Cách bàn giao mật khẩu và tài khoản công việc an toàn khi nghỉ việc

Bạn sắp nghỉ việc? Ngoài bàn giao công việc, còn một vấn đề khá đau đầu: hàng chục tài khoản và mật khẩu công việc mà bạn đang quản lý — phải chuyển giao cho người kế nhiệm như thế nào?

Trang quản trị, dịch vụ cloud, tài khoản mạng xã hội công ty, cổng nhà cung cấp, hệ thống thanh toán — nếu bạn gửi tất cả qua Zalo hoặc liệt kê vào file Excel rồi gửi email, bạn đang tự tạo ra lỗ hổng bảo mật. Bài viết này sẽ hướng dẫn bạn cách bàn giao mật khẩu công việc một cách an toàn.

Các loại tài khoản công việc cần bàn giao

Trước ngày làm việc cuối cùng, hãy rà soát theo bảng dưới đây để đảm bảo không bỏ sót tài khoản nào.

Loại tài khoản	Ví dụ	Ghi chú
Quản trị/CMS	WordPress admin, bảng điều khiển nội bộ	Ưu tiên chuyển quyền sở hữu
Mạng xã hội công ty	Facebook Page, Instagram, YouTube	Cần gỡ xác thực 2 bước trên điện thoại cá nhân
Lưu trữ đám mây	Google Workspace, AWS, NAS	Cẩn thận tránh mất dữ liệu
Công cụ SaaS	Slack, Notion, Jira, Figma	Hầu hết hỗ trợ chuyển giao qua lời mời
Cổng nhà cung cấp/đối tác	Trang B2B nhà cung cấp, hệ thống logistics	Có thể cần đổi người liên hệ chính thức
Hệ thống thanh toán	Cổng thanh toán, hệ thống hóa đơn	Liên quan tiền bạc, ưu tiên cao nhất
Tên miền/hosting	Nhà đăng ký tên miền, bảng điều khiển hosting	Bỏ sót có thể gây gián đoạn dịch vụ

Những cách truyền mật khẩu TUYỆT ĐỐI KHÔNG nên làm

Đừng gửi danh sách mật khẩu qua email

Tổng hợp mật khẩu vào file Excel hay text rồi gửi email là cách phổ biến nhất và cũng nguy hiểm nhất. Email nằm trong hộp thư vĩnh viễn, nếu bất kỳ tài khoản email nào bị xâm nhập, toàn bộ mật khẩu sẽ bị lộ cùng lúc.

Đừng để mật khẩu trong tài liệu chia sẻ

Ghi mật khẩu vào Google Docs hay Notion chia sẻ nghĩa là bất kỳ ai có link đều xem được, và một khi tài liệu bị sao chép thì hoàn toàn mất kiểm soát.

Đừng gửi mật khẩu qua Zalo

Gửi mật khẩu qua tin nhắn Zalo, lịch sử chat sẽ lưu vĩnh viễn. Sau khi nghỉ việc, mật khẩu vẫn hiển thị rõ ràng trong khung chat của cả hai bên.

Đừng chia sẻ trình quản lý mật khẩu cá nhân

Chia sẻ tài khoản 1Password hay LastPass cá nhân cho người khác sẽ làm lộ cả thông tin tài khoản cá nhân của bạn — tuyệt đối không nên.

5 bước bàn giao mật khẩu an toàn

Bước 1: Kiểm kê toàn bộ tài khoản

Rà soát mật khẩu đã lưu trong trình duyệt, trình quản lý mật khẩu, ghi chú... Liệt kê tất cả tài khoản công việc bạn đang quản lý. Số lượng thường nhiều hơn bạn nghĩ.

Bước 2: Chuyển quyền sở hữu với tài khoản hỗ trợ

Quản trị viên Google Workspace, chủ sở hữu Slack workspace, quyền tổ chức GitHub... Những tài khoản hỗ trợ chuyển quyền sở hữu thì chuyển trực tiếp cho người kế nhiệm mà không cần chia sẻ mật khẩu. Chỉ cần đổi email tài khoản sang email của người kế nhiệm.

Bước 3: Tài khoản không chuyển được thì dùng ghi chú bảo mật

Với các tài khoản không thể chuyển quyền sở hữu (cổng nhà cung cấp, hệ thống cũ...), hãy tạo ghi chú bảo mật có mật khẩu trên LOCK.PUB để chuyển giao thông tin đăng nhập.

Cách thực hiện:

• Tạo ghi chú riêng cho mỗi tài khoản, ghi lại URL, tên đăng nhập và mật khẩu
• Đặt thời hạn hiệu lực 7 ngày
• Gửi link ghi chú cho người kế nhiệm qua email
• Mật khẩu xem ghi chú thì thông báo riêng qua điện thoại hoặc gặp trực tiếp

Bước 4: Đổi mật khẩu sau khi xác nhận

Sau khi người kế nhiệm xác nhận đã xem ghi chú và đăng nhập thành công, cùng nhau đổi mật khẩu mới cho tất cả tài khoản. Như vậy mật khẩu trong ghi chú dù chưa hết hạn cũng đã vô hiệu.

Bước 5: Dọn dẹp quyền truy cập cá nhân

Cuối cùng, xóa sạch mọi dấu vết truy cập của bạn.

• Xóa mật khẩu công việc đã lưu trong trình duyệt
• Đăng xuất và gỡ ứng dụng công việc trên thiết bị cá nhân
• Xóa tài khoản công việc khỏi trình quản lý mật khẩu cá nhân
• Hủy liên kết xác thực 2 bước với tài khoản công việc

Checklist bàn giao

• Đã liệt kê tất cả tài khoản công việc đang quản lý
• Đã chuyển quyền sở hữu với tài khoản hỗ trợ
• Đã tạo ghi chú bảo mật cho các tài khoản còn lại
• Đã gửi link và mật khẩu ghi chú qua hai kênh riêng biệt
• Đã xác nhận người kế nhiệm truy cập được tất cả tài khoản
• Đã đổi mật khẩu mới cho tất cả tài khoản đã bàn giao
• Đã xóa thông tin tài khoản công việc khỏi trình duyệt và thiết bị
• Đã hủy liên kết xác thực 2 bước

Dành cho nhà quản lý: Cần làm gì khi nhân viên nghỉ việc

Khi nhân viên nghỉ việc, phía quản lý cũng có những việc bắt buộc phải thực hiện.

Đổi mật khẩu dùng chung ngay lập tức

Tất cả tài khoản dùng chung mà nhân viên nghỉ việc biết phải được đổi mật khẩu ngay trong ngày làm việc cuối cùng. Chậm một ngày là thêm một ngày rủi ro.

Thu hồi quyền truy cập SSO và OAuth

Vô hiệu hóa quyền truy cập của nhân viên nghỉ việc trên tất cả dịch vụ kết nối SSO (Google, Microsoft) và thu hồi các token OAuth đã được cấp.

Kiểm tra tài khoản cá nhân dùng cho công việc

Kiểm tra xem nhân viên nghỉ việc có dùng Gmail hay Zalo cá nhân để đăng ký dịch vụ công ty không, nếu có thì chuyển sang tài khoản công ty.

Kiểm tra nhật ký truy cập

Rà soát nhật ký truy cập các hệ thống quan trọng trong tuần trước và sau ngày nghỉ việc, chú ý các hành vi tải xuống, xuất dữ liệu hoặc truy cập bất thường.

Bắt đầu bàn giao an toàn ngay hôm nay

Bàn giao mật khẩu công việc tuy phiền phức nhưng phải thực hiện an toàn. Với ghi chú bảo mật của LOCK.PUB, thông tin đăng nhập chỉ truy cập được trong thời gian bàn giao và tự động hết hạn — không còn mật khẩu nằm mãi trong Zalo hay email.

Tạo ghi chú bàn giao đầu tiên của bạn ngay bây giờ.

Tạo ghi chú bảo mật -->