Password Security Threats

องค์กรที่ยังคงใช้ username และ password ในการ login กำลังอยู่ในอัตราย

2018-07-31
หากจะพูดถึงวิธีการ login เข้าระบบที่สะดวก และง่าย วิธีหนึ่งคือการใช้ username และ password ในการให้สิทธิ์และอนุญาตในการเข้าถึงการใช้งานระบบต่างๆ ไม่ว่าจะเป็น การใช้งาน Windows Workstation, VPN, Local Network, Local Network Storage, หรือแม้กระทั่ง Server Administrator เพื่อเข้าถึงการบริหารจัดการระบบ Server และ Network ของทั้งองค์กร นโยบายความปลอดภัยด้านการใช้ password ของแต่ละองค์กรอาจจะแตกต่างกันตามความสำคัญของข้อมูลและขนาดขององค์กร ไม่ว่าจะเป็น
  • การแจ้งเตือนให้เปลี่ยน password ทุกๆ 90 วัน
  • จำนวนตัวอักษรของ password ที่ยาวขึ้น
  • ส่วนผสมของ password ต้องมีตัวหนังสือพิมพ์เล็ก พิมพ์ใหญ่ ตัวเลข และอักขระพิเศษ

แต่นโยบายเหล่านี้ สร้างความแตกต่าง หรือทำให้ password ปลอดภัยมากขึ้นจริงหรือ?

หากมีผู้ไม่หวังดีต้องการแฮ๊ก password ของบุคลากรในองค์กร แนวทางที่สามารถทำได้นั้นมีมากมาย ตัวอย่างเช่น
  • ค้นหา password ที่ไม่ได้เข้ารหัสจาก computer registry
  • ค้นหา password ที่ไม่ได้เข้ารหัสที่ hard-coded อยู่ในซอฟต์แวร์
  • ค้นหา password จาก directory service ใน Microsoft Active Directory ที่มี object ที่เก็บ plain text password
  • ฯลฯ 

Passwords Are Simply Not Enough to Protect Your Business
Password นั้นง่าย แต่ไม่เพียงพอจะปกป้องธุรกิจของคุณได้
Password แม้จะเป็นสิ่งที่สะดวกสบาย แต่มันไม่ปลอดภัยเพียงพอที่จะปกป้องทรัพย์สินทางปัญญาและทรัพสินทางธุรกิจของเรา ต่อการคุกคามในปัจจุบันที่มีมาในรูปแบบใหม่ๆตลอดเวลา หากลองค้นหาข้อมูลจะพบว่ามีข่าวมากมายที่เกี่ยวกับการถูกคุกคามและละเมิดข้อมูลผู้ใช้จากการใช้งาน password ในการยืนยันตัวตน ทั้งในระบบ web service หรือในองค์กรต่างๆ
ดังนั้น มันจึงจำเป็นต้องมีวิธีทีดีกว่าในการจัดการ และยืนยันตัวตนผู้ใช้งาน เพื่อควบคุมการเข้าถึง และป้องกันการละเมิดข้อมูลผู้ใช้งาน ที่อาจส่งผลเสียอย่างกว้างขวางสำหรับธุรกิจ

Adding Security Shouldn’t Mean Added Complexity or Costs
การเพิ่มความปลอดภัยไม่ได้หมายถึงเพิ่มความยุ่งยากหรือต้นทุน
การเพิ่มความมั่นใจในการยืนยันตัวบุคคลเพื่อเข้าใช้งานระบบต่างๆได้อย่างเหมาะสม เช่น VPN, ระบบในองค์กร หรือ Cloud application ไม่จำเป็นว่าจะต้องเพิ่มทรัพยากรณ์ไม่ว่าจะเป็นทีม IT หรืองบประมาณ ปกติแล้ว ทางหนึ่งที่สามารถทำได้คือการจัดหา ดำเนินการ และบริการจัดการ One-Time-Password (OTP) Token หรือ บัตร Smart Card ที่ช่วยในการยืนยันตัวบุคคลผู้ใช้งาน 

HID Global คือ Business Partner อย่างเป็นทางการกับ Microsoft ดังนั้นผลิตภัณฑ์ของ HID จึงสามารถใช้งานได้ทันทีกับระบบปฎิบัติการจาก Microsoft ตั้งแต่ Windows 7 และ Windows Server 2012 ขึ้นไป


ตัวอย่างการยืนยันตัวตนแบบ 2 ขั้นตอน (two-factor authentication) ด้วยสมาร์ทการ์ดจาก HID Global

การเข้ารหัสไฟล์ (File Encryption) ด้วยบัตรประจำตัวพนักงานแบบสมาร์ทการ์ด

ดูข้อมูลเพิ่มเติมได้ที่