Password

ว่าด้วยเรื่องของการตั้งรหัสผ่านที่เปลี่ยนไป

NIST ออกแนวคิดใหม่ในการตั้งรหัสผ่านที่ง่าย และปลอดภัยกว่าเดิม

ถ้าคุณเป็นหนึ่งที่ไม่รู้จะคิดรหัสผ่านใหม่ๆว่าอะไร เวลาสมัครบริการหรือบัญชีใหม่ๆ เพราะเดี่ยวนี้เว็บไซต์มักจะมีเงื่อนไขในการตั้งรหัสผ่าน ทั้งผสมตัวอักษรกับสัญลักษณ์หรือตัวเลข บังคับใช้ตัวอักษรตัวใหญ่บ้าง แต่บางทีก็ไม่ยอมให้ใส่สัญลักษณ์บางตัวอีก

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐฯ หรือ NIST ได้ออกแนวทาง Digital Identity Guidelines ซึ่งว่าด้วยเรื่องของการปรับปรุงความต้องการของรหัสผ่าน

ทาง NIST เห็นว่ากฎเกณฑ์แบบนี้ไม่ได้ช่วยให้บัญชีของผู้ใช้ปลอดภัยขึ้น แถมตัวผู้ใช้ยังต้องเป็นผู้รับภาระอีกด้วย ทั้งๆที่ไม่ได้มีประสิทธิภาพเท่าไหร่

แล้วมีอะไรบ้างที่เปลี่ยนไป

ไม่มีการบังคับให้ใช้ตัวอักษรเพิ่มเติม

ไม่มีข้อบังคับตัวอักษรตัวเลขตัวใหญ่อีกต่อไป เพราะผลลัพธ์ที่ได้จากการบังคับให้ผู้ใช้ตั้งรหัสผ่านที่ซับซ้อนมากขึ้นกลับกลายเป็นรหัสผ่านที่ทั้งคาดเดาง่ายแต่จำยาก

ไม่มีรอบการเปลี่ยนรหัสผ่าน

จากแนวทางพบว่าการเปลี่ยนรหัสผ่านไม่จำเป็นต้องทำเป็นกิจวัตร นอกจากตัวผู้ใช้จะต้องการเปลี่ยนหรือรหัสผ่านโดนแฮกหรือถูกขโมยไป

ไม่มีคำใบ้หรือคำถามเตือนความจำ

คำใบ้หรือคำถามเตือนความจำกลายเป็นเครื่องมือของแฮกเกอร์เพื่อใช้คาดเดารหัสผ่าน เนื่องจากเป็นตัวช่วยบอกรหัสผ่านในกรณีที่ตัวผู้ใช้ลืม

มีรหัสผ่านที่ใช้ไม่ได้

มีคำบางคำที่ไม่สามารถตั้งเป็นรหัสผ่านได้ อย่างเช่นรหัสผ่านที่เคยโดนแฮกไปหรือรหัสผ่านที่มีผู้ใช้เป็นประจำ

เพิ่มความหลากหลายของตัวอักษร

การตั้วรหัสผ่านควรใช้อักษร สัญลักษณ์ หรือตัวเลขอะไรก็ได้ รวมถึงอีโมจิก็ควรเป็นส่วนหนึ่งของรหัสผ่านได้ หรือแม้กระทั่งช่องว่าง (Space) ก็นับเป็นตัวหนึ่งในรหัสผ่านได้เช่นกัน

ความยาวของรหัสผ่าน

ความยาวของรหัสผ่านขั้นต่ำที่สุดคือ 8 ตัวอักษร และสามารถยาวได้ถึง 64 ตัวอักษร

เพิ่มชั้นการป้องกันอื่นๆ (ที่ไม่ใช่ SMS)

ไม่ว่าคุณจะตั้งรหัสผ่านไว้ปลอดภัยมากแค่ไหน แต่นั่นก็เป็นเพียงการป้องกันเพียงชั้นเดียวจากแฮกเกอร์ เพราะฉะนั้นการเพิ่มชั่นความปลอดภัยของบัญชีเป็นสิ่งจำเป็น ยกตัวอย่าง 2FA หรือ two-step authentication หรือหลายคนรู้จักในชื่อ OTP

แต่ ณ ตอนนี้ SMS ก็ใช้ว่าจะปลอดภัยแล้ว เพราะเราพบว่าหากเครื่องของผู้ใช้มีมัลแวร์อยู่ โปรแกรมอันตรายเหล่านี้สามารถดักจับ SMS เพื่อรับรหัส OTP ได้

ฟังก์ชัน Authentication เหล่านี้เป็นเหมือนการยืนยันว่าผู้ที่เข้าระบบนั้นเป็นเจ้าของจริงๆ ซึ่งใช้วิธีส่งรหัสอีกชุดหนึ่งเพื่อยืนยันตัวตนผู้เข้าใช้ หรือเป็นลายนิ้วมือหรือม่านตา นี่เป็นทางเลือกตัวอย่างที่ NIST อยากจะนำมาใช้เพื่อเพิ่มความปลอดภัยให้กับผู้ใช้มากกว่าการตั้วรหัสผ่านที่เกินความจำเป็น

Author: Peter Stancik
Source:
https://www.welivesecurity.com/2017/05/03/no-pointless-password-requirements/
Translated by: Worapon H.

%d bloggers like this: