Chính sách mật khẩu là gì?
Chính sách mật khẩu bao gồm một loạt các biện pháp do một công ty đưa ra để tăng cường bảo mật cho quyền truy cập vào dữ liệu và công cụ theo ý của họ, thông qua việc tạo và sử dụng các mật khẩu phức tạp. Nó phải được điều chỉnh theo bối cảnh và mục tiêu bảo mật của hệ thống thông tin của tổ chức.
Tổ chức và quản lý xác thực người dùng đúng cách là một yếu tố cần thiết trong việc đảm bảo tính bảo mật của quá trình xử lý dữ liệu cá nhân, trong bối cảnh ứng dụng của các bài báo 5 và 32 của GDPR, như được Cơ quan An ninh Hệ thống Thông tin Quốc gia (ANSSI) nhắc lại trong hướng dẫn về các khuyến nghị liên quan đến xác thực đa yếu tố và mật khẩu.
Nếu hiệu quả của một mật khẩu thường bị giảm xuống “độ mạnh” của nó, thì một chính sách hiệu quả trong lĩnh vực này phải xác định một loạt các yếu tố cần thiết, chẳng hạn như:
Độ dài của mật khẩu, Độ phức tạp của mật khẩu, Thời gian hết hạn của mật khẩu, Cơ chế kiểm soát độ mạnh và giới hạn của các lần xác thực, Phương pháp lưu trữ mật khẩu và quản lý lịch sử các sự kiện được liên kết với xác thực, Quy tắc lấy lại quyền truy cập trong trường hợp bị mất hoặc bị đánh cắp mật khẩu, Sử dụng mật khẩu an toàn.
© ANSSILợi ích của việc có chính sách mật khẩu là gì?
Thực hiện chính sách mật khẩu mang lại nhiều lợi ích cho một công ty. Mục tiêu chính là tránh hoặc giảm các cuộc tấn công máy tính nhằm xâm phạm quyền truy cập vào dữ liệu của bạn và chiếm đoạt danh tính của nhân viên của bạn: tấn công vũ phu, tấn công vào giao thức xác thực, đánh cắp phương tiện xác thực…
Nó cũng có lợi thế là thiết lập một khuôn khổ để người dùng của bạn áp dụng một loạt các nguyên tắc và phương pháp hay nhất để tạo và quản lý mật khẩu. Hầu hết các cuộc tấn công mạng xảy ra từ lỗi của con người. Bằng cách hạn chế các liên kết yếu này, bạn hạn chế rủi ro cho doanh nghiệp của mình.
Chọn một mật khẩu an toàn: phương pháp 3 từ ngẫu nhiên
10 phương pháp hay nhất để có chính sách mật khẩu hiệu quả
Theo ANSSI, xác thực đa yếu tố là một trong những cơ chế giúp tăng cường tính bảo mật của xác thực mật khẩu, bằng cách thêm một hoặc nhiều yếu tố bổ sung cần thiết để xác thực trước khi truy cập dịch vụ.
Xác thực đa yếu tố giúp bạn có thể chứng minh danh tính của người dùng bằng cách xác minh một số yếu tố, được gọi là yếu tố xác thực. Mỗi yếu tố xác thực được triển khai phải thuộc một loại yếu tố khác nhau. Việc thiếu một trong các yếu tố cần thiết cho xác thực đa yếu tố sẽ khiến xác thực không thành công.
Dưới đây là một loạt 10 mẹo thực tế được áp dụng để đảm bảo quyền truy cập vào dữ liệu của bạn một cách an toàn:
-
Thực thi độ dài tối thiểu cho mật khẩu (vài trăm ký tự),
Đặt các quy tắc về độ phức tạp của mật khẩu (các ký tự số, chữ và số, chữ thường, chữ hoa, bao gồm cả các ký tự đặc biệt, v.v.),
Định cấu hình thời gian hết hạn mật khẩuvới khoảng thời gian tương đối ngắn cho các tài khoản rất nhạy cảm (3 tại 6 tháng chẳng hạn),
Yêu cầu mật khẩu mạnh (hoặc cụm từ)đủ dài và phức tạp để chống lại các cuộc tấn công, tránh các từ trong từ điển hoặc các câu trích dẫn nổi tiếng,
Hạn chế việc sử dụng một mật khẩu khác nhau cho mỗi dịch vụ được sử dụngđể hạn chế việc xâm phạm mật khẩu mà người dùng đã đăng ký,
Cấm sử dụng lại mật khẩu cũngay cả khi nó mạnh mẽ và ngẫu nhiên,
Bảo vệ mật khẩu của người dùng của bạn bằng cách cấm các ghi chú post-it bị kẹt trên màn hình, các tệp được lưu trên máy tính của người dùng để ghi nhớ chúng, hoặc gửi qua email hoặc qua tin nhắn tức thì,
Tránh mật khẩu có thông tin cá nhân (họ, tên hoặc ngày sinh),
Thay đổi mật khẩu được tạo theo mặc định và được cung cấp trong tài liệu của một nhà xuất bản giải pháp hoặc trực tuyến,
Thiết lập mật khẩu an toàn, điều này giúp bạn có thể tạo ra một loạt các ký tự dài và phức tạp mà không cần phải ghi nhớ chúng hoặc lưu trữ chúng một cách không an toàn.
