Các doanh nghiệp ở Liên minh châu Âu phải có chính sách mật khẩu tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR). Ngay cả khi doanh nghiệp không có trụ sở tại EU, các yêu cầu này vẫn áp dụng nếu doanh nghiệp đó có nhân viên hoặc khách hàng cư trú tại EU.
Bài viết này sẽ giới thiệu các yêu cầu của GDPR đối với mật khẩu và một số lời khuyên thực tế về cách thiết kế chính sách mật khẩu. Ngay cả khi GDPR có thể chưa cần thiết cho người dùng ngay lúc này nhưng các nguyên tắc cơ bản của kế hoạch quy định bảo vệ dữ liệu có thể giúp tăng cường bảo mật cho tổ chức của người dùng.
Yêu cầu mật khẩu tuân thủ theo GDPR
GDPR đã có hiệu lực kể ngày 25/5/2018, trong đó, 7 nguyên tắc cần tuân thủ khi xử lý dữ liệu bao gồm:
Tính hợp pháp, công bằng và minh bạch: Việc xử lý dữ liệu phải hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu;
Giới hạn mục đích: Mục đích xử lý dữ liệu phải hợp pháp và được thể hiện rõ ràng cho chủ thể dữ liệu khi thu thập;
Giảm thiểu dữ liệu: Chỉ thu thập và xử lý dữ liệu khi thực sự cần thiết cho các mục đích đã định;
Độ chính xác: Phải bảo đảm dữ liệu cá nhân là chính xác và cập nhật;
Giới hạn lưu trữ: Chỉ lưu trữ dữ liệu nhận dạng cá nhân trong thời gian cần thiết cho mục đích đã định;
Tính toàn vẹn và bảo mật: Việc xử lý dữ liệu phải được thực hiện trên cơ sở đảm bảo tính bảo mật, tính toàn vẹn và bảo mật thích hợp (ví dụ: bằng cách sử dụng mã hóa);
Trách nhiệm giải trình: Người kiểm soát dữ liệu có trách nhiệm chứng minh sự tuân thủ GDPR với tất cả các nguyên tắc này.
Nếu chỉ đọc văn bản, người dùng sẽ thấy GDPR không thực sự đề cập đến chính sách mật khẩu và cho bất kỳ một doanh nghiệp nào đều có thể thực hiện các chính sách mật khẩu của họ mà không phải lo ngại về việc tuân thủ GDPR. Tuy nhiên, GDPR sẽ tác động đến chính sách mật khẩu dưới phạm vi phòng ngừa.
Ngăn chặn truy cập trái phép thông tin
Bất kỳ thông tin nào mà công ty thu thập từ khách hàng hoặc từ các nguồn khác đều cần được bảo vệ theo quy định của GDPR. Điều này có nghĩa là phải có các biện pháp bảo mật mạnh mẽ để ngăn chặn tin tặc hoặc người dùng khác truy cập trái phép vào dữ liệu này.
Như chúng ta đã biết, một trong những bước bảo mật kỹ thuật số quan trọng nhất trong việc bảo vệ bất kỳ dữ liệu nào là thiết lập mật khẩu.
Cách để tạo chính sách mật khẩu tuân thủ GDPR
Sau đây là một số phương pháp cần chú ý khi tạo chính sách mật khẩu mạnh để giữ an toàn cho hệ thống, đồng thời tuân thủ GDPR.
Sử dụng mật khẩu mạnh để tránh bị tấn công
Mật khẩu mạnh là mật khẩu đủ dài, có chứa cả chữ, số và ký tự đặc biệt, khó đoán được nên rất khó để bị tấn công. Ngày nay, thông tin xác thực bị đánh cắp và bị ép buộc là nguyên nhân hàng đầu gây ra vi phạm dữ liệu. Để bảo vệ dữ liệu trước các cuộc tấn công này, chính sách mật khẩu cần phải nghiêm cấm sử dụng các mật khẩu phổ biến và vi phạm.
Nhờ việc sử dụng lại mật khẩu, nhiều cuộc tấn công dựa trên thông tin xác thực sử dụng danh sách mật khẩu đã bị đánh cắp từ một hệ thống để nhắm mục tiêu một hệ thống khác. Các cơ quan chính phủ như NIST và NCSC khuyên người dùng không nên sử dụng các mật khẩu đã bị xâm phạm và dễ đoán. Đây là một trong những cách duy nhất để bảo vệ tài khoản, ngay cả khi việc cài đặt mật khẩu mạnh hơn được thực thi.
Không sử dụng các câu hỏi bí mật
Một thực tế phổ biến là người dùng thường thiết lập câu hỏi bí mật có thể được trả lời để mở khóa hoặc đặt lại mật khẩu trên tài khoản.
Những câu hỏi bí mật thường là những câu như “tên con vật bạn yêu thích nhất là gì?”, “trường học đầu tiên của bạn ở đâu?”, “biệt danh của bạn là gì?” Vì những loại câu hỏi này có thể dễ đoán câu trả lời, tốt nhất người dùng nên tránh chúng hoàn toàn.
Xem xét việc xác thực đa yếu tố
Một trong những cách tốt nhất để có thể cải thiện bảo mật mật khẩu là thực hiện xác thực đa yếu tố. Đây là nơi ngoài tên người dùng và mật khẩu, các yếu tố khác được sử dụng để xác minh, chứng thực người dùng.
Ví dụ: có thể là mật khẩu dùng một lần được tạo riêng cho người dùng trên thiết bị di động của họ trong quá trình xác thực.
Làm cho việc tuân thủ GDPR trở nên đơn giản
Việc triển khai GDPR cho doanh nghiệp ngoài Liên minh châu Âu là một vấn đề khó khăn. Việc tuân thủ các biện pháp bảo vệ an ninh bổ sung sẽ bao gồm cơ sở hạ tầng dựa vào quan điểm pháp lý và phòng chống tấn công mạng. Các doanh nghiệp cần biết cách thức, lý do và thời điểm tuân thủ GDPR cho người dùng.
Khi triển khai chính sách mật khẩu cho tổ chức thì cần chú ý tuân thủ GDPR, nên sử dụng công cụ của bên thứ 3 để giúp chính sách mật khẩu tiếp cận được toàn bộ thư mục của người dùng cuối.
Ví dụ điển hình là Specops Password Policy, nó có thể giúp chặn các mật khẩu bị vi phạm và bị xâm phạm khác từ Active Directory. Trong quá trình thay đổi mật khẩu ở Active Directory, dịch vụ này sẽ chặn và thông báo cho người dùng nếu mật khẩu họ đã chọn được tìm thấy trong danh sách mật khẩu bị rò rỉ và sẽ có phản hồi để để họ tuân thủ theo mật khẩu. Chính sách mật khẩu của Specops giúp người dùng dễ dàng giữ lại các mật khẩu dễ bị tấn công và tuân thủ các nguyên tắc mới nhất về mật khẩu.
Chính sách mật khẩu Specops giữ cho các chính sách của người dùng có tổ chức và có thể cấu hình dễ dàng
Việc sử dụng công cụ chính sách mật khẩu không chỉ giúp tuân thủ GDPR trong việc ngăn chặn truy cập trái phép vào thông tin, nó còn giữ cho cơ sở hạ tầng nội bộ có tổ chức và an toàn. Chính sách mật khẩu Specops mở rộng chức năng của chính sách nhóm và đơn giản hóa việc quản lý các chính sách mật khẩu chi tiết hơn để có cách tiếp cận đơn giản hơn đối với việc bảo mật và tuân thủ mật khẩu.
Cho dù người dùng đang sử dụng công cụ chính sách mật khẩu, hay nâng cao kỹ năng cho người dùng cuối tuân thủ GDPR theo cách thủ công, đây vẫn có thể là một giải pháp tối ưu cho bất kỳ cơ sở hạ tầng an ninh nào. Nó cũng là điều bắt buộc nếu tổ chức đang lưu trữ dữ liệu của công dân Liên minh châu Âu.