១. ព័ត៌មានទូទៅ
វិទ្យាស្ថានស្តង់ដារ និងបច្ចេកវិទ្យាជាតិ (National Institute of Standards and Technology, NIST) នៃសហរដ្ឋអាមេរិក បានធ្វើបច្ចុប្បន្នភាពលើគោលការណ៍ណែនាំពាក្យសម្ងាត់របស់ខ្លួននៅក្នុងសេចក្តីព្រាងចុងក្រោយបំផុតនៃឯកសារគោលនយោបាយ SP 800-63B ដើម្បីផ្តល់ការការពារបន្ថែមទៀតប្រឆាំងនឹងការវាយប្រហារសាយប័រដែលផ្តោតលើពាក្យសម្ងាត់។ ក្រោមនេះជាទស្សនាទានចំនួន ៦ ដើម្បីបង្កើតគោលការណ៍ពាក្យសម្ងាត់ដែលស្របនឹងក្របខ័ណ្ឌថ្មី ហើយមានប្រសិទ្ធភាព។
២.ចំនួនតួនៃពាក្យសម្ងាត់សំខាន់ជាងភាពស្មុគស្មាញ
មនុស្សយើងជារឿយៗធ្វើតាមលំនាំដែលអាចទស្សន៍ទាយបាននៅពេលបង្កើតពាក្យសម្ងាត់ស្មុគស្មាញ (ឧ. “W3lc0meTo2025!!”)។ ដូច្នេះ ពាក្យសម្ងាត់ដែលមើលទៅហាក់ស្មុគស្មាញភាគច្រើនងាយស្រួលសម្រាប់ហេកគ័របំបែកដោយប្រើកម្រងពាក្យសម្ងាត់ទូទៅ។ ដូចនេះ ផ្ទុយពីការស្នើសុំឱ្យអ្នកប្រើប្រាស់បង្កើតពាក្យសម្ងាត់ដែលមានលក្ខណៈចៃដន្យ និងពិបាកចងចាំ គួរឱ្យគេបង្កើតពាក្យ ឬឃ្លាសម្ងាត់វែង និងងាយស្រួលចងចាំ ប៉ុន្តែពិបាកទាយ។ ឃ្លាសម្ងាត់ដ៏ល្អបំផុតរួមបញ្ចូលគ្នានូវពាក្យដែលមិនទាក់ទងគ្នាទៅជាឃ្លាសម្ងាត់តែមួយដែលវែងជាង ដូចជា “mountain-pillar-tech22” ជាជាងពាក្យសម្ងាត់ចៃដន្យដូចជា “HPn&897*k”។
៣.អនុញ្ញាតឱ្យប្រើពាក្យសម្ងាត់វែង
ដើម្បីបង្កើនការការពារសុវត្ថិភាពល្អតាមការប្រើប្រាស់ពាក្យសម្ងាត់ គោលការណ៍ពាក្យសម្ងាត់គួរអាចឱ្យអ្នកប្រើប្រាស់ឃ្លាសម្ងាត់វែងៗបាន។ NIST បានណែនាំឱ្យអនុញ្ញាតរហូតដល់ ៦៤តួអក្សរ។ ដូច្នេះ គោលការណ៍គួរផ្តល់ឱ្យអ្នកប្រើប្រាស់នូវភាពបត់បែនក្នុងការប្រើប្រាស់ឃ្លាសម្ងាត់ដែលបំពេញតម្រូវការសុវត្ថិភាពរបស់ពួកគេ មិនថា ១៥តួ ឬ ៥០តួឡើយ។
៤.ប្រើប្រាស់យន្តការផ្ទៀងផ្ទាត់ពហុកត្តា (Multifactor Authentication, MFA)
ការស្រាវជ្រាវរបស់ Microsoft បង្ហាញថា ៩៩% នៃគណនីត្រូវបានហេកមិនមានប្រើប្រាស់ការផ្ទៀងផ្ទាត់ពហុកត្តាទេ។ ដូចនេះ ការផ្ទៀងផ្ទាត់ពហុកត្តាមិនមែនជាស្រទាប់ការពារបន្ទាប់បន្សំទៀតឡើយ តែជាស្រទាប់ការពារចាំបាច់ សម្រាប់ពេលដែលពាក្យសម្ងាត់ត្រូវបានបែកធ្លាយ។
៥.ជៀសវាងការផ្លាស់ប្តូរពាក្យសម្ងាត់ញឹកញាប់
អ្នកប្រើប្រាស់មិនរីករាយនឹងការបង្ខំឱ្យផ្លាស់ប្តូរពាក្យសម្ងាត់ជាញឹកញាប់ទេ។ NIST និយាយថា ការផ្លាស់ប្តូរពាក្យសម្ងាត់ញឹកញាប់នាំឱ្យមានសុវត្ថិភាពចុះខ្សោយ ដោយសារអ្នកប្រើត្រឹមកែប្រែពាក្យសម្ងាត់តិចតួចបំផុតដើម្បីបំពេញតម្រូវការពាក្យសម្ងាត់ថ្មីប៉ុណ្ណោះ។ ប៉ុន្តែការបោះបង់ចោលទាំងស្រុងនូវគោលការណ៍តម្រូវឱ្យផ្លាស់ប្ដូរពាក្យសម្ងាត់ក៏មិនមែនជាការល្អដែរ។ ដូច្នេះ គួរបន្លាយចន្លោះពេលវេលាផ្លាស់ប្តូរពាក្យសម្ងាត់ ហើយអនុវត្តយន្តការការពារសំខាន់ៗ។ នៅពេលដែលអ្នកប្រើប្រាស់បង្កើតពាក្យសម្ងាត់ដ៏រឹងមាំ និងស្ថាប័នអនុវត្តយន្តការការពារបានល្អ ចន្លោះពេលរវាងការផ្លាស់ប្ដូរពាក្យសម្ងាត់យូរជាងមុនជាការប្រសើរ។
៦.ទប់ស្កាត់ការប្រើប្រាស់ពាក្យសម្ងាត់ដែលបានធ្លាប់បានបែកធ្លាយរួច
ស្ថាប័ននានាគួរពិនិត្យពាក្យសម្ងាត់ថ្មីដោយផ្ទៀងផ្ទាត់ជាមួយនឹងកម្រងពាក្យសម្ងាត់ដែលត្រូវបានបែកធ្លាយរួចពីមុន ព្រោះអ្នកវាយប្រហារនឹងប្រើកម្រងពាក្យសម្ងាត់បែកធ្លាយទាំងនេះដើម្បីធ្វើការវាយប្រហារដោយទាយពាក្យសម្ងាត់។
៧.ឈប់ប្រើប្រាស់ជំនួយរំឭកពាក្យសម្ងាត់ និងវិធីសាស្ត្រស្រង់ពាក្យសម្ងាត់ភ្លេច ដោយផ្អែកលើព័ត៌មានទូទៅ
ស្ថាប័ននានាគួរបោះបង់ចោលនូវវិធីសាស្ត្ររំឭកពាក្យសម្ងាត់ឡើងវិញតាមបែបបុរាណ (ឧ. តើសត្វចិញ្ចឹមដំបូងរបស់អ្នកឈ្មោះអ្វី? តើអ្នករៀននៅវិទ្យាល័យណា?) ដោយសារតែព័ត៌មានផ្ទាល់ខ្លួនរបស់អ្នកប្រើប្រាស់អាចមាននៅពាសពេញប្រព័ន្ធផ្សព្វផ្សាយសង្គម។ អ្វីដែលធ្លាប់ជាព័ត៌មានឯកជនពីមុនមក ឥឡូវនេះជាព័ត៌មានសាធារណៈធម្មតា ងាយស្រង់យកបានដោយអ្នកវាយប្រហារដើម្បីប្រើប្រាស់។ NIST ណែនាំឱ្យប្រើជម្រើសផ្សេងទៀតដូចជា តំណភ្ជាប់ប្ដូរពាក្យសម្ងាត់ថ្មីតាមអ៊ីមែលដែលមានសុវត្ថិភាព និងប្រើប្រាស់ការផ្ទៀងផ្ទាត់ពហុកត្តា។ វិធីសាស្រ្តថ្មីៗទាំងនេះអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់បញ្ជាក់អត្តសញ្ញាណរបស់ពួកគេតាមរយៈការចូលប្រើប្រាស់ជាក់ស្តែងទៅកាន់ឧបករណ៍ ឬគណនីរបស់គេជាជាងពឹងផ្អែកលើព័ត៌មានផ្ទាល់ខ្លួនដែលសាធារណជនងាយស្រួលស្វែងរក។
៨. ឯកសារពាក់ព័ន្ធ
- – https://www.bleepingcomputer.com/news/security/six-password-takeaways-from-the-updated-nist-cybersecurity-framework/
- – https://learn.microsoft.com/en-us/partner-center/security/security-at-your-organization