View Chaiwat Setho on GitHub

Security Requirements

Definition

Verify users can change their password.

Meaning by ChatGPT

ตรวจสอบว่าผู้ใช้สามารถเปลี่ยนรหัสผ่านของตนเองได้

คำอธิบาย:

ระบบควรมี ฟังก์ชันให้ผู้ใช้เปลี่ยนรหัสผ่าน ได้ตลอดเวลา ผ่านเมนู “เปลี่ยนรหัสผ่าน” (Change Password) การเปลี่ยนรหัสผ่านควรมีมาตรการความปลอดภัย เช่น ต้องป้อน รหัสผ่านปัจจุบัน ก่อนเปลี่ยน ตรวจสอบรหัสผ่านใหม่ว่าไม่ซ้ำกับรหัสผ่านเก่า (หากมีนโยบายดังกล่าว) มีระบบแจ้งเตือน (Notification) หรือ Email Confirmation เมื่อลูกค้าเปลี่ยนรหัสผ่าน เพื่อป้องกันการเปลี่ยนโดยไม่ได้รับอนุญาต เหตุผลที่ต้องมีข้อนี้ ✅ เพิ่มความปลอดภัย – ผู้ใช้สามารถเปลี่ยนรหัสผ่านเองเมื่อสงสัยว่ารหัสผ่านรั่วไหล ✅ ลดความเสี่ยงจากการเข้าถึงที่ไม่ได้รับอนุญาต – หากบัญชีถูกบุกรุก ผู้ใช้สามารถเปลี่ยนรหัสผ่านเพื่อป้องกันการเข้าถึงเพิ่มเติม ✅ สอดคล้องกับแนวปฏิบัติด้านความปลอดภัย – เป็นมาตรฐานทั่วไปของแอปพลิเคชันที่ปลอดภัย

🔹 สรุป: ระบบควรอนุญาตให้ผู้ใช้เปลี่ยนรหัสผ่านได้เอง โดยมีมาตรการรักษาความปลอดภัยที่เหมาะสม

Meaning by Gemini

ตรวจสอบว่าผู้ใช้สามารถเปลี่ยนรหัสผ่านได้

คำอธิบาย:

2.1.5: นี่คือหมายเลขข้อกำหนด ซึ่งระบุตำแหน่งของข้อกำหนดนี้ในมาตรฐาน ASVS ตรวจสอบว่าผู้ใช้สามารถเปลี่ยนรหัสผ่านได้: ข้อกำหนดนี้ระบุว่าระบบควรอนุญาตให้ผู้ใช้สามารถเปลี่ยนรหัสผ่านของตนเองได้ ความสำคัญ:

ข้อกำหนดนี้มีความสำคัญเนื่องจากช่วยปรับปรุงความปลอดภัยของบัญชีผู้ใช้ด้วยวิธีต่อไปนี้:

การตอบสนองต่อการละเมิดความปลอดภัย: หากผู้ใช้สงสัยว่ารหัสผ่านของตนถูกบุกรุก พวกเขาสามารถเปลี่ยนรหัสผ่านได้ทันทีเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตเพิ่มเติม การบังคับใช้นโยบายรหัสผ่าน: การอนุญาตให้ผู้ใช้เปลี่ยนรหัสผ่านทำให้ระบบสามารถบังคับใช้นโยบายรหัสผ่านได้อย่างมีประสิทธิภาพ ตัวอย่างเช่น ระบบอาจกำหนดให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านเป็นระยะๆ หรือเมื่อรหัสผ่านหมดอายุ การปรับปรุงสุขอนามัยด้านความปลอดภัย: การส่งเสริมให้ผู้ใช้เปลี่ยนรหัสผ่านเป็นประจำสามารถช่วยปรับปรุงสุขอนามัยด้านความปลอดภัยโดยรวมได้ โดยสรุป ข้อกำหนดนี้ทำให้มั่นใจได้ว่าผู้ใช้สามารถควบคุมความปลอดภัยของบัญชีของตนเองได้โดยการเปลี่ยนรหัสผ่านเมื่อจำเป็น ซึ่งเป็นส่วนสำคัญของการรักษาความปลอดภัยของแอปพลิเคชัน

My Summary

เป็นการตรวจสอบว่า ผู้ใช้สามารถเปลี่ยนแปลงรหัสผ่านของตนเองได้ โดยที่ระบบต้องอนุญาตให้ผู้ใช้ทำได้ตลอดเวลา