เปลี่ยนกฏ ‘ตั้งรหัสผ่านใหม่’ รับมือภัยไซเบอร์

เปลี่ยนกฏ ‘ตั้งรหัสผ่านใหม่’ รับมือภัยไซเบอร์

การแฮกระบบเครือข่ายและอุปกรณ์ปลายทางเป็นอีกหนึ่งปัญหาที่ผู้ใช้งานทั้งบุคคลและองค์กรทั่วโลกกำลังเผชิญอยู่ในปัจจุบัน

แม้ว่าจะมีคำเตือนและแนวทางปฏิบัติด้านความปลอดภัยที่รัดกุม ซับซ้อนในหลากหลายรูปแบบ แต่เหล่าบรรดาแฮกเกอร์ก็ยังคงสามารถเจาะเข้าระบบเพื่อโจรกรรมข้อมูลส่วนบุคคลและข้อมูลทางการเงินได้อยู่เสมอๆ

หลังจากในปี 2560 NIST สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกาได้เสนอคำแนะนำรหัสผ่านเป็นครั้งแรก (NIST 800-63B) ให้รหัสผ่านมีความซับซ้อนซึ่งประกอบด้วย ตัวอักษรตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษผสมกัน รวมถึงการตั้งคำถามเพื่อรับรองความปลอดภัยก่อนเข้าระบบ

แต่ล่าสุด NIST ได้ออกมาเปิดเผยแนวทางปฏิบัติฉบับร่างที่ 2 (SP 800-63-4) ซึ่งมีรายละเอียดเกี่ยวกับข้อกำหนดทางเทคนิคการรับรองความถูกต้อง ตลอดจนแนวทางปฏิบัติเพื่อช่วยลดความยุ่งยากในการจัดการรหัสผ่านและตัดทอนสิ่งที่ขัดขวางการรักษาความปลอดภัย

โดยหลักเกณฑ์ล่าสุดแนะนำให้ผู้ให้บริการข้อมูลประจำตัว CSP หยุดบังคับให้ผู้ใช้งานตั้งรหัสผ่านที่ใช้อักขระผสม หรือการกำหนดให้เปลี่ยนรหัสผ่านทุกๆ 60 หรือ 90 วัน รวมไปถึงการหยุดใช้การตรวจสอบสิทธิ์ในรูปแบบคำถาม เพราะรหัสผ่านที่ซับซ้อนไม่ได้แข็งแกร่งเสมอไป

อีกนัยหนึ่งความซับซ้อนของรหัสผ่านจะทำให้ผู้ใช้งานเลือกตั้งรหัสผ่านที่คาดเดาได้ง่าย จดบันทึกรหัสไว้ในที่ที่ค้นหาได้ง่าย หรือใช้รหัสเดียวกันกับบัญชีอื่นๆ

ด้วยเหตุนี้ NIST จึงให้ความสำคัญไปที่ความยาวของรหัสผ่าน เนื่องจากรหัสผ่านที่ยาวจะยากต่อการถอดรหัสด้วยการโจมตีและผู้ใช้สามารถจดจำได้ง่ายขึ้น

นอกจากนี้ NIST ยังได้เสนอคำแนะนำเพิ่มเติมคือ รหัสผ่านที่ดีจะต้องมีความยาวอย่างน้อย 8 อักขระ แต่เพื่อความปลอดภัยที่มากยิ่งขึ้นควรตั้งรหัสผ่านที่มีความยาวอย่างน้อย 15 อักขระโดย CSP ควรอนุญาตให้ใช้รหัสผ่านได้มาสุดไม่เกิน 64 ตัวอักษรโดยสามารถรวมอักขระ ASCII และ Unicode ได้ด้วย และการรีเซ็ตรหัสผ่านจะทำเฉพาะเมื่อมีการละเมิดข้อมูลประจำตัวเท่านั้น เพราะการเปลี่ยนรหัสผ่านบ่อยจะทำให้ผู้ใช้งานเลือกรหัสผ่านที่คาดเดาได้ง่าย และความปลอดภัยก็จะลดลงตาม

เราจะเห็นได้ว่า รหัสผ่านยังเป็นเรื่องความปลอดภัยคลาสสิกไม่ว่าจะในยุคไหนก็ตาม เพียงแต่ว่าการเปลี่ยนแปลงในครั้งนี้ NIST มีการให้คำแนะนำเพิ่มเติม อย่างที่เราเห็นกันอยู่ในปัจจุบันการตั้งรหัสผ่านจะเกี่ยวข้องกับจำนวนตัวอักษร อักขระต่างๆ ซึ่งเป็นกฎพื้นฐาน แต่ในอนาคตก็มีความเป็นไปได้ที่แฮกเกอร์จะสามารถเดารหัสผ่านต่างๆ ได้

เพราะ CPU หรือ ชิปต่างๆ ได้ถูกพัฒนาอย่างต่อเนื่องให้มีความสามารถที่แกะรหัสผ่านเหล่านี้ได้ในอนาคต แต่ในปัจจุบันก็ได้มีการเริ่มทำการยืนยันตัวตนแบบ 2 ปัจจัย ( Two Factor Authentication) หมายถึงการใช้รหัสผ่านร่วมกับการยืนยันตัวตนอื่นๆ

ไม่ว่าจะเป็น Biometric, Key Fob หรือ OTP เพื่อทำให้ผู้ใช้งานปลอดภัยมากยิ่งขึ้น รวมถึงยังมีระบบที่เรียกว่า Password Management ซึ่งทุกคนในองค์กรจะไม่มีใครรู้รหัสผ่านเพราะจะดำเนินการผ่านเครื่องหรือระบบที่เรียกว่า Privileged Access Management(PAM)

โดยการส่งรหัสผ่านให้แต่ละครั้งและกำหนดช่วงเวลาในการใช้งาน จากนั้นรหัสผ่านจะเปลี่ยนไปทุกรอบในทุกๆ ครั้งที่ใช้งาน รวมถึงการมีระบบบันทึกการเข้ารหัสผ่านและระบบสามารถตรวจสอบย้อนหลังได้ว่าใครเข้าระบบเครือข่ายและเข้าไปทำอะไรบ้าง

สุดท้ายแล้ว รหัสผ่านก็เป็นสิ่งที่ทุกคนต้องให้ความสำคัญเพื่อเป็นตัวช่วยในการรักษาความปลอดภัยเบื้องต้นครับ