Breaking News
AMR | Citrix Webinar: The Next New Normal

เปลี่ยนแนวคิดเรื่องนโยบายรหัสผ่านใหม่กับมาตรฐาน NIST SP 800-63B ฉบับล่าสุด

เมื่อช่วงปลายปี 2016 ที่ผ่านมา สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ (NIST) ออกคู่มือแนะนำการระบุตัวตนดิจิทัลฉบับร่างอันใหม่ คือ Special Publication 800-63-3: Digital Identity Guidelines เพื่อเป็นแนวทางการพิสูจน์ตัวตนและการกำหนดนโยบายรหัสผ่านแก่หน่วยงานรัฐและองค์กรทั่วไปในสหรัฐฯ ล่าสุดคู่มือดังกล่าวได้ปิดรับฟังความเห็นแล้ว และเตรียมเข้าสู่กระบวนการประกาศใช้เร็วๆ นี้ บทความนี้จึงจะมากล่าวสรุปถึงการเปลี่ยนแปลงนโยบายรหัสผ่านที่น่าสนใจให้ได้อ่านกันครับ

Credit: Maksim Kabakou/ShutterStock

ปกติแล้ว เราจะทราบกันดีว่า การกำหนดให้รหัสผ่านของพนักงานในองค์กรมีความมั่นคงปลอดภัยต้องประกอบด้วยประเด็นสำคัญ 3 ประเด็น ได้แก่ รหัสผ่านจะต้องมีความซับซ้อน ต้องมีความยาว และต้องเปลี่ยนรหัสผ่านใหม่บ่อยๆ เพื่อป้องกันไม่ให้แฮ็คเกอร์คาดเดารหัสผ่านได้ถูก อย่างไรก็ตามคู่มือ Digital Identity Guidelines ของ NIST ฉบับล่าสุดนี้ ได้เปลี่ยนแนวคิดการบริหารจัดการรหัสผ่านใหม่เกือบทั้งหมด โดยประเด็นการเปลี่ยนแปลงที่สำคัญมี 3 ประเด็น ได้แก่

1.ไม่มีการบังคับให้เปลี่ยนรหัสผ่านบ่อยๆ อีกต่อไป

ถ้าองค์กรต้องการให้ผู้ใช้ตั้งรหัสผ่านที่ยาว เดาได้ยาก และแข็งแกร่งเพียงพอ องค์กรไม่ควรให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อยๆ โดยไม่จำเป็น เนื่องจากจะทำให้ผู้ใช้ไม่รู้ว่าควรตั้งรหัสผ่านอะไรดี แล้วจะเริ่มตั้งรหัสผ่านให้จำง่ายขึ้นเรื่อยๆ ส่งผลให้ความแข็งแกร่งของรหัสผ่านลดลง เหตุผลที่ควรตั้งรหัสผ่านใหม่ คือ เมื่อผู้ใช้ลืมรหัสผ่านของตน ถูกหลอกขโมยรหัสผ่านไป หรือข้อมูลรหัสผ่านในฐานข้อมูลถูกแฮ็ค เป็นต้น

2.ไม่มีการกำหนดความซับซ้อนของรหัสผ่าน

การโจมตีที่พบส่วนใหญ่มักเกิดจากการใช้รหัสผ่านซ้ำซ้อน เมื่อแฮ็คเกอร์ได้ข้อมูลรหัสผ่านที่รั่วไหลออกมาสู่สาธารณะ ก็จะนำรหัสผ่านเหล่านั้นไปใช้โจมตีระบบอื่นๆ ต่อ ส่งผลให้ความซับซ้อนของรหัสผ่านไม่เป็นประเด็นหลักเรื่องความแข็งแกร่งอีกต่อไป นอกจากนี้ การบังคับให้ผุ้ใช้ต้องตั้งรหัสผ่านให้ซับซ้อน เช่น รหัสผ่านจำเป็นต้องมีตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ ตัวเลข และอักขระพิเศษอย่างน้อยอย่างละ 1 ตัวอักษร แต่ห้ามใช้ &%#@_ อะไรแบบนี้ ผลสุดท้ายจะทำให้ผู้ใช้ต้องจดรหัสผ่านแปะไว้หน้าคอมแทน เนื่องจากจำรหัสผ่านที่ตัวเองตั้งไม่ได้

อย่างไรก็ตาม คู่มือยังคงกล่าวถึงความยาวของรหัสผ่านที่ควรเกิน 8 ตัวอักษร และไม่จำเป็นต้องกำหนดความยาวสูงสุด การใช้ Passphase หรือกลุ่มคำก็ถือว่าเป็นความคิดที่ดีไม่แพ้กัน

3.รหัสผ่านใหม่ต้องไม่ใช่รหัสผ่านที่ถูกแบล็กลิสต์

เมื่อมีการสร้างรหัสผ่านใหม่ ต้องมีการตรวจสอบกับแบล็กลิสต์ของรหัสผ่านที่ไม่ควรใช้ ซึ่งประกอบด้วย รหัสผ่านที่ถูกค้นพบว่ามีการรั่วไหลออกสู่สาธารณะ รหัสผ่านที่เป็นคำในพจนานุกรม รหัสผ่านถูกใช้ซ้ำหรือเป็นตัวอักษรเรียงกัน เพื่อให้มั่นใจว่ารหัสผ่านมีความแข็งแรงเพียงพอ และจะไม่ตกเป็นเหยื่อของแฮ็คเกอร์ที่นำข้อมูลรหัสผ่านที่รั่วไหลสู่สาธารณะมาใช้โจมตีต่อ

นอกจากนี้ ในคู่มือยังระบุอีกว่า “การรับมือ เช่น แบล็กลิสต์ การทำ Secure Hashed Storage และ Rate Throttling มีประสิทธิผลดีกว่าในการป้องกันการโจมตีแบบ Brute Force สมัยใหม่ในปัจจุบัน”

ผู้ที่สนใจสามารถอ่านร่างคู่มือฉบับเต็มได้ที่: https://pages.nist.gov/800-63-3/sp800-63b.html

ที่มา: https://threatpost.com/proposed-nist-password-guidelines-soften-length-complexity-focus/125393/ และ
http://www.networkworld.com/article/3194145/security/may-the-fourth-be-with-you-on-world-password-day.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] เราคิดไกลพอหรือยัง กับการคิดให้ไกลกว่าโรคระบาด

แม้ยังเป็นประเด็นถกเถียงกันอยู่ว่า เรายังอยู่ในช่วงเริ่มต้นของการทำความเข้าใจผลพวงจากการระบาดของโควิด-19 ในระยะกลางและระยะยาว แต่ก็เป็นไปได้ว่าในอนาคตธุรกิจส่วนใหญ่จะต้องพิจารณา ถึงการเปลี่ยนแปลงในสาระสำคัญของกลยุทธ์ รูปแบบธุรกิจ และการดำเนินการต่างๆ ของตนเองด้วย ดูเหมือนว่าบรรดานักวิเคราะห์ต่างเห็นพ้องกันมากขึ้นเรื่อยๆ ว่าธุรกิจในอุตสาหกรรมต่างๆ จะต้องกลับมาครองตลาด ส่วนแบ่ง และลูกค้าได้อีกครั้ง การจะทำให้สำเร็จได้นั้น จำเป็นต้องอาศัยนวัตกรรมที่เร็วขึ้นและการตลาดที่ดียิ่งขึ้น …

[รีวิว] Samsung Galaxy XCover Pro และ Samsung Galaxy Tab Active Pro: Smartphone และ Tablet สำหรับภาคธุรกิจและอุตสาหกรรม ที่เน้นความทนทานและการปรับแต่งเพื่อการทำงาน

ทีมงาน TechTalkThai มีโอกาสได้ทดลองใช้งาน Samsung Galaxy XCover Pro อุปกรณ์ Smartphone รุ่นธุรกิจและอุตสาหกรรม กับ Samsung Galaxy Tab Active …