អង្គការជាច្រើនបានព្យាយាមបង្កើតគោលការណ៍លេខសម្ងាត់ដែលមើលទៅរឹងមាំនៅលើក្រដាស ប៉ុន្តែបរាជ័យក្នុងការអនុវត្ត ដោយសារតែពួកគេពិបាកក្នុងការអនុវត្តតាម មិនច្បាស់លាស់ក្នុងការអនុវត្ត ឬនៅឆ្ងាយពីតម្រូវការសុវត្ថិភាពពិតប្រាកដ។ គោលការណ៍ខ្លះគួរឱ្យធុញ និងស្មុគស្មាញ ដែលធ្វើឱ្យបុគ្គលិកកត់ត្រាលេខសម្ងាត់ទុកនៅក្រោម Keyboards, Monitors, ឬថតតុ។ រីឯខ្លះទៀតបង្កើតច្បាប់ធូរលុងពេក ដែលដូចជាមិនចាំបាច់មានល្អជាង។ ថែមទាំងមនុស្សភាគច្រើនគ្រាន់តែចម្លងស្តង់ដារទូទៅដែលមិនដោះស្រាយបញ្ហាប្រឈមផ្នែកសុវត្ថិភាពជាក់ស្តែងរបស់ពួកគេ។ ការបង្កើតគោលការណ៍លេខសម្ងាត់ដែលការពារស្ថាប័ននៅក្នុងពិភពពិតទាមទារឱ្យមានតុល្យភាពដ៏ប្រុងប្រយ័ត្ន៖ វាត្រូវតែតឹងរឹងសម្រាប់ការពារប្រព័ន្ធ មានភាពបត់បែនទៅតាមការងារប្រចាំថ្ងៃ និងច្បាស់លាស់គ្របគ្រាន់ដើម្បីអនុវត្តឱ្យបានជាប់លាប់។
ខាងក្រោមនេះគឺជាយុទ្ធសាស្រ្តទាំង៥ សម្រាប់បង្កើតគោលការណ៍លេខសម្ងាត់ដែលមានប្រសិទ្ធភាពនៅក្នុងស្ថាប័ន៖
១. បង្កើតការអនុវត្តលេខសម្ងាត់ដែលអនុលោមតាម៖ តើស្ថាប័នអ្នកជាស្ថាប័នមន្ទីរពេទ្យ រដ្ឋាភិបាល កសិកម្ម ឬអ្នកផ្តល់សេវាហិរញ្ញវត្ថុមែនទេ? បើសិនជាចឹង អាទិភាពចម្បងរបស់អ្នកគួរតែធានាថាអ្នកប្រកាន់ខ្ជាប់នូវច្បាប់គ្រប់គ្រងលេខសម្ងាត់របស់ស្ថាប័នអ្នក។ ដើម្បីធានាសុវត្ថិភាព និងឯកជនភាពទិន្នន័យ (និងអនុលោមតាម) ស្ថាប័នរបស់អ្នកត្រូវតែអនុវត្តតាមស្តង់ដារដែលផ្តោតលើលេខសម្ងាត់ដែលអនុវត្តចំពោះទីតាំងស្ថាប័នអ្នក។
២. ពិនិត្យមើល Password Obligations ដែលមានស្រាប់របស់អ្នក៖ មុននឹងព្រាងតម្រូវការលេខសម្ងាត់ថ្មី សូមមើល Password Obligations ដែលមានស្រាប់របស់អ្នក។ សូមពិនិត្យមើលឯកសារខាងក្នុងដូចជាសៀវភៅណែនាំបុគ្គលិករបស់អ្នក នីតិវិធីសុវត្ថិភាព ឬគោលការណ៍ណែនាំជាក់លាក់របស់នាយកដ្ឋាន។ តាមរយៈការកំណត់អត្តសញ្ញាណតំបន់ដែលមានលេខសម្ងាត់ត្រួតគ្នា និងតំបន់ដែលមានបញ្ហា អ្នកប្រហែលជាត្រូវផ្លាស់ប្តូរលេខសម្ងាត់ ឬរក្សាស្តង់ដារដ៏តឹងរឹង។
៣. បង្កើតគោលការណ៍ដោយផ្អែកលើទិន្នន័យពិត៖ ស្ថាប័នជាច្រើនចាប់ផ្តើមជាមួយនឹងការកំណត់ (Setting) ច្បាប់ដោយមិនយល់អំពីបញ្ហានៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវពិតរបស់ពួកគេទេ។ មុននឹងបង្កើតគោលការណ៍លេខសម្ងាត់ថ្មី អ្នកគួរតែស្វែងយល់ពីស្ថានភាពសុវត្ថិភាពរបស់អ្នកសិន។ ធ្វើការកែសម្រួល Active Directory ឱ្យបានហ្មត់ចត់ ដើម្បីបង្ហាញការពិតនៃមជ្ឈដ្ឋានរបស់អ្នក (ពីគណនីអ្នកគ្រប់គ្រងហួសសម័យ រហូតដល់ពាក្យសម្ងាត់ដែលខូចហើយកំពុងតែប្រើប្រាស់ក្នុងពេលបច្ចុប្បន្ន)។ គិតអំពីការកែសម្រួល Active Directory ជាមូលដ្ឋានគ្រឹះសម្រាប់យុទ្ធសាស្រ្តលេខសម្ងាត់។ នៅពេលយល់ពីកន្លែងដែលពាក្យសម្ងាត់ខ្សោយ នាយកដ្ឋានណាប្រឹងប្រែងអនុលោមតាមច្បាប់ និងគម្លាតសុវត្ថិភាពពិតប្រាកដ អ្នកអាចបង្កើតគោលការណ៍សម្រាប់ដោះស្រាយបញ្ហាពិតប្រាកដជាជាងការបន្ថែមភាពស្មុគស្មាញដែលមិនចាំបាច់។ នៅពេលកែសម្រួល Active Directory រួចរាល់ សូមពិចារណាលើការប្រើប្រាស់ Specops Password Auditor។ ជាមួយ Specops Password Auditor អ្នកអាចផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់យ៉ាងសកម្មជាមួយនឹងលេខសម្ងាត់ដែលបានបំពានពីមុន គណនីអ្នកគ្រប់គ្រងហួសកាលកំណត់ និងភាពងាយរងគ្រោះដែលទាក់ទងនឹងលេខសម្ងាត់ផ្សេងៗ។
៤. ខំប្រឹងប្រែងអនុវត្តគោលការណ៍លេខសម្ងាត់របស់អ្នក៖ យើងដឹងថាអ្វីកើតឡើងនៅតាមផ្លូវ ប៉ូលីសមិនដែលត្រួតពិនិត្យទេ៖ ល្បឿនកំណត់ប្រាប់ថា 55Km/h ប៉ុន្តែអ្នកបើកបរបើកលើសល្បឿនកំណត់ជាញឹកញាប់។ គោលការណ៍លេខសម្ងាត់ក៏ស្រដៀងគ្នានេះដែរ៖ វាល្អណាស់ដែលមានឯកសារច្បាប់ ប៉ុន្តែការអនុវត្តពុំមានប្រសិទ្ធភាព អ្នកប្រើប្រាស់មិនយកចិត្តទុកដាក់ចំពោះការណែនាំ និងធ្វើអ្វីដែលពួកគេចង់ និងបានធ្វើដែលអាចបង្កគ្រោះថ្នាក់ដល់សន្តិសុខស្ថាប័នរបស់អ្នក។ នៅពេលអ្នកបង្កើតគោលការណ៍លេខសម្ងាត់ សូមកំណត់របៀបដែលអ្នកអាចធ្វើឱ្យវាមានប្រសិទ្ធភាព។ សូមពិចារណាលើចំណុច តើអ្វីជាការបំពាន? តើអ្នកនឹងរកឃើញការបំពានដោយរបៀបណា? តើមានទោសទណ្ឌអ្វីខ្លះ? ហើយបណ្តឹងឧទ្ធរណ៍នឹងត្រូវដោះស្រាយយ៉ាងណា? និងវិធីសាស្រ្តអនុវត្តរបស់អ្នកចំពោះភាគីពាក់ព័ន្ធ។ នៅពេលដែលបុគ្គលិកឃើញពីភាពជាអ្នកដឹកនាំយកចិត្តទុកដាក់លើសុវត្ថិភាពពាក្យសម្ងាត់ និងអនុវត្តលទ្ធផលដោយស្មើភាព ពួកគេទំនងជានឹងផ្តល់អាទិភាពដល់ការអនុលោមតាមច្បាប់។
៥. បង្កើតស្តង់ដារលេខសម្ងាត់ដែលចាំបាច់អនុវត្ត៖ សូមអនុវត្តគោលការណ៍លេខសម្ងាត់របស់អ្នកជាជាងកប់វានៅក្នុងឯកសារ IT។ ឯកសារគោលការណ៍ឯករាជ្យមានទម្ងន់ និងមើលឃើញកាន់តែច្រើន ខណៈពេលដែលការធ្វើបច្ចុប្បន្នភាពកាន់តែងាយស្រួល។ ឯកសាររបស់អ្នកគួរតែនិយាយអំពីបញ្ហា៖ ប្រព័ន្ធណាដែលត្រូវបានគ្របដណ្តប់ដោយច្បាប់ទាំងនេះ អ្នកត្រូវអនុវត្តតាមពួកគេ និងអ្វីដែលពួកគេត្រូវធ្វើ។ ផ្តោតលើភាពច្បាស់លាស់ (ចាប់ពីប្រវែងពាក្យសម្ងាត់អប្បបរិមាដល់ប្រភេទតួអក្សរដែលត្រូវការ)។
មុននឹងបញ្ចប់សេចក្តីព្រាងគោលការណ៍លេខសម្ងាត់ អ្នកគួរតែបញ្ជូនសេចក្តីព្រាងរបស់អ្នកទៅអ្នកត្រួតពិនិត្យនៅអង្គភាពផ្សេង៖
– ក្រុមបច្ចេកទេសគួរតែផ្ទៀងផ្ទាត់លទ្ធភាព
– ក្រុមច្បាប់គួរតែធានាឱ្យមានការអនុលោមតាមបទប្បញ្ញត្តិ
– ក្រុមធនធានមនុស្សគួរតែពិចារណាអំពីលទ្ធភាពប្រើប្រាស់ និងភាពងាយស្រួលនៃអ្នកប្រើប្រាស់
– នាយកប្រតិបត្តិគួរតែបញ្ជាក់ពីការអនុលោមតាមយុទ្ធសាស្ត្រ
បង្កើតការកែលម្អសុវត្ថិភាពរយៈពេលវែង៖ គោលការណ៍សុវត្ថិភាពរបស់ស្ថាប័នអ្នកគឺជាមូលដ្ឋានរបស់យុទ្ធសាស្រ្តសុវត្ថិភាព ប៉ុន្តែប្រសិទ្ធភាពរបស់វាអាស្រ័យលើរបៀបដែលអ្នកគ្រោង និងអនុវត្តវា។ ចាប់ផ្តើមដោយការយល់ដឹងអំពីតម្រូវការបទបញ្ញត្តិរបស់អ្នក និងកាតព្វកិច្ចដែលមាន។ បន្ទាប់មកមើលស្ថាប័នរបស់អ្នក ហើយបង្កើតបញ្ជីពាក្យផ្ទាល់ខ្លួន ដែលទាក់ទងនឹងស្ថាប័នរបស់អ្នក ផលិតផល សេវាកម្ម ជាដើម ដែលអ្នកចង់ការពារអ្នកប្រើប្រាស់មិនឱ្យប្រើពាក្យសម្ងាត់របស់ពួកគេ។ ក្រោយមកអ្នកប្រើប្រាស់មូលដ្ឋាននោះជាមួយនឹងទិន្នន័យពិតពី Active Directory Environment របស់អ្នក៕
https://thehackernews.com/2024/12/how-to-plan-new-and-improved-password.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៤ ខែធ្នូ ឆ្នាំ២០២៤
