ความปลอดภัยของรหัสผ่าน ความปลอดภัยของแอปพลิเคชันเป็นหนึ่งในข้อกังวลหลักสำหรับนักพัฒนาซอฟต์แวร์ ผู้คนเชื่อถือแอปพลิเคชันของคุณและแบ่งปันข้อมูลที่ละเอียดอ่อนหรือข้อมูลส่วนบุคคล ในฐานะนักพัฒนาซอฟต์แวร์ คุณต้องดูแลความปลอดภัยของข้อมูลผู้ใช้แอปพลิเคชันของคุณ การรับรองความถูกต้องและการให้สิทธิ์มีบทบาทสำคัญในการรักษาความปลอดภัยของแอปพลิเคชัน พวกเขายืนยันตัวตนของผู้ใช้และให้สิทธิ์การเข้าถึงเว็บไซต์หรือแอปพลิเคชันของคุณ
กระบวนการยืนยันตัวตนของผู้ใช้และให้การเข้าถึงข้อมูลที่ละเอียดอ่อนเรียกว่าการรับรองความถูกต้อง โดยทั่วไป การยืนยันตัวตนจะทำผ่านอีเมล/ชื่อผู้ใช้/รหัสผ่าน การรับรองความถูกต้องโดยใช้รหัสผ่านเป็นวิธีที่เก่ากว่าและเป็นวิธีที่ใช้กันทั่วไป ดังนั้นรหัสผ่านจึงเป็นองค์ประกอบที่สำคัญของการรักษาความปลอดภัยข้อมูลประจำตัวของผู้ใช้ นโยบายรหัสผ่านเป็นแนวหน้าของการป้องกันเพื่อปกป้องตัวตนของผู้ใช้ อย่างไรก็ตาม รหัสผ่านที่ไม่รัดกุมอาจละเมิดมาตรฐานการปฏิบัติตามข้อกำหนด รหัสผ่านที่เรียบง่ายหรือทั่วไปสามารถย้อนกลับทางวิศวกรรมกลับไปเป็นข้อความธรรมดาและขายบนเว็บมืด หรือส่งผลให้เกิดการละเมิดข้อมูลที่มีค่าใช้จ่ายสูงหากถูกบุกรุก
เหตุใดเราจึงต้องการนโยบายรหัสผ่านและการปฏิบัติตามข้อกำหนด
นโยบายรหัสผ่านและการปฏิบัติตามกฎระเบียบเป็นกฎและวิธีการที่บังคับให้ผู้ใช้ใช้รหัสผ่านที่ปลอดภัยและมีประสิทธิภาพ ข้อมูลประจำตัวกว่าพันล้านรายการถูกขโมยเมื่อปีที่แล้วจากการละเมิดข้อมูลหลายครั้ง ตามรายงานการละเมิดข้อมูลของ Verizon 81% ของการละเมิดข้อมูลเกิดจากรหัสผ่านที่ถูกบุกรุก อ่อนแอ และใช้ซ้ำ จาก การวิเคราะห์ล่าสุดของ National Cyber Security Center (NCSC)ผู้คนหลายล้านคนกำลังใช้รหัสผ่านที่เดาง่าย123456เช่น เมื่อเร็ว ๆ นี้ นักวิจัยด้านความปลอดภัยอ้างว่าเขาแฮ็กบัญชีทวีตเตอร์ของประธานาธิบดีทรัมป์โดยการเดารหัสผ่านของเขาmaga2020!ดังนั้นตอนนี้เราเข้าใจถึงความจำเป็นของนโยบายรหัสผ่านและการปฏิบัติตามข้อกำหนดแล้ว คุณสามารถตรวจสอบรายการรหัสผ่านที่แย่ที่สุดได้ที่นี่
1. นโยบายอายุขั้นต่ำของรหัสผ่าน
นโยบายอายุรหัสผ่านขั้นต่ำคือการกำหนดว่าผู้ใช้ขั้นต่ำจะต้องเก็บรหัสผ่านไว้กี่วันก่อนที่จะเปลี่ยนรหัสผ่าน นโยบายรหัสผ่านนี้
2. บังคับใช้นโยบายประวัติรหัสผ่าน
นโยบาย “บังคับใช้ประวัติรหัสผ่าน” ใช้เพื่อให้แน่ใจว่าจำนวนรหัสผ่านที่ไม่ซ้ำกันที่ผู้ใช้ต้องตั้งค่าก่อนที่จะใช้รหัสผ่านเก่าซ้ำ นี่เป็นนโยบายที่สำคัญเนื่องจากการใช้รหัสผ่านซ้ำเป็นปัญหาทั่วไป – ผู้ใช้รู้สึกสบายใจมากขึ้นกับรหัสผ่านเก่า การใช้รหัสผ่านเดียวกันเป็นระยะเวลานานสำหรับบัญชีใดบัญชีหนึ่ง จะทำให้เกิดโอกาสสูงที่รหัสผ่านจะถูกบุกรุกในทางใดทางหนึ่ง เช่น ในการโจมตีด้วยกำลังดุร้าย นโยบายอายุของรหัสผ่านไม่ควรมีผลจนกว่าจะมีนโยบายประวัติรหัสผ่าน ผู้ใช้ต้องเปลี่ยนรหัสผ่าน แต่สามารถใช้รหัสผ่านเก่าซ้ำได้ ประสิทธิภาพของนโยบายอายุรหัสผ่านจะลดลงอย่างมาก
3. นโยบายความยาวขั้นต่ำของรหัสผ่าน
นโยบายความยาวรหัสผ่านขั้นต่ำกำหนดจำนวนอักขระขั้นต่ำที่จำเป็นในการสร้างรหัสผ่าน ความยาวรหัสผ่านขั้นต่ำควรมีอักขระอย่างน้อยแปดตัวขึ้นไป โดยทั่วไปแล้วรหัสผ่านที่ยาวจะปลอดภัยกว่าและถอดรหัสได้ยากกว่ารหัสผ่านที่สั้น เพื่อความปลอดภัยยิ่งขึ้น คุณสามารถกำหนดความยาวรหัสผ่านขั้นต่ำเป็น 14 อักขระ
4. นโยบายรหัสผ่านต้องเป็นไปตามข้อกำหนดด้านความซับซ้อน
นโยบายข้อกำหนดความซับซ้อนของรหัสผ่านช่วยให้แน่ใจว่าผู้ใช้ไม่ควรใช้รหัสผ่านพื้นฐาน รหัสผ่านควรประกอบด้วยตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก และตัวเลขรวมถึงอักขระพิเศษบางตัวด้วย เราสามารถกำหนดนโยบายต่อไปนี้ในข้อกำหนดความซับซ้อนของรหัสผ่าน
- รหัสผ่านไม่ควรมีชื่อผู้ใช้หรือชื่อและฟิลด์โปรไฟล์พื้นฐาน เช่น ชื่อของพวกเขา
- รหัสผ่านต้องใช้ชุดอักขระต่อไปนี้
- ตัวอักษรพิมพ์ใหญ่
- ตัวพิมพ์เล็ก
- อักขระที่ไม่ใช่ตัวอักษรผสมตัวเลข
- (อักขระพิเศษ): (~!@#$%^&*_-+=`|(){}[]:;”‘<>,.?/)
- อักขระตัวเลข
5. การป้องกันรหัสผ่านทั่วไป
ผู้ใช้ไม่ควรใช้รหัสผ่านทั่วไป ดังนั้นจำกัดการใช้รหัสผ่านทั่วไป คุณสามารถอ้างอิงเอกสาร นี้เพื่อดู รายการรหัสผ่านทั่วไปที่ดูแลโดย LoginRadius และรายการนี้เป็นแบบไดนามิก และได้รับการอัปเดตเป็นครั้งคราว
6. การป้องกันรหัสผ่านพจนานุกรม
พจนานุกรมรหัสผ่านคือไฟล์ที่มีรายการรหัสผ่านที่เป็นไปได้ คุณลักษณะนี้ป้องกันไม่ให้ผู้ใช้ของคุณตั้งรหัสผ่านที่มีอยู่ในพจนานุกรมรหัสผ่านแบบไดนามิก เรากำลังใช้ พจนานุกรมรหัสผ่านแบบไดนามิกนี้ใน LoginRadius เพื่อป้องกันการใช้รหัสผ่านพจนานุกรม
7. นโยบายการตรวจสอบรหัสผ่าน
การเปิดใช้งานนโยบายการตรวจสอบรหัสผ่านทำให้คุณสามารถติดตามการเปลี่ยนแปลงรหัสผ่านทั้งหมดได้ การตรวจสอบการแก้ไขที่ทำขึ้นจะช่วยให้ติดตามปัญหาด้านความปลอดภัยได้ง่ายขึ้น สิ่งนี้ช่วยให้มั่นใจได้ถึงความรับผิดชอบของผู้ใช้และแสดงหลักฐานในกรณีที่มีการละเมิดความปลอดภัย
การปฏิบัติตามรหัสผ่าน
การปฏิบัติตามรหัสผ่านคือชุดของกฎเพื่อเพิ่มความปลอดภัยของข้อมูลของผู้ใช้โดยสนับสนุนให้ผู้ใช้ใช้รหัสผ่านที่รัดกุมและใช้อย่างเหมาะสม
1. FDA (องค์การอาหารและยาแห่งสหรัฐอเมริกา)
องค์การอาหารและยาควบคุมชุดกฎเกณฑ์สำหรับอุตสาหกรรมอาหาร ยา สารชีวภาพ อุปกรณ์การแพทย์ ผลิตภัณฑ์อิเล็กทรอนิกส์ เครื่องสำอาง ผลิตภัณฑ์สำหรับสัตว์ และผลิตภัณฑ์ยาสูบ
รหัสผ่านสำหรับบัญชี FDA Industry Systems ต้องเป็นไปตามข้อกำหนดทั้งหมดต่อไปนี้:
- ควรมีอย่างน้อย 8 แต่ไม่เกิน 32 อักขระ
- ควรมีตัวอักษรตัวพิมพ์ใหญ่หนึ่งตัว
- ควรมีอักษรตัวพิมพ์เล็กหนึ่งตัว
- ควรมีอักขระพิเศษอย่างน้อยหนึ่งตัว: ~ ! @ # $ % ^ * ( ) _ – + = { } [ ] | : ; ” , ?. ห้ามใช้ <> & หรือ ‘
- ควรมีหนึ่งหลักตัวเลข (ตัวเลข)
2. HIPAA (พ.ร.บ. การพกพาและความรับผิดชอบในการประกันสุขภาพ)
Health Insurance Portability and Accountability Act (HIPAA) บังคับใช้กฎชุดหนึ่งสำหรับการปกป้องข้อมูลผู้ป่วยที่ละเอียดอ่อน บริษัทที่จัดการกับข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) จะต้องปฏิบัติตาม HIPAA
- ควรมีทั้งอักขระตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก (เช่น az, AZ)
- ควรมีตัวเลข (ตัวเลข) และอักขระอื่นๆ ที่ไม่ใช่ตัวอักษร เช่น
!@#$%^&*()_+|~-=\'{}[]:";<>?,./; - ควรมีความยาวอย่างน้อย 8 อักขระ
- ไม่ควรเป็นคำในภาษาใด ๆ ไม่ว่าจะเป็นคำสแลง ภาษาถิ่น ศัพท์แสง ฯลฯ และ
- ไม่ควรตรวจสอบได้ง่ายจากการค้นคว้าข้อมูลที่เปิดเผยต่อสาธารณะ เช่น ชื่อสมาชิกในครอบครัว ชื่อโรงเรียน ที่อยู่ ฯลฯ ความปลอดภัยของรหัสผ่าน
3. PCI DSS (มาตรฐานความปลอดภัยข้อมูลของอุตสาหกรรมบัตรชำระเงิน)
PCI คือชุดของกฎหรือแนวทางปฏิบัติสำหรับธุรกิจที่เกี่ยวข้องกับข้อมูลบัตรชำระเงิน
- ควรมีความยาวอย่างน้อยแปดอักขระ
- ควรมีทั้งอักขระที่เป็นตัวเลขและตัวอักษร
- ผู้ใช้ควรเปลี่ยนรหัสผ่านทุกๆ 90 วัน
- ใช้เพื่อกำหนดจำนวนรหัสผ่านเฉพาะที่ผู้ใช้ต้องตั้งค่าก่อนนำรหัสผ่านเก่ากลับมาใช้ใหม่ พารามิเตอร์ Password ถูกตั้งค่าให้กำหนดให้รหัสผ่านใหม่ต้องไม่เหมือนกับรหัสผ่านสี่ตัวที่ใช้ก่อนหน้านี้
- รหัสผ่านครั้งแรกสำหรับผู้ใช้ใหม่และรีเซ็ตรหัสผ่านสำหรับผู้ใช้ปัจจุบันถูกกำหนดเป็นค่าเฉพาะสำหรับผู้ใช้แต่ละราย และเปลี่ยนหลังจากใช้งานครั้งแรก
- บัญชีผู้ใช้ถูกล็อคชั่วคราวหลังจากพยายามเข้าถึงที่ไม่ถูกต้องไม่เกินหกครั้ง
- เมื่อบัญชีผู้ใช้ถูกล็อค บัญชีจะยังคงถูกล็อคเป็นเวลาอย่างน้อย 30 นาที หรือจนกว่าผู้ดูแลระบบจะรีเซ็ตบัญชี
- คุณลักษณะการหมดเวลาใช้งานระบบ/เซสชันถูกตั้งค่าไว้ที่ 15 นาทีหรือน้อยกว่า* รหัสผ่านได้รับการป้องกันด้วยการเข้ารหัสที่แข็งแกร่งระหว่างการส่งและการจัดเก็บ
4. NIST (สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ)
NIST สร้างชุดกฎหรือแนวปฏิบัติสำหรับธุรกิจที่ให้บริการแก่รัฐบาลกลาง หลักเกณฑ์เหล่านี้จะช่วยให้หน่วยงานของรัฐบาลกลางปฏิบัติตามข้อกำหนดของ FISMA อย่างไรก็ตาม องค์กรอื่นๆ อ้างถึง NIST สำหรับมาตรฐานความปลอดภัยที่เข้มงวด
- ควรมีความยาวอย่างน้อยแปดอักขระและมีความยาวสูงสุดอย่างน้อย 64 อักขระ
- อาจใช้อักขระพิเศษทั้งหมด แต่ไม่มีข้อกำหนดพิเศษในการใช้
- ควรจำกัดอักขระต่อเนื่องและซ้ำกัน (เช่น 12345 หรือ aaaaaa)
- ควรจำกัดรหัสผ่านเฉพาะบริบท (เช่น ชื่อของไซต์ เป็นต้น)
- ควรจำกัดรหัสผ่านที่ใช้กันทั่วไป (เช่น p@ssw0rd ฯลฯ) และคำในพจนานุกรมจำกัดรหัสผ่านที่ได้รับจากคลังข้อมูลการละเมิดครั้งก่อน
สรุป
ฉันได้อธิบายว่าทำไมเราถึงต้องการนโยบายรหัสผ่านที่รัดกุมและการปฏิบัติตามข้อกำหนด ไม่สำคัญว่าคุณจะใช้รหัสผ่านที่รัดกุมเพียงใด แต่คนร้ายกำลังใช้วิธีการหรือเทคโนโลยีใหม่เพื่อเปิดเผยข้อมูลผู้ใช้ การละเมิดข้อมูลส่วนใหญ่เกิดขึ้นเนื่องจากรหัสผ่านทั่วไปหรือรหัสผ่านที่ไม่รัดกุม MFA, รหัสผ่านแบบไม่ใช้รหัสผ่าน หรือรหัสผ่านแบบใช้ครั้งเดียวกำลังให้ความปลอดภัยเพิ่มเติมสำหรับบัญชีผู้ใช้
ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้
Face-sso (By K&O) หากท่านสนใจ เครื่องสแกนใบหน้ารุ่นต่างๆ หลากหลายรุ่น หรือ ติดตั้งระบบสแกนใบหน้า สามารถติดต่อสอบถามได้โดยตรง เรามีแอดมินคอยคอบคำถาม 24 ชั้วโมงที่ Line OA เครื่องสแกนใบหน้า สามารถ ขอราคาพิเศษได้ ตามงบประมาณที่เหมาะสม สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ มั่นใจเพราะเป็นราคาที่สุด คุ้มค่าที่สุด
หากท่านมีความสนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699