Baiklah, mari kita pecahkan maklumat daripada catatan blog Pusat Keselamatan Siber Nasional UK (NCSC) bertajuk “Masalah dengan Memaksa Tamat Tempoh Kata Laluan Biasa”. Intipatinya ialah: Memaksa orang ramai untuk menukar kata laluan mereka dengan kerap sebenarnya boleh mengurangkan keselamatan.
Di sini, kita memperincikannya dengan cara yang mudah difahami:
Dulu, Pemikiran yang Konvensional
Dahulu, nasihat keselamatan siber yang standard adalah untuk menukar kata laluan anda setiap 30, 60 atau 90 hari. Logiknya begini:
- Kurangkan Tingkap Peluang: Jika kata laluan dicuri (menerusi pelanggaran data, perisian hasad, dll.), hanya sah untuk tempoh masa yang terhad.
- Meminimumkan Kerosakan: Walaupun penjenayah siber menyusup masuk, mereka tidak akan mempunyai akses selama-lamanya.
Mengapa Ini Satu Masalah?
NCSC dan pakar keselamatan siber lain kini telah mengubah pandangan mereka. Berikut ialah mengapa memaksa perubahan kata laluan biasa boleh menjadi idea yang buruk:
-
Kata Laluan yang Boleh Diramal:
- Apabila orang ramai perlu menukar kata laluan mereka dengan kerap, mereka cenderung untuk membuat perubahan kecil dan boleh diramal. Contohnya:
- Menambah “1” atau “! “pada hujungnya.
- Menukar “Spring2023” kepada “Summer2023”.
- Penjenayah siber memahami pola ini. Mereka menggunakan alat untuk mencuba variasi umum pada kata laluan yang diketahui.
- Kata laluan yang lemah dan boleh diramal lebih mudah digodam.
- Apabila orang ramai perlu menukar kata laluan mereka dengan kerap, mereka cenderung untuk membuat perubahan kecil dan boleh diramal. Contohnya:
-
Kata Laluan yang Rumit yang Dilupakan dan Ditulis:
- Untuk mematuhi peraturan yang kerap berubah, orang ramai mungkin cuba membuat kata laluan yang sangat rumit yang sukar diingati.
- Ini membawa kepada dua masalah:
- Menulis: Orang ramai menulis kata laluan mereka (di nota lekit, dalam fail teks tidak selamat, dll.). Sekeping kertas itu menjadi sasaran yang mudah untuk dicuri.
- Penggunaan Semula: Orang ramai menggunakan semula kata laluan yang sama (atau variasi kecil) merentasi berbilang akaun untuk membantu mereka mengingatinya. Jika satu akaun digodam, semuanya berisiko.
-
Keletihan Kata Laluan:
- Perubahan kata laluan yang kerap menjadi gangguan. Orang ramai menjadi letih dan mula mengambil jalan pintas yang membahayakan keselamatan.
- Mereka menjadi kurang berhati-hati secara keseluruhannya.
Apakah Penyelesaian yang Lebih Baik?
Daripada perubahan kata laluan yang kerap, NCSC mengesyorkan pendekatan yang lebih bijak dan berdasarkan risiko:
-
Kata Laluan yang Panjang dan Unik:
- Dorong orang ramai untuk memilih kata laluan yang panjang (tiga perkataan rawak atau lebih), kompleks dan unik untuk setiap akaun. Lebih panjang kata laluan, lebih sukar untuk digodam. Pengurus kata laluan amat membantu dalam menjana dan menyimpan kata laluan yang kompleks.
-
Pengesahan Dua Faktor (2FA):
- Laksanakan 2FA di mana sahaja mungkin. Ini menambah lapisan keselamatan tambahan. Walaupun seseorang mencuri kata laluan anda, mereka masih memerlukan kod daripada telefon atau peranti lain anda untuk mendapatkan akses.
-
Pemantauan Pelanggaran:
- Pantau pelanggaran data dan pendedahan kata laluan. Jika kata laluan pengguna muncul dalam pelanggaran yang diketahui, segera meminta mereka untuk menukarnya.
-
Pendidikan dan Kesedaran:
- Didik pengguna tentang amalan kata laluan yang baik. Bantu mereka memahami risiko dan mengapa keselamatan siber adalah penting.
-
Hanya Tukar Apabila Perlu:
- Jangan memaksa perubahan kata laluan biasa tanpa sebab yang baik. Tukar kata laluan hanya jika:
- Anda mengesyaki bahawa akaun telah terjejas.
- Kata laluan telah didedahkan dalam pelanggaran data.
- Terdapat risiko keselamatan lain yang ketara.
- Jangan memaksa perubahan kata laluan biasa tanpa sebab yang baik. Tukar kata laluan hanya jika:
Intipati:
Perubahan kata laluan yang kerap, yang dilakukan tanpa sebab yang baik, sering kali menghasilkan kata laluan yang lebih lemah dan tingkah laku yang kurang selamat. Tumpukan pada kata laluan yang kukuh, unik, 2FA dan kesedaran pengguna. Tukar kata laluan hanya apabila terdapat sebab tertentu untuk berbuat demikian.
Secara ringkasnya, catatan blog NCSC mencadangkan peralihan daripada pendekatan “perubahan kata laluan yang kerap” dan kepada strategi keselamatan siber yang lebih bernas dan berasaskan risiko. Tumpuan harus diberikan kepada mendidik pengguna, melaksanakan pengesahan berbilang faktor dan bertindak balas terhadap insiden keselamatan sebenar.
Masalah dengan memaksa tamat tempoh kata laluan biasa
AI telah menyampaikan berita.
Soalan berikut digunakan untuk mendapatkan jawapan dari Google Gemini:
Pada 2025-03-13 11:50, ‘Masalah dengan memaksa tamat tempoh kata laluan biasa’ telah diterbitkan menurut UK National Cyber Security Centre. Sila tulis artikel terperinci dengan maklumat berkaitan dalam cara yang mudah difahami.
29