เขียนวันที่ โดย winnerporz

คำแนะนำเกี่ยวกับ นโยบายรหัสผ่าน สำหรับ ในปี 2023

นโยบายรหัสผ่าน รหัสผ่านมีอยู่ทั่วไปทุกหนทุกแห่งในสภาพแวดล้อมส่วนบุคคลและธุรกิจของเรา คนทั่วไปมีรหัสผ่านประมาณ 100 รหัสที่ต้องจำสำหรับบัญชีต่างๆ และเป็นไปไม่ได้เลยที่จะจำรหัสผ่านที่ไม่ซ้ำกันและซับซ้อนสำหรับแต่ละบัญชี สิ่งนี้ทำให้พนักงานคิดรหัสผ่านที่จำง่ายและใช้ซ้ำสำหรับหลายบัญชี รหัสผ่านที่ถูกขโมย อ่อนแอ หรือใช้ซ้ำเป็นสาเหตุอันดับต้น ๆ ของการละเมิดข้อมูลทั่วโลก ผู้ดูแลระบบต้องแน่ใจว่าพนักงานใช้รหัสผ่านที่รัดกุมและไม่ซ้ำใครสำหรับบัญชีทั้งหมดของตน

หน่วยงานกำกับดูแลและนักวิจัยในอุตสาหกรรมเผยแพร่แนวทางการรักษาความปลอดภัยข้อมูลเพื่อช่วยให้องค์กรปกป้องรหัสผ่านจากการโจมตีทางไซเบอร์ หลักเกณฑ์บางข้อเป็นหลักเกณฑ์เฉพาะสำหรับอุตสาหกรรม และบางแนวทางไม่เป็นไปตามหลักเกณฑ์ของอุตสาหกรรม แต่วัตถุประสงค์ของแนวทางทั้งหมดคือเพื่อป้องกันการโจมตีทางไซเบอร์และการละเมิดความปลอดภัย แง่มุมที่เกี่ยวข้องกับความปลอดภัยของรหัสผ่านพบอยู่ในหลักเกณฑ์เกือบทั้งหมด คุณควรอ้างอิงถึงหลักเกณฑ์เหล่านี้และนำองค์ประกอบที่ดีที่สุดมาใช้ในนโยบายรหัสผ่านของคุณ แม้ว่าแนวทางดังกล่าวจะไม่ได้มีไว้สำหรับอุตสาหกรรมของคุณก็ตาม

นโยบายรหัสผ่านหมายถึงวงจรชีวิตของรหัสผ่านทั้งหมด – วิธีการสร้างรหัสผ่าน ข้อกำหนดด้านความซับซ้อน พื้นที่จัดเก็บที่ปลอดภัย การส่งผ่านอย่างปลอดภัย การสุ่มเป็นระยะ การยกเลิกการจัดสรรทันที การตรวจสอบอย่างต่อเนื่อง และอื่นๆ ในบล็อกนี้ เราพยายามแนะนำคุณเกี่ยวกับหลักเกณฑ์ด้านความปลอดภัยข้อมูลที่ได้รับความนิยมสูงสุดที่เผยแพร่และแบ่งปันคำแนะนำด้านนโยบาย 10 อันดับแรกที่เราคิดว่าผู้ดูแลระบบทุกคนควรนำไปใช้ในองค์กรของตน

มาตรฐานการรักษาความปลอดภัยของรหัสผ่าน

1. นิสท์ SP800-63B

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติเป็นหน่วยงานที่ไม่กำกับดูแลของกระทรวงพาณิชย์ของสหรัฐอเมริกา พัฒนาเทคโนโลยี มาตรฐาน และแนวทางปฏิบัติที่ดีที่สุดเพื่อรับประกันความปลอดภัยของข้อมูล NIST เผยแพร่แนวทางการระบุตัวตนทางดิจิทัล ( NIST Special Publication 800-63B ) ในเดือนตุลาคม 2017 ส่วนที่ 5.1.1 (ความลับที่จดจำได้) ของเอกสารพูดถึงรหัสผ่านและวิธีจัดการและจัดเก็บรหัสผ่าน แม้ว่าหน่วยงานของรัฐบาลกลางจะต้องปฏิบัติตามข้อกำหนดด้านกฎระเบียบ แต่ทุกองค์กรจะได้รับประโยชน์จากการนำแนวทางเหล่านี้ไปใช้

แนวทางรหัสผ่านคีย์ NIST

  • ความยาวขั้นต่ำ 8 อักขระและความยาวสูงสุดอย่างน้อย 64 อักขระหากผู้ใช้เลือก
  • อนุญาตให้ใช้อักขระ ASCII (รวมถึงช่องว่าง) และอักขระ Unicode
  • ตรวจสอบรหัสผ่านที่คาดหวังกับรายการที่มีค่าที่ทราบกันดีว่าใช้กันทั่วไป คาดไว้ หรือถูกบุกรุก
  • จำกัดความพยายามในการตรวจสอบสิทธิ์ที่ล้มเหลวติดต่อกันในบัญชีเดียวไม่เกิน 100 ครั้ง
  • อนุญาตให้ใช้ฟังก์ชัน “วาง” ขณะป้อนรหัสผ่าน
  • ไม่มีข้อกำหนดที่ซับซ้อน
  • ไม่มีระยะเวลาหมดอายุของรหัสผ่าน
  • บังคับใช้การรับรองความถูกต้องด้วยหลายปัจจัย (MFA)

2. พีซีไอ ดีเอสเอส

มาตรฐานความปลอดภัยข้อมูลของอุตสาหกรรมบัตรชำระเงิน ( PCI DSS เวอร์ชัน 3.2.1 ) เป็นชุดข้อกำหนดเพื่อให้แน่ใจว่าข้อมูลที่ละเอียดอ่อนได้รับการปกป้อง รักษาความเป็นส่วนตัว และระบบเครือข่ายมีความแข็งแกร่งเพียงพอที่จะต้านทานการโจมตีทางไซเบอร์ หลักเกณฑ์เหล่านี้เผยแพร่โดยPCI Security Standards Council (PCI SSC ) เป็นฟอรัมระดับโลกที่รวบรวมผู้มีส่วนได้ส่วนเสียในอุตสาหกรรมการชำระเงินเพื่อพัฒนาและผลักดันการนำมาตรฐานและทรัพยากรด้านความปลอดภัยของข้อมูลมาใช้เพื่อการชำระเงินที่ปลอดภัยทั่วโลก มาตรฐาน PCI ไม่ได้เจาะจงสำหรับประเทศหรือองค์กรใดองค์กรหนึ่ง แต่ทำหน้าที่เป็นมาตรฐานระดับโลกที่ทุกคนสามารถปฏิบัติตามได้ ข้อกำหนด 2 และ 8 ในเอกสารพูดถึงข้อกำหนดรหัสผ่านสำหรับการเข้าสู่สภาพแวดล้อมข้อมูลผู้ถือบัตร

หลักเกณฑ์รหัสผ่าน PCI-DSS ที่สำคัญ

  • เปลี่ยนค่าเริ่มต้นที่ผู้จำหน่ายจัดหาให้เสมอ (รหัสผ่านและการตั้งค่า) และลบหรือปิดใช้งานบัญชีเริ่มต้นที่ไม่จำเป็นก่อนที่จะติดตั้งระบบบนเครือข่าย (ดู 2.1)
  • ลบ/ปิดบัญชีผู้ใช้ที่ไม่ได้ใช้งานภายใน 90 วัน (ดู 8.1.4)
  • จำกัดความพยายามในการเข้าถึงซ้ำโดยล็อค ID ผู้ใช้หลังจากพยายามไม่เกินหกครั้ง (ดู 8.1.6)
  • ตั้งค่าระยะเวลาล็อกเอาต์เป็นอย่างน้อย 30 นาที หรือจนกว่าผู้ดูแลระบบจะเปิดใช้งาน ID ผู้ใช้ (ดู 8.1.7)
  • หากเซสชันไม่มีการใช้งานนานกว่า 15 นาที ให้ผู้ใช้ตรวจสอบสิทธิ์อีกครั้งเพื่อเปิดใช้งานเทอร์มินัลหรือเซสชันอีกครั้ง (ดู 8.1.8)
  • รหัสผ่านควรมีความยาวขั้นต่ำอย่างน้อยเจ็ดอักขระและมีทั้งอักขระที่เป็นตัวเลขและตัวอักษร (ดูข้อ 8.2.3)
  • เปลี่ยนรหัสผ่านผู้ใช้อย่างน้อยหนึ่งครั้งทุกๆ 90 วัน (ดู 8.2.4)
  • ไม่อนุญาตให้บุคคลใดส่งรหัสผ่านใหม่ที่เหมือนกับรหัสผ่าน/ข้อความรหัสผ่านสี่รายการล่าสุดที่พวกเขาเคยใช้ (ดู 8.2.5)
  • ตั้งรหัสผ่านสำหรับการใช้งานครั้งแรกและเมื่อรีเซ็ตเป็นค่าเฉพาะสำหรับผู้ใช้แต่ละคน และเปลี่ยนทันทีหลังจากใช้งานครั้งแรก (ดู 8.2.6)
  • บังคับใช้การรับรองความถูกต้องด้วยหลายปัจจัย (ดู 8.3)

3. ISO/IEC 27002

ISO/IEC 27002:2013 เป็นมาตรฐานความปลอดภัยข้อมูลที่เผยแพร่โดยInternational Organization for Standardization (ISO)และInternational Electrotechnical Commission (IEC ) มันถูกออกแบบมาเพื่อใช้เป็นข้อมูลอ้างอิงสำหรับการเลือกการควบคุมความปลอดภัยภายในกระบวนการของการนำระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ไปใช้ ส่วนที่ 9.2, 9.3 และ 9.4 ของเอกสารพูดถึงหลักเกณฑ์เกี่ยวกับรหัสผ่านเพื่อป้องกันการเข้าถึงระบบและแอปพลิเคชันโดยไม่ได้รับอนุญาต

หลักเกณฑ์เกี่ยวกับรหัสผ่านของคีย์ ISO/IEC 27002

  • เปลี่ยนข้อมูลการรับรองความถูกต้องความลับของผู้จำหน่ายเริ่มต้นหลังจากการติดตั้งระบบหรือซอฟต์แวร์ (ดู 9.2.4.g)
  • หลีกเลี่ยงการเก็บบันทึก (เช่น บนกระดาษ ไฟล์ซอฟต์แวร์ หรืออุปกรณ์พกพา) ของข้อมูลการพิสูจน์ตัวตนที่เป็นความลับ เว้นแต่จะสามารถจัดเก็บได้อย่างปลอดภัย และวิธีการจัดเก็บได้รับการอนุมัติ (เช่น ห้องนิรภัยรหัสผ่าน) (ดู 9.3.1.b)
  • เมื่อใช้รหัสผ่านเป็นข้อมูลการยืนยันตัวตนแบบลับ ให้เลือกรหัสผ่านที่มีคุณภาพและมีความยาวขั้นต่ำเพียงพอ ซึ่งได้แก่:
    1. จำง่าย;
    2. ไม่อิงจากสิ่งอื่นใดที่ผู้อื่นคาดเดาได้ง่ายหรือได้รับโดยใช้ข้อมูลที่เกี่ยวข้องกับบุคคล เช่น ชื่อ หมายเลขโทรศัพท์ และวันเดือนปีเกิด เป็นต้น
    3. ไม่เสี่ยงต่อการโจมตีจากพจนานุกรม (เช่น ไม่มีคำรวมอยู่ในพจนานุกรม)
    4. ไม่มีอักขระที่เหมือนกันทั้งหมด ตัวเลขหรือตัวอักษรทั้งหมดติดต่อกัน และ
    5. หากเป็นการชั่วคราว ให้เปลี่ยนเมื่อเข้าสู่ระบบครั้งแรก (ดู 9.3.1.d)
  • ห้ามใช้ข้อมูลการยืนยันตัวตนแบบลับเดียวกันเพื่อวัตถุประสงค์ทางธุรกิจและที่ไม่ใช่ธุรกิจ (ดู 9.3.1.g)
  • ตรวจสอบให้แน่ใจว่ามีการป้องกันรหัสผ่านที่เหมาะสมเมื่อใช้รหัสผ่านเป็นข้อมูลการพิสูจน์ตัวตนที่เป็นความลับในขั้นตอนการเข้าสู่ระบบอัตโนมัติและถูกเก็บไว้ (ดู 9.3.1.f)
  • ระบบการจัดการรหัสผ่านควรโต้ตอบได้และควรรับประกันรหัสผ่านที่มีคุณภาพ (ดู 9.4.3)
  • ระบบการจัดการรหัสผ่านที่ใช้ควร:
    1. บังคับใช้ ID ผู้ใช้และรหัสผ่านแต่ละรายการเพื่อรักษาความรับผิดชอบ
    2. อนุญาตให้ผู้ใช้เลือกและเปลี่ยนรหัสผ่าน รวมถึงขั้นตอนการยืนยันเพื่ออนุญาตให้ป้อนข้อมูลผิดพลาด
    3. บังคับใช้การเลือกรหัสผ่านที่มีคุณภาพ
    4. บังคับให้ผู้ใช้เปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบเป็นครั้งแรก
    5. บังคับให้เปลี่ยนรหัสผ่านเป็นประจำและตามความจำเป็น
    6. รักษาบันทึกรหัสผ่านของผู้ใช้ก่อนหน้านี้และป้องกันไม่ให้ใช้ซ้ำ
    7. ไม่แสดงรหัสผ่านบนหน้าจอเมื่อป้อน
    8. เก็บไฟล์รหัสผ่านแยกต่างหากจากข้อมูลระบบแอปพลิเคชัน และ
    9. จัดเก็บและส่งรหัสผ่านในรูปแบบป้องกัน (เข้ารหัสหรือแฮช) (ดู 9.4.3)

4. คู่มือนโยบายรหัสผ่าน CIS

วัตถุประสงค์ของ คู่มือนโยบายรหัสผ่าน CISคือการเป็นนโยบายรหัสผ่านเดียวที่ครอบคลุมซึ่งสามารถใช้เป็นมาตรฐานได้ทุกที่ที่ต้องการนโยบายรหัสผ่าน เผยแพร่โดยCenter for Internet Security (CIS) ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรที่มีภารกิจในการ ‘ระบุ พัฒนา ตรวจสอบ ส่งเสริม และสนับสนุนแนวทางปฏิบัติที่ดีที่สุดสำหรับการป้องกันทางไซเบอร์ พวกเขารับผิดชอบ CIS Controls® และ CIS Benchmarks™ ซึ่งเป็นแนวปฏิบัติที่ดีที่สุดที่ได้รับการยอมรับทั่วโลกสำหรับการรักษาความปลอดภัยระบบและข้อมูลไอที นโยบายรหัสผ่าน

หลักเกณฑ์รหัสผ่าน CIS ที่สำคัญ

  • ใช้ MFA ทุกครั้งที่เป็นไปได้ (ดู 2.1)
  • กำหนดความยาวขั้นต่ำ 14 อักขระสำหรับบัญชีที่ใช้รหัสผ่านเท่านั้น และ 8 อักขระสำหรับบัญชีที่เปิดใช้งาน MFA (ดู 5.1.1)
  • ไม่จำกัดความยาวสูงสุดของรหัสผ่าน (ดู 5.1.1)
  • อนุญาตให้ใช้อักขระทุกประเภทในรหัสผ่าน และต้องมีอักขระที่ไม่ใช่ตัวอักษรอย่างน้อยหนึ่งตัวสำหรับบัญชีที่ใช้รหัสผ่านเท่านั้น (ดู 5.1.2)
  • เปลี่ยนรหัสผ่านทันทีในกรณีที่เกิดการรั่วไหล โดยมีการหมดอายุรายปีเป็นตัวสำรอง (ดูข้อ 5.1.3)
  • ตรวจสอบการสร้างรหัสผ่านใหม่กับรายการปฏิเสธภายในของรหัสผ่านที่รู้จักไม่ดี อ่อนแอ หรือรหัสผ่าน 5 รายการก่อนหน้า (ดู 5.1.4)
  • บังคับให้เปลี่ยนรหัสผ่านล่าช้าอย่างน้อยหนึ่งวัน (ดูข้อ 5.1.4)
  • ล็อกเซสชันปัจจุบันหลังจากไม่มีการใช้งานเป็นเวลา 15 นาที (หรือน้อยกว่า) (ดู 5.1.5)
  • การล็อคบัญชีชั่วคราว (15 นาทีขึ้นไป) หลังจากพยายามล้มเหลวติดต่อกันห้าครั้ง (ดู 5.1.6)
  • การควบคุมเวลาเพิ่มขึ้นเป็นสองเท่า (เป็นนาที) ระหว่างการลองใหม่แต่ละครั้ง (0, 1, 2, 4, 8 ฯลฯ) ด้วยการล็อกบัญชีอย่างถาวร (จำเป็นต้องรีเซ็ต IT) หลังจากลองใหม่ 12 ครั้ง (ดู 5.1.6)
  • ตรวจสอบและแจ้งเตือนบุคลากรหลักเมื่อความพยายามเข้าสู่ระบบที่ไม่ถูกต้องข้างต้นถึงขีดจำกัดการเข้าสู่ระบบ (ดู 5.1.7)
  • ระงับบัญชีโดยอัตโนมัติหลังจาก 45 วันโดยไม่มีการเข้าสู่ระบบที่ถูกต้อง (ดู 5.1.8)
  • ไม่อนุญาตให้ “คำใบ้” รหัสผ่านที่ผู้ใช้กำหนดเมื่อเข้าสู่ระบบ (ดู 5.1.9)

คำแนะนำเพิ่มเติม:

  • ระบุรูปแบบการระบุระดับความปลอดภัยของรหัสผ่านในการสร้าง (ดู 5.2.1)
  • อนุญาตให้แสดงรหัสผ่านทั้งหมดในขณะที่สร้างและแสดงอักขระแต่ละตัวชั่วคราวขณะป้อน (ดู 5.2.2)
  • สนับสนุนการใช้ตัวจัดการรหัสผ่าน (ดู 5.2.3)
  • อนุญาตให้วางในช่องรหัสผ่านเมื่อใช้ตัวจัดการรหัสผ่าน (ดู 5.2.4)

5. เนิร์กซีไอพี

NERC Critical Infrastructure Protection (NERC-CIP) เป็นชุดมาตรฐานที่ระบุข้อกำหนดด้านความปลอดภัยขั้นต่ำสำหรับระบบไฟฟ้าจำนวนมาก เผยแพร่โดยNorth American Electric Reliability Corporation (NERC)ซึ่งเป็นหน่วยงานกำกับดูแลระหว่างประเทศที่ไม่แสวงหาผลกำไร ซึ่งมีหน้าที่รับผิดชอบในการปกป้องความน่าเชื่อถือของระบบไฟฟ้าจำนวนมากในอเมริกาเหนือ ตาราง R5 ในเอกสารCIP-007-6 – Systems Security Management พูดถึงรายละเอียดเกี่ยวกับข้อกำหนดนโยบายรหัสผ่านสำหรับผู้ควบคุมระบบไฟฟ้า

หลักเกณฑ์เกี่ยวกับรหัสผ่าน CIP ของ NERC ที่สำคัญ

  • เปลี่ยนรหัสผ่านเริ่มต้นที่รู้จักตามความสามารถ Cyber ​​Asset (ดู 5.4)
  • ความยาวรหัสผ่านที่อย่างน้อย 8 ตัวอักษรน้อยกว่าหรือความยาวสูงสุดที่ Cyber ​​Asset รองรับ (ดู 5.5.1)
  • ความซับซ้อนของรหัสผ่านขั้นต่ำที่น้อยกว่าสามประเภทหรือมากกว่าของอักขระที่แตกต่างกัน (เช่น ตัวอักษรตัวพิมพ์ใหญ่ ตัวอักษรตัวพิมพ์เล็ก ตัวเลข ที่ไม่ใช่ตัวอักษรและตัวเลข) หรือความซับซ้อนสูงสุดที่ Cyber ​​Asset รองรับ (ดู 5.5.2)
  • บังคับให้เปลี่ยนรหัสผ่านหรือข้อผูกพันในการเปลี่ยนรหัสผ่านอย่างน้อยหนึ่งครั้งทุกๆ 15 เดือนตามปฏิทิน (ดูข้อ 5.6)
  • หากเป็นไปได้ ให้จำกัดจำนวนความพยายามในการตรวจสอบสิทธิ์ที่ไม่สำเร็จหรือสร้างการแจ้งเตือนหลังจากความพยายามในการตรวจสอบสิทธิ์ไม่สำเร็จตามเกณฑ์ (ดู 5.7)

6. กฎความปลอดภัย HIPAA

Health Insurance Portability and Accountability Act of 1996 (HIPAA) เป็นกฎหมายของรัฐบาลกลางที่กำหนดให้ต้องมีการสร้างมาตรฐานระดับชาติเพื่อปกป้องข้อมูลสุขภาพที่ละเอียดอ่อนของผู้ป่วยจากการถูกเปิดเผยโดยไม่ได้รับความยินยอมหรือความรู้จากผู้ป่วย กฎความปลอดภัย HIPAA อธิบายว่าองค์กรต้องปกป้องข้อมูลด้านสุขภาพที่ได้รับการปกป้องทางอิเล็กทรอนิกส์ (ePHI) อย่างไร ข้อกำหนดรหัสผ่าน HIPAA อยู่ภายใต้การป้องกันการดูแลระบบของกฎความปลอดภัย HIPAA

กฎความปลอดภัย HIPAA กำหนดให้องค์กรต้องใช้ขั้นตอนในการสร้าง เปลี่ยนแปลง และปกป้องรหัสผ่าน นอกจากนี้ยังแนะนำการฝึกอบรมพนักงานเกี่ยวกับวิธีการปกป้องข้อมูลรหัสผ่านและกำหนดแนวทางเพื่อสร้างและเปลี่ยนรหัสผ่านเป็นรอบ

HIPAA ไม่มีคำแนะนำเฉพาะเกี่ยวกับความซับซ้อนของรหัสผ่าน เพื่อให้สอดคล้องกับ HIPAA องค์กรควรปฏิบัติตามแนวทางรหัสผ่าน NIST จะดีกว่า

ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้

Face-sso (By K&O) หากท่านสนใจ เครื่องสแกนใบหน้ารุ่นต่างๆ หลากหลายรุ่น หรือ ติดตั้งระบบสแกนใบหน้า สามารถติดต่อสอบถามได้โดยตรง เรามีแอดมินคอยคอบคำถาม 24 ชั้วโมงที่ Line OA เครื่องสแกนใบหน้า สามารถ ขอราคาพิเศษได้ ตามงบประมาณที่เหมาะสม สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ มั่นใจเพราะเป็นราคาที่สุด คุ้มค่าที่สุด

หากท่านมีความสนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *