Một báo cáo gần đây đã tiết lộ rằng nhà cung cấp thương mại điện tử, Shopify sử dụng các chính sách mật khẩu đặc biệt yếu trên phần dành cho khách hàng của Trang web của họ. Theo báo cáo, Shopify's yêu cầu khách hàng của mình sử dụng mật khẩu có độ dài ít nhất năm ký tự và không bắt đầu hoặc kết thúc bằng dấu cách.
Theo báo cáo, các nhà nghiên cứu của Specops đã phân tích danh sách một tỷ mật khẩu được cho là đã bị vi phạm và phát hiện ra rằng 99,7% mật khẩu đó tuân thủ các yêu cầu của Shopify. Mặc dù điều này không có nghĩa là mật khẩu của khách hàng Shopify đã bị vi phạm, nhưng thực tế là rất nhiều mật khẩu bị vi phạm đã biết tuân thủ các yêu cầu mật khẩu tối thiểu của Shopify không nhấn mạnh những nguy hiểm liên quan đến việc sử dụng mật khẩu yếu.
Sự nguy hiểm của mật khẩu yếu trong Active Directory của bạn
Một nghiên cứu gần đây của Hive Systems lặp lại sự nguy hiểm của việc sử dụng mật khẩu yếu. Nghiên cứu kiểm tra lượng thời gian cần thiết để bẻ khóa mật khẩu có độ dài khác nhau và với mức độ phức tạp khác nhau. Theo đồ họa thông tin của Hive Systems, một mật khẩu năm ký tự có thể được bẻ khóa ngay lập tức, bất kể độ phức tạp. Do có thể dễ dàng bẻ khóa mật khẩu ngắn hơn bằng cách sử dụng vũ lực, các tổ chức lý tưởng nên yêu cầu mật khẩu phức tạp có độ dài ít nhất 12 ký tự.
Ngay cả khi bạn đã gạt bỏ các tác động bảo mật liên quan đến việc sử dụng mật khẩu năm ký tự sang một bên, thì có một vấn đề tiềm ẩn lớn hơn – tuân thủ quy định.
Thật hấp dẫn khi nghĩ về việc tuân thủ quy định là thứ mà chỉ các công ty lớn mới phải lo lắng. Do đó, nhiều người bán nhỏ, độc lập mở tài khoản Shopify có thể không biết về các yêu cầu quy định liên quan đến việc này. Tuy nhiên, ngành thẻ thanh toán yêu cầu bất kỳ doanh nghiệp nào chấp nhận thanh toán bằng thẻ tín dụng phải tuân thủ Tiêu chuẩn bảo mật chính thức của PCI.
Tránh các yêu cầu PCI với hệ thống thanh toán của bên thứ 3
Một trong những điều thú vị khi sử dụng Shopify hoặc một nền tảng thương mại điện tử tương tự là các nhà bán lẻ không phải vận hành cổng thẻ thanh toán của riêng họ. Thay vào đó, Shopify thay mặt khách hàng của họ xử lý các giao dịch. Việc thuê ngoài quy trình thanh toán này bảo vệ các chủ doanh nghiệp thương mại điện tử khỏi nhiều yêu cầu của PCI.
Ví dụ, các tiêu chuẩn PCI yêu cầu người bán bảo vệ dữ liệu chủ thẻ được lưu trữ. Tuy nhiên, khi một doanh nghiệp thương mại điện tử tiến hành xử lý thanh toán của mình, doanh nghiệp đó thường sẽ không sở hữu dữ liệu thẻ tín dụng của khách hàng. Như vậy, chủ doanh nghiệp có thể tránh được yêu cầu bảo vệ dữ liệu chủ thẻ một cách hiệu quả nếu họ chưa bao giờ sở hữu dữ liệu đó ngay từ đầu.
Tuy nhiên, một yêu cầu PCI có thể gặp nhiều vấn đề hơn là yêu cầu xác định và xác thực quyền truy cập vào các thành phần hệ thống (Yêu cầu 8). Mặc dù các tiêu chuẩn bảo mật PCI không chỉ định độ dài mật khẩu bắt buộc, nhưng Hướng dẫn Tham khảo Nhanh PCI DSS nêu rõ trên trang 19 rằng “Mọi người dùng nên có một mật khẩu mạnh để xác thực.” Với tuyên bố này, sẽ rất khó để một nhà bán lẻ thương mại điện tử biện minh cho việc sử dụng mật khẩu năm ký tự.
Bắt đầu tăng cường bảo mật CNTT trong nội bộ
Tất nhiên, điều này đặt ra câu hỏi về những gì các công ty thương mại điện tử có thể làm để cải thiện bảo mật mật khẩu tổng thể của họ. Có lẽ khuyến nghị quan trọng nhất sẽ là nhận ra rằng các yêu cầu mật khẩu tối thiểu liên quan đến cổng thương mại điện tử có thể không đủ. Từ quan điểm bảo mật và tuân thủ, bạn thường nên sử dụng mật khẩu dài hơn và phức tạp hơn những gì được yêu cầu tối thiểu.
Một điều khác mà các nhà bán lẻ thương mại điện tử nên làm là xem xét nghiêm túc những gì có thể làm để cải thiện bảo mật mật khẩu trên mạng của chính họ. Điều này đặc biệt đúng nếu bất kỳ dữ liệu khách hàng nào được lưu trữ hoặc xử lý trên mạng của bạn. Theo một nghiên cứu năm 2019, 60% công ty nhỏ đóng cửa trong vòng 6 tháng sau khi bị tấn công. Do đó, điều cực kỳ quan trọng là bạn phải làm những gì có thể để ngăn chặn sự cố bảo mật và một phần quan trọng trong đó là đảm bảo rằng mật khẩu của bạn được bảo mật.
Hệ điều hành Windows chứa cài đặt chính sách tài khoản có thể kiểm soát các yêu cầu về độ dài và độ phức tạp của mật khẩu. Mặc dù không thể phủ nhận các biện pháp kiểm soát như vậy là quan trọng, nhưng Specops Password Policy có thể giúp các tổ chức xây dựng các chính sách mật khẩu thậm chí còn mạnh hơn những gì có thể bằng cách chỉ sử dụng các công cụ gốc được tích hợp sẵn trong Windows.
Một trong những khả năng hấp dẫn nhất mà Specops Password Policy cung cấp là khả năng so sánh mật khẩu được sử dụng trong tổ chức với cơ sở dữ liệu hàng tỷ mật khẩu được biết là đã bị xâm phạm. Bằng cách đó, nếu người dùng bị phát hiện đang sử dụng mật khẩu bị xâm phạm, mật khẩu có thể được thay đổi trước khi nó trở thành vấn đề.
Specops Password Policy cũng cho phép các tổ chức tạo danh sách các từ hoặc cụm từ bị cấm không được đưa vào mật khẩu. Ví dụ: quản trị viên có thể tạo một chính sách để ngăn người dùng sử dụng tên công ty của bạn làm một phần mật khẩu của họ.
Ngoài ra, các tổ chức có thể sử dụng Specops Password Policy để chặn các kỹ thuật mà người dùng thường sử dụng để xử lý các yêu cầu về độ phức tạp của mật khẩu. Điều này có thể bao gồm việc sử dụng các ký tự lặp lại liên tiếp (chẳng hạn như 99999) hoặc thay thế các chữ cái bằng các ký hiệu tương tự (chẳng hạn như $ thay vì s).
Điểm mấu chốt là Chính sách mật khẩu Specops có thể giúp tổ chức của bạn tạo chính sách mật khẩu an toàn hơn rất nhiều, do đó khiến tội phạm mạng khó truy cập vào tài khoản người dùng của bạn hơn. Bạn có thể kiểm tra Chính sách mật khẩu Specops trong Active Directory của mình miễn phí bất cứ lúc nào.
.
