Các doanh nghiệp ở Liên minh châu Âu phải có chính sách mật khẩu tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR). Ngay cả khi doanh nghiệp không có trụ sở tại EU, các yêu cầu này vẫn áp dụng nếu doanh nghiệp đó có nhân viên hoặc khách hàng cư trú tại EU.
Bài viết này sẽ giới thiệu các yêu cầu của GDPR đối với mật khẩu và một số lời khuyên thực tế về cách thiết kế chính sách mật khẩu. Ngay cả khi GDPR có thể chưa cần thiết cho người dùng ngay lúc này nhưng các nguyên tắc cơ bản của kế hoạch quy định bảo vệ dữ liệu có thể giúp tăng cường bảo mật cho tổ chức của người dùng.
GDPR đã có hiệu lực kể ngày 25/5/2018, trong đó, 7 nguyên tắc cần tuân thủ khi xử lý dữ liệu bao gồm:
Tính hợp pháp, công bằng và minh bạch: Việc xử lý dữ liệu phải hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu;
Giới hạn mục đích: Mục đích xử lý dữ liệu phải hợp pháp và được thể hiện rõ ràng cho chủ thể dữ liệu khi thu thập;
Giảm thiểu dữ liệu: Chỉ thu thập và xử lý dữ liệu khi thực sự cần thiết cho các mục đích đã định;
Độ chính xác: Phải bảo đảm dữ liệu cá nhân là chính xác và cập nhật;
Giới hạn lưu trữ: Chỉ lưu trữ dữ liệu nhận dạng cá nhân trong thời gian cần thiết cho mục đích đã định;
Tính toàn vẹn và bảo mật: Việc xử lý dữ liệu phải được thực hiện trên cơ sở đảm bảo tính bảo mật, tính toàn vẹn và bảo mật thích hợp (ví dụ: bằng cách sử dụng mã hóa);
Trách nhiệm giải trình: Người kiểm soát dữ liệu có trách nhiệm chứng minh sự tuân thủ GDPR với tất cả các nguyên tắc này.
Nếu chỉ đọc văn bản, người dùng sẽ thấy GDPR không thực sự đề cập đến chính sách mật khẩu và cho bất kỳ một doanh nghiệp nào đều có thể thực hiện các chính sách mật khẩu của họ mà không phải lo ngại về việc tuân thủ GDPR. Tuy nhiên, GDPR sẽ tác động đến chính sách mật khẩu dưới phạm vi phòng ngừa.
Bất kỳ thông tin nào mà công ty thu thập từ khách hàng hoặc từ các nguồn khác đều cần được bảo vệ theo quy định của GDPR. Điều này có nghĩa là phải có các biện pháp bảo mật mạnh mẽ để ngăn chặn tin tặc hoặc người dùng khác truy cập trái phép vào dữ liệu này.
Như chúng ta đã biết, một trong những bước bảo mật kỹ thuật số quan trọng nhất trong việc bảo vệ bất kỳ dữ liệu nào là thiết lập mật khẩu.
Sau đây là một số phương pháp cần chú ý khi tạo chính sách mật khẩu mạnh để giữ an toàn cho hệ thống, đồng thời tuân thủ GDPR.
Sử dụng mật khẩu mạnh để tránh bị tấn công
Mật khẩu mạnh là mật khẩu đủ dài, có chứa cả chữ, số và ký tự đặc biệt, khó đoán được nên rất khó để bị tấn công. Ngày nay, thông tin xác thực bị đánh cắp và bị ép buộc là nguyên nhân hàng đầu gây ra vi phạm dữ liệu. Để bảo vệ dữ liệu trước các cuộc tấn công này, chính sách mật khẩu cần phải nghiêm cấm sử dụng các mật khẩu phổ biến và vi phạm.
Nhờ việc sử dụng lại mật khẩu, nhiều cuộc tấn công dựa trên thông tin xác thực sử dụng danh sách mật khẩu đã bị đánh cắp từ một hệ thống để nhắm mục tiêu một hệ thống khác. Các cơ quan chính phủ như NIST và NCSC khuyên người dùng không nên sử dụng các mật khẩu đã bị xâm phạm và dễ đoán. Đây là một trong những cách duy nhất để bảo vệ tài khoản, ngay cả khi việc cài đặt mật khẩu mạnh hơn được thực thi.
Không sử dụng các câu hỏi bí mật
Một thực tế phổ biến là người dùng thường thiết lập câu hỏi bí mật có thể được trả lời để mở khóa hoặc đặt lại mật khẩu trên tài khoản.
Những câu hỏi bí mật thường là những câu như “tên con vật bạn yêu thích nhất là gì?”, “trường học đầu tiên của bạn ở đâu?”, “biệt danh của bạn là gì?” Vì những loại câu hỏi này có thể dễ đoán câu trả lời, tốt nhất người dùng nên tránh chúng hoàn toàn.
Xem xét việc xác thực đa yếu tố
Một trong những cách tốt nhất để có thể cải thiện bảo mật mật khẩu là thực hiện xác thực đa yếu tố. Đây là nơi ngoài tên người dùng và mật khẩu, các yếu tố khác được sử dụng để xác minh, chứng thực người dùng.
Ví dụ: có thể là mật khẩu dùng một lần được tạo riêng cho người dùng trên thiết bị di động của họ trong quá trình xác thực.
Việc triển khai GDPR cho doanh nghiệp ngoài Liên minh châu Âu là một vấn đề khó khăn. Việc tuân thủ các biện pháp bảo vệ an ninh bổ sung sẽ bao gồm cơ sở hạ tầng dựa vào quan điểm pháp lý và phòng chống tấn công mạng. Các doanh nghiệp cần biết cách thức, lý do và thời điểm tuân thủ GDPR cho người dùng.
Khi triển khai chính sách mật khẩu cho tổ chức thì cần chú ý tuân thủ GDPR, nên sử dụng công cụ của bên thứ 3 để giúp chính sách mật khẩu tiếp cận được toàn bộ thư mục của người dùng cuối.
Ví dụ điển hình là Specops Password Policy, nó có thể giúp chặn các mật khẩu bị vi phạm và bị xâm phạm khác từ Active Directory. Trong quá trình thay đổi mật khẩu ở Active Directory, dịch vụ này sẽ chặn và thông báo cho người dùng nếu mật khẩu họ đã chọn được tìm thấy trong danh sách mật khẩu bị rò rỉ và sẽ có phản hồi để để họ tuân thủ theo mật khẩu. Chính sách mật khẩu của Specops giúp người dùng dễ dàng giữ lại các mật khẩu dễ bị tấn công và tuân thủ các nguyên tắc mới nhất về mật khẩu.
Chính sách mật khẩu Specops giữ cho các chính sách của người dùng có tổ chức và có thể cấu hình dễ dàng
Việc sử dụng công cụ chính sách mật khẩu không chỉ giúp tuân thủ GDPR trong việc ngăn chặn truy cập trái phép vào thông tin, nó còn giữ cho cơ sở hạ tầng nội bộ có tổ chức và an toàn. Chính sách mật khẩu Specops mở rộng chức năng của chính sách nhóm và đơn giản hóa việc quản lý các chính sách mật khẩu chi tiết hơn để có cách tiếp cận đơn giản hơn đối với việc bảo mật và tuân thủ mật khẩu.
Cho dù người dùng đang sử dụng công cụ chính sách mật khẩu, hay nâng cao kỹ năng cho người dùng cuối tuân thủ GDPR theo cách thủ công, đây vẫn có thể là một giải pháp tối ưu cho bất kỳ cơ sở hạ tầng an ninh nào. Nó cũng là điều bắt buộc nếu tổ chức đang lưu trữ dữ liệu của công dân Liên minh châu Âu.
Phạm Bình Dũng
10:00 | 13/09/2018
14:00 | 12/08/2019
11:00 | 19/04/2023
20:00 | 03/02/2022
09:00 | 16/10/2019
09:00 | 06/04/2021
08:00 | 07/02/2020
16:00 | 15/03/2024
Hạ viện Mỹ vừa thông qua với tỷ lệ áp đảo dự luật buộc TikTok phải thoái vốn khỏi chủ sở hữu Trung Quốc, nếu không nền tảng này sẽ bị cấm hoạt động ở Mỹ.
09:00 | 08/03/2024
Blockchain được xem là “chìa khóa” để xây dựng nền tảng công nghệ thông tin tương lai. Tuy nhiên, nếu không được kiểm soát và có sự định hướng của Nhà nước thì sự phát triển và lạm dụng ứng dụng của công nghệ này có thể gây phương hại đến an ninh quốc gia.
11:00 | 07/02/2024
Bên cạnh việc tăng cường phát triển công nghệ AI, Trung Quốc đã tăng cường các cơ chế, biện pháp để quản trị như như luật pháp, khuôn khổ đạo đức, tiêu chuẩn, chứng nhận,… để thúc đẩy AI có trách nhiệm (Responsible AI), tin cậy và lấy con người làm trung tâm. Dưới đây là 5 khía cạnh của Trung Quốc trong bài toán quản trị trí tuệ nhân tạo.
13:00 | 09/10/2023
Trong bối cảnh đẩy mạnh phát triển Chính quyền số để thúc đẩy chuyển đổi kinh tế số, xã hội số, phát huy hiệu quả chuyển đổi số để nâng cao năng lực, hiệu lực trong hoạt động của bộ máy nhà nước ở địa phương, đòi hỏi lực lượng cơ yếu tỉnh Điện Biên phải nỗ lực nhiều hơn nữa, nâng cao chất lượng, hiệu quả trong công tác tham mưu cho cấp ủy, chính quyền địa phương về hoạt động cơ yếu và những nội dung liên quan đến định hướng, chiến lược phát triển trong lĩnh vực bảo mật, an toàn thông tin.