TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เมื่อช่วงปลายปี 2016 ที่ผ่านมา สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ (NIST) ออกคู่มือแนะนำการระบุตัวตนดิจิทัลฉบับร่างอันใหม่ คือ Special Publication 800-63-3: Digital Identity Guidelines เพื่อเป็นแนวทางการพิสูจน์ตัวตนและการกำหนดนโยบายรหัสผ่านแก่หน่วยงานรัฐและองค์กรทั่วไปในสหรัฐฯ ล่าสุดคู่มือดังกล่าวได้ปิดรับฟังความเห็นแล้ว และเตรียมเข้าสู่กระบวนการประกาศใช้เร็วๆ นี้ บทความนี้จึงจะมากล่าวสรุปถึงการเปลี่ยนแปลงนโยบายรหัสผ่านที่น่าสนใจให้ได้อ่านกันครับ
ปกติแล้ว เราจะทราบกันดีว่า การกำหนดให้รหัสผ่านของพนักงานในองค์กรมีความมั่นคงปลอดภัยต้องประกอบด้วยประเด็นสำคัญ 3 ประเด็น ได้แก่ รหัสผ่านจะต้องมีความซับซ้อน ต้องมีความยาว และต้องเปลี่ยนรหัสผ่านใหม่บ่อยๆ เพื่อป้องกันไม่ให้แฮ็คเกอร์คาดเดารหัสผ่านได้ถูก อย่างไรก็ตามคู่มือ Digital Identity Guidelines ของ NIST ฉบับล่าสุดนี้ ได้เปลี่ยนแนวคิดการบริหารจัดการรหัสผ่านใหม่เกือบทั้งหมด โดยประเด็นการเปลี่ยนแปลงที่สำคัญมี 3 ประเด็น ได้แก่
1.ไม่มีการบังคับให้เปลี่ยนรหัสผ่านบ่อยๆ อีกต่อไป
ถ้าองค์กรต้องการให้ผู้ใช้ตั้งรหัสผ่านที่ยาว เดาได้ยาก และแข็งแกร่งเพียงพอ องค์กรไม่ควรให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อยๆ โดยไม่จำเป็น เนื่องจากจะทำให้ผู้ใช้ไม่รู้ว่าควรตั้งรหัสผ่านอะไรดี แล้วจะเริ่มตั้งรหัสผ่านให้จำง่ายขึ้นเรื่อยๆ ส่งผลให้ความแข็งแกร่งของรหัสผ่านลดลง เหตุผลที่ควรตั้งรหัสผ่านใหม่ คือ เมื่อผู้ใช้ลืมรหัสผ่านของตน ถูกหลอกขโมยรหัสผ่านไป หรือข้อมูลรหัสผ่านในฐานข้อมูลถูกแฮ็ค เป็นต้น
2.ไม่มีการกำหนดความซับซ้อนของรหัสผ่าน
การโจมตีที่พบส่วนใหญ่มักเกิดจากการใช้รหัสผ่านซ้ำซ้อน เมื่อแฮ็คเกอร์ได้ข้อมูลรหัสผ่านที่รั่วไหลออกมาสู่สาธารณะ ก็จะนำรหัสผ่านเหล่านั้นไปใช้โจมตีระบบอื่นๆ ต่อ ส่งผลให้ความซับซ้อนของรหัสผ่านไม่เป็นประเด็นหลักเรื่องความแข็งแกร่งอีกต่อไป นอกจากนี้ การบังคับให้ผุ้ใช้ต้องตั้งรหัสผ่านให้ซับซ้อน เช่น รหัสผ่านจำเป็นต้องมีตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ ตัวเลข และอักขระพิเศษอย่างน้อยอย่างละ 1 ตัวอักษร แต่ห้ามใช้ &%#@_ อะไรแบบนี้ ผลสุดท้ายจะทำให้ผู้ใช้ต้องจดรหัสผ่านแปะไว้หน้าคอมแทน เนื่องจากจำรหัสผ่านที่ตัวเองตั้งไม่ได้
อย่างไรก็ตาม คู่มือยังคงกล่าวถึงความยาวของรหัสผ่านที่ควรเกิน 8 ตัวอักษร และไม่จำเป็นต้องกำหนดความยาวสูงสุด การใช้ Passphase หรือกลุ่มคำก็ถือว่าเป็นความคิดที่ดีไม่แพ้กัน
3.รหัสผ่านใหม่ต้องไม่ใช่รหัสผ่านที่ถูกแบล็กลิสต์
เมื่อมีการสร้างรหัสผ่านใหม่ ต้องมีการตรวจสอบกับแบล็กลิสต์ของรหัสผ่านที่ไม่ควรใช้ ซึ่งประกอบด้วย รหัสผ่านที่ถูกค้นพบว่ามีการรั่วไหลออกสู่สาธารณะ รหัสผ่านที่เป็นคำในพจนานุกรม รหัสผ่านถูกใช้ซ้ำหรือเป็นตัวอักษรเรียงกัน เพื่อให้มั่นใจว่ารหัสผ่านมีความแข็งแรงเพียงพอ และจะไม่ตกเป็นเหยื่อของแฮ็คเกอร์ที่นำข้อมูลรหัสผ่านที่รั่วไหลสู่สาธารณะมาใช้โจมตีต่อ
นอกจากนี้ ในคู่มือยังระบุอีกว่า “การรับมือ เช่น แบล็กลิสต์ การทำ Secure Hashed Storage และ Rate Throttling มีประสิทธิผลดีกว่าในการป้องกันการโจมตีแบบ Brute Force สมัยใหม่ในปัจจุบัน”
ผู้ที่สนใจสามารถอ่านร่างคู่มือฉบับเต็มได้ที่: https://pages.nist.gov/800-63-3/sp800-63b.html
ที่มา: https://threatpost.com/proposed-nist-password-guidelines-soften-length-complexity-focus/125393/ และ
http://www.networkworld.com/article/3194145/security/may-the-fourth-be-with-you-on-world-password-day.html
