10 lớp login cho một app nội bộ

App nội bộ mà OTP, MFA, VPN, rotate password mỗi 3 ngày, nhân viên viết pass ra giấy!

Một công ty xây app nội bộ quản lý lương, áp dụng 10 lớp bảo mật: OTP qua SMS, MFA qua Google Authenticator, VPN, token, rotate password 3 ngày/lần. Kết quả? Nhân viên nản, viết mật khẩu ra giấy dán bàn, bảo mật thành “trò cười”!

Case thực tế: Security “quá đà” gây phản tác dụng

• Context: App nội bộ HR, 200 user, chỉ truy cập trong văn phòng.
• Quyết định sai: Áp dụng bảo mật như hệ thống ngân hàng: OTP, MFA, VPN, token, rotate password.
• Vấn đề:
• Nhân viên mất 5 phút đăng nhập, nhập OTP sai phải chờ 10 phút.
• Password rotate 3 ngày/lần, nhân viên viết ra giấy, dán bàn.
• VPN chậm, nhân viên tắt VPN để “lướt nhanh hơn”.

Hậu quả:

• Nản lòng: Nhân viên từ chối dùng app, quay lại Excel.
• Bảo mật kém: Password trên giấy dễ lộ, ai vào văn phòng cũng thấy.
• Chi phí: Setup MFA, VPN tốn 200 triệu, nhưng không ai dùng.

Phân tích: Tại sao sai?

• Bảo mật không cân bằng: Áp dụng bảo mật ngân hàng cho app nội bộ ít rủi ro.
• Không hiểu user: Nhân viên không quen công nghệ, cần UX đơn giản.
• Thiếu PoC: Không test UX bảo mật với nhân viên trước khi triển khai.

Bài học: Bảo mật cân bằng khả dụng

• Đánh giá rủi ro: App nội bộ ít nhạy cảm → dùng SSO (Single Sign-On) thay MFA.
• UX thân thiện: Password rotate 30–90 ngày, không cần OTP mỗi lần đăng nhập.
• PoC bảo mật: Test UX với user trước khi triển khai.

Code mẫu: SSO với Keycloak (Node.js)

const Keycloak = require('keycloak-connect');

const keycloak = new Keycloak({}, { realm: 'my-realm', clientId: 'my-app' });

app.use(keycloak.middleware());

Bảo mật “quá đà” là “tự bắn vào chân”. Cân bằng giữa an toàn và khả dụng, dùng SSO, test UX, để nhân viên không viết pass ra giấy và bảo mật không thành “trò cười”!

Checklist bảo mật cân bằng:

• Đánh giá rủi ro (app nội bộ hay public).
• Dùng SSO (Keycloak, Okta) thay MFA phức tạp.
• Rotate password 30–90 ngày, không cần 3 ngày.
• Test UX bảo mật với user thực tế.

🎯 Tóm lại: 10 lớp login cho app nội bộ là “mua voi lấy ngà”. Dùng SSO, UX đơn giản, để bảo mật không thành “ác mộng” và nhân viên không dán pass khắp bàn!