เปลี่ยนกฏ ตั้งรหัสผ่านใหม่ รับมือภัยไซเบอร์

การแฮกระบบเครือข่าย และอุปกรณ์ปลายทางเป็นอีกหนึ่งปัญหาที่ผู้ใช้งานทั้งบุคคล และองค์กรทั่วโลกกำลังเผชิญอยู่ในปัจจุบัน

แม้ว่าจะมีคำเตือน และแนวทางปฏิบัติด้านความปลอดภัยที่รัดกุม ซับซ้อนในหลากหลายรูปแบบ แต่เหล่าบรรดาแฮกเกอร์ก็ยังคงสามารถเจาะเข้าระบบเพื่อโจรกรรมข้อมูลส่วนบุคคล และข้อมูลทางการเงินได้อยู่เสมอ ๆ

หลังจากในปี 2560 NIST สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกาได้เสนอคำแนะนำรหัสผ่านเป็นครั้งแรก (NIST 800-63B) ให้รหัสผ่านมีความซับซ้อนซึ่งประกอบด้วย ตัวอักษรตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษผสมกัน รวมถึงการตั้งคำถามเพื่อรับรองความปลอดภัยก่อนเข้าระบบ

แต่ล่าสุด NIST ได้ออกมาเปิดเผยแนวทางปฏิบัติฉบับร่างที่ 2 (SP 800-63-4) ซึ่งมีรายละเอียดเกี่ยวกับข้อกำหนดทางเทคนิคการรับรองความถูกต้อง ตลอดจนแนวทางปฏิบัติเพื่อช่วยลดความยุ่งยากในการจัดการรหัสผ่านและตัดทอนสิ่งที่ขัดขวางการรักษาความปลอดภัย

โดยหลักเกณฑ์ล่าสุด แนะนำให้ผู้ให้บริการข้อมูลประจำตัว CSP หยุดบังคับให้ผู้ใช้งานตั้งรหัสผ่านที่ใช้อักขระผสม หรือการกำหนดให้เปลี่ยนรหัสผ่านทุก ๆ 60 หรือ 90 วัน รวมไปถึงการหยุดใช้การตรวจสอบสิทธิ์ในรูปแบบคำถาม เพราะรหัสผ่านที่ซับซ้อนไม่ได้แข็งแกร่งเสมอไป

อีกนัยหนึ่งความซับซ้อนของรหัสผ่านจะทำให้ผู้ใช้งานเลือกตั้งรหัสผ่านที่คาดเดาได้ง่าย จดบันทึกรหัสไว้ในที่ที่ค้นหาได้ง่าย หรือใช้รหัสเดียวกันกับบัญชีอื่น ๆ

ด้วยเหตุนี้ NIST จึงให้ความสำคัญไปที่ความยาวของรหัสผ่าน เนื่องจากรหัสผ่านที่ยาวจะยากต่อการถอดรหัสด้วยการโจมตีและผู้ใช้สามารถจดจำได้ง่ายขึ้น

นอกจากนี้ NIST ยังได้เสนอคำแนะนำเพิ่มเติม คือ รหัสผ่านที่ดีจะต้องมีความยาวอย่างน้อย 8 อักขระ แต่เพื่อความปลอดภัยที่มากยิ่งขึ้นควรตั้งรหัสผ่านที่มีความยาวอย่างน้อย 15 อักขระโดย CSP ควรอนุญาตให้ใช้รหัสผ่านได้มาสุดไม่เกิน 64 ตัวอักษรโดยสามารถรวมอักขระ ASCII และ Unicode ได้ด้วย และการรีเซ็ตรหัสผ่านจะทำเฉพาะเมื่อมีการละเมิดข้อมูลประจำตัวเท่านั้น เพราะการเปลี่ยนรหัสผ่านบ่อยจะทำให้ผู้ใช้งานเลือกรหัสผ่านที่คาดเดาได้ง่าย และความปลอดภัยก็จะลดลงตาม

เราจะเห็นได้ว่า รหัสผ่านยังเป็นเรื่องความปลอดภัยคลาสสิกไม่ว่าจะในยุคไหนก็ตาม เพียงแต่ว่าการเปลี่ยนแปลงในครั้งนี้ NIST มีการให้คำแนะนำเพิ่มเติม อย่างที่เราเห็นกันอยู่ในปัจจุบันการตั้งรหัสผ่านจะเกี่ยวข้องกับจำนวนตัวอักษร อักขระต่างๆ ซึ่งเป็นกฎพื้นฐาน แต่ในอนาคตก็มีความเป็นไปได้ที่แฮกเกอร์จะสามารถเดารหัสผ่านต่าง ๆ ได้

เพราะ CPU หรือ ชิปต่าง ๆ ได้ถูกพัฒนาอย่างต่อเนื่องให้มีความสามารถที่แกะรหัสผ่านเหล่านี้ได้ในอนาคต แต่ในปัจจุบันก็ได้มีการเริ่มทำการยืนยันตัวตนแบบ 2 ปัจจัย ( Two Factor Authentication) หมายถึงการใช้รหัสผ่านร่วมกับการยืนยันตัวตนอื่น ๆ

ไม่ว่าจะเป็น Biometric, Key Fob หรือ OTP เพื่อทำให้ผู้ใช้งานปลอดภัยมากยิ่งขึ้น รวมถึงยังมีระบบที่เรียกว่า Password Management ซึ่งทุกคนในองค์กรจะไม่มีใครรู้รหัสผ่านเพราะจะดำเนินการผ่านเครื่องหรือระบบที่เรียกว่า Privileged Access Management (PAM)

โดยการส่งรหัสผ่านให้แต่ละครั้งและกำหนดช่วงเวลาในการใช้งาน จากนั้นรหัสผ่านจะเปลี่ยนไปทุกรอบในทุก ๆ ครั้งที่ใช้งาน รวมถึงการมีระบบบันทึกการเข้ารหัสผ่าน และระบบสามารถตรวจสอบย้อนหลังได้ว่าใครเข้าระบบเครือข่ายและเข้าไปทำอะไรบ้าง

สุดท้ายแล้ว รหัสผ่านก็เป็นสิ่งที่ทุกคนต้องให้ความสำคัญเพื่อเป็นตัวช่วยในการรักษาความปลอดภัยเบื้องต้นครับ

สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget  

ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 7 ตุลาคม 2567)
https://www.bangkokbiznews.com/blogs/tech/gadget/1148125