Breaking News

FTC ชี้การเปลี่ยนรหัสผ่านบ่อยๆ ไม่ได้ช่วยให้ระบบมั่นคงปลอดภัย

หลายคนเชื่อว่านโยบายการใช้รหัสผ่านที่ดีต้องประกอบด้วย รหัสผ่านที่มีความซับซ้อน มีความยาวที่เหมาะสม และควรหมั่นเปลี่ยนรหัสผ่านบ่อยๆ อย่างไรก็ตาม จากการศึกษาล่าสุดพบว่าการเปลี่ยนรหัสผ่านบ่อยๆ ไม่ได้ช่วยให้ระบบมั่นคงปลอดภัยยิ่งขึ้นแต่อย่างใด

Credit: Maksim Kabakou/ShutterStock

Lorrie Cranor หัวหน้าผู้ชำนาญการด้านเทคโนโลยีของ Federal Trade Commission (FTC) และอดีตศาสตราจารย์ของคณะวิทยาศาสตร์/วิศวกรรมคอมพิวเตอร์ มหาวิทยาลัยคาร์เนกี เมลลอน (CMU) ออกมาระบุว่า การเปลี่ยนรหัสผ่านๆ ก่อให้เกิดผลเสียมากกว่าผลดี เนื่องจาก ผู้ใช้ที่ถูกบังคับให้เปลี่ยนรหัสผ่านบ่อยๆ มักเริ่มต้นด้วยการเลือกใช้รหัสผ่านที่ไม่แข็งแรง จากนั้นเปลี่ยนรูปแบบของรหัสผ่านนั้นๆ ในแบบที่แฮ็คเกอร์สามารถเดาได้ไม่ยาก

สิ่งที่ Cranor ชี้แจงสนับสนุนโดยงานวิจัยจากมหาวิทยาลัยนอร์ธแคโรไลนา (UNC) ในปี 2009 – 2010 นักวิจัยจากมหาวิทยาลัยได้ตรวจสอบรหัสผ่านของบัญชีนักศึกษา คณาจารย์ และเจ้าหน้าที่ที่เลิกใช้ไปแล้วกว่า 10,000 คน พบว่า มันง่ายมากที่จะแคร็กรหัสผ่านใหม่ถ้าพวกเขาสามารถแคร็กรหัสผ่านเดิมได้ เนื่องจากผู้ใช้มักสร้างรหัสผ่านใหม่โดยการเปลี่ยนแปลงรหัสผ่านเก่าเพียงเล็กน้อยเท่านั้น เช่น เปลี่ยนจากตัวพิมพ์เล็กไปเป็นตัวพิมพ์ใหญ่ แทนที่ตัวเลขด้วยตัวหนังสือ (เช่น 3 แทน E) หรือเพิ่มตัวอักษร/ตัวเลขโง่ๆ ต่อท้ายรหัสผ่านเดิม เป็นต้น

Cranor ระบุว่า จากงานวิจัยดังกล่าว ถ้านักวิจัยทราบรหัสผ่านที่ใช้งานก่อนหน้านี้ พวกเขาสามารถเดารหัสผ่านใหม่ได้ถูกต้องภายใน 5 ครั้ง ในขณะที่แฮ็คเกอร์ ถ้าทราบถึงรหัสผ่านที่รั่วไหลออกมาสู่สาธารณะ (เช่น จาก LeakedSource) ก็สามารถเดารหัสผ่านใหม่ได้ภายในเวลาไม่ถึง 3 วินาที และนี่เป็นเรื่องที่แฮ็คเกอร์ทำกันตั้งแต่ปี 2009

นอกจากนี้ยังมีงานวิจัยจากมหาวิทยาลัยคาร์เลตัน ประเทศแคนาดา ที่เพิ่งตีพิมพ์ในเดือนมีนาคม 2015 ซึ่งได้ข้อสรุปเกี่ยวกับข้อดีด้านความมั่นคงปลอดภัยของการมีนโยบายรหัสผ่านหมดอายุ คือ “มีข้อดีที่เรียกได้ว่าค่อนข้างน้อย และมีประเด็นเกี่ยวกับค่าใช้จ่ายในการลงทุน” เนื่องจาก “เมื่อมีการบังคับให้เปลี่ยนรหัสผ่าน รหัสผ่านใหม่ส่วนใหญ่มักมีแนวคิดที่สอดคล้องกับรหัสผ่านเดิม ซึ่งช่วยให้เดาได้ง่ายเพียงไม่กี่ครั้ง”

ล่าสุดร่างนโยบายรหัสผ่านฉบับใหม่จาก NIST SP 800-63-3: Digital Authentication Guideline ก็ออกมาระบุชัดเจนว่า ให้เลิกกำหนดอายุของรหัสผ่านโดยไม่จำเป็น เนื่องจากถ้าองค์กรต้องการให้ผู้ใช้ตั้งรหัสผ่านที่ยาว เดาได้ยาก และแข็งแกร่ง องค์กรก็ไม่ควรให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อยๆ

ที่มา: http://www.csoonline.com/article/3113710/data-protection/regular-password-changes-make-things-worse.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cloudflare รับมือกับ DDoS Attack ขนาด 754 ล้านแพ็กเก็ตต่อวินาที ด้วยระบบอัตโนมัติได้อย่างไร

Cloudflare ได้ออกมาเปิดเผยว่าตนถูก DDoS Attack หลายต่อหลายครั้งช่วงปลายมิถุนายนที่ผ่านมา ซึ่งความน่าประทับใจคือระบบอัตโนมัติสามารถจัดการการโจมตีขนาดสูงสุดกว่า 754 ล้านแพ็กเก็ตต่อวินาทีได้ตลอดความพยายามหลายรูปแบบกว่า 4 วันของคนร้าย โดยที่ทีมงานไม่ได้รับการเตือนจากระบบหรือเสียงบ่นจากลูกค้าว่ามีปัญหาด้วยซ้ำ

Imperva ออกบริการ Cloud Data Security

Imperva ได้เล็งเห็นถึงความสำคัญของการใช้งาน Database-as-a-Service (DBaaS) ซึ่งปัจจุบันยังไม่มีโซลูชันป้องกันเพียงพอ ด้วยเหตุนี้เองจึงนำเสนอบริการ SaaS ใหม่ที่ชื่อ Cloud Data Security เพื่อเติมเต็มจุดประสงค์นี้