การจัดการรหัสผ่าน
บทความนี้ไม่มีการอ้างอิงจากแหล่งที่มาใด |
มีซอฟต์แวร์หลายรูปแบบที่ใช้เพื่อช่วยให้ผู้ใช้หรือองค์กรจัดการ รหัสผ่านได้ ดีขึ้น:
- สำหรับใช้โดยผู้ใช้คนเดียว:
- ซอฟต์แวร์จัดการรหัสผ่าน ถูกใช้โดยบุคคลเพื่อจัดระเบียบและเข้ารหัสรหัสผ่านส่วนบุคคลจำนวนมากโดยใช้การเข้าสู่ระบบเพียงครั้งเดียว ซึ่งมักเกี่ยวข้องกับการใช้ คีย์เข้ารหัส ด้วยเช่นกัน ผู้จัดการรหัสผ่านยังเรียกว่า กระเป๋ารหัสผ่าน
- สำหรับใช้โดยผู้ใช้หลายราย/กลุ่มผู้ใช้:
- องค์กรใช้ซอฟต์แวร์การซิงโครไนซ์รหัสผ่าน เพื่อจัดเรียงรหัสผ่านที่แตกต่างกัน ในระบบที่แตกต่างกัน เพื่อให้มีค่าเท่ากันเมื่อเป็นของบุคคลคนเดียวกัน
- รีเซ็ตรหัสผ่านด้วยตนเอง ช่วยให้ผู้ใช้ที่ลืมรหัสผ่านหรือทริกเกอร์การล็อกเอาต์จากผู้บุกรุกเพื่อรับรองความถูกต้องโดยใช้กลไกอื่นและแก้ไขปัญหาของตนเอง โดยไม่ต้องโทรติดต่อฝ่ายช่วยเหลือด้านไอที
- การเข้าสู่ระบบครั้งเดียวขององค์กร จะตรวจสอบแอปพลิเคชันที่เปิดใช้งานโดยผู้ใช้และเติม ID ล็อกอินและรหัสผ่านโดยอัตโนมัติ
- การเข้าสู่ระบบเพียงครั้งเดียว เว็บจะสกัดกั้นการเข้าถึงของผู้ใช้ไปยังเว็บแอปพลิเคชันและแทรกข้อมูลการตรวจสอบสิทธิ์ลงในสตรีม HTTP(S) หรือเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าแยกต่างหาก โดยที่ผู้ใช้จะได้รับการตรวจสอบสิทธิ์และนำกลับไปยัง URL เดิม
- การจัดการรหัสผ่านที่มีสิทธิพิเศษ (ใช้เพื่อรักษาความปลอดภัยในการเข้าถึงบัญชีที่แชร์และมีสิทธิพิเศษ)
การจัดการรหัสผ่านที่มีสิทธิพิเศษ
[แก้]การจัดการรหัสผ่านที่มีสิทธิพิเศษ คือการจัดการรหัสผ่านประเภทหนึ่งที่ใช้เพื่อรักษาความปลอดภัยรหัสผ่านสำหรับ ID ล็อกอินที่มีสิทธิ์การรักษาความปลอดภัยระดับสูง ซึ่งทำได้บ่อยที่สุดโดยการเปลี่ยนรหัสผ่านดังกล่าวเป็นค่าสุ่มใหม่เป็นระยะ เนื่องจากผู้ใช้และกระบวนการซอฟต์แวร์อัตโนมัติต้องการรหัสผ่านเหล่านี้จึงจะใช้งานได้ ระบบการจัดการรหัสผ่านที่มีสิทธิพิเศษจะต้องจัดเก็บรหัสผ่านเหล่านี้และจัดเตรียมกลไกต่างๆ ในการเปิดเผยรหัสผ่านเหล่านี้ในลักษณะที่ปลอดภัยและเหมาะสม การจัดการรหัสผ่านที่มี การจัดการการเข้าถึงข้อมูลที่มีความสำคัญกับองค์กร
ตัวอย่างรหัสผ่านพิเศษ
[แก้]รหัสผ่านพิเศษมีสามประเภทหลัก ใช้เพื่อรับรองความถูกต้อง:
บัญชีผู้ดูแลระบบในเครื่อง
[แก้]บนระบบ Unix และ Linux ผู้ใช้รูท คือบัญชีล็อกอินที่มีสิทธิพิเศษ บน Windows สิ่งที่เทียบเท่าคือผู้ดูแลระบบ บนฐานข้อมูล SQL ค่าเทียบเท่าคือ sa โดยทั่วไป ระบบปฏิบัติการ ฐานข้อมูล แอปพลิเคชัน และอุปกรณ์เครือข่ายส่วนใหญ่รวมถึงการเข้าสู่ระบบของผู้ดูแลระบบ ใช้ในการติดตั้งซอฟต์แวร์ กำหนดค่าระบบ จัดการผู้ใช้ ใช้แพตช์ ฯลฯ ในบางระบบฟังก์ชันที่มีสิทธิพิเศษต่างกันถูกกำหนดให้กับผู้ใช้ที่แตกต่างกัน ซึ่งหมายความว่ามีบัญชีการเข้าสู่ระบบที่มีสิทธิพิเศษมากกว่า แต่แต่ละบัญชีมีประสิทธิภาพน้อยกว่า
บัญชีบริการ
[แก้]ในระบบปฏิบัติการ Windows เซอร์วิสโปรแกรมจะดำเนินการในบริบทของระบบ (มีสิทธิพิเศษมากแต่ไม่มีรหัสผ่าน) หรือของบัญชีผู้ใช้ เมื่อบริการทำงานในฐานะผู้ใช้ที่ไม่ใช่ระบบ ผู้จัดการควบคุมบริการต้องระบุ Login ID และรหัสผ่านเพื่อเรียกใช้โปรแกรมบริการ เพื่อให้บัญชีบริการมีรหัสผ่าน บนระบบ Unix และ Linux init และ inetd สามารถเปิดเซอร์วิสโปรแกรมในฐานะผู้ใช้ที่ไม่มีสิทธิพิเศษโดยไม่ต้องรู้รหัสผ่าน ดังนั้นบริการจึงมักไม่มีรหัสผ่าน
การเชื่อมต่อโดยแอพพลิเคชั่นหนึ่งไปยังอีกแอพพลิเคชั่นหนึ่ง
[แก้]บ่อยครั้ง แอปพลิเคชันหนึ่งต้องสามารถเชื่อมต่อกับอีกแอปพลิเคชันหนึ่งเพื่อเข้าถึงบริการได้ ตัวอย่างทั่วไปของรูปแบบนี้คือเมื่อเว็บแอปพลิเคชันต้องเข้าสู่ระบบฐานข้อมูลเพื่อดึงข้อมูลบางอย่าง การเชื่อมต่อระหว่างแอปพลิเคชันเหล่านี้มักต้องการ Login ID และรหัสผ่าน
การรักษาความปลอดภัยรหัสผ่านที่มีสิทธิพิเศษ
[แก้]ระบบจัดการรหัสผ่านที่มีสิทธิพิเศษปกป้องรหัสผ่านที่มีสิทธิพิเศษโดย:
- เปลี่ยนรหัสผ่านแต่ละอันเป็นระยะ ๆ เป็นค่าสุ่มใหม่
- การจัดเก็บค่าเหล่านี้
- การปกป้องค่าที่จัดเก็บไว้ (เช่น การใช้การเข้ารหัสและการจัดเก็บที่จำลองแบบ)
- จัดให้มีกลไกในการเปิดเผยรหัสผ่านเหล่านี้แก่ผู้เข้าร่วมประเภทต่างๆ ในระบบ:
- ผู้ดูแลระบบไอที
- โปรแกรมที่เปิดบริการ (เช่น service control manager บน Windows)
- แอพพลิเคชั่นที่ต้องเชื่อมต่อกับแอพพลิเคชั่นอื่น
โครงสร้างพื้นฐานที่จำเป็น
[แก้]ระบบการจัดการรหัสผ่านที่มีสิทธิพิเศษต้องการโครงสร้างพื้นฐานที่กว้างขวาง:
- กลไกในการกำหนดเวลาเปลี่ยนรหัสผ่าน
- ตัวเชื่อมต่อเข้ากับระบบต่างๆ
- กลไกการอัปเดตผู้เข้าร่วมต่าง ๆ ด้วยค่ารหัสผ่านใหม่
- การตรวจสอบอย่างกว้างขวาง
- ที่เก็บข้อมูลเข้ารหัส
- การรับรองความถูกต้องสำหรับฝ่ายที่ต้องการดึงค่ารหัสผ่าน
- การควบคุมการเข้าถึงและการอนุญาตเพื่อตัดสินใจว่าการเปิดเผยรหัสผ่านเหมาะสมหรือไม่
- ที่เก็บข้อมูลจำลองเพื่อให้แน่ใจว่าความล้มเหลวของฮาร์ดแวร์หรือภัยพิบัติในไซต์จะไม่ทำให้ข้อมูลสูญหาย