Xác thực hai yếu tố: hướng dẫn cho kế toán

Tại sao xác thực hai yếu tố là bắt buộc trong kiểm toán kế toán

Các văn phòng kiểm toán kế toán xử lý hàng ngày các dữ liệu tài chính vô cùng bảo mật: bộ tài liệu thuế, bảng cân đối, phiếu lương, thông tin tài khoản ngân hàng của hàng trăm công ty khách hàng. Vào năm 2025, theo báo cáo hàng năm của ANSSI, các cuộc tấn công lừa phishing nhắm mục tiêu vào các ngành nghề được quy định đã tăng 37% trong một năm. Trước mối đe dọa này, xác thực hai yếu tố (2FA) — còn được gọi là xác thực đa yếu tố (MFA) — tạo thành lớp phòng thủ kỹ thuật đầu tiên được khuyến nghị.

Xác thực hai yếu tố dựa trên một nguyên tắc đơn giản: để truy cập vào hệ thống, người dùng phải chứng minh danh tính thông qua hai yếu tố riêng biệt. Yếu tố đầu tiên thường là "điều gì đó bạn biết" (mật khẩu), yếu tố thứ hai là "điều gì đó bạn có" (điện thoại thông minh, khóa vật lý) hoặc "điều gì đó bạn là" (dữ liệu sinh trắc học). Cơ chế này làm cho các cuộc tấn công bằng cách đánh cắp mật khẩu mình gần như không thể xảy ra, chiếm 81% vi phạm dữ liệu theo báo cáo Verizon DBIR 2024.

Đối với các chuyên gia kế toán, việc tuân thủ quy định eIDAS và các yêu cầu xác thực mạnh của nó không còn là tùy chọn: đó là yêu cầu quy định và đạo đức. Bài viết này giải thích cho bạn từng bước cách cấu hình 2FA trong văn phòng của mình, nên chọn những công cụ nào và cách hỗ trợ nhân viên của bạn trong quá trình chuyển đổi này.

---

Các phương pháp xác thực hai yếu tố phù hợp với lĩnh vực kế toán

Ứng dụng xác thực (TOTP)

Phương pháp phổ biến nhất trong các văn phòng kế toán là sử dụng ứng dụng tạo mã thời gian (TOTP — Time-based One-Time Password). Các giải pháp như Google Authenticator, Microsoft Authenticator hoặc Authy tạo mã 6 chữ số được làm mới mỗi 30 giây. Mã này được liên kết với một bí mật được chia sẻ được lưu trữ trong ứng dụng trong giai đoạn đăng ký (quét mã QR).

Ưu điểm cho các văn phòng: triển khai mà không cần chi phí bổ sung, hoạt động ngoài kết nối, tương thích với hầu hết phần mềm kế toán (Sage, Cegid, ACD, MyUnisoft). Nhược điểm: nếu nhân viên mất điện thoại, thủ tục phục hồi phải được dự đoán trước (mã sao lưu để lưu giữ ở nơi an toàn).

Các khóa bảo mật vật lý (FIDO2/WebAuthn)

Đối với các văn phòng xử lý khối lượng lớn dữ liệu nhạy cảm hoặc phải chịu kiểm toán thường xuyên, các khóa bảo mật phần cứng (loại YubiKey hoặc Feitian) cung cấp mức bảo vệ cao nhất. Dựa trên các tiêu chuẩn FIDO2 và WebAuthn, chúng chống phishing theo thiết kế: khóa xác minh mã hóa tên miền của trang web trước khi xác thực, điều này neutralize các cuộc tấn công kiểu "man-in-the-middle".

Ngày càng nhiều cổng thông tin thuế và các nền tảng nộp bắt buộc (DGFiP, infogreffe) có xu hướng chấp nhận các tiêu chuẩn này. Một văn phòng quản lý khoảng một trăm ủy quyền có thể kiếm lợi nhuận từ việc mua khóa (khoảng 50-80 € mỗi cái) trong vài tuần nhờ giảm thời gian quản lý các sự cố bảo mật.

SMS OTP: nên tránh cho dữ liệu nhạy cảm

Mặc dù mã được gửi qua SMS vẫn là tùy chọn trong nhiều hệ thống, NIST Mỹ (Viện Tiêu chuẩn và Công nghệ Quốc gia) đã hạ thấp nó vào năm 2016 so với danh mục các phương pháp xác thực mạnh. Các cuộc tấn công bằng SIM swapping (chuyển giao gian lận số điện thoại sang thẻ SIM được kiểm soát bởi kẻ tấn công) đã ảnh hưởng đến một số văn phòng kế toán Pháp trong những năm gần đây. Đối với các truy cập vào dữ liệu thuế hoặc các công cụ ký điện tử dành cho các văn phòng pháp lý và kế toán, SMS OTP chỉ nên được coi là giải pháp cuối cùng.

---

Cách cấu hình xác thực hai yếu tố: hướng dẫn từng bước

Bước 1 — Kiểm kê các ứng dụng và xác định phạm vi

Trước bất kỳ triển khai kỹ thuật nào, lập danh sách đầy đủ tất cả các ứng dụng được sử dụng trong văn phòng của bạn:

• Phần mềm kế toán: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Thư điện tử và công cụ cộng tác: Microsoft 365, Google Workspace, Slack
• Công cụ quản lý tài liệu và ký: nền tảng nộp, công cụ quy trình làm việc
• Truy cập từ xa: VPN, RDP, máy tính để bàn ảo
• Cổng thông tin khách hàng: không gian trao đổi tài liệu với khách hàng

Đối với mỗi ứng dụng, hãy kiểm tra xem 2FA có sẵn hay không (phần "Bảo mật" của cài đặt) và phương pháp nào được hỗ trợ (TOTP, FIDO2, SMS). Phân loại các ứng dụng theo mức độ quan trọng dựa trên độ nhạy cảm của dữ liệu được truy cập.

Bước 2 — Triển khai kỹ thuật và đăng ký nhân viên

Đối với Microsoft 365, cấu hình được thực hiện thông qua cổng Azure Active Directory (Entra ID). Kích hoạt "Security Defaults" hoặc, đối với các văn phòng có hơn 10 nhân viên, cấu hình các chính sách Truy cập có điều kiện (có sẵn từ giấy phép Business Premium). Các chính sách này cho phép yêu cầu 2FA chỉ trong những điều kiện nhất định: truy cập từ bên ngoài văn phòng, đăng nhập từ thiết bị không xác định, giờ bất thường.

Đối với phần mềm kế toán, quy trình thay đổi theo nhà cung cấp:

• Cegid Loop: cài đặt bảo mật > kích hoạt xác thực kép > tạo mã QR cho mỗi người dùng
• MyUnisoft: quản trị > bảo mật > xác thực mạnh > buộc 2FA cho tất cả các hồ sơ
• Sage 100 Cloud: liên hệ với quản trị viên Sage hoặc nhà bán lại của bạn để kích hoạt mô-đun MFA

Dự kiến một phiên đăng ký với mỗi nhân viên (15 đến 20 phút cho mỗi người). Phân phát cho mỗi người dùng một tờ tóm tắt với các mã phục hồi của họ, để lưu giữ ở nơi an toàn và vật lý (khoác của văn phòng, chẳng hạn).

Bước 3 — Chính sách quản lý và quy trình khẩn cấp

Triển khai kỹ thuật chỉ là một nửa công việc. Chính sách bảo mật tài liệu phải xác định:

• Ai có thể tạm thời tắt 2FA (chỉ quản trị viên hệ thống, không bao giờ là nhân viên tự mình)
• Thủ tục mất thiết bị: chặn tài khoản ngay lập tức, tạo lại mã sao lưu, đăng ký lại được giám sát
• Tần suất xem xét: kiểm toán bán niên các truy cập và phương pháp xác thực
• Quản lý những người rời đi: hủy truy cập ngay lập tức và bí mật 2FA khi có bất kỳ nhân viên nào rời khỏi

Chính sách này hợp nhất tự nhiên vào kế hoạch tiếp tục hoạt động của bạn (PCA) và vào thanh ghi xử lý dữ liệu theo nghĩa của RGPD. Tham khảo trung tâm trợ giúp Certyneo có thể cung cấp cho bạn các mô hình chính sách phù hợp với các cơ cấu nhỏ và vừa.

---

Tích hợp 2FA với các công cụ ký điện tử

Chữ ký điện tử nâng cao hoặc được xác nhận, như định nghĩa trong quy định eIDAS, đòi hỏi xác thực mạnh của người ký. Nói cách khác, khi văn phòng của bạn gửi thư ủy quyền hoặc hợp đồng cung cấp dịch vụ cho khách hàng để ký, nền tảng ký phải xác minh danh tính người ký một cách mạnh mẽ. Đây chính xác là nơi mà 2FA đóng vai trò.

Trong các nền tảng ký phù hợp eIDAS (mức độ nâng cao hoặc được xác nhận), người ký nhận được liên kết qua email, sau đó phải xác thực danh tính thông qua kênh thứ hai (SMS, ứng dụng xác thực hoặc chứng chỉ được xác nhận). Quy trình này tạo ra piste d'audit horodatée và cryptographically vérifiable, tạo thành bằng chứng không thể chối cãi trong trường hợp tranh chấp — một vấn đề quan trọng đối với các chuyên gia kế toán có trách nhiệm dân sự chuyên nghiệp trong từng nhiệm vụ.

Để hiểu rõ các mức độ ký khác nhau và chọn cái phù hợp với các luồng tài liệu của bạn, bài đọc hướng dẫn hoàn chỉnh về chữ ký điện tử được khuyến nghị. Các văn phòng sử dụng Certyneo hưởng lợi từ tích hợp gốc của 2FA trong quy trình ký, giúp giảm ma sát cho người ký đồng thời duy trì mức tuân thủ cần thiết.

Cần chú ý đặc biệt đến thư ủy quyền (bắt buộc theo tiêu chuẩn chuyên nghiệp 2400 của OEC) và báo cáo kiểm toán: những tài liệu này liên quan đến trách nhiệm cá nhân của chuyên gia và yêu cầu piste d'audit xác thực không thể chối cãi. Bạn có thể sử dụng trình tạo hợp đồng bằng AI để tự động hóa việc tạo các tài liệu này đồng thời tích hợp các yêu cầu xác thực mạnh từ thiết kế.

---

Đào tạo và nhận thức cho nhân viên: yếu tố con người

Triển khai kỹ thuật nghiêm ngặt nhất bị vô hiệu hóa nếu nhân viên không hiểu các vấn đề hoặc bỏ qua các thiết bị bảo mật. Trong kiểm toán kế toán, các đội thường bao gồm các hồ sơ rất đa dạng: các cộng sự lão thành, nhân viên cộng tác trẻ, thực tập sinh, trợ lý giám đốc. Đào tạo phải được điều chỉnh theo từng hồ sơ.

Chương trình nhận thức được khuyến nghị cho một văn phòng gồm 5 đến 30 người:

1. Phiên ra mắt (1 giờ): trình bày những rủi ro cụ thể (ví dụ về sự cố thực tế vô danh trong lĩnh vực), trình diễn trực tiếp cấu hình, câu hỏi/câu trả lời
2. Các hướng dẫn video ngắn (3-5 phút mỗi cái): một hướng dẫn cho mỗi ứng dụng quan trọng, có sẵn trong intranet của văn phòng
3. Bài tập lừa phishing được mô phỏng: gửi email lừa phishing giả mạo đến 3 tháng sau triển khai để đo lường cảnh báo thực tế và xác định nhân viên cần hỗ trợ bổ sung
4. Tích hợp vào quy trình onboarding: mỗi nhân viên mới cấu hình 2FA của họ trong ngày đầu tiên, với một nhân viên tư vấn chuyên dụng

Hiệp hội các Chuyên gia Kế toán (OEC) cũng cung cấp các tài nguyên đào tạo tiếp tục về an ninh mạng trong bối cảnh các yêu cầu đào tạo hàng năm (40 giờ cho các chuyên gia kế toán được đăng ký trên bảng). Những khóa đào tạo này có thể được định giá trong cách tiếp cận chất lượng của bạn nếu văn phòng của bạn được chứng nhận ISO 9001 hoặc nhắm tới chứng nhận an niên mạng (nhãn ExpertCyber của ANSSI, chẳng hạn).

Khung pháp lý áp dụng cho xác thực mạnh trong kiểm toán kế toán

Việc triển khai xác thực hai yếu tố trong văn phòng kiểm toán kế toán được xem xét trong khung pháp lý dày đặc, được xoay quanh các văn bản cơ bản.

Quy định eIDAS số 910/2014 và sửa đổi eIDAS 2.0 (Quy định UE 2024/1183) tạo thành cơ sở tham chiếu cho mọi thứ liên quan đến xác thực điện tử ở châu Âu. Điều 8 định nghĩa ba mức độ đảm bảo cho các phương tiện xác thực điện tử: thấp, thực chất và cao. Đối với các hành động liên quan đến trách nhiệm chuyên nghiệp của chuyên gia kế toán (ký báo cáo, xác nhận bộ tài liệu thuế trực tuyến), mức độ đảm bảo "thực chất" hoặc "cao" được yêu cầu, điều này bắt buộc phải có xác thực đa yếu tố.

RGPD (Quy định UE 2016/679), trong Điều 32 của nó, yêu cầu những người chịu trách nhiệm về xử lý phải triển khai "các biện pháp kỹ thuật và tổ chức thích hợp" để đảm bảo bảo mật dữ liệu cá nhân. Văn phòng kiểm toán kế toán xử lý dữ liệu cá nhân nhạy cảm (dữ liệu tài chính, dữ liệu sức khỏe qua phiếu lương có ghi lại bệnh tật, v.v.). Sự vắng mặt của 2FA trên các truy cập vào phần mềm kế toán rất có thể là một vi phạm Điều này, làm cho văn phòng phải đối mặt với các hình phạt có thể đạt tới 4% doanh thu hàng năm toàn cầu (Điều 83 RGPD).

Bộ luật dân sự, Điều 1366 và 1367, quy định giá trị pháp lý của chữ ký điện tử. Điều 1367 nêu rõ rằng "độ tin cậy của quy trình ký điện tử được giả định, cho đến khi có bằng chứng trái lại, khi quy trình này triển khai chữ ký điện tử được xác nhận". Xác thực mạnh là thành phần cần thiết của giả định về độ tin cậy này.

Chỉ thị NIS2 (Chỉ thị UE 2022/2555), được chuyển đổi thành luật pháp Pháp bằng Luật số 2024-449 ngày 21 tháng 5 năm 2024 và các sắc lệnh áp dụng của nó, mở rộng các nghĩa vụ an niên mạng cho một phổ rộng các thực thể. Mặc dù các văn phòng kiểm toán kế toán không được liệt kê trực tiếp là các thực thể cần thiết, những người cung cấp các dịch vụ kỹ thuật số cho các thực thể cần thiết hoặc quan trọng (cơ sở y tế, chính quyền địa phương, các doanh nghiệp cơ sở hạ tầng quan trọng) có thể phải tuân thủ các yêu cầu gián tiếp thông qua hợp đồng cung cấp dịch vụ của họ.

Tiêu chuẩn chuyên nghiệp 2400 của Hiệp hội các Chuyên gia Kế toán áp đặt thêm nữa một nghĩa vụ phương tiện gia tăng về bảo mật hệ thống thông tin cho các văn phòng xử lý các nhiệm vụ hợp pháp. ANSSI khuyến nghị rõ ràng MFA là biện pháp tối thiểu trong hướng dẫn của nó "Bảo mật hệ thống thông tin cho các TPE/SME" (phiên bản 2024).

Trách nhiệm dân sự chuyên nghiệp: trong trường hợp vi phạm dữ liệu khách hàng do vắng mặt 2FA, bên bảo hiểm RCP của văn phòng có thể gọi một lỗi được đặc trưng để giảm hoặc từ chối bảo đảm của nó. Strongly nên bảo lưu tài liệu kỹ thuật triển khai 2FA làm bằng chứng cẩn thận.

Tình huống sử dụng: 2FA trong thực tế trong các văn phòng kế toán

Tình huống 1 — Một văn phòng kiểm toán kế toán có kích thước trung bình

Một văn phòng nhóm khoảng 15 nhân viên cộng tác và quản lý khoảng 400 ủy quyền hoạt động đã quyết định triển khai 2FA trên tất cả các công cụ của nó sau sự cố lừa phishing gần như làm tổn hại truy cập vào phần mềm lương của nó. Ban giám đốc chọn Microsoft Authenticator trên Microsoft 365 (thư điện tử, SharePoint, Teams) và cho các ứng dụng TOTP gốc của phần mềm kế toán cloud của nó.

Triển khai được thực hiện trong ba tuần: một tuần kiểm kê và tham số hóa, một tuần đăng ký nhân viên theo các nhóm năm, một tuần theo dõi và sửa các vấn đề. Kết quả: không có sự cố xâm phạm tài khoản trong 12 tháng tiếp theo, so với hai sự cố năm trước. Thời gian quản lý các sự cố bảo mật đã được giảm khoảng 70%. Văn phòng cũng có thể chứng minh cho một số khách hàng công ty lớn (bao gồm một doanh nghiệp công nghiệp SME khách hàng áp đặt bảng bảo mật nhà cung cấp) rằng các hệ thống của nó tuân thủ các yêu cầu MFA.

Tình huống 2 — Một văn phòng chuyên về kiểm toán hợp pháp của doanh nghiệp nhỏ vừa

Một văn phòng kiểm toán viên pháp lý quản lý khoảng 60 ủy quyền kiểm toán hợp pháp đã gặp phải một yêu cầu cụ thể: ngày càng nhiều khách hàng yêu cầu bằng chứng tuân thủ RGPD khi gia hạn các nhiệm vụ. Văn phòng đã chọn triển khai các khóa bảo mật FIDO2 cho các cộng sự (truy cập vào các tập tin nhạy cảm nhất) và các ứng dụng TOTP cho nhân viên cộng tác lão thành, đồng thời duy trì SMS OTP chỉ để truy cập độ nhạy cảm thấp.

Đồng thời, văn phòng đã tích hợp chữ ký điện tử nâng cao vào các luồng báo cáo kiểm toán viên, với xác thực mạnh hệ thống của người ký. Nhờ piste d'audit được tạo, hai tranh chấp tiềm năng với khách hàng tranh chấp ngày hiệu lực của báo cáo đã được giải quyết có lợi cho văn phòng bằng cách sản xuất nhật ký xác thực horodatée. Việc giảm độ trễ ký báo cáo (từ trung bình 5 ngày đến dưới 24 giờ) cũng cho phép streamline hóa lập hóa đơn và cải thiện dòng tiền của văn phòng khoảng 15%.

Tình huống 3 — Một văn phòng trong giai đoạn tăng trưởng bên ngoài

Một mạng lưới khu vực các văn phòng kế toán đã hấp thụ ba cấu trúc độc lập trong hai năm đã phát hiện ra sự không đồng nhất đáng kể của các hệ thống: một số văn phòng hấp thụ không có chính sách 2FA nào, những người khác sử dụng SMS OTP. Nhóm đã tận dụng tích hợp này để chuẩn hóa trên giải pháp quản lý danh tính thống nhất (IAM — Identity and Access Management) với 2FA bắt buộc.

Khoản đầu tư ban đầu (giấy phép IAM, đào tạo, hỗ trợ) đã được ước tính khoảng 8 000 € cho toàn bộ nhóm (khoảng 45 nhân viên cộng tác). Ngược lại, giảm chi phí liên quan đến các sự cố bảo mật (can thiệp nhà cung cấp công nghệ thông tin, quản lý khủng hoảng) đã được ước tính là 15 000-20 000 € trong năm đầu tiên. Nhóm cũng có thể đàm phán giảm ngân sách bảo hiểm mạng của nó khoảng 20% bằng cách cung cấp cho bên bảo hiểm của nó tài liệu triển khai 2FA.

Kết luận

Xác thực hai yếu tố không còn là một trong những cách để các cấu trúc lớn: đó là một bắt buộc về bảo mật và tuân thủ cho mỗi văn phòng kiểm toán kế toán, bất kể kích thước của nó. Giữa các yêu cầu của RGPD, các khuyến nghị của ANSSI, các yêu cầu eIDAS cho chữ ký điện tử và áp lực ngày càng tăng của khách hàng trên các tiêu chuẩn bảo mật của nhà cung cấp dịch vụ của họ, 2FA đã trở thành một tiêu chuẩn không thể thiếu của lĩnh vực.

Tin tốt là: triển khai ngày nay là dễ tiếp cận, nhanh chóng và chi phí thấp. Bằng cách làm theo các bước được mô tả trong bài viết này — kiểm kê các ứng