Mật khẩu người dùng cuối là một trong những thành phần yếu nhất trong các giao thức bảo mật tổng thể của bạn. Hầu hết người dùng có xu hướng sử dụng lại mật khẩu trên tài khoản công việc và tài khoản cá nhân.
Các Viện Tiêu chuẩn và Công nghệ (NIST) có một khuôn khổ an ninh mạng giúp các tổ chức giải quyết những cạm bẫy an ninh mạng chung trong môi trường của họ, bao gồm yếu, tái sử dụng, và vi phạm mật khẩu. NIST đã đề xuất các nguyên tắc chính sách mật khẩu mới cho Active Directory có thể giúp ích.
Nguyên tắc NIST minh họa chính sách mật khẩu hiện đại
- Mật khẩu phải có không ít hơn 8 ký tự dài
- Ký tự ASCII được chấp nhận cùng với dấu cách
- Nếu một nhà cung cấp dịch vụ chọn mật khẩu ngẫu nhiên, thì mật khẩu này phải dài ít nhất 6 kí tự
- Mật khẩu phải được so sánh với danh sách các mật khẩu thường được sử dụng, mong đợi hoặc bị xâm phạm.
Những loại mật khẩu nào thường được sử dụng, mong đợi hoặc bị xâm phạm?
- Mật khẩu vi phạm trước đây
- Mật khẩu phổ biến có thể tra trong từ điển
- Các ký tự tuần tự hoặc lặp lại
- Các từ theo ngữ cảnh cụ thể (bao gồm tên người dùng, tên doanh nghiệp, v.v.)
NIST cũng khuyến nghị các cơ chế bảo mật mật khẩu khác bao gồm:
- Giới hạn tỷ lệ lần đăng nhập không thành công
- Không buộc người dùng thay đổi mật khẩu của họ sau một số ngày tùy ý
- Buộc thay đổi mật khẩu nếu có bằng chứng về việc mật khẩu tài khoản bị xâm phạm (tức là mật khẩu bị lộ do vi phạm)
- Hướng dẫn nên được cung cấp cho người dùng về các yêu cầu chính sách mật khẩu cụ thể.
Những yêu cầu này phản ánh các phương pháp hay nhất hiện tại trong ngành để tăng cường lớp mật khẩu. NIST làm rõ rằng một chiến lược xác thực thích hợp và các yêu cầu trên phải được đáp ứng bao gồm bất cứ khi nào lớp mật khẩu.
Kiểm tra chính sách mật khẩu Active Directory
Hầu hết các tổ chức doanh nghiệp ngày nay đang sử dụng Microsoft Active Directory làm giải pháp quản lý truy cập và nguồn nhận dạng tập trung của họ. Nhiều người sử dụng Chính sách mật khẩu Active Directory tích hợp do Group Policy cung cấp. Chính sách mật khẩu tích hợp như một phần của Chính sách tài khoản chính sách nhóm cung cấp chức năng cơ bản để tạo chính sách mật khẩu cho môi trường Active Directory của bạn.
Dưới đây là ví dụ về Chính sách miền mặc định được định cấu hình với cài đặt Chính sách mật khẩu mặc định, bao gồm:
- Tuổi mật khẩu tối đa
- Tuổi mật khẩu tối thiểu
- Độ dài mật khẩu tối thiểu
- Mật khẩu phải đáp ứng các yêu cầu phức tạp
NIST là một cách tuyệt vời để tăng cường bảo mật cho môi trường của bạn, một khuôn khổ an ninh mạng tiêu chuẩn công nghiệp nổi tiếng cung cấp hướng dẫn tuyệt vời về bảo mật mật khẩu. Hầu hết các doanh nghiệp ngày nay đang sử dụng Chính sách mật khẩu Active Directory trong môi trường.
Source: thehackernews
Fanpage: Trí Việt JSC
