Baiklah, mari kita pecahkan maklumat daripada blog National Cyber Security Centre (NCSC) UK mengenai “Masalah dengan Memaksa Tamat Tempoh Kata Laluan Biasa.” Pada asasnya, NCSC membincangkan mengapa amalan memaksa pengguna untuk menukar kata laluan mereka secara berkala (contohnya, setiap 30, 60, atau 90 hari) sebenarnya boleh membahayakan keselamatan.
Tajuk: Mengapa Anda Mungkin Tidak Perlu Lagi Menukar Kata Laluan Anda Secara Berkala: Pandangan Daripada NCSC
Pengenalan:
Selama bertahun-tahun, nasihat keselamatan siber standard ialah anda harus menukar kata laluan anda secara kerap. Logik di sebalik ini adalah untuk mengurangkan risiko kata laluan dicuri atau dikompromi. Walau bagaimanapun, National Cyber Security Centre (NCSC) UK kini mencabar amalan itu, membentangkan hujah yang menarik mengapa memaksa tamat tempoh kata laluan biasa sebenarnya boleh memburukkan lagi keselamatan.
Masalah dengan Tamat Tempoh Kata Laluan Biasa:
-
Kata Laluan yang Lebih Lemah: Apabila orang ramai dipaksa untuk menukar kata laluan mereka secara berkala, mereka cenderung memilih kata laluan yang mudah diingati dan yang sedikit berbeza daripada yang sebelumnya. Contohnya, mereka mungkin hanya menambah nombor “1” pada penghujung kata laluan sedia ada mereka. Ini menjadikan kata laluan lebih mudah diteka atau retas oleh penjenayah siber.
-
Keletihan Kata Laluan dan Penggunaan Semula: Kitaran perubahan kata laluan yang berterusan membawa kepada “keletihan kata laluan.” Pengguna menjadi bosan dan kecewa dengan keperluan untuk mengingati kata laluan baharu. Ini boleh mengakibatkan mereka menggunakan semula kata laluan yang sama di berbilang akaun, yang merupakan risiko keselamatan yang besar. Jika satu kata laluan dikompromi, semua akaun mereka berisiko.
-
Tingkah Laku Buruk Dicetuskan: Dasar tamat tempoh kata laluan menggalakkan tingkah laku yang tidak selamat. Pengguna mungkin menulis kata laluan mereka (terutamanya jika mereka perlu menukarnya dengan kerap), menyimpannya dalam fail yang tidak selamat pada komputer mereka, atau berkongsi dengan orang lain.
-
Kos Pentadbiran: Memaksa perubahan kata laluan yang kerap mencipta beban pentadbiran yang ketara untuk jabatan IT. Mereka perlu menguruskan tetapan semula kata laluan, menyokong pengguna yang terlupa kata laluan mereka, dan memastikan sistem menguatkuasakan dasar.
Apakah Cadangan NCSC?
NCSC mencadangkan tumpuan harus beralih daripada memaksa perubahan kata laluan berkala kepada pendekatan yang lebih berisiko dan berasaskan bukti:
- Kata Laluan yang Lebih Panjang dan Lebih Kompleks: Galakkan pengguna memilih kata laluan yang panjang dan kompleks atau frasa laluan. Kata laluan yang lebih panjang adalah secara eksponen lebih sukar untuk dipecahkan.
- Pengesahan Berbilang Faktor (MFA): Laksanakan MFA di mana mungkin. MFA menambah lapisan keselamatan tambahan dengan memerlukan pengguna untuk memberikan dua atau lebih faktor pengesahan (contohnya, kata laluan dan kod yang dihantar ke telefon mereka) untuk mengakses akaun mereka. Ini dengan ketara mengurangkan risiko akses tanpa kebenaran, walaupun kata laluan dikompromi.
- Pemantauan Kompromi: Laksanakan sistem untuk memantau tanda-tanda bahawa kata laluan telah dikompromi (contohnya, pencerobohan data). Jika kata laluan disyaki telah terdedah, pengguna boleh diminta untuk menukarnya.
- Pendidikan Pengguna: Didik pengguna tentang amalan keselamatan kata laluan yang baik, seperti memilih kata laluan yang kukuh, menggunakan kata laluan yang berbeza untuk akaun yang berbeza dan berwaspada terhadap percubaan pancingan data.
- Menggunakan Pengurus Kata Laluan: Menggalakkan penggunaan pengurus kata laluan. Pengurus kata laluan boleh menjana dan menyimpan kata laluan yang kukuh untuk setiap akaun, mengurangkan keperluan untuk mengingati berbilang kata laluan.
Kesimpulan:
NCSC percaya bahawa pendekatan moden untuk keselamatan kata laluan harus memberi tumpuan kepada membuat kata laluan lebih kukuh dari awal dan menggunakan lapisan keselamatan tambahan seperti MFA. Dengan beralih daripada tamat tempoh kata laluan wajib, organisasi boleh meningkatkan keselamatan dan meningkatkan pengalaman pengguna.
Ringkasnya:
- Kaedah lama: Tukar kata laluan anda secara berkala (contohnya, setiap 30 hari).
- Kaedah baharu (dicadangkan oleh NCSC):
- Gunakan kata laluan yang panjang dan kompleks.
- Dayakan pengesahan berbilang faktor (MFA).
- Pantau kata laluan yang dikompromi.
- Didik pengguna tentang keselamatan kata laluan yang baik.
- Gunakan pengurus kata laluan.
Ini adalah intipati nasihat NCSC. Matlamatnya adalah untuk membuat keselamatan lebih berkesan dan mesra pengguna.
Masalah dengan memaksa tamat tempoh kata laluan biasa
AI telah menyampaikan berita.
Soalan berikut digunakan untuk mendapatkan jawapan dari Google Gemini:
Pada 2025-03-13 11:50, ‘Masalah dengan memaksa tamat tempoh kata laluan biasa’ telah diterbitkan menurut UK National Cyber Security Centre. Sila tulis artikel terperinci dengan maklumat berkaitan dalam cara yang mudah difahami.
136