มาตรฐาน PCI-DSS ออกเวอร์ชั่น 4.0 เมื่อต้นเดือนกรกฎาคมที่ผ่านมา มีความเปลี่ยนแปลงหลายอย่าง แต่ประเด็นหนึ่งที่สำคัญคือกระบวนการยืนยันตัวตนเข้าระบบที่ตอนนี้มาตรฐานไม่บังคับการเปลี่ยนรหัสผ่านทุก 90 วันแล้ว หากระบบมีการตรวจสอบความปลอดภัยเพิ่มเติม

องค์กรที่ใช้นโยบายบังคับเปลี่ยนรหัสผ่านทุก 90 วันยังคงใช้งานได้ต่อไปในมาตรฐานใหม่นี้ แต่หากมีการวิเคราะห์ความปลอดภัยต่อเนื่อง (dynamically analyzed) ก็สามารถปลดข้อบังคับการเปลี่ยนรหัสผ่านทุก 90 วันไปได้ ตัวมาตรฐานระบุว่าการวิเคราะห์ความปลอดภัยอาจจะใช้ข้อมูลเพิ่มเติม เช่น ตรวจสอบความปลอดภัยของอุปกรณ์ที่ใช้เข้าระบบ, พิกัดของผู้เข้าระบบ, หรือวิเคราะห์จากช่วงเวลา/ข้อมูลที่เข้าถึงว่าผิดปกติหรือไม่ และบล็อคการเข้าถึงหากพบความผิดปกติ

มาตรฐานความปลอดภัยระบบไอทีช่วงหลังๆ เริ่มปลดข้อบังคับเปลี่ยนรหัสผ่านตามช่วงเวลากันมากขึ้นเรื่อยๆ หลัง NIST ออกมาตรฐาน SP800-63B เมื่อปี 2017 ระบุว่าไม่ควรบังคับเปลี่ยนรหัสผ่านตามช่วงเวลาอีก

นอกจากแนวทางการใช้รหัสผ่านแล้ว PCI-DSS 4.0 ยังบังคับให้ใช้งานการล็อกอินหลายขั้นตอน (multi-factor authentication) ในอุปกรณ์แทบทุกตัว และยังมีข้อห้ามไม่ให้ใส่รหัสผ่านในไฟล์, ซอร์สโค้ด, หรือสคริปต์ใดๆ หากรหัสผ่านนั้นใช้สำหรับเข้าระบบช่องทางปกติได้

มาตรฐาน PCI-DSS 3.2.1 ยังใช้งานไปได้ถึงเดือนมีนาคม 2024 และมาตรฐานบางส่วนของ PCI-DSS 4.0 จะเป็นเพียงคำแนะนำไปจนถึงปี 2025

ที่มา – Duo Blog