthn để mang lại xác thực không mật khẩu cho các sản phẩm Atlassian khác nhau. Có một cách thuận tiện và an toàn hơn để đăng nhập vào các phiên bản Atlassian của họ sẽ là một sự phát triển đáng hoan nghênh cho các nhóm phát triển.
Cách thức hoạt động của WebAuthn
WebAuthn là một tiêu chuẩn bảo mật dựa trên trình duyệt được World Wide Web Consortium (W3C) khuyến nghị, cho phép các ứng dụng web đơn giản hóa và bảo vệ xác thực người dùng bằng cách sử dụng các thiết bị đã đăng ký làm yếu tố.
Nó dựa vào mật mã khóa công khai để ngăn chặn các cuộc tấn công lừa đảo tinh vi. WebAuthn là một phần của khung FIDO2 – các công nghệ khác nhau cho phép xác thực không mật khẩu giữa các trình duyệt web, máy chủ và trình xác thực.
Tiêu chuẩn bảo mật này được hỗ trợ bởi các nền tảng và trình duyệt Windows 10 và Android như Chrome, Edge, Safari và Firefox.
Đặc tả WebAuthn giúp máy chủ có thể tích hợp với các trình xác thực mạnh mẽ được tích hợp trong các thiết bị khác nhau. Thay vì mật khẩu, một cặp khóa riêng-công khai được tạo cho một trang web. Khóa riêng được lưu trữ an toàn trên tiện ích của người dùng trong khi khóa chung và nhận dạng thông tin xác thực được tạo tự phát được gửi đến máy chủ để giữ an toàn. Sau đó, máy chủ sử dụng khóa chung đó để xác minh ID người dùng.
Các tiện ích bổ sung của Alpha Serve hiện cho phép xác thực không mật khẩu cho Jira, Bamboo, Bitbucket và Confluence với:
Khóa bảo mật phần cứng và dấu vân tay có thể cho phép người dùng đăng nhập thay vì kết hợp tên người dùng và mật khẩu thông thường. Người dùng thậm chí có thể liên kết nhiều thiết bị và dữ liệu sinh trắc học vào tài khoản của họ, giúp họ linh hoạt hơn để đăng nhập vào tài khoản của họ.
Lợi ích của việc sử dụng mật khẩu
Mặc dù xác thực không mật khẩu không hoàn toàn mới, mặc định nó không có sẵn cho các sản phẩm Atlassian và không có cách nào để kích hoạt tính năng này cho đến gần đây. Bằng cách triển khai các tiện ích bổ sung của Alpha Serve, người dùng có thể tận hưởng các lợi ích sau:
Không rắc rối. Người dùng không phải nghĩ ra và nhớ mật khẩu hoặc cụm mật khẩu phức tạp. Người dùng cũng không cần theo dõi nhiều mật khẩu cho các tài khoản trực tuyến khác nhau của mình. Cuối cùng, nó làm cho quá trình đăng nhập nhanh chóng và đơn giản.
Hiệu quả. Xác thực mật khẩu cũng giảm thời gian cần thiết để người dùng nhập mật khẩu dài và phức tạp. Điều này cho phép họ nhanh chóng tập trung vào nhiệm vụ của họ. Ngoài ra, 30 đến 50 phần trăm các cuộc gọi bàn dịch vụ CNTT là yêu cầu đặt lại mật khẩu. Bằng cách loại bỏ mật khẩu, các nhóm CNTT có thể giải phóng thời gian của họ cho công việc có ý nghĩa hơn.
An ninh tốt hơn. Với xác thực không mật khẩu, tội phạm mạng phải đối mặt với một thách thức quan trọng hơn để có quyền truy cập vào xác thực của người dùng. Hacks sử dụng thông tin đăng nhập bị xâm phạm có thể được thực hiện từ xa. Việc hack các hệ thống không mật khẩu đòi hỏi kẻ tấn công phải có quyền truy cập vật lý vào các thiết bị và có thông tin sinh trắc học, đây là một thách thức phải làm.
Tại sao nó quan trọng
Các dự án và dữ liệu được lưu trữ và lưu trữ trong các giải pháp của Atlassian thường rất quan trọng và liên quan đến thông tin nhạy cảm và độc quyền. Các kho lưu trữ của Bitbucket, chẳng hạn, chứa các mã nguồn đang phát triển của các dự án. Dữ liệu của Jira và Confluence cũng liên quan đến việc trao đổi nhạy cảm và bí mật giữa các nhân viên.
Vì vậy, điều quan trọng là phải cải thiện tính bảo mật của các dịch vụ này. Mật khẩu có thể là liên kết yếu đến hầu hết các phòng thủ không gian mạng. Mặc dù kêu gọi người dùng chấp nhận mật khẩu mạnh, nhiều người vẫn có khả năng sử dụng mật khẩu yếu và dễ nhớ. Một số thậm chí sử dụng cùng một mật khẩu yếu mà họ sử dụng với các ứng dụng và dịch vụ cá nhân của họ.
Thật không may, tin tặc hiện đang sở hữu các bãi chứa thông tin xác thực – các kết hợp tên người dùng và mật khẩu bị đánh cắp từ các vụ hack trước đây, hiện chúng sử dụng để vi phạm các hệ thống khác. Chỉ cần một nhà phát triển sử dụng lại thông tin bị xâm phạm trước đó trên dịch vụ Atlassian sẽ khiến toàn bộ hệ thống có nguy cơ vi phạm dữ liệu.
Không chỉ vi phạm tốn kém để giải quyết, mà các cuộc tấn công mạng như vậy có thể tàn phá cho các dự án phần mềm. Mã độc quyền có thể bị đánh cắp và rò rỉ, khiến toàn bộ sản phẩm trở nên vô dụng.
Suy nghĩ cuối cùng
Khi các cuộc tấn công mạng ngày càng tinh vi hơn, các nhóm phát triển phần mềm có nguy cơ thiệt hại và mất mát cao.
Xác thực mật khẩu WebAuthn là một giải pháp đáng tin cậy hơn để bảo vệ thông tin bí mật. May mắn cho người dùng Atlassian, giờ đây họ có thể triển khai WebAuthn nhanh chóng thông qua các tiện ích bổ sung mới này.
