Các doanh nghiệp ở Liên minh châu Âu phải có chính sách mật khẩu tuân thủ (GDPR). Ngay cả khi doanh nghiệp không có trụ sở tại EU, các yêu cầu này vẫn áp dụng nếu doanh nghiệp đó có nhân viên hoặc khách hàng cư trú tại EU.
Bài viết này sẽ giới thiệu các yêu cầu của đối với mật khẩu và một số lời khuyên thực tế về cách thiết kế chính sách mật khẩu. Ngay cả khi GDPR có thể chưa cần thiết cho người dùng ngay lúc này nhưng các nguyên tắc cơ bản của kế hoạch quy định có thể giúp tăng cường bảo mật cho tổ chức của người dùng.
GDPR đã có hiệu lực kể ngày 25/5/2018, trong đó, 7 nguyên tắc cần tuân thủ khi xử lý dữ liệu bao gồm:
Tính hợp pháp, công bằng và minh bạch: Việc xử lý dữ liệu phải hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu;
Giới hạn mục đích: Mục đích xử lý dữ liệu phải hợp pháp và được thể hiện rõ ràng cho chủ thể dữ liệu khi thu thập;
Giảm thiểu dữ liệu: Chỉ thu thập và xử lý dữ liệu khi thực sự cần thiết cho các mục đích đã định;
Độ chính xác: Phải bảo đảm dữ liệu cá nhân là chính xác và cập nhật;
Giới hạn lưu trữ: Chỉ lưu trữ dữ liệu nhận dạng cá nhân trong thời gian cần thiết cho mục đích đã định;
Tính toàn vẹn và bảo mật: Việc xử lý dữ liệu phải được thực hiện trên cơ sở đảm bảo tính bảo mật, tính toàn vẹn và bảo mật thích hợp (ví dụ: bằng cách sử dụng mã hóa);
Trách nhiệm giải trình: Người kiểm soát dữ liệu có trách nhiệm chứng minh sự tuân thủ GDPR với tất cả các nguyên tắc này.
Nếu chỉ đọc văn bản, người dùng sẽ thấy GDPR không thực sự đề cập đến chính sách mật khẩu và cho bất kỳ một doanh nghiệp nào đều có thể thực hiện các chính sách mật khẩu của họ mà không phải lo ngại về việc tuân thủ GDPR. Tuy nhiên, GDPR sẽ tác động đến chính sách mật khẩu dưới phạm vi phòng ngừa.
Bất kỳ thông tin nào mà công ty thu thập từ khách hàng hoặc từ các nguồn khác đều cần được bảo vệ theo quy định của GDPR. Điều này có nghĩa là phải có các biện pháp bảo mật mạnh mẽ để ngăn chặn tin tặc hoặc người dùng khác truy cập trái phép vào dữ liệu này.
Như chúng ta đã biết, một trong những bước bảo mật kỹ thuật số quan trọng nhất trong việc bảo vệ bất kỳ dữ liệu nào là thiết lập mật khẩu.
Sau đây là một số phương pháp cần chú ý khi tạo chính sách mật khẩu mạnh để giữ an toàn cho hệ thống, đồng thời tuân thủ GDPR.
Sử dụng mật khẩu mạnh để tránh bị tấn công
Mật khẩu mạnh là mật khẩu đủ dài, có chứa cả chữ, số và ký tự đặc biệt, khó đoán được nên rất khó để bị tấn công. Ngày nay, thông tin xác thực bị đánh cắp và bị ép buộc là nguyên nhân hàng đầu gây ra vi phạm dữ liệu. Để bảo vệ dữ liệu trước các cuộc tấn công này, chính sách mật khẩu cần phải nghiêm cấm sử dụng các mật khẩu phổ biến và vi phạm.
Nhờ việc sử dụng lại mật khẩu, nhiều cuộc tấn công dựa trên thông tin xác thực sử dụng danh sách mật khẩu đã bị đánh cắp từ một hệ thống để nhắm mục tiêu một hệ thống khác. Các cơ quan chính phủ như NIST và NCSC khuyên người dùng không nên sử dụng các mật khẩu đã bị xâm phạm và dễ đoán. Đây là một trong những cách duy nhất để bảo vệ tài khoản, ngay cả khi việc cài đặt mật khẩu mạnh hơn được thực thi.
Không sử dụng các câu hỏi bí mật
Một thực tế phổ biến là người dùng thường thiết lập câu hỏi bí mật có thể được trả lời để mở khóa hoặc đặt lại mật khẩu trên tài khoản.
Những câu hỏi bí mật thường là những câu như “tên con vật bạn yêu thích nhất là gì?”, “trường học đầu tiên của bạn ở đâu?”, “biệt danh của bạn là gì?” Vì những loại câu hỏi này có thể dễ đoán câu trả lời, tốt nhất người dùng nên tránh chúng hoàn toàn.
Xem xét việc xác thực đa yếu tố
Một trong những cách tốt nhất để có thể cải thiện bảo mật mật khẩu là thực hiện xác thực đa yếu tố. Đây là nơi ngoài tên người dùng và mật khẩu, các yếu tố khác được sử dụng để xác minh, chứng thực người dùng.
Ví dụ: có thể là mật khẩu dùng một lần được tạo riêng cho người dùng trên thiết bị di động của họ trong quá trình xác thực.
Việc triển khai GDPR cho doanh nghiệp ngoài Liên minh châu Âu là một vấn đề khó khăn. Việc tuân thủ các biện pháp bảo vệ an ninh bổ sung sẽ bao gồm cơ sở hạ tầng dựa vào quan điểm pháp lý và phòng chống tấn công mạng. Các doanh nghiệp cần biết cách thức, lý do và thời điểm tuân thủ GDPR cho người dùng.
Khi triển khai chính sách mật khẩu cho tổ chức thì cần chú ý tuân thủ GDPR, nên sử dụng công cụ của bên thứ 3 để giúp chính sách mật khẩu tiếp cận được toàn bộ thư mục của người dùng cuối.
Ví dụ điển hình là Specops Password Policy, nó có thể giúp chặn các mật khẩu bị vi phạm và bị xâm phạm khác từ Active Directory. Trong quá trình thay đổi mật khẩu ở Active Directory, dịch vụ này sẽ chặn và thông báo cho người dùng nếu mật khẩu họ đã chọn được tìm thấy trong danh sách mật khẩu bị rò rỉ và sẽ có phản hồi để để họ tuân thủ theo mật khẩu. Chính sách mật khẩu của Specops giúp người dùng dễ dàng giữ lại các mật khẩu dễ bị tấn công và tuân thủ các nguyên tắc mới nhất về mật khẩu.
Chính sách mật khẩu Specops giữ cho các chính sách của người dùng có tổ chức và có thể cấu hình dễ dàng
Việc sử dụng công cụ chính sách mật khẩu không chỉ giúp tuân thủ GDPR trong việc ngăn chặn truy cập trái phép vào thông tin, nó còn giữ cho cơ sở hạ tầng nội bộ có tổ chức và an toàn. Chính sách mật khẩu Specops mở rộng chức năng của chính sách nhóm và đơn giản hóa việc quản lý các chính sách mật khẩu chi tiết hơn để có cách tiếp cận đơn giản hơn đối với việc bảo mật và tuân thủ mật khẩu.
Cho dù người dùng đang sử dụng công cụ chính sách mật khẩu, hay nâng cao kỹ năng cho người dùng cuối tuân thủ GDPR theo cách thủ công, đây vẫn có thể là một giải pháp tối ưu cho bất kỳ cơ sở hạ tầng an ninh nào. Nó cũng là điều bắt buộc nếu tổ chức đang lưu trữ dữ liệu của công dân Liên minh châu Âu.
Phạm Bình Dũng
10:00 | 13/09/2018
14:00 | 12/08/2019
11:00 | 19/04/2023
20:00 | 03/02/2022
09:00 | 16/10/2019
09:00 | 06/04/2021
08:00 | 07/02/2020
13:00 | 01/08/2024
Hiện nay, trên thế giới có quá nhiều tạp chí khoa học, điều này gây ra không ít khó khăn trong việc xác định một bài báo cũng như một tạp chí đáng tin cậy. Lựa chọn bài báo chất lượng để kế thừa kết quả là việc rất quan trọng, ảnh hưởng trực tiếp đến chất lượng nghiên cứu và độ tin cậy của phương pháp nghiên cứu. Bên cạnh đó, công bố khoa học quốc tế, nhất là công bố trên các tạp chí quốc tế uy tín đang là tiêu chí quan trọng để đánh giá khoa học với các nhà nghiên cứu.
09:00 | 19/07/2024
Từ ngày 15 - 17/7, Đoàn công tác của Ban Cơ yếu Chính phủ do Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ làm Trưởng đoàn đã đến làm việc với các Tỉnh ủy Hà Giang, Tuyên Quang và Phú Thọ về công tác cơ yếu, bảo mật và an toàn thông tin.
14:00 | 22/05/2024
Ngày 17/5, tại hội nghị thường niên của Ủy ban Bộ trưởng Hội đồng châu Âu (EC), với sự tham gia của các bộ trưởng ngoại giao của 46 quốc gia thành viên, EC đã thông qua hiệp ước toàn cầu đầu tiên mang tính ràng buộc về mặt pháp lý liên quan các quy định quản lý việc sử dụng trí tuệ nhân tạo (AI).
09:00 | 13/02/2024
Trong thời đại số được đánh dấu bằng những tiến bộ và phát triển khoa học công nghệ, tầm quan trọng của an ninh mạng đã ngày càng được thể hiện và thúc đẩy rõ ràng hơn. Dự đoán năm 2024, bối cảnh kỹ thuật số không ngừng phát triển, công nghệ mở ra cả những cơ hội đột phá lẫn những thách thức an ninh mạng. Để chuẩn bị tốt cho công tác đảm bảo an ninh, an toàn thông tin, bài báo sẽ đề cập đến sự gia tăng của các mối đe dọa bảo mật cũng như thách thức về an ninh mạng trong năm tới.