การจัดการรหัสผ่าน ในช่วงสามปีที่ผ่านมาสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้แก้ไขหลักเกณฑ์เกี่ยวกับรหัสผ่านอย่างมาก การแก้ไขจำนวนมากเหล่านี้ เกิดจากการรับรู้ของ NIST ว่าปัจจัยจากมนุษย์มักนำไปสู่ช่องโหว่ ด้านความปลอดภัยเมื่อผู้ใช้ถูกบังคับ ให้รวมอักขระพิเศษ หรือจำเป็นต้องสร้างรหัสผ่านใหม่เป็นระยะ ๆ ซึ่งคิดไว้ก่อนหน้านี้เพื่อปรับปรุงความปลอดภัยในการตรวจสอบสิทธิ์
ใช้การคัดกรองรหัสผ่าน
ข้อผิดพลาดของมนุษย์ทั่วไปที่เกี่ยวข้อง กับความปลอดภัยของรหัสผ่านคือ การนำรหัสผ่านกลับมาใช้ซ้ำในบริการ และ บัญชีออนไลน์หลาย ๆ บัญชีซึ่งมีผู้คน 59% ยอมรับว่าทำในแบบสำรวจ LogMeIn หากรหัสผ่านรั่วไหลในการละเมิด ก่อนหน้านี้แฮ็กเกอร์ต้องทำทั้งหมด คือซื้อข้อมูลรับรองเหล่านี้ผ่านเว็บมืดและใช้เพื่อเข้าถึงบัญชีเพิ่มเติมใด ๆ ที่ได้รับการป้องกันโดยรหัสผ่านที่ถูกบุกรุก การจัดการรหัสผ่าน
การใช้รหัสผ่านซ้ำมีผลเป็นหางยาว นักวิจัยจากมหาวิทยาลัยเวอร์จิเนียเทคพบว่าผู้ใช้กว่า 70% ใช้รหัสผ่านที่ถูกบุกรุกสำหรับบัญชีอื่น ๆ ภายในหนึ่งปีหลังจากที่มีการรั่วไหลในตอนแรกโดยมีการใช้รหัสผ่านซ้ำ 40% ซึ่งรั่วไหลออกไปเมื่อสามปีก่อน เพื่อต่อสู้กับภัยคุกคามนี้ตอนนี้ NIST ขอแนะนำให้องค์กรตรวจสอบรหัสผ่าน จากบัญชีดำที่มีข้อมูลประจำตัวที่ใช้กันทั่วไปและถูกบุกรุก ด้วยการละเมิดหลายครั้งที่เกิดขึ้นทุกวัน NIST ยังแนะนำให้ บริษัท ต่างๆคัดกรองรหัสผ่านอย่างต่อเนื่องเพื่อให้แน่ใจว่า รหัสผ่านที่ปลอดภัยก่อนหน้านี้จะไม่ถูกบุกรุกระหว่างทาง
คำแนะนำเพิ่มเติมของ NIST SP 800-63b ได้แก่ :
ผู้ใช้ไม่จำเป็นต้องใช้อักขระพิเศษอีกต่อไป:จากข้อมูลของ NIST “การวิจัยพบว่า … ผู้ใช้ตอบสนองในรูปแบบที่คาดเดาได้มากกับข้อกำหนดที่กำหนดโดยกฎองค์ประกอบ ตัวอย่างเช่นผู้ใช้ที่อาจเลือก “รหัสผ่าน” เป็นรหัสผ่านมีแนวโน้มที่จะเลือก “รหัสผ่าน 1” หากจำเป็นต้องมีตัวอักษรตัวพิมพ์ใหญ่และตัวเลขหรือ “รหัสผ่าน 1!” หากต้องใช้สัญลักษณ์ด้วย” ด้วยเหตุนี้พวกเขาจึงแนะนำให้ บริษัท ต่างๆขจัดข้อกำหนดนี้เนื่องจากอาจมีผลเสียต่อความปลอดภัย
ผู้ใช้ควรสามารถใช้อักขระทั้งหมดได้:เป็นเรื่องปกติที่บริการจะปฏิเสธรหัสผ่านที่มีช่องว่างและอักขระพิเศษต่างๆ แต่ตอนนี้ NIST แนะนำให้องค์กรเลิกใช้แนวทางนี้และอนุญาตให้ผู้ใช้สร้างรหัสผ่านโดยใช้อักขระใดก็ได้ที่จำได้ง่าย
ยอมรับการคัดลอกและวางรหัสผ่าน:ภายใต้หลักเกณฑ์ก่อนหน้านี้ NIST ไม่อนุญาตให้เปิดใช้งานคุณลักษณะการวางเมื่อพิมพ์รหัสผ่านอย่างไรก็ตามหลักเกณฑ์ใหม่จะย้อนกลับคำแนะนำนี้
นโยบายรหัสผ่านไม่ควรกำหนดให้พนักงานเปลี่ยนรหัสผ่านเป็นประจำ:จำเป็นต้องรีเซ็ตรหัสผ่านเป็นระยะซึ่งใช้เพื่อเรียกว่าแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย แต่ก็ไม่เป็นเช่นนั้นอีกต่อไป ดังที่ NIST กล่าวไว้ว่า “ ผู้ใช้มักจะเลือกใช้ความลับที่จำได้น้อยกว่าเมื่อพวกเขารู้ว่าจะต้องเปลี่ยนแปลงในอนาคตอันใกล้นี้ เมื่อการเปลี่ยนแปลงเกิดขึ้นพวกเขามักจะเลือกความลับที่คล้ายกับความลับเก่าที่จำได้โดยใช้ชุดของการเปลี่ยนแปลงทั่วไปเช่นการเพิ่มจำนวนในรหัสผ่าน แนวปฏิบัตินี้ให้ความรู้สึกปลอดภัยที่ผิดพลาดหากมีการล่วงล้ำความลับก่อนหน้านี้เนื่องจากผู้โจมตีสามารถใช้การแปลงแบบเดียวกันนี้
ค่าเผื่ออักขระที่เพิ่มขึ้น:แนวทางใหม่สนับสนุนให้ฟิลด์รหัสผ่านอนุญาตให้มีอักขระเพิ่มเติมอย่างน้อย 64 ตัวที่ด้านบนของแปด กุญแจสำคัญในคำแนะนำนี้คือแนวคิดของข้อความรหัสผ่าน – ลำดับของคำที่ไม่เกี่ยวข้องกันซึ่งสามารถเสริมความปลอดภัยของรหัสผ่านได้และแฮ็กเกอร์จะเดาได้ยากขึ้นด้วยการใช้กำลังดุร้าย
ในขณะที่สื่อจำนวนมากล้อมรอบการเข้าสู่ระบบโดยไม่ต้องใช้รหัสผ่าน แต่ก็ปลอดภัยที่จะกล่าวได้ว่ารหัสผ่านจะยังคงเป็นวิธีการตรวจสอบสิทธิ์หลักสำหรับอนาคตอันใกล้ ในสภาพแวดล้อมนี้สิ่งสำคัญคือ บริษัท ต่างๆต้องใช้คำแนะนำล่าสุดของ NIST เพื่อลดความเสี่ยงเกี่ยวกับรหัสผ่าน
แฮกเกอร์มองหาวิธีการแทรกซึมระบบและบัญชีขององค์กรที่ละเอียดอ่อนอยู่เสมอและแนวป้องกันที่ดีที่สุดขององค์กรขึ้นอยู่กับความสามารถในการรักษาความปลอดภัยที่เลเยอร์รหัสผ่าน
ในช่วงสามปีที่ผ่านมาสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST)ได้แก้ไขหลักเกณฑ์เกี่ยวกับรหัสผ่านอย่างมาก การแก้ไขจำนวนมากเหล่านี้เกิดจากการรับรู้ของ NIST ว่าปัจจัยจากมนุษย์มักนำไปสู่ช่องโหว่ด้านความปลอดภัยเมื่อผู้ใช้ถูกบังคับให้รวมอักขระพิเศษหรือจำเป็นต้องสร้างรหัสผ่านใหม่เป็นระยะ ๆ ซึ่งคิดไว้ก่อนหน้านี้เพื่อปรับปรุงความปลอดภัยในการตรวจสอบสิทธิ์
ใช้การคัดกรองรหัสผ่าน
ข้อผิดพลาดของมนุษย์ทั่วไปที่เกี่ยวข้องกับความปลอดภัยของรหัสผ่านคือการนำรหัสผ่านกลับมาใช้ซ้ำในบริการและบัญชีออนไลน์หลาย ๆ บัญชีซึ่งมีผู้คน 59% ยอมรับว่าทำในแบบสำรวจ LogMeIn หากรหัสผ่านรั่วไหลในการละเมิดก่อนหน้านี้แฮ็กเกอร์ต้องทำทั้งหมดคือซื้อข้อมูลรับรองเหล่านี้ผ่านเว็บมืดและใช้เพื่อเข้าถึงบัญชีเพิ่มเติมใด ๆ ที่ได้รับการป้องกันโดยรหัสผ่านที่ถูกบุกรุก
การใช้รหัสผ่านซ้ำมีผลเป็นหางยาว นักวิจัยจากมหาวิทยาลัยเวอร์จิเนียเทคพบว่าผู้ใช้กว่า 70% ใช้รหัสผ่านที่ถูกบุกรุกสำหรับบัญชีอื่น ๆ ภายในหนึ่งปีหลังจากที่มีการรั่วไหลในตอนแรกโดยมีการใช้รหัสผ่านซ้ำ 40% ซึ่งรั่วไหลออกไปเมื่อสามปีก่อน เพื่อต่อสู้กับภัยคุกคามนี้ตอนนี้ NIST ขอแนะนำให้องค์กรตรวจสอบรหัสผ่านจากบัญชีดำที่มีข้อมูลประจำตัวที่ใช้กันทั่วไปและถูกบุกรุก ด้วยการละเมิดหลายครั้งที่เกิดขึ้นทุกวัน NIST ยังแนะนำให้ บริษัท ต่างๆคัดกรองรหัสผ่านอย่างต่อเนื่องเพื่อให้แน่ใจว่ารหัสผ่านที่ปลอดภัยก่อนหน้านี้จะไม่ถูกบุกรุกระหว่างทาง
คำแนะนำเพิ่มเติมของ NIST SP 800-63b ได้แก่ :
ผู้ใช้ไม่จำเป็นต้องใช้อักขระพิเศษอีกต่อไป:จากข้อมูลของ NIST “การวิจัยพบว่า … ผู้ใช้ตอบสนองในรูปแบบที่คาดเดาได้มากกับข้อกำหนดที่กำหนดโดยกฎองค์ประกอบ ตัวอย่างเช่นผู้ใช้ที่อาจเลือก “รหัสผ่าน” เป็นรหัสผ่านมีแนวโน้มที่จะเลือก “รหัสผ่าน 1” หากจำเป็นต้องมีตัวอักษรตัวพิมพ์ใหญ่และตัวเลขหรือ “รหัสผ่าน 1!” หากต้องใช้สัญลักษณ์ด้วย” ด้วยเหตุนี้พวกเขาจึงแนะนำให้ บริษัท ต่างๆขจัดข้อกำหนดนี้เนื่องจากอาจมีผลเสียต่อความปลอดภัย
ผู้ใช้ควรสามารถใช้อักขระทั้งหมดได้:เป็นเรื่องปกติที่บริการจะปฏิเสธรหัสผ่านที่มีช่องว่างและอักขระพิเศษต่างๆ แต่ตอนนี้ NIST แนะนำให้องค์กรเลิกใช้แนวทางนี้และอนุญาตให้ผู้ใช้สร้างรหัสผ่านโดยใช้อักขระใดก็ได้ที่จำได้ง่าย
ยอมรับการคัดลอกและวางรหัสผ่าน:ภายใต้หลักเกณฑ์ก่อนหน้านี้ NIST ไม่อนุญาตให้เปิดใช้งานคุณลักษณะการวางเมื่อพิมพ์รหัสผ่านอย่างไรก็ตามหลักเกณฑ์ใหม่จะย้อนกลับคำแนะนำนี้
นโยบายรหัสผ่านไม่ควรกำหนดให้พนักงานเปลี่ยนรหัสผ่านเป็นประจำ:จำเป็นต้องรีเซ็ตรหัสผ่านเป็นระยะซึ่งใช้เพื่อเรียกว่าแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย แต่ก็ไม่เป็นเช่นนั้นอีกต่อไป ดังที่ NIST กล่าวไว้ว่า “ ผู้ใช้มักจะเลือกใช้ความลับที่จำได้น้อยกว่าเมื่อพวกเขารู้ว่าจะต้องเปลี่ยนแปลงในอนาคตอันใกล้นี้ เมื่อการเปลี่ยนแปลงเกิดขึ้นพวกเขามักจะเลือกความลับที่คล้ายกับความลับเก่าที่จำได้โดยใช้ชุดของการเปลี่ยนแปลงทั่วไปเช่นการเพิ่มจำนวนในรหัสผ่าน แนวปฏิบัตินี้ให้ความรู้สึกปลอดภัยที่ผิดพลาดหากมีการล่วงล้ำความลับก่อนหน้านี้เนื่องจากผู้โจมตีสามารถใช้การแปลงแบบเดียวกันนี้
ค่าเผื่ออักขระที่เพิ่มขึ้น:แนวทางใหม่สนับสนุนให้ฟิลด์รหัสผ่านอนุญาตให้มีอักขระเพิ่มเติมอย่างน้อย 64 ตัวที่ด้านบนของแปด กุญแจสำคัญในคำแนะนำนี้คือแนวคิดของข้อความรหัสผ่าน – ลำดับของคำที่ไม่เกี่ยวข้องกันซึ่งสามารถเสริมความปลอดภัยของรหัสผ่านได้และแฮ็กเกอร์จะเดาได้ยากขึ้นด้วยการใช้กำลังดุร้าย
ในขณะที่สื่อจำนวนมากล้อมรอบการเข้าสู่ระบบโดยไม่ต้องใช้รหัสผ่าน แต่ก็ปลอดภัยที่จะกล่าวได้ว่ารหัสผ่านจะยังคงเป็นวิธีการตรวจสอบสิทธิ์หลักสำหรับอนาคตอันใกล้ ในสภาพแวดล้อมนี้สิ่งสำคัญคือ บริษัท ต่างๆต้องใช้คำแนะนำล่าสุดของ NIST เพื่อลดความเสี่ยงเกี่ยวกับรหัสผ่าน
แฮกเกอร์มองหาวิธีการแทรกซึมระบบและบัญชีขององค์กรที่ละเอียดอ่อนอยู่เสมอและแนวป้องกันที่ดีที่สุดขององค์กรขึ้นอยู่กับความสามารถในการรักษาความปลอดภัยที่เลเยอร์รหัสผ่าน
THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th
