เปลี่ยนแนวคิดเรื่องนโยบายรหัสผ่านใหม่กับมาตรฐาน NIST SP 800-63B ฉบับล่าสุด

เมื่อช่วงปลายปี 2016 ที่ผ่านมา สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ (NIST) ออกคู่มือแนะนำการระบุตัวตนดิจิทัลฉบับร่างอันใหม่ คือ Special Publication 800-63-3: Digital Identity Guidelines เพื่อเป็นแนวทางการพิสูจน์ตัวตนและการกำหนดนโยบายรหัสผ่านแก่หน่วยงานรัฐและองค์กรทั่วไปในสหรัฐฯ ล่าสุดคู่มือดังกล่าวได้ปิดรับฟังความเห็นแล้ว และเตรียมเข้าสู่กระบวนการประกาศใช้เร็วๆ นี้ บทความนี้จึงจะมากล่าวสรุปถึงการเปลี่ยนแปลงนโยบายรหัสผ่านที่น่าสนใจให้ได้อ่านกันครับ

Credit: Maksim Kabakou/ShutterStock

ปกติแล้ว เราจะทราบกันดีว่า การกำหนดให้รหัสผ่านของพนักงานในองค์กรมีความมั่นคงปลอดภัยต้องประกอบด้วยประเด็นสำคัญ 3 ประเด็น ได้แก่ รหัสผ่านจะต้องมีความซับซ้อน ต้องมีความยาว และต้องเปลี่ยนรหัสผ่านใหม่บ่อยๆ เพื่อป้องกันไม่ให้แฮ็คเกอร์คาดเดารหัสผ่านได้ถูก อย่างไรก็ตามคู่มือ Digital Identity Guidelines ของ NIST ฉบับล่าสุดนี้ ได้เปลี่ยนแนวคิดการบริหารจัดการรหัสผ่านใหม่เกือบทั้งหมด โดยประเด็นการเปลี่ยนแปลงที่สำคัญมี 3 ประเด็น ได้แก่

1.ไม่มีการบังคับให้เปลี่ยนรหัสผ่านบ่อยๆ อีกต่อไป

ถ้าองค์กรต้องการให้ผู้ใช้ตั้งรหัสผ่านที่ยาว เดาได้ยาก และแข็งแกร่งเพียงพอ องค์กรไม่ควรให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อยๆ โดยไม่จำเป็น เนื่องจากจะทำให้ผู้ใช้ไม่รู้ว่าควรตั้งรหัสผ่านอะไรดี แล้วจะเริ่มตั้งรหัสผ่านให้จำง่ายขึ้นเรื่อยๆ ส่งผลให้ความแข็งแกร่งของรหัสผ่านลดลง เหตุผลที่ควรตั้งรหัสผ่านใหม่ คือ เมื่อผู้ใช้ลืมรหัสผ่านของตน ถูกหลอกขโมยรหัสผ่านไป หรือข้อมูลรหัสผ่านในฐานข้อมูลถูกแฮ็ค เป็นต้น

2.ไม่มีการกำหนดความซับซ้อนของรหัสผ่าน

การโจมตีที่พบส่วนใหญ่มักเกิดจากการใช้รหัสผ่านซ้ำซ้อน เมื่อแฮ็คเกอร์ได้ข้อมูลรหัสผ่านที่รั่วไหลออกมาสู่สาธารณะ ก็จะนำรหัสผ่านเหล่านั้นไปใช้โจมตีระบบอื่นๆ ต่อ ส่งผลให้ความซับซ้อนของรหัสผ่านไม่เป็นประเด็นหลักเรื่องความแข็งแกร่งอีกต่อไป นอกจากนี้ การบังคับให้ผุ้ใช้ต้องตั้งรหัสผ่านให้ซับซ้อน เช่น รหัสผ่านจำเป็นต้องมีตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ ตัวเลข และอักขระพิเศษอย่างน้อยอย่างละ 1 ตัวอักษร แต่ห้ามใช้ &%#@_ อะไรแบบนี้ ผลสุดท้ายจะทำให้ผู้ใช้ต้องจดรหัสผ่านแปะไว้หน้าคอมแทน เนื่องจากจำรหัสผ่านที่ตัวเองตั้งไม่ได้

อย่างไรก็ตาม คู่มือยังคงกล่าวถึงความยาวของรหัสผ่านที่ควรเกิน 8 ตัวอักษร และไม่จำเป็นต้องกำหนดความยาวสูงสุด การใช้ Passphase หรือกลุ่มคำก็ถือว่าเป็นความคิดที่ดีไม่แพ้กัน

3.รหัสผ่านใหม่ต้องไม่ใช่รหัสผ่านที่ถูกแบล็กลิสต์

เมื่อมีการสร้างรหัสผ่านใหม่ ต้องมีการตรวจสอบกับแบล็กลิสต์ของรหัสผ่านที่ไม่ควรใช้ ซึ่งประกอบด้วย รหัสผ่านที่ถูกค้นพบว่ามีการรั่วไหลออกสู่สาธารณะ รหัสผ่านที่เป็นคำในพจนานุกรม รหัสผ่านถูกใช้ซ้ำหรือเป็นตัวอักษรเรียงกัน เพื่อให้มั่นใจว่ารหัสผ่านมีความแข็งแรงเพียงพอ และจะไม่ตกเป็นเหยื่อของแฮ็คเกอร์ที่นำข้อมูลรหัสผ่านที่รั่วไหลสู่สาธารณะมาใช้โจมตีต่อ

นอกจากนี้ ในคู่มือยังระบุอีกว่า “การรับมือ เช่น แบล็กลิสต์ การทำ Secure Hashed Storage และ Rate Throttling มีประสิทธิผลดีกว่าในการป้องกันการโจมตีแบบ Brute Force สมัยใหม่ในปัจจุบัน”

ผู้ที่สนใจสามารถอ่านร่างคู่มือฉบับเต็มได้ที่: https://pages.nist.gov/800-63-3/sp800-63b.html

ที่มา: https://threatpost.com/proposed-nist-password-guidelines-soften-length-complexity-focus/125393/ และ
http://www.networkworld.com/article/3194145/security/may-the-fourth-be-with-you-on-world-password-day.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

การไม่ใช้หมึกแท้อาจสร้างความเสียหายให้พรินเตอร์ ธุรกิจควรเลือกซื้อหมึกอย่างไรให้ปลอดภัยและคุ้มค่า?

ในบทความนี้เราจะพาทุกท่านไปทำความเข้าใจกับสถานการณ์ของ "หมึกพรีเมี่ยม" ที่กำลังแพร่ระบาดทั่วไทย และความเสี่ยงหรือผลเสียของการใช้หมึกพรีเมี่ยมเหล่านี้ เพื่อให้ทุกท่านได้มีข้อมูลสำหรับประกอบการตัดสินใจเลือกใช้งานกันครับ

โอกาสของไทยในการก้าวสู่การเป็นผู้นำด้าน Digital กับความร่วมมือที่ต้องเกิดขึ้นจากทุกภาคส่วน

ในงานสัมมนา Powering Digital Thailand 2022 – HUAWEI CLOUD & CONNECT เหล่าผู้นำระดับประเทศ, ธุรกิจองค์กรชั้นนำ, องค์กรนานาชาติ และทาง Huawei นั้นได้มาร่วมกันแสดงวิสัยทัศน์ถึงความเป็นไปได้และโอกาสที่ไทยจะก้าวสู่การเป็นผู้นำทางด้าน Digital จากหลากหลายแง่มุมด้วยกัน