FTC ชี้การเปลี่ยนรหัสผ่านบ่อยๆ ไม่ได้ช่วยให้ระบบมั่นคงปลอดภัย

หลายคนเชื่อว่านโยบายการใช้รหัสผ่านที่ดีต้องประกอบด้วย รหัสผ่านที่มีความซับซ้อน มีความยาวที่เหมาะสม และควรหมั่นเปลี่ยนรหัสผ่านบ่อยๆ อย่างไรก็ตาม จากการศึกษาล่าสุดพบว่าการเปลี่ยนรหัสผ่านบ่อยๆ ไม่ได้ช่วยให้ระบบมั่นคงปลอดภัยยิ่งขึ้นแต่อย่างใด

Lorrie Cranor หัวหน้าผู้ชำนาญการด้านเทคโนโลยีของ Federal Trade Commission (FTC) และอดีตศาสตราจารย์ของคณะวิทยาศาสตร์/วิศวกรรมคอมพิวเตอร์ มหาวิทยาลัยคาร์เนกี เมลลอน (CMU) ออกมาระบุว่า การเปลี่ยนรหัสผ่านๆ ก่อให้เกิดผลเสียมากกว่าผลดี เนื่องจาก ผู้ใช้ที่ถูกบังคับให้เปลี่ยนรหัสผ่านบ่อยๆ มักเริ่มต้นด้วยการเลือกใช้รหัสผ่านที่ไม่แข็งแรง จากนั้นเปลี่ยนรูปแบบของรหัสผ่านนั้นๆ ในแบบที่แฮ็คเกอร์สามารถเดาได้ไม่ยาก

สิ่งที่ Cranor ชี้แจงสนับสนุนโดยงานวิจัยจากมหาวิทยาลัยนอร์ธแคโรไลนา (UNC) ในปี 2009 – 2010 นักวิจัยจากมหาวิทยาลัยได้ตรวจสอบรหัสผ่านของบัญชีนักศึกษา คณาจารย์ และเจ้าหน้าที่ที่เลิกใช้ไปแล้วกว่า 10,000 คน พบว่า มันง่ายมากที่จะแคร็กรหัสผ่านใหม่ถ้าพวกเขาสามารถแคร็กรหัสผ่านเดิมได้ เนื่องจากผู้ใช้มักสร้างรหัสผ่านใหม่โดยการเปลี่ยนแปลงรหัสผ่านเก่าเพียงเล็กน้อยเท่านั้น เช่น เปลี่ยนจากตัวพิมพ์เล็กไปเป็นตัวพิมพ์ใหญ่ แทนที่ตัวเลขด้วยตัวหนังสือ (เช่น 3 แทน E) หรือเพิ่มตัวอักษร/ตัวเลขโง่ๆ ต่อท้ายรหัสผ่านเดิม เป็นต้น

Cranor ระบุว่า จากงานวิจัยดังกล่าว ถ้านักวิจัยทราบรหัสผ่านที่ใช้งานก่อนหน้านี้ พวกเขาสามารถเดารหัสผ่านใหม่ได้ถูกต้องภายใน 5 ครั้ง ในขณะที่แฮ็คเกอร์ ถ้าทราบถึงรหัสผ่านที่รั่วไหลออกมาสู่สาธารณะ (เช่น จาก LeakedSource) ก็สามารถเดารหัสผ่านใหม่ได้ภายในเวลาไม่ถึง 3 วินาที และนี่เป็นเรื่องที่แฮ็คเกอร์ทำกันตั้งแต่ปี 2009

นอกจากนี้ยังมีงานวิจัยจากมหาวิทยาลัยคาร์เลตัน ประเทศแคนาดา ที่เพิ่งตีพิมพ์ในเดือนมีนาคม 2015 ซึ่งได้ข้อสรุปเกี่ยวกับข้อดีด้านความมั่นคงปลอดภัยของการมีนโยบายรหัสผ่านหมดอายุ คือ “มีข้อดีที่เรียกได้ว่าค่อนข้างน้อย และมีประเด็นเกี่ยวกับค่าใช้จ่ายในการลงทุน” เนื่องจาก “เมื่อมีการบังคับให้เปลี่ยนรหัสผ่าน รหัสผ่านใหม่ส่วนใหญ่มักมีแนวคิดที่สอดคล้องกับรหัสผ่านเดิม ซึ่งช่วยให้เดาได้ง่ายเพียงไม่กี่ครั้ง”

ล่าสุดร่างนโยบายรหัสผ่านฉบับใหม่จาก NIST SP 800-63-3: Digital Authentication Guideline ก็ออกมาระบุชัดเจนว่า ให้เลิกกำหนดอายุของรหัสผ่านโดยไม่จำเป็น เนื่องจากถ้าองค์กรต้องการให้ผู้ใช้ตั้งรหัสผ่านที่ยาว เดาได้ยาก และแข็งแกร่ง องค์กรก็ไม่ควรให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อยๆ

ที่มา: http://www.csoonline.com/article/3113710/data-protection/regular-password-changes-make-things-worse.html