Share

เปลี่ยนกฏ ตั้งรหัสผ่านใหม่ รับมือภัยไซเบอร์

Last updated: 18 Oct 2024
326 Views
เปลี่ยนกฏ ตั้งรหัสผ่านใหม่ รับมือภัยไซเบอร์

การแฮกระบบเครือข่าย และอุปกรณ์ปลายทางเป็นอีกหนึ่งปัญหาที่ผู้ใช้งานทั้งบุคคล และองค์กรทั่วโลกกำลังเผชิญอยู่ในปัจจุบัน

แม้ว่าจะมีคำเตือน และแนวทางปฏิบัติด้านความปลอดภัยที่รัดกุม ซับซ้อนในหลากหลายรูปแบบ แต่เหล่าบรรดาแฮกเกอร์ก็ยังคงสามารถเจาะเข้าระบบเพื่อโจรกรรมข้อมูลส่วนบุคคล และข้อมูลทางการเงินได้อยู่เสมอ ๆ

หลังจากในปี 2560 NIST สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกาได้เสนอคำแนะนำรหัสผ่านเป็นครั้งแรก (NIST 800-63B) ให้รหัสผ่านมีความซับซ้อนซึ่งประกอบด้วย ตัวอักษรตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษผสมกัน รวมถึงการตั้งคำถามเพื่อรับรองความปลอดภัยก่อนเข้าระบบ

แต่ล่าสุด NIST ได้ออกมาเปิดเผยแนวทางปฏิบัติฉบับร่างที่ 2 (SP 800-63-4) ซึ่งมีรายละเอียดเกี่ยวกับข้อกำหนดทางเทคนิคการรับรองความถูกต้อง ตลอดจนแนวทางปฏิบัติเพื่อช่วยลดความยุ่งยากในการจัดการรหัสผ่านและตัดทอนสิ่งที่ขัดขวางการรักษาความปลอดภัย

โดยหลักเกณฑ์ล่าสุด แนะนำให้ผู้ให้บริการข้อมูลประจำตัว CSP หยุดบังคับให้ผู้ใช้งานตั้งรหัสผ่านที่ใช้อักขระผสม หรือการกำหนดให้เปลี่ยนรหัสผ่านทุก ๆ 60 หรือ 90 วัน รวมไปถึงการหยุดใช้การตรวจสอบสิทธิ์ในรูปแบบคำถาม เพราะรหัสผ่านที่ซับซ้อนไม่ได้แข็งแกร่งเสมอไป

อีกนัยหนึ่งความซับซ้อนของรหัสผ่านจะทำให้ผู้ใช้งานเลือกตั้งรหัสผ่านที่คาดเดาได้ง่าย จดบันทึกรหัสไว้ในที่ที่ค้นหาได้ง่าย หรือใช้รหัสเดียวกันกับบัญชีอื่น ๆ

ด้วยเหตุนี้ NIST จึงให้ความสำคัญไปที่ความยาวของรหัสผ่าน เนื่องจากรหัสผ่านที่ยาวจะยากต่อการถอดรหัสด้วยการโจมตีและผู้ใช้สามารถจดจำได้ง่ายขึ้น

นอกจากนี้ NIST ยังได้เสนอคำแนะนำเพิ่มเติม คือ รหัสผ่านที่ดีจะต้องมีความยาวอย่างน้อย 8 อักขระ แต่เพื่อความปลอดภัยที่มากยิ่งขึ้นควรตั้งรหัสผ่านที่มีความยาวอย่างน้อย 15 อักขระโดย CSP ควรอนุญาตให้ใช้รหัสผ่านได้มาสุดไม่เกิน 64 ตัวอักษรโดยสามารถรวมอักขระ ASCII และ Unicode ได้ด้วย และการรีเซ็ตรหัสผ่านจะทำเฉพาะเมื่อมีการละเมิดข้อมูลประจำตัวเท่านั้น เพราะการเปลี่ยนรหัสผ่านบ่อยจะทำให้ผู้ใช้งานเลือกรหัสผ่านที่คาดเดาได้ง่าย และความปลอดภัยก็จะลดลงตาม

เราจะเห็นได้ว่า รหัสผ่านยังเป็นเรื่องความปลอดภัยคลาสสิกไม่ว่าจะในยุคไหนก็ตาม เพียงแต่ว่าการเปลี่ยนแปลงในครั้งนี้ NIST มีการให้คำแนะนำเพิ่มเติม อย่างที่เราเห็นกันอยู่ในปัจจุบันการตั้งรหัสผ่านจะเกี่ยวข้องกับจำนวนตัวอักษร อักขระต่างๆ ซึ่งเป็นกฎพื้นฐาน แต่ในอนาคตก็มีความเป็นไปได้ที่แฮกเกอร์จะสามารถเดารหัสผ่านต่าง ๆ ได้

เพราะ CPU หรือ ชิปต่าง ๆ ได้ถูกพัฒนาอย่างต่อเนื่องให้มีความสามารถที่แกะรหัสผ่านเหล่านี้ได้ในอนาคต แต่ในปัจจุบันก็ได้มีการเริ่มทำการยืนยันตัวตนแบบ 2 ปัจจัย ( Two Factor Authentication) หมายถึงการใช้รหัสผ่านร่วมกับการยืนยันตัวตนอื่น ๆ

ไม่ว่าจะเป็น Biometric, Key Fob หรือ OTP เพื่อทำให้ผู้ใช้งานปลอดภัยมากยิ่งขึ้น รวมถึงยังมีระบบที่เรียกว่า Password Management ซึ่งทุกคนในองค์กรจะไม่มีใครรู้รหัสผ่านเพราะจะดำเนินการผ่านเครื่องหรือระบบที่เรียกว่า Privileged Access Management (PAM)

โดยการส่งรหัสผ่านให้แต่ละครั้งและกำหนดช่วงเวลาในการใช้งาน จากนั้นรหัสผ่านจะเปลี่ยนไปทุกรอบในทุก ๆ ครั้งที่ใช้งาน รวมถึงการมีระบบบันทึกการเข้ารหัสผ่าน และระบบสามารถตรวจสอบย้อนหลังได้ว่าใครเข้าระบบเครือข่ายและเข้าไปทำอะไรบ้าง

สุดท้ายแล้ว รหัสผ่านก็เป็นสิ่งที่ทุกคนต้องให้ความสำคัญเพื่อเป็นตัวช่วยในการรักษาความปลอดภัยเบื้องต้นครับ

สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget 

ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 7 ตุลาคม 2567)
https://www.bangkokbiznews.com/blogs/tech/gadget/1148125 

Related Content
This website uses cookies to enhance your experience and providing the best service from us. Please confirm the acceptance. You can learn more about our use of cookies from our Policy. Privacy Policy and Cookies Policy
Compare product
0/4
Remove all
Compare