Chính sách mật khẩu chắc chắn là tuyến phòng thủ đầu tiên cho mạng công ty của bạn. Bảo vệ hệ thống của bạn khỏi những người dùng trái phép có vẻ dễ dàng trên bề mặt, nhưng nó thực sự có thể khá phức tạp. Bạn phải cân bằng giữa bảo mật mật khẩu với khả năng sử dụng, đồng thời tuân theo các yêu cầu quy định khác nhau.
Các công ty ở Liên minh Châu Âu phải có chính sách mật khẩu tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR). Ngay cả khi công ty của bạn không có trụ sở tại Liên minh Châu Âu, các yêu cầu này vẫn áp dụng nếu bạn có nhân viên hoặc khách hàng cư trú tại Liên minh Châu Âu hoặc khách hàng mua hàng ở đó.
Trong bài đăng này, chúng tôi sẽ xem xét các yêu cầu GDPR đối với mật khẩu và cung cấp các mẹo thực tế về cách thiết kế chính sách mật khẩu của bạn. Hãy nhớ rằng, ngay cả khi GDPR không bắt buộc đối với bạn bây giờ, các nguyên tắc cơ bản của kế hoạch quy định bảo vệ dữ liệu có thể giúp tăng cường bảo mật cho tổ chức của bạn.
Yêu cầu mật khẩu để tuân thủ GDPR
Bạn có thể ngạc nhiên khi phát hiện ra rằng luật GDPR không thực sự đề cập đến chính sách mật khẩu. Nếu bạn chỉ đọc văn bản, ban đầu bạn có thể tin rằng một công ty có thể thực hiện bất kỳ chính sách mật khẩu nào mà không có bất kỳ lo ngại nào về việc tuân thủ GDPR.
Tuy nhiên, luật GDPR sẽ tác động đến chính sách mật khẩu dưới phạm vi phòng ngừa.
Ngăn chặn truy cập trái phép thông tin
Bất kỳ thông tin nào mà công ty thu thập từ khách hàng hoặc các nguồn khác cần được bảo vệ thích hợp theo quy định của GDPR. Điều này có nghĩa là phải có các biện pháp bảo mật mạnh mẽ để ngăn chặn tin tặc và các cá nhân trái phép khác truy cập vào dữ liệu này.
Như chúng ta đã biết, một trong những bước bảo mật kỹ thuật số quan trọng nhất trong việc bảo vệ bất kỳ dữ liệu nào là mật khẩu.
Mẹo để tạo chính sách mật khẩu tuân thủ GDPR
Sau đây là một số phương pháp hay nhất cần xem xét khi tạo chính sách mật khẩu mạnh để giữ an toàn cho hệ thống của bạn và giúp bạn tiến gần hơn đến việc tuân thủ.
Sử dụng danh sách mật khẩu để chặn mật khẩu bị xâm phạm
Một mật khẩu tốt cần phải khó bị hack hoặc đoán. Ngày nay, thông tin xác thực bị đánh cắp và bị ép buộc là nguyên nhân hàng đầu gây ra vi phạm dữ liệu. Để bảo vệ dữ liệu của bạn trước các cuộc tấn công này, chính sách mật khẩu nên cấm các mật khẩu phổ biến và vi phạm.
Nhờ sử dụng lại mật khẩu, nhiều cuộc tấn công dựa trên thông tin xác thực sử dụng danh sách mật khẩu bị vi phạm từ một hệ thống để nhắm mục tiêu một hệ thống khác. Các cơ quan chính phủ như NIST và NCSC khuyên bạn nên chặn sử dụng hoàn toàn các mật khẩu bị xâm phạm và dễ đoán. Đây là một trong những cách duy nhất để bảo vệ tài khoản, ngay cả khi cài đặt mật khẩu mạnh hơn được thực thi.
Không sử dụng các câu hỏi bí mật
Một thực tế phổ biến là thiết lập ‘câu hỏi bí mật’ có thể được trả lời để mở khóa hoặc đặt lại mật khẩu trên tài khoản.
Những câu hỏi bí mật sẽ là những câu như ‘tên thời con gái của mẹ bạn là gì’ hoặc ‘linh vật của trường bạn là gì.’ Từ những loại câu hỏi này có thể dễ bị tấn công bởi kỹ thuật xã hội, tốt nhất là nên tránh chúng hoàn toàn.
Xem xét MFA
Một trong những cách tốt nhất bạn có thể cải thiện bảo mật mật khẩu của mình là thực hiện xác thực đa yếu tố. Đây là nơi, ngoài tên người dùng và mật khẩu, các yếu tố khác được sử dụng để xác minh người dùng.
Ví dụ: đây có thể là mật khẩu dùng một lần được tạo riêng cho người dùng trên thiết bị di động của họ trong quá trình xác thực.
Làm cho việc tuân thủ GDPR trở nên đơn giản
Việc triển khai GDPR cho doanh nghiệp ngoài Liên minh Châu Âu của bạn có vẻ là một vấn đề đau đầu, nhưng việc tuân thủ và các biện pháp bảo vệ an ninh bổ sung sẽ bao gồm các cơ sở của bạn từ quan điểm pháp lý và phòng chống tấn công mạng. bài viết này tổng hợp cách thức, lý do và thời điểm tuân thủ GDPR nếu bạn đang tìm kiếm thông tin bổ sung.
Khi bạn đang triển khai chính sách mật khẩu cho AD của mình với lưu ý tuân thủ GDPR, bạn nên sử dụng công cụ của bên thứ 3 để giúp chính sách mật khẩu của bạn tiếp cận toàn bộ thư mục người dùng cuối của bạn.
Sở thích của tôi là Chính sách mật khẩu Specops có thể giúp bạn chặn các mật khẩu bị vi phạm và bị xâm phạm khác từ Active Directory. Trong quá trình thay đổi mật khẩu trong Active Directory, dịch vụ này sẽ chặn và thông báo cho người dùng nếu mật khẩu họ đã chọn được tìm thấy trong danh sách mật khẩu bị rò rỉ và cung cấp phản hồi động để tuân thủ mật khẩu. Chính sách mật khẩu Specops giúp bạn dễ dàng giữ lại các mật khẩu dễ bị tấn công và tuân thủ các nguyên tắc mới nhất về mật khẩu.
 |
| Chính sách mật khẩu Specops giữ cho các chính sách của bạn được tổ chức và có thể cấu hình dễ dàng |
Việc sử dụng công cụ chính sách mật khẩu không chỉ giúp tuân thủ GDPR trong việc ngăn chặn truy cập trái phép vào thông tin mà còn giữ cho cơ sở hạ tầng AD nội bộ của bạn được tổ chức và an toàn. Chính sách mật khẩu Specops mở rộng chức năng của Chính sách nhóm và đơn giản hóa việc quản lý các chính sách mật khẩu chi tiết để có cách tiếp cận đơn giản hơn đối với bảo mật và tuân thủ mật khẩu.
Cho dù bạn đang sử dụng công cụ chính sách mật khẩu hay giáo dục người dùng cuối tuân thủ GDPR theo cách thủ công có thể là một tài sản đối với bất kỳ cơ sở hạ tầng bảo mật nào bất kể vị trí và đừng quên đó là điều bắt buộc nếu bạn đang lưu trữ và dữ liệu công dân Liên minh Châu Âu.
