Rate this post

Cơ chế xác thực phổ biến nhất và dễ quản lý nhất là mật khẩu tĩnh. Mật khẩu đại diện cho chìa khóa của vương quốc, nhưng thường bị người dùng phá hoại dưới danh nghĩa khả năng sử dụng. Trong mỗi vụ hack cấu hình cao gần đây đã làm lộ thông tin đăng nhập của người dùng, người ta than phiền rằng hầu hết các mật khẩu phổ biến vẫn là: 123456, password và qwerty.

Các bài viết liên quan:

Mục tiêu kiểm tra

Xác định khả năng chống lại việc đoán mật khẩu thô bạo của ứng dụng bằng cách sử dụng các từ điển mật khẩu có sẵn bằng cách đánh giá độ dài, độ phức tạp, tái sử dụng và yêu cầu cũ của mật khẩu.

Làm thế nào để kiểm tra

  1. Những ký tự nào được phép và bị cấm sử dụng trong mật khẩu? Người dùng có được yêu cầu sử dụng các ký tự từ các bộ ký tự khác nhau như chữ thường và chữ hoa, chữ số và các ký hiệu đặc biệt không?
  2. Người dùng có thể thay đổi mật khẩu của họ bao lâu một lần? Người dùng có thể thay đổi mật khẩu của họ nhanh chóng như thế nào sau lần thay đổi trước đó? Người dùng có thể bỏ qua các yêu cầu về lịch sử mật khẩu bằng cách thay đổi mật khẩu của họ 5 lần liên tiếp để sau lần thay đổi mật khẩu cuối cùng, họ đã định cấu hình lại mật khẩu ban đầu của mình.
  3. Khi nào người dùng phải thay đổi mật khẩu của họ?
    • Cả NIST và NCSC đều khuyến cáo không nên ép buộc hết hạn mật khẩu thường xuyên, mặc dù nó có thể được yêu cầu bởi các tiêu chuẩn như PCI DSS.
  4. Người dùng có thể sử dụng lại mật khẩu bao lâu một lần? Ứng dụng có duy trì lịch sử 8 mật khẩu đã sử dụng trước đó của người dùng không?
  5. Mật khẩu tiếp theo phải khác mật khẩu cuối cùng như thế nào?
  6. Người dùng có bị ngăn sử dụng tên người dùng hoặc thông tin tài khoản khác (chẳng hạn như họ hoặc tên) trong mật khẩu không?
  7. Độ dài mật khẩu tối thiểu và tối đa có thể được đặt là bao nhiêu và chúng có phù hợp với độ nhạy của tài khoản và ứng dụng không?
  8. Có thể đặt các mật khẩu phổ biến như Password1 hoặc 123456 không?

Biện pháp khắc phục hậu quả

Để giảm thiểu nguy cơ mật khẩu dễ đoán tạo điều kiện cho truy cập trái phép, có hai giải pháp: giới thiệu các biện pháp kiểm soát xác thực bổ sung (tức là xác thực hai yếu tố) hoặc giới thiệu chính sách mật khẩu mạnh. Đơn giản nhất và rẻ nhất trong số này là việc giới thiệu một chính sách mật khẩu mạnh đảm bảo độ dài, độ phức tạp, khả năng tái sử dụng và lão hóa của mật khẩu; mặc dù lý tưởng nhất là cả hai đều nên được thực hiện.

Xem thêm Kiểm tra chức năng thay đổi hoặc đặt lại mật khẩu yếu

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Contact Me on Zalo
Call now