Bắt đổi password định kỳ, nên hay không?
Security
39
password
7
Male avatar

Hawkie viết ngày 07/08/2021

Gần đây tôi có tranh cãi với một bạn đồng nghiệp về vấn đề có nên đặt ra quy định bắt đổi password định kỳ trong công ty hay ko. Trong quá trình tranh cãi tôi đã tìm hiểu một số thông tin xoay quanh chủ đề này nên muốn chia sẻ ở đây cho mọi người cùng biết.

Vấn đề

Vấn đề ở đây được nhìn từ quan điểm của một người quản trị hệ thống hoặc của một người thiết kế hệ thống: làm sao để đảm bảo an toàn bảo mật cho hệ thống của họ cũng như các thông tin cá nhân quan trọng của người dùng hệ thống. Trong đó, vấn đề cụ thể là việc bảo mật đối với password, cả của người dùng thông thường lẫn người dùng có đặc quyền quản trị. Cụ thể hơn nữa, đó là việc đặt ra một chính sách bảo mật password (password policy) có bao gồm việc bắt buộc đổi password định kỳ hay ko để đạt được kết quả bảo mật tốt nhất.

Hai quan điểm

Quan điểm thứ nhất, cũng là quan điểm phổ biến nhất cho tới vài năm gần đây, đó là password phải được thay đổi thường xuyên, ít nhất là 1 năm 1 lần và nhiều thì hàng tháng, để đảm bảo việc bảo mật hệ thống. Lý do thường được đưa ra cho quan điểm này như sau.

  • Hạn chế rủi ro một password bị lộ có thể bị sử dụng để truy cập vào hệ thống. Vì đơn giản là từ khi password đó bị lộ tới khi nó được sử dụng thì có thể password đã được thay đổi rồi.
  • Hạn chế rủi ro người dùng dùng cùng một password cho nhiều hệ thống khác nhau, dẫn tới khi một hệ thống bị lộ password thì password đó có thể bị dùng để truy cập vào hệ thống khác. Vì các hệ thống thường sẽ có chính sách đổi với chu kỳ khác nhau vào thời điểm khác nhau nên người dùng sẽ rất khó giữ cùng một password cho nhiều hệ thống.
  • Hạn chế rủi ro người dùng chia sẻ password cho người khác để sử dụng chung tài khoản, dẫn tới tăng khả năng lộ password. Vì mỗi lần password bị đổi sẽ cần phải chia sẻ lại dẫn tới khó khăn hơn cho việc chia sẻ.
  • Hạn chế rủi ro password bị dò ra theo các cách thủ công như dựa trên dấu gõ bàn phím, hay đơn thuần là đoán từ. Vì việc đổi password thường xuyên sẽ ko cho phép kẻ tấn công có đủ thời gian dò ra password theo những cách tốn thời gian.

Quan điểm thứ hai, là quan điểm đã xuất hiện từ khoảng 5-6 năm trước và ngày càng trở nên phổ biến hơn, đó là việc bắt buộc thay đổi password thường xuyên ko đem lại hiệu quả bảo mật cao mà còn gây ra nhiều rủi ro về mặt bảo mật, dẫn tới phản tác dụng.

Các chính sách password hiện tại hầu hết đều đòi hỏi độ phức tạp cao (chữ hoa thường, ký hiệu,...) khiến người dùng thường sẽ ko thể nhớ được password mới nhất của bản thân và sẽ có xu hướng ghi password đó ra đâu đó, ví dụ như ghi vào mảnh giấy dán ngay ở màn hình, hoặc ghi vào note để trên cloud. Bản thân điều này đã làm tăng rủi ro lộ password. Nhưng ít nhất nếu chỉ có một password thì người dùng có thể có nhiều cách để nhớ được password của mình bất kể độ dài và phức tạp, từ các thủ thuật gán từ cho đến đơn thuần là dùng nhiều lần thì sẽ nhớ mà đầu ko nhớ thì tay cũng sẽ nhớ.

Nếu như ngoài độ phức tạp hệ thống còn bắt buộc người dùng thay đổi password thường xuyên thì toàn bộ công sức nhớ password đó sẽ thành công cốc, và người dùng lại phải tìm cách nhớ lại từ đầu mỗi lần đổi. Việc này làm tăng gánh nặng cho người dùng và đẩy cao rủi ro người dùng sẽ ghi password ra hoặc đặt password theo các pattern đơn giản dễ nhớ (P@ssword001, P@ssword002,...) thay vì những password thực sự phức tạp và khó đoán, vì đơn giản là chẳng ai muốn đầu tư nhiều công sức vào một cái password nếu họ biết chắc rằng chỉ 3 tháng tới họ sẽ lại phải thay đổi nó.

Cách đặt password như trên dẫn tới các rủi ro bị tân công bằng phương pháp từ điển (dictionary attack), tức là thay vì dò password bằng cách ghép ngẫu nhiên các ký tự thì kẻ tấn công sẽ sử dụng một danh sách các từ khóa phổ biến thường được dùng vào password và sinh ra các biến thể từ các từ đó để thử truy cập vào hệ thống. Để tránh cách tấn công này thì chỉ có cách đặt password thực sự ngẫu nhiên, dài và phức tạp, mà điều này như đã nói mâu thuẫn trực tiếp với yêu cầu đổi password thường xuyên nếu như ko có sự hỗ trợ của các công cụ quản lý password, vì nguồn lực trí não mỗi người dùng cho việc quản lý thủ công password của họ chỉ có hạn mà thôi.

Quan điểm chuyên gia

Phe phản đối đổi password

Cho tới nay ít nhất đã có những tổ chức có tiếng nói sau đưa ra quan điểm bỏ yêu cầu bắt buộc đổi password thường xuyên:

National Institute of Standards and Technology (NIST - US)

NIST là một cơ quan thuộc Bộ thương mại Mỹ, chuyên đưa ra các tiêu chuẩn và hướng dẫn về công nghệ cho các cơ quan chính phủ cũng như tổ chức tư nhân. NIST là đơn vị phát hành NIST Cybersecurity Framework và NICE Framework, là các framework về bảo mật được sử dụng rất rộng rãi ở Mỹ. Các tiêu chuẩn của NIST thường được sử dụng làm cơ sở cho các tiêu chuẩn khác, và việc tuân thủ các tiêu chuẩn và hướng dẫn bảo mật của NIST gần như là điều kiện đủ để tuân thủ các đạo luật về bảo mật thông tin ở Mỹ như FISMA hay HIPAA.
Từ năm 2017, NIST đã đưa ra guideline về bảo mật hướng dẫn việc bỏ bắt buộc đổi password định kỳ như dưới đây.

Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.
https://pages.nist.gov/800-63-3/sp800-63b.html

Để nhấn mạnh thêm một lần nữa guideline trên của NIST có trọng lượng thế nào thì tôi xin dẫn ra đây một số các cơ quan chính phủ khác của Mỹ đã dựa vào guideline của NIST để đưa ra lời khuyên của bản thân mình:
FBI
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/oregon-fbi-tech-tuesday-building-a-digital-defense-with-passwords
Federal Trade Commission
https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes
Cybersecurity & Infrastructure Security Agency
https://us-cert.cisa.gov/ncas/tips/ST04-002

National Cyber Security Centre (NCSC - UK)

NCSC là một cơ quan thuộc Chính phủ Anh, chuyên đưa ra các tư vấn về bảo mật thông tin và an ninh không gian mạng cho chính phủ và các tổ chức tư nhân.
Từ năm 2018, NCSC đã đưa ra tip về bảo mật password hướng dẫn việc bỏ bắt buộc đổi password định kỳ như dưới đây.

Don't enforce regular password expiry
Regular password changing harms rather than improves security. Many systems will force users to change their password at regular intervals, typically every 30, 60 or 90 days. This imposes burdens on the user and there are costs associated with recovering accounts.
Forcing password expiry carries no real benefits because:

  • the user is likely to choose new passwords that are only minor variations of the old
  • stolen passwords are generally exploited immediately
  • resetting the password gives you no information about whether a compromise has occurred
  • an attacker with access to the account will probably also receive the request to reset the password
  • if compromised via insecure storage, the attacker will be able to find the new password in the same place https://www.ncsc.gov.uk/collection/passwords/updating-your-approach

Microsoft

Microsoft là ai thì chắc ko cần phải giải thích nữa.
Từ năm 2019, Microsoft đã sửa đổi khuyến nghị của mình về chính sách bảo mật password, bỏ việc đổi password định kỳ như dưới đây.

Password expiration requirements do more harm than good, because these requirements make users select predictable passwords, composed of sequential words and numbers which are closely related to each other. In these cases, the next password can be predicted based on the previous password. Password expiration requirements offer no containment benefits because cyber criminals almost always use credentials as soon as they compromise them.
https://docs.microsoft.com/en-us/microsoft-365/admin/misc/password-policy-recommendations?view=o365-worldwide

Và tất nhiên là còn nhiều chuyên gia và tổ chức khác từ nhỏ tới to cũng đã đưa ra quan điểm hủy bỏ việc bắt đổi password thường xuyên thông qua nhiều phương tiện mà ko tiện kể hết ở đây.

Phe ủng hộ đổi password

Như đã nói, cho tới một vài năm gần đây thì quan điểm cần phải đổi password định kỳ là quan điểm phổ biến nếu ko muốn nói là "chính thống", nên hiện quan điểm này vẫn chiếm phần đa số. Lý do được đưa ra (hoặc ko được đưa ra) thì có thể là quan điểm mới chưa đủ dữ liệu thuyết phục, hoặc có thể đơn giản là do lịch sử để lại. Để cân bằng thì tôi xin đưa ra một số tổ chức và tiêu chuẩn tiêu biểu vẫn đang khuyến nghị bắt buộc đổi password định kỳ như sau.

EC-Council

Đây là một tổ chức tại Mỹ chuyên về đào tạo, cung cấp chứng chỉ và dịch vụ liên quan đến bảo mật và an toàn thông tin. Chương trình đào tạo và chứng chỉ nổi tiếng nhất của EC-Council có lẽ là Certified Ethical Hacker (CEH), dành cho các hacker mũ trắng muốn tìm kiếm công việc làm chuyên gia bảo mật cho các tập đoàn lớn và cơ quan chính phủ tại Mỹ.

Phiên bản CEH mới nhất là CEHv11 theo lời người đồng nghiệp mà tôi tranh cãi thì vẫn giữ quan điểm là việc bắt buộc đổi password định kỳ là best practice chống lại rủi ro password cracking. Tài liệu CEH phải mua mới có nên hơi khó tự kiểm chứng, nhưng qua một số tài liệu ôn thi CEH công khai trên mạng (lậu hay ko thì ko rõ) thì có vẻ là đúng như vậy. Ngoài ra đồng nghiệp của tôi cũng giới thiệu một số chứng chỉ bảo mật thông tin khác cũng có yêu cầu tương tự, tôi xin liệt kê ở đây để tham khảo: Security+, CCISP, CCIE,...

Chú ý rằng CEH cũng cần phải đảm bảo được sự tương thích với các tiêu chuẩn của NIST và được NIST công nhận để có được giá trị ít nhất là đối với các cơ quan chính phủ Mỹ. Cụ thể CEH luôn tự map với NICE Framework do NIST đưa ra. Do vậy tôi nghĩ rằng quan điểm hiện tại của EC-Council về đổi password rất có khả năng sẽ thay đổi theo NIST trong thời gian tới.

Payment Card Industry Security Standards Council (PCI SSC)

PCI SSC là một diễn đàn toàn cầu bao gồm các công ty lớn trong lĩnh vực thanh toán thẻ là Visa, MasterCard, American Express, Discover và JCB, với mục đích là phát hành và duy trì Payment Card Industry Data Security Standard (PCI DSS), một tiêu chuẩn an toàn dành cho các công ty vận hành hệ thống thanh toán bằng thẻ.

Phiên bản PCI DSS hiện hành là bản 3.2.1 vẫn có yêu cầu bắt buộc đổi password định kỳ như sau:

8.2.4 Change user passwords/passphrases at least once every 90 days
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf?agreement=true

Tuy nhiên, phiên bản này đã ra từ tháng 5/2018 và do vậy đã khá cũ. Phiên bản tiếp theo là 4.0 đang được biên soạn và dự kiến sẽ được công bố vào đầu năm sau. Bản thân PCI SSC giống như EC-Council cũng chỉ là một tổ chức tư nhân và luôn cố gắng map các tiêu chuẩn của mình theo tiêu chuẩn của các cơ quan chính phủ, mà cụ thể ở đây là NIST. Do vậy, tôi dự kiến PCI DSS phiên bản 4.0 cũng sẽ phản ánh quan điểm của NIST về vấn đề bắt buộc đổi password định kỳ.
https://www.pcisecuritystandards.org/pdfs/Mapping-PCI-DSS-to-NIST-Framework.pdf

ISO/IEC 27002:2013

ISO/IEC 27002 là một bộ tiêu chuẩn về bảo mật thông tin do Internaltional Organization for Standardization (ISO) và International Electronical Commission (IEC) phát hành, bao gồm các khuyến nghị về best practice cho việc đảm bảo an toàn thông tin. Ở điều 9.4.3 của ISO/IEC 27002 có yêu cầu

enforce regular password changes as needed.

Tức là phải bắt buộc thay đổi password thường xuyên nếu cần thiết. Nếu cần thiết như thế nào thì tiêu chuẩn ko nói rõ và có lẽ sẽ tùy ở người quản lý hệ thống đánh giá. Chú ý rằng ISO/IEC 27002 chỉ là một bộ best practice mang tính khuyến nghị và tham khảo. Phần lớn các công ty tập đoàn sử dụng ISO/IEC 27001, trong đó ko có ghi rõ về yêu cầu đổi password mà chỉ nói chung chung, cũng trong điều 9.4.3 là:

Password Management System shall be interactive and shall ensure quality Passwords.

Tức là hệ thống quản lý password cần tương tác và đảm bảo password chất lượng.

Apple

Trong khuyến nghị về bảo mật password cho Apple ID, Apple có đưa ra lời khuyên như sau:

Change your password regularly and avoid reusing old passwords.
https://support.apple.com/en-us/HT201303

Nhưng chú ý rằng đây chỉ là lời khuyên đối với cá nhân người dùng. Ở đây việc đổi password phải do người dùng tự chủ động thực hiện. Apple chưa đưa ra khuyến nghị về việc nhà cung cấp dịch vụ hay người quản lý có nên bắt buộc người dùng của mình đổi password hay ko.

Đối với hệ thống y tế tại Nhật

Do tôi làm việc nhiều với khách hàng Nhật Bản trong lĩnh vực y tế, nên các quy định về bảo mật thông tin trong lĩnh vực y tế tại Nhật có vai trò khá quan trọng đối với tôi, và tôi xin dành một phần dài để nói về điều này.

Các hệ thống có lưu trữ và xử lý thông tin y tế ở Nhật đều phải tuân thủ theo các guideline về bảo mật thông tin do các cơ quan chính phủ Nhật đưa ra, hay được gọi tắt là 3 Bộ 2 Guideline (3省2ガイドライン). Công bằng mà nói thì các guideline này trước đây đã từng yêu cầu bắt buộc đổi password thường xuyên, và hiện tại cũng chưa nói rằng ko nên bắt đổi, nhưng các phiên bản mới nhất của chúng đã thể hiện rõ sự thay đổi trong quan điểm đối với yêu cầu này.

Bộ Kinh tế và Bộ Nội vụ

Guideline cũ của Bộ Kinh tế là Guideline dành cho đơn vị nhận ủy thác quản lý thông tin y tế (医療情報を受託管理する情報処理事業者向けガイドライン) bản số 2 có ghi rõ:

医療情報システムへのログオン用パスワードには有効期限の設定を行い、定期的な変更を作業者に強制すること。
https://www.meti.go.jp/policy/it_policy/privacy/iryouglv2.pdf

Tức là password dùng để truy cập vào hệ thống quản lý thông tin y tế (để quản lý hệ thống) thì phải thiết lập hạn sử dụng và bắt buộc người phụ trách phải thay đổi định kỳ.

Nhưng thú vị hơn là guideline cũ của Bộ Nội vụ là Guideline về việc quản lý an toàn khi nhà cung cấp dịch vụ cloud quản lý và sử dụng thông tin y tế (クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン) thì lại ghi như sau:

パスワードには十分な安全性を満たす有効期間を設定する。ただし、利用者が患者等である場合には、他のサービスで利用しているパスワードを使わないよう特に促すだけでなく、サービス提供側から患者等に対して定期的なパスワードの変更を要求しないようにする。
https://www.soumu.go.jp/main_content/000567229.pdf

Tức là cần phải thiết lập hạn sử dụng đảm bảo an toàn đúng mức cho password, NHƯNG nếu người dùng là bệnh nhân thì ko những phải khuyến nghị người dùng ko dùng chung password với dịch vụ khác, mà nhà cung cấp dịch vụ cũng ko được yêu cầu người dùng phải thay đổi password định kỳ. Như vậy có thể thấy ngay từ phiên bản trước, mặc dù vẫn yêu cầu nghiêm khắc với người quản lý hệ thống, nhưng đối với người dùng bình thường thì Bộ Nội vụ Nhật đã nhận thức được lợi hại của việc bắt buộc đổi password.

Đến tháng 8/2020 khi Bộ Kinh tế và Bộ Nội vụ liên kết với nhau ra một guideline chung mới thay thế cho cả hai guideline trên là Guideline quản lý an toàn dành cho nhà cung cấp dịch vụ/hệ thống có thông tin y tế (医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン), thì đã chuyển hướng từ việc đưa ra các quy tắc cụ thể tối thiểu cần tuân thủ sang việc hướng dẫn quy trình phân tích và lập đối sách đối với các rủi ro an toàn thông tin. Và trong bản guideline đó ko có chỗ nào nhắc tới việc phải bắt buộc đổi password thường xuyên nữa.

Bộ Lao động

Guideline của Bộ Lao động là Guideline về quản lý an toàn hệ thống thông tin y tế (医療情報システムの安全管理に関するガイドライン), ở phiên bản trước là bản số 5 trong phần guideline tối thiểu (C.最低限のガイドライン) có ghi như sau:

また、利用者は以下の事項に留意すること。
(1) パスワードは定期的に変更し(最長でも 2 ヶ月以内 ※D.5 に規定する 2 要素認証を採用している場合を除く。)、極端に短い文字列を使用しないこと。英数字、記号を混在させた 8 文字以上の文字列が望ましい。
(2) 類推しやすいパスワードを使用しないこと、かつ類似のパスワードを繰り返し使用しないこと。類推しやすいパスワードには、自身の氏名や生年月日、辞書に記載されている単語が含まれるもの等がある。
https://www.mhlw.go.jp/file/05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou/0000166260.pdf

Tức là guideline có yêu cầu người dùng hệ thống phải thay đổi password định kỳ (dài nhất là 2 tháng), nhưng ko cần trong trường hợp có sử dụng cơ chế xác thực hai yếu tố (2-factor authentication).

Đến phiên bản mới nhất là số 5.1 vừa mới ra tháng 1/2021, yêu cầu này đã được thay đổi đáng kể thành như sau:

(4) パスワードは以下のいずれかを要件とする。
a. 英数字、記号を混在させた 13 文字以上の推定困難な文字列
b. 英数字、記号を混在させた 8 文字以上の推定困難な文字列を定期的に変更させる(最長でも 2 ヶ月以内)
c. 二要素以上の認証の場合、英数字、記号を混在させた 8 文字以上の推定困難な文字列。ただし他の認証要素として必要な電子証明書等の使用に PIN 等が設定されている場合には、この限りではない。
https://www.mhlw.go.jp/content/10808000/000730541.pdf

Tức là password phải đáp ứng một trong các yêu cầu:
a. Chữ cái latin, ký hiệu, 13 ký tự trở lên và khó đoán biết
b. Chữ cái latin, ký hiệu, 8 ký tự trở lên, khó đoán biết và thay đổi định kỳ (dài nhất 2 tháng)
c. Nếu dùng cơ chế xác thực hai yếu tố trở lên thì chữ cái latin, ký hiệu, 8 ký tự trở lên. Ngoài ra nếu việc sử dụng yếu tố xác thực khác ngoài password có thiết lập PIN thì ko cần độ phức tạp password nữa.

Như vậy tính tuyệt đối của yêu cầu bắt buộc đổi password định kỳ đã được loại bỏ, thay vào đó là một số con đường khác để đảm bảo bảo mật thông tin như tăng độ khó của password hoặc dùng cơ chế xác thực nhiều yếu tố. Căn cứ cho sự thay đổi này được ghi ở mục Cách suy nghĩ về tăng độ an toàn xác thực (認証強化の考え方) trong phần Đối sách an toàn kỹ thuật (6.5. 技術的安全対策) như sau:

なお、米国国立標準技術研究所(以下、「NIST」)から 2017 年 6 月に公表された「SP800-63-3(Digital Identity Guidelines(デジタルアイデンティに関するガイドライン))第 3 版」においては、パスワードの定期的な変更を強制することにより、「C. 最低限のガイドライン」における「類推されやすいパスワードを使用しない」という要件を満たさないことになるリスクが指摘されている。他方、「政府機関等の対策基準策定のためのガイドライン(平成 30 年度版)(内閣官房 内閣サイバーセキュリティセンター(以下「NISC」))」においては、利用者にパスワードの定期的な変更を求めるか否かは、その効果と逆効果を勘案して判断する必要がある旨を指摘している。例えば「オフライン攻撃を許す旧式の認証プロトコルが用いられている場合であって、13 文字といった十分に長いパスワードを設定できない旧式の情報システムを用いている場合には、パスワードの定期的な変更は必要である。この場合には、オフライン攻撃によってパスワードを復元されるまでにかかる時間を踏まえて、必要な周期での定期的な変更を求める必要がある」としている。

Cụ thể, căn cứ mà guideline sử dụng ko gì khác chính là guideline của NIST mà tôi đã dẫn ra ở trên, và nhìn từ quan điểm của Bộ Lao động thì guideline đó đã chỉ ra việc bắt buộc đổi password thường xuyên sẽ dẫn tới rủi ro ko đáp ứng được yêu cầu về password khó đoán biết trong phần Guideline tối thiểu do chính Bộ Lao động đưa ra trước đó. Đồng thời, Guideline về việc ra tiêu chuẩn cho các cơ quan chính phủ của Trung tâm an toàn thông tin nội các Nhật (NISC) cũng có nói rõ là việc có bắt buộc đổi password thường xuyên hay ko phải được quyết định dựa trên việc cân nhắc giữa lợi ích và cả tác hại của biện pháp đó, và việc bắt đổi password chỉ cần thiết đối với các hệ thống cũ ko đáp ứng được yêu cầu về độ khó password (vd. dài trên 13 ký tự) mà thôi.

Nhìn chung, mặc dù vẫn còn có sự lưỡng lự chưa dứt khoát như NIST và NCSC, nhưng rõ ràng các cơ quan chính phủ Nhật đã có sự thay đổi quan điểm về việc bắt buộc đổi password định kỳ. Đó là yêu cầu này ko còn được coi là yêu cầu tuyệt đối nữa, và các phương án bảo mật khác như xác thực hai yếu tố đã được đẩy mạnh hơn làm lựa chọn thay thế.

Kết luận

Đến đây có thể nói tôi đã cung cấp cho các bạn các thông tin tương đối đầy đủ, khách quan và đa chiều về vấn đề nên hay ko nên bắt người dùng hệ thống đổi password định kỳ. Kết luận của tôi thì tất nhiên đã có từ đầu và qua quá trình tìm hiểu để viết bài này thì càng được củng cố hơn. Tuy rằng hiện tại nó vẫn còn đang gây nhiều tranh cãi và chưa hoàn toàn được đón nhận ở mọi nơi, nhưng với việc các cơ quan chính phủ các nước dần chấp nhận và ủng hộ quan điểm này thì tôi tin là việc ko yêu cầu đổi password thường xuyên sẽ trở thành tiêu chuẩn chung trong tương lai ko xa.

Ở đây tôi chỉ muốn góp thêm một suy nghĩ nhỏ, bắt nguồn từ những gì đọc được về lĩnh vực nghiên cứu lỗi con người (human error). Đó là chỉ dựa vào nỗ lực và ý thức của con người để tránh gây lỗi thì chỉ là mơ hão, nhưng việc áp đặt các quy định, ràng buộc, giới hạn lên con người để ngăn chặn lỗi sẽ đem lại rủi ro khác nhiều khi là lớn hơn nếu như những điều đó đi ngược lại lợi ích và bản năng của đối tượng. Và tôi cho rằng việc bắt buộc đổi password thường xuyên cũng là một ví dụ cho những điều đó. Chúng ta nên tìm ra những cách bảo mật thông tin tiện dụng hơn cho người dùng như xác thực hai yếu tố, và hỗ trợ họ trong việc bảo mật cho bản thân bằng việc hướng dẫn cách thức nhớ password, hướng dẫn sử dụng phần mềm quản lý password,... thay vì coi họ là đối tượng cần quản thúc để áp quy định một chiều.

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

Male avatar

Hawkie

5 bài viết.
5 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
Cùng một tác giả
Male avatar
6 0
Lưu ý: Người đọc cần có kiến thức cơ bản về CSDL quan hệ và ngôn ngữ truy vấn SQL. Các truy vấn ví dụ sử dụng trong bài được viết bằng cú pháp ...
Hawkie viết hơn 6 năm trước
6 0
Male avatar
4 0
Câu chuyện Gần đây tôi đang chuẩn bị tham gia quản lý một dự án phần mềm. Công cụ quản lý dự án hiện tại chủ yếu là Redmine. Tuy nhiên do Redmine k...
Hawkie viết gần 3 năm trước
4 0
Male avatar
3 0
Lưu ý: Người đọc cần có kiến thức cơ bản về CSDL quan hệ và ngôn ngữ truy vấn SQL. Các truy vấn ví dụ sử dụng trong bài được viết bằng cú pháp T...
Hawkie viết hơn 6 năm trước
3 0
Bài viết liên quan
White
42 11
Có 1 kiểu tấn công vào website mà chúng ta không thể nào chống được, dù có làm thế nào đi nữa: DDOS. Đây cũng là một từ rất hay dc nhắc đến và rất...
quocnguyen viết hơn 5 năm trước
42 11
White
21 4
(Ảnh) Nếu máy tính của bạn đã bị lây nhiễm, mã độc có thể lây lan tới trang web của bạn thông qua trình soạn thảo văn bản và (Link). Dùng các mật ...
Juno_okyo viết hơn 4 năm trước
21 4
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


Male avatar
{{userFollowed ? 'Following' : 'Follow'}}
5 bài viết.
5 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!