ทุกๆ ปีในช่วงเวลานี้ ฉันต้องกรอกใบสมัครประกันภัยทางไซเบอร์ของบริษัท และทุกปีฉันจะถูกถามเราว่าเราสนับสนุนให้รหัสผ่านที่รัดกุมและเปลี่ยนบ่อยหรือไม่ คำถามนี้กวนใจฉันมาก เพราะเราไม่ควรเปลี่ยนรหัสผ่านบ่อยๆ แต่เราต้องเลือกกระบวนการรับรองความถูกต้องที่เหมาะสมกับความเสี่ยงของไซต์ การใช้รหัสผ่านควรเป็นสิ่งสุดท้ายที่คุณต้องการไว้วางใจ
อันดับแรก ให้นึกถึงข้อมูลและข้อมูลที่เว็บไซต์เก็บไว้เกี่ยวกับตัวคุณ ไซต์ที่เราต้องการให้การป้องกันมากที่สุดมักมีจุดอ่อนที่สุด เมื่อทำได้ ให้เพิ่มการรับรองความถูกต้องด้วยสองปัจจัยเสมอเพื่อเข้าถึงไซต์ (การรับรองความถูกต้องด้วยหลายปัจจัยไม่ได้เท่ากันทุกประการ แต่รูปแบบของหลายปัจจัยนั้นดีกว่าไม่มีเลย หากคุณสนับสนุนให้ผู้โจมตีไปที่อื่น แสดงว่าคุณทำงานเสร็จแล้ว
ธนาคารและองค์กรทางการเงินมักจะเปิดตัวซอฟต์แวร์ตรวจสอบสิทธิ์ได้ช้า ดังนั้นคุณต้องชำระเงินสำหรับชื่อผู้ใช้ รหัสผ่าน จากนั้นจึงใช้เครื่องมือตรวจสอบสิทธิ์แบบสองปัจจัย ซึ่งมักจะเป็นข้อความที่ส่งไปยังสมาร์ทโฟนของคุณ แม้ว่าชิป SIM ของสมาร์ทโฟนจะสามารถลอกแบบได้ (เพื่อให้ผู้โจมตีสามารถปลอมแปลงโทรศัพท์ของคุณและสกัดกั้นข้อความ) ส่วนใหญ่ของเราก็ยังดีกว่าด้วยกระบวนการนี้ การใช้ชื่อผู้ใช้และรหัสผ่านเพียงอย่างเดียวในการเข้าถึงธนาคารทำให้บัญชีของคุณตกอยู่ในความเสี่ยง
เพื่อความเป็นธรรม รหัสผ่านไม่เหมือนกันทั้งหมด หากคุณใช้รหัสผ่านซ้ำกับเว็บไซต์อื่นหรือบัญชีธนาคารอื่น คุณมีความเสี่ยงสูง ผู้โจมตีมักจะขโมยหรือซื้อที่เก็บรหัสผ่านที่แคร็กหรือแฮชรหัสผ่าน แล้วพยายามใช้ซ้ำเพื่อเข้าถึงไซต์อื่น หากคุณได้รับการแจ้งเตือนการรีเซ็ตรหัสผ่านแล้ว และคุณไม่ได้พยายามลงชื่อเข้าใช้บัญชี ผู้โจมตีน่าจะพยายามโจมตีด้วยการยัดรหัสผ่านในไซต์ ดังนั้นอย่าใช้รหัสผ่านเดิมซ้ำทุกที่
เป็นเวลาหลายปีที่ผู้ใช้ออนไลน์ถูกขอให้เปลี่ยนชื่อผู้ใช้เพื่อดูว่ามีเว็บไซต์ขายข้อมูลของตนที่อื่นหรือไม่ ตอนนี้ฉันเห็นคำแนะนำแบบเดียวกันสำหรับการเลือกรหัสผ่านหรือข้อความรหัสผ่าน มีวิดีโอออนไลน์ตลกๆ ที่อธิบายกระบวนการที่ผู้คนใช้เลือกรหัสผ่าน คุณเริ่มต้นด้วยการเลือกรหัสผ่าน จากนั้นคุณก็ใช้ได้ทุกที่ จากนั้นเมื่อไซต์บอกว่าอันใดอันหนึ่งไม่ดีพอ ไซต์ก็จะเพิ่มจดหมายอีกฉบับหนึ่งเข้าไป ดังนั้นคุณต้องมีอักขระพิเศษ (เช่น เครื่องหมายอัศเจรีย์) ความจริงก็คือสมองของเราสามารถเก็บข้อมูลได้มากเท่านั้น ดังนั้นเราจึงมักจะใช้รหัสผ่านเดิมซ้ำหรือรูปแบบอื่นในหลาย ๆ ไซต์
Microsoft มักแนะนำให้ใช้รหัส PIN แทนรหัสผ่าน โดยอ้างว่า PIN เป็นรหัสเฉพาะอุปกรณ์ ดังนั้นหากผู้โจมตีขโมย PIN ของคุณ พวกเขาจะต้องขโมยอุปกรณ์นั้นด้วย มีปัญหากับอาร์กิวเมนต์นี้ ฉันมีอุปกรณ์หลายเครื่องที่ต้องใช้ PIN และฉันต้องยอมรับว่าฉันใช้ PIN เดียวกันกับอุปกรณ์ทั้งหมด เพราะฉันจำ PIN ไม่ได้ดีไปกว่ารหัสผ่าน ตามข้อมูลของ Microsoft ประโยชน์ของ PIN คือ "เมื่อสร้าง PIN จะสร้างความสัมพันธ์ที่ไว้วางใจกับผู้ให้บริการข้อมูลประจำตัว และสร้างคู่คีย์แบบอสมมาตรที่ใช้สำหรับการตรวจสอบสิทธิ์" ชิป Trusted Platform Module (TPM) ของคอมพิวเตอร์จัดเก็บรหัส PIN (หากคุณสงสัยว่าเหตุใดเครื่อง Windows 10 ของคุณจึงขอให้คุณใช้ PIN แทนรหัสผ่าน นั่นเป็นเพราะระบบปฏิบัติการลงทะเบียนว่ามีฮาร์ดแวร์รองรับกระบวนการนี้) หากคุณไม่ต้องการหรือไม่ต้องการมี PIN คุณสามารถลบออกได้ กดปุ่ม Windows และปุ่ม I เพื่อเปิดการตั้งค่า เลือกบัญชี จากนั้นคลิกดำเนินการต่อ ในบานหน้าต่างด้านซ้าย คลิกตัวเลือกการเชื่อมต่อ ในบานหน้าต่างด้านขวา เลือก "ลบ" ใต้ส่วน PIN
ความพยายามในการปรับปรุงความปลอดภัยออนไลน์เพิ่มมากขึ้น เมื่อเร็วๆ นี้ Intuit เริ่มกำหนดให้ใช้รหัสผ่านออนไลน์แม้จะลงชื่อเข้าใช้ QuickBooks เวอร์ชันเดสก์ท็อป ซึ่งเป็นซอฟต์แวร์การบัญชีและการทำบัญชี ผู้ที่มีไฟล์ QuickBooks ที่มีข้อมูลที่ละเอียดอ่อน เช่น บัญชีเงินเดือนหรือบัตรเครดิต ควรลงชื่อเข้าใช้ด้วยบัญชีออนไลน์ก่อน เป็นเวลาหลายปีที่ผู้ใช้เดสก์ท็อปต้องการชื่อผู้ใช้เท่านั้น ถึงกระนั้น ผู้ใช้จำนวนมากรู้สึกว่าการเปลี่ยนแปลงนี้ดูยุ่งยาก โดยเฉพาะอย่างยิ่งเมื่อรวมกับคำสั่งให้เปลี่ยนรหัสผ่านทุกๆ 90 วัน (อีกครั้ง เป็นความคิดที่ว่าการเปลี่ยนรหัสผ่านของคุณดีกว่าการใช้รหัสผ่านที่ดีกว่าหรือใช้แอป Google Authenticator เพื่อเข้าถึงบัญชี Intuit ของคุณ
แม้ว่าคุณจะเป็นธุรกิจขนาดเล็ก คุณสามารถเพิ่มการรับรองความถูกต้องด้วยสองปัจจัยในการเข้าถึงคอมพิวเตอร์ของคุณเองเพื่อเพิ่มความปลอดภัย ตัวอย่างเช่น Duo.com เสนอ DUO ฟรีสำหรับการใช้งานโดยมีผู้ใช้น้อยกว่า 10 คน มอบพรอมต์สองปัจจัยให้กับสมาร์ทโฟนหรือแม้แต่ Apple Watch ฉันใช้ในสำนักงานของฉันสำหรับการเข้าถึงระยะไกลเพื่อให้แน่ใจว่าเมื่อมีคนเข้าสู่ระบบจากนอกสำนักงาน พวกเขาต้องตอบกลับข้อความบนโทรศัพท์เพื่อเข้าถึง ความง่ายในการใช้งานช่วยให้ฉันสามารถรับประกันความปลอดภัยของการเข้าถึงระยะไกลและหลีกเลี่ยงการเปลี่ยนแปลงรหัสผ่านที่มากเกินไป
หากคุณเป็นผู้ขายหรือตัวแทนประกันภัยไซเบอร์ ฟังฉันนะ! หยุดขอให้ฉันเปลี่ยนรหัสผ่าน ให้ถามฉันว่าแอปมัลติแฟคเตอร์ที่ฉันโปรดปรานคืออะไร นี่เป็นวิธีที่เร็วที่สุดในการปรับปรุงความปลอดภัยสำหรับผู้ใช้ส่วนใหญ่
ลิขสิทธิ์ © 2022 IDG Communications, Inc.