เปลี่ยนแนวคิดเรื่องนโยบายรหัสผ่านใหม่กับมาตรฐาน NIST SP 800-63B ฉบับล่าสุด

เมื่อช่วงปลายปี 2016 ที่ผ่านมา สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ (NIST) ออกคู่มือแนะนำการระบุตัวตนดิจิทัลฉบับร่างอันใหม่ คือ Special Publication 800-63-3: Digital Identity Guidelines เพื่อเป็นแนวทางการพิสูจน์ตัวตนและการกำหนดนโยบายรหัสผ่านแก่หน่วยงานรัฐและองค์กรทั่วไปในสหรัฐฯ ล่าสุดคู่มือดังกล่าวได้ปิดรับฟังความเห็นแล้ว และเตรียมเข้าสู่กระบวนการประกาศใช้เร็วๆ นี้ บทความนี้จึงจะมากล่าวสรุปถึงการเปลี่ยนแปลงนโยบายรหัสผ่านที่น่าสนใจให้ได้อ่านกันครับ

Credit: Maksim Kabakou/ShutterStock

ปกติแล้ว เราจะทราบกันดีว่า การกำหนดให้รหัสผ่านของพนักงานในองค์กรมีความมั่นคงปลอดภัยต้องประกอบด้วยประเด็นสำคัญ 3 ประเด็น ได้แก่ รหัสผ่านจะต้องมีความซับซ้อน ต้องมีความยาว และต้องเปลี่ยนรหัสผ่านใหม่บ่อยๆ เพื่อป้องกันไม่ให้แฮ็คเกอร์คาดเดารหัสผ่านได้ถูก อย่างไรก็ตามคู่มือ Digital Identity Guidelines ของ NIST ฉบับล่าสุดนี้ ได้เปลี่ยนแนวคิดการบริหารจัดการรหัสผ่านใหม่เกือบทั้งหมด โดยประเด็นการเปลี่ยนแปลงที่สำคัญมี 3 ประเด็น ได้แก่

1.ไม่มีการบังคับให้เปลี่ยนรหัสผ่านบ่อยๆ อีกต่อไป

ถ้าองค์กรต้องการให้ผู้ใช้ตั้งรหัสผ่านที่ยาว เดาได้ยาก และแข็งแกร่งเพียงพอ องค์กรไม่ควรให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อยๆ โดยไม่จำเป็น เนื่องจากจะทำให้ผู้ใช้ไม่รู้ว่าควรตั้งรหัสผ่านอะไรดี แล้วจะเริ่มตั้งรหัสผ่านให้จำง่ายขึ้นเรื่อยๆ ส่งผลให้ความแข็งแกร่งของรหัสผ่านลดลง เหตุผลที่ควรตั้งรหัสผ่านใหม่ คือ เมื่อผู้ใช้ลืมรหัสผ่านของตน ถูกหลอกขโมยรหัสผ่านไป หรือข้อมูลรหัสผ่านในฐานข้อมูลถูกแฮ็ค เป็นต้น

2.ไม่มีการกำหนดความซับซ้อนของรหัสผ่าน

การโจมตีที่พบส่วนใหญ่มักเกิดจากการใช้รหัสผ่านซ้ำซ้อน เมื่อแฮ็คเกอร์ได้ข้อมูลรหัสผ่านที่รั่วไหลออกมาสู่สาธารณะ ก็จะนำรหัสผ่านเหล่านั้นไปใช้โจมตีระบบอื่นๆ ต่อ ส่งผลให้ความซับซ้อนของรหัสผ่านไม่เป็นประเด็นหลักเรื่องความแข็งแกร่งอีกต่อไป นอกจากนี้ การบังคับให้ผุ้ใช้ต้องตั้งรหัสผ่านให้ซับซ้อน เช่น รหัสผ่านจำเป็นต้องมีตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ ตัวเลข และอักขระพิเศษอย่างน้อยอย่างละ 1 ตัวอักษร แต่ห้ามใช้ &%#@_ อะไรแบบนี้ ผลสุดท้ายจะทำให้ผู้ใช้ต้องจดรหัสผ่านแปะไว้หน้าคอมแทน เนื่องจากจำรหัสผ่านที่ตัวเองตั้งไม่ได้

อย่างไรก็ตาม คู่มือยังคงกล่าวถึงความยาวของรหัสผ่านที่ควรเกิน 8 ตัวอักษร และไม่จำเป็นต้องกำหนดความยาวสูงสุด การใช้ Passphase หรือกลุ่มคำก็ถือว่าเป็นความคิดที่ดีไม่แพ้กัน

3.รหัสผ่านใหม่ต้องไม่ใช่รหัสผ่านที่ถูกแบล็กลิสต์

เมื่อมีการสร้างรหัสผ่านใหม่ ต้องมีการตรวจสอบกับแบล็กลิสต์ของรหัสผ่านที่ไม่ควรใช้ ซึ่งประกอบด้วย รหัสผ่านที่ถูกค้นพบว่ามีการรั่วไหลออกสู่สาธารณะ รหัสผ่านที่เป็นคำในพจนานุกรม รหัสผ่านถูกใช้ซ้ำหรือเป็นตัวอักษรเรียงกัน เพื่อให้มั่นใจว่ารหัสผ่านมีความแข็งแรงเพียงพอ และจะไม่ตกเป็นเหยื่อของแฮ็คเกอร์ที่นำข้อมูลรหัสผ่านที่รั่วไหลสู่สาธารณะมาใช้โจมตีต่อ

นอกจากนี้ ในคู่มือยังระบุอีกว่า “การรับมือ เช่น แบล็กลิสต์ การทำ Secure Hashed Storage และ Rate Throttling มีประสิทธิผลดีกว่าในการป้องกันการโจมตีแบบ Brute Force สมัยใหม่ในปัจจุบัน”

ผู้ที่สนใจสามารถอ่านร่างคู่มือฉบับเต็มได้ที่: https://pages.nist.gov/800-63-3/sp800-63b.html

ที่มา: https://threatpost.com/proposed-nist-password-guidelines-soften-length-complexity-focus/125393/ และ
http://www.networkworld.com/article/3194145/security/may-the-fourth-be-with-you-on-world-password-day.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NEXUS เชิญร่วมสัมมนาพิเศษ SAP S/4HANA สำหรับกลุ่มธุรกิจ Food and Beverage และ High Tech ในวันที่ 28 พ.ค. 2019

พลาดไม่ได้!! งานสัมมนาพิเศษสำหรับผู้บริหารประจำปี 2019 โดย SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 ของโลก ได้จัดร่วมกับบริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อพัฒนา และเพิ่มประสิทธิภาพธุรกิจ โดยในงานสัมมนาครั้งนี้จะเน้นย้ำเกี่ยวกับโซลูชั่นและแนวทางใหม่ในการแก้ปัญหาการดำเนินธุรกิจ และเพิ่มประสิทธิภาพในการบริหารงานของกลุ่มธุรกิจ Food, Beverage และ High Tech ให้เจริญเติบโตในยุคดิจิตอลได้รวดเร็วมากยิ่งขึ้น ด้วยโซลูชั่นที่ได้รับความนิยมสูงสุดจากธุรกิจทั่วโลก โดยมีรายละเอียด และสามารถลงทะเบียนเข้าร่วมงานฟรีได้ที่ลิ้งด้านล่างนี้

TechTalk Webinar: Modernize IT Infrastructure with Google Cloud Platform โดย Tangerine

Tangerine ขอเรียนเชิญเหล่า IT Manager, System Engineer, Software Developer และผู้ที่สนใจทุกท่าน เข้าร่วม TechTalk Webinar ในหัวข้อเรื่อง "Modernize IT Infrastructure with Google Cloud Platform โดย Tangerine" เพื่อเริ่มต้นทำความรู้จักกับ Google Cloud Platform กับการนำไปใช้พัฒนาระบบ IT ให้ทันสมัยเพื่อตอบสนองต่อความต้องการทางธุรกิจที่เปลี่ยนแปลงไปได้อย่างรวดเร็ว ก้าวทันยุค Digital ในวันอังคารที่ 28 พฤษภาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้