# Thiết lập chính sách mật khẩu và đăng nhập
### Mục tiêu
* Thiết lập chuẩn bảo mật đăng nhập chung cho toàn bộ hệ thống MBW\.Admin: mật khẩu, 2FA, thời gian phiên, giới hạn đăng nhập sai, IP/thiết bị.
* Giảm rủi ro truy cập trái phép, đáp ứng yêu cầu tuân thủ bảo mật nội bộ (IT, Security, Compliance).\*\*
***
### Dành cho ai
* Org Admin / Chủ site – người chịu trách nhiệm chính về cấu hình bảo mật toàn hệ thống.
* Admin bảo mật / IT – người triển khai chính sách bảo mật của tổ chức trên MBW\.Admin.
***
### Khi nào dùng
* Khi mới triển khai MBW cho doanh nghiệp và cần đặt chuẩn mật khẩu, đăng nhập ngay từ đầu.
* Khi tổ chức cập nhật chính sách bảo mật nội bộ (bắt buộc 2FA, siết độ mạnh mật khẩu, giảm thời gian session…).
* Sau khi xảy ra sự cố/đe dọa bảo mật (nghi ngờ lộ mật khẩu, brute force, truy cập từ IP lạ) và cần tăng cường bảo vệ tài khoản.
***
### Hướng dẫn
#### 1. Truy cập trang Thiết lập chính sách mật khẩu và đăng nhập
* Đăng nhập MBW\.Admin bằng tài khoản Org Admin hoặc Admin có quyền cấu hình bảo mật.
* Vào nhóm Bảo mật và truy cập → Chính sách & Bảo mật (Security Policies).
* Mở trang Thiết lập chính sách mật khẩu và đăng nhập (nội dung “Cấu hình Chính sách bảo mật đăng nhập”).
***
#### 2. Thiết lập chính sách mật khẩu
Trong khối Chính sách mật khẩu, bạn cấu hình:
* Độ dài tối thiểu: nhập số ký tự tối thiểu (ví dụ: 8, 10…).
* Độ phức tạp mật khẩu: bật yêu cầu mật khẩu phải có kết hợp:
* Chữ thường, chữ hoa.
* Chữ số.
* Ký tự đặc biệt.
* Chu kỳ đổi mật khẩu (nếu dùng): đặt số ngày buộc người dùng phải đổi mật khẩu định kỳ.
Khi lưu, các chính sách này áp dụng cho:
* Tạo tài khoản mới.
* Đổi mật khẩu trong My Account.
* Khôi phục mật khẩu qua luồng “Quên mật khẩu”.
***
#### 3. Thiết lập xác thực nâng cao và 2FA
Trong phần Xác thực & 2FA:
* Bật/Tắt 2FA bắt buộc:
* Bật: yêu cầu người dùng (hoặc nhóm được chọn) thiết lập 2FA khi đăng nhập.
* Tắt: 2FA là tùy chọn.
* Chọn phương thức 2FA:
* OTP qua email hệ thống.
* Ứng dụng Google Authenticator (nếu đã tích hợp).
* Phạm vi áp dụng (nếu hỗ trợ theo nhóm):
* Bắt buộc 2FA cho nhóm nhạy cảm: Org Admin, Admin, Billing…
* Tuỳ chọn cho người dùng thông thường.
Sau khi lưu, lần đăng nhập tiếp theo, người dùng thuộc phạm vi bắt buộc sẽ phải kích hoạt 2FA trước khi truy cập bình thường.
***
#### 4. Thiết lập chính sách đăng nhập (session, sai mật khẩu, captcha, login challenge)
Trong khối Chính sách đăng nhập:
* Thời gian phiên (session timeout):
* Đặt thời gian tối đa không hoạt động trước khi hệ thống tự đăng xuất (ví dụ: 15–30 phút).
* Giới hạn số lần nhập sai mật khẩu:
* Đặt số lần cho phép nhập sai liên tiếp; sau ngưỡng này, có thể khóa tạm thời hoặc yêu cầu captcha.
* Captcha khi đăng nhập:
* Chọn bật captcha sau X lần đăng nhập thất bại để chống brute-force.
* Login Challenges:
* Bật yêu cầu người dùng nhập thêm thông tin (mã nhân viên, số điện thoại, ngày sinh…) khi đăng nhập từ IP lạ.
***
#### 5. Hạn chế theo IP và thiết bị
Trong phần IP whitelist và giới hạn thiết bị:
* IP whitelist (CIDR):
* Nhập danh sách IP/dải IP được phép đăng nhập hoặc được miễn Login Challenges.
* Có thể dùng cho văn phòng, VPN công ty.
* Giới hạn thiết bị:
* Đặt số lượng thiết bị tối đa cho mỗi tài khoản (ví dụ 1–10).
* Khi vượt quá, hệ thống có thể buộc đăng xuất phiên cũ.
***
#### 6. Tích hợp AD/SSO (nếu dùng)
Nếu tổ chức dùng Active Directory hoặc SSO:
* Bật Active Directory sync để đồng bộ mật khẩu với tài khoản Windows AD.
* Với SSO/OAuth, cấu hình ở phần Gateway (Client ID, Secret), sau đó yêu cầu người dùng đăng nhập qua SSO thay vì mật khẩu cục bộ.
***
### Lưu ý
* Các thay đổi nhạy cảm như siết độ mạnh mật khẩu, rút ngắn session, bật bắt buộc 2FA nên được thông báo trước cho người dùng (email nội bộ hoặc banner trong hệ thống) để tránh gián đoạn.
* Khi bật/buộc 2FA cho nhóm lớn, nên chuẩn bị hướng dẫn thiết lập 2FA và kênh hỗ trợ khôi phục tài khoản (khi mất thiết bị 2FA).
* IP whitelist và giới hạn thiết bị nên được kiểm thử trước với một nhóm nhỏ (Admin/IT) rồi mới áp dụng rộng, tránh khóa nhầm người dùng đang làm việc từ xa.
* Mọi thay đổi chính sách đăng nhập nên đi kèm giám sát nhật ký đăng nhập (login logs) để phát hiện bất thường sau khi chính sách áp dụng.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.mhiring.vn/mbase/mbw-admin/bao-mat-va-truy-cap/thiet-lap-chinh-sach-mat-khau-va-dang-nhap.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.