Miễn là CNTT của công ty đã tồn tại, người dùng đã được yêu cầu thay đổi mật khẩu của họ theo định kỳ. Trên thực tế, nhu cầu thay đổi mật khẩu theo lịch trình có thể là một trong những phương pháp lâu đời nhất trong số tất cả các phương pháp hay nhất về CNTT.
Tuy nhiên, gần đây, mọi thứ đã bắt đầu thay đổi. Microsoft đã đảo ngược hướng đi về các phương pháp hay nhất mà họ đã áp dụng trong nhiều thập kỷ và không còn khuyến nghị các tổ chức yêu cầu người dùng thay đổi mật khẩu định kỳ. Các tổ chức đang bị buộc phải xem xét, có lẽ lần đầu tiên, liệu có nên yêu cầu thay đổi mật khẩu định kỳ hay không.
Đề xuất đặt lại mật khẩu Microsoft
Theo Microsoft, việc yêu cầu người dùng thay đổi mật khẩu thường xuyên gây hại nhiều hơn lợi.
Con người nổi tiếng là chống lại sự thay đổi. Khi người dùng buộc phải thay đổi mật khẩu của họ, họ thường sẽ đưa ra một mật khẩu mới dựa trên mật khẩu trước đó của họ. Ví dụ, người dùng có thể thêm một số vào cuối mật khẩu của họ và sau đó tăng số đó mỗi khi yêu cầu mật khẩu. Tương tự, nếu yêu cầu thay đổi mật khẩu hàng tháng, người dùng có thể kết hợp tên của tháng vào mật khẩu và sau đó thay đổi tháng mỗi khi yêu cầu thay đổi mật khẩu (ví dụ: MyM @ rchP @ ssw0rd).
Điều đáng lo ngại hơn nữa là nghiên cứu đã chứng minh rằng thường có thể đoán được mật khẩu hiện tại của người dùng nếu bạn biết mật khẩu trước đó của họ. Trong một nghiên cứu như vậy, các nhà nghiên cứu phát hiện ra rằng họ có thể đoán 41% mật khẩu hiện tại của người dùng trong vòng ba giây nếu họ biết mật khẩu trước đó của người dùng.
Mặc dù thay đổi mật khẩu cưỡng bức có thể gây ra vấn đề, nhưng việc không yêu cầu người dùng thay đổi mật khẩu của họ cũng có thể gây ra vấn đề. Như ngày nay, trung bình một tổ chức phải mất 207 ngày để xác định một vi phạm (Viện Ponemon, 2020). Với ý nghĩ đó, hãy cân nhắc xem có thể mất bao lâu để xác định vi phạm nếu người dùng không được yêu cầu thay đổi mật khẩu của họ.
Một tội phạm mạng đã có quyền truy cập vào hệ thống bằng cách lấy cắp mật khẩu có thể trốn tránh bị phát hiện vô thời hạn.
Thay vì chỉ đơn giản là từ bỏ thực hành yêu cầu thay đổi mật khẩu định kỳ, tốt hơn là giải quyết các vấn đề cơ bản có xu hướng làm suy yếu bảo mật của tổ chức.
Vấn đề lớn nhất liên quan đến việc thay đổi mật khẩu bắt buộc là mật khẩu hết hạn thường xuyên dẫn đến việc người dùng chọn mật khẩu yếu hoặc mật khẩu theo một cách nào đó liên quan đến mật khẩu trước đó của họ. Một cách để tránh vấn đề này là thưởng cho người dùng chọn mật khẩu mạnh.
Một số công cụ quản lý mật khẩu của bên thứ ba, chẳng hạn như Chính sách mật khẩu Specops, có thể dựa trên tần suất đặt lại mật khẩu của người dùng dựa trên độ dài và độ phức tạp của mật khẩu của họ. Do đó, người dùng chọn mật khẩu mạnh sẽ không phải thay đổi mật khẩu đó thường xuyên như người dùng chọn mật khẩu yếu hơn.
Ngoài ra, các tổ chức nên tìm kiếm một giải pháp quản lý mật khẩu cung cấp cho họ khả năng chặn người dùng sử dụng mật khẩu được biết là đã bị xâm phạm. Mật khẩu bị xâm nhập là mật khẩu đã được băm và thêm vào bảng cầu vồng hoặc cơ sở dữ liệu tương tự, do đó khiến kẻ tấn công cực kỳ dễ dàng bẻ khóa mật khẩu bất kể độ phức tạp của nó.
Trong khi có nhà cung cấp bên thứ ba duy trì danh sách mật khẩu dựa trên đám mây được biết là đã bị xâm phạm, điều quan trọng là phải hiểu rằng Danh sách mật khẩu bị cấm toàn cầu của Microsoft không phải là danh sách các mật khẩu bị rò rỉ và không đáp ứng các khuyến nghị tuân thủ đối với danh sách từ chối mật khẩu.
Một vấn đề thứ hai thường được cho là do yêu cầu thay đổi mật khẩu là người dùng buộc phải thay đổi mật khẩu thường xuyên có nhiều khả năng quên mật khẩu của họ hơn. Điều này dẫn đến khóa tài khoản và các cuộc gọi đến bộ phận trợ giúp. Cách tốt nhất để tránh vấn đề này (và giảm chi phí bộ phận trợ giúp của bạn trong quá trình này) là áp dụng giải pháp đặt lại mật khẩu tự phục vụ cho phép người dùng đặt lại mật khẩu của riêng họ một cách an toàn.
Trong tương lai, những tổ chức muốn yêu cầu thay đổi mật khẩu có thể không có lựa chọn nào khác ngoài việc áp dụng giải pháp quản lý mật khẩu của bên thứ ba. Microsoft đang xóa cài đặt chính sách hết hạn mật khẩu khỏi Windows, bắt đầu với phiên bản 1903.
Bất chấp các khuyến nghị ngược lại, có những lợi thế về bảo mật khi yêu cầu người dùng thay đổi mật khẩu của họ định kỳ. Tuy nhiên, chìa khóa là thực hiện một yêu cầu như vậy theo cách không vô tình làm suy yếu an ninh của tổ chức. Với giải pháp mật khẩu từ Phần mềm Specops, các tổ chức có thể chặn hơn 2 tỷ mật khẩu bị vi phạm. Giải pháp có thể giúp các tổ chức bảo mật mật khẩu khi mật khẩu hết hạn thường xuyên được thực thi.
