เกี่ยวกับรหัสผ่าน ตามรายงานการสืบสวนการละเมิดข้อมูลของ Verizon รหัสผ่านที่ถูกบุกรุกมีส่วนรับผิดชอบต่อ การละเมิดที่เกี่ยวข้องกับการแฮ็กถึง 81% จำเป็นต้องพูด ส่วนสำคัญของการรักษาความปลอดภัยข้อมูลโดยรวมคือการรักษาความปลอดภัยรหัสผ่านของผู้ใช้ของคุณ
อย่างไรก็ตาม แม้ว่าจะมีวิธีปฏิบัติในการรักษาความปลอดภัยด้วยรหัสผ่านแบบเดิมๆ จำนวนมากที่ดูเหมือนใช้งานง่าย แต่หลายๆ วิธีนั้นทำให้เข้าใจผิด ล้าสมัย และแม้แต่ต่อต้าน
นั่นคือที่มาของแนวทางปฏิบัติเกี่ยวกับรหัสผ่านของ National Institute of Standards and Technology (NIST) (หรือที่เรียกว่าNIST Special Publication 800-63B ) แม้ว่าข้อกำหนดเหล่านี้จะเป็นข้อกำหนดสำหรับหน่วยงานของรัฐบาลกลางเท่านั้น แต่ก็ถือว่าเป็นมาตรฐานทองคำสำหรับความปลอดภัยของรหัสผ่านโดยหลายๆ คน ผู้เชี่ยวชาญเนื่องจากมีการวิจัย ตรวจสอบ และนำไปใช้อย่างกว้างขวางได้ดีเพียงใดสำหรับภาคเอกชน
ในความเป็นจริงทีมรักษาความปลอดภัยขององค์กรหลายแห่งใช้หลักเกณฑ์รหัสผ่าน NISTเป็นพื้นฐานอยู่แล้วเพื่อให้สิ่งที่มีประสิทธิภาพมากกว่านโยบาย นั่นคือความน่าเชื่อถือ ดังนั้น หากคุณกำลังมองหาสิ่งที่ได้ผลจริงสำหรับการรักษาความปลอดภัยด้วยรหัสผ่านในปี 2020 นี่คือสิ่งที่ NIST บอกว่าคุณควรจะทำ (เป็นภาษาอังกฤษธรรมดา)
แนวทางการสร้างรหัสผ่านใหม่
ความปลอดภัยของรหัสผ่านเริ่มต้นด้วยการสร้างรหัสผ่านจริง อย่างไรก็ตาม ไม่ใช่แค่ความรับผิดชอบของผู้ใช้ของคุณที่จะต้องแน่ใจว่ารหัสผ่านของพวกเขาอยู่ในระดับเดียวกัน แต่ยังขึ้นอยู่กับคุณด้วยเพื่อให้แน่ใจว่ารหัสผ่านนั้นแข็งแกร่งเพียงพอ (โดยเฉพาะอย่างยิ่งในแง่ของวิธีที่ FTC จัดการกับกรณี TaxSlayer )
นี่คือแนวทางของ NIST ที่ระบุว่าคุณควรรวมไว้ในนโยบายรหัสผ่านใหม่ของคุณ
1. ความยาว > ความซับซ้อน
ภูมิปัญญาดั้งเดิมกล่าวว่ารหัสผ่านที่ซับซ้อนนั้นปลอดภัยกว่า แต่ในความเป็นจริง ความยาวของรหัสผ่านเป็นปัจจัยที่สำคัญกว่ามาก เพราะรหัสผ่านที่ยาวกว่าจะถอดรหัสได้ยากหากถูกขโมย
ต่อไปนี้คือตัวอย่างที่ดีว่าความยาวของรหัสผ่านมีประโยชน์ต่อคุณมากกว่าความซับซ้อนในระดับเทคนิคอย่างไร:
นี่คือเหตุผลที่หลักเกณฑ์ของ NIST กำหนดให้มีความยาวขั้นต่ำแปดอักขระที่เข้มงวด
อย่างไรก็ตาม การวิจัยเพิ่มเติมแสดงให้เห็นว่าการกำหนดให้รหัสผ่านใหม่มีความซับซ้อนในระดับหนึ่งอาจทำให้รหัสผ่านมีความปลอดภัยน้อยลง และนั่นเป็นสาเหตุที่ NIST ได้นำข้อกำหนดด้านความซับซ้อนของรหัสผ่านทั้งหมดออกจากหลักเกณฑ์ด้วย
ตัวอย่างเช่น หลายบริษัทกำหนดให้ผู้ใช้ใส่อักขระพิเศษ เช่น ตัวเลข สัญลักษณ์ หรือตัวพิมพ์ใหญ่ในรหัสผ่านเพื่อให้ถอดรหัสได้ยากขึ้น
น่าเสียดายที่ผู้ใช้จำนวนมากจะเพิ่มความซับซ้อนให้กับรหัสผ่านโดยเพียงแค่ใช้อักษรตัวแรกของรหัสผ่านเป็นตัวพิมพ์ใหญ่หรือเติม “1” หรือ “!” ไปสิ้นสุด และแม้ว่าในทางเทคนิคแล้วจะทำให้รหัสผ่านยากต่อการถอดรหัส แต่นักถอดรหัสรหัสผ่านส่วนใหญ่รู้ดีว่าผู้ใช้มักจะทำตามรูปแบบเหล่านี้และสามารถใช้เพื่อลดเวลาที่จำเป็นในการถอดรหัสรหัสผ่านที่ถูกขโมย
นอกจากนี้ เมื่อความซับซ้อนของรหัสผ่านเพิ่มขึ้น ผู้ใช้มีแนวโน้มที่จะใช้รหัสผ่านซ้ำจากบัญชีหนึ่งไปยังอีกบัญชีหนึ่ง เพิ่มความเสี่ยงที่พวกเขาอาจตกเป็นเหยื่อของการโจมตีการยัดข้อมูลรับรองหากมีการละเมิดบัญชีหนึ่ง
ดังนั้น แทนที่จะบังคับให้ผู้ใช้สร้างรหัสผ่านที่ซับซ้อนมากขึ้น ให้ขอให้ผู้ใช้สร้างรหัสผ่านที่ยาวขึ้น หากคุณต้องการปรับปรุงความปลอดภัยของรหัสผ่าน
2. กำจัดการรีเซ็ตเป็นระยะ
หลายบริษัทขอให้ผู้ใช้รีเซ็ตรหัสผ่านทุกๆ 2-3 เดือน โดยคิดว่าผู้ที่ไม่ได้รับอนุญาตซึ่งได้รับรหัสผ่านของผู้ใช้จะถูกล็อกในไม่ช้า อย่างไรก็ตาม การเปลี่ยนรหัสผ่านบ่อยครั้งอาจทำให้ความปลอดภัยแย่ลงได้
ยากพอที่จะจำรหัสผ่านที่ดีปีละครั้ง และเนื่องจากผู้ใช้มักจะมีรหัสผ่านจำนวนมากที่ต้องจำอยู่แล้ว พวกเขาจึงมักหันไปเปลี่ยนรหัสผ่านในรูปแบบที่คาดเดาได้ เช่น เพิ่มอักขระตัวเดียวต่อท้ายรหัสผ่านล่าสุด หรือแทนที่ตัวอักษรด้วยสัญลักษณ์ที่ดูเหมือนรหัสผ่าน (เช่น $ แทน S)
ดังนั้นหากผู้โจมตีรู้รหัสผ่านเดิมของผู้ใช้อยู่แล้ว การถอดรหัสรหัสผ่านใหม่ก็ไม่ใช่เรื่องยาก หลักเกณฑ์ของ NIST ระบุว่าข้อกำหนดการเปลี่ยนรหัสผ่านเป็นระยะควรถูกยกเลิกด้วยเหตุผลนี้
หลักเกณฑ์การตรวจสอบรหัสผ่าน
วิธีที่คุณตรวจสอบรหัสผ่านเมื่อผู้ใช้เข้าสู่ระบบอาจมีผลกระทบอย่างมากต่อทุกสิ่งที่เกี่ยวข้องกับความปลอดภัยของรหัสผ่าน (รวมถึงการสร้างรหัสผ่าน) นี่คือสิ่งที่ NIST แนะนำเกี่ยวกับการป้อนข้อมูลจริงและการยืนยันรหัสผ่าน
1. เปิดใช้งาน “แสดงรหัสผ่านขณะพิมพ์”
การพิมพ์ผิดเป็นเรื่องปกติเมื่อป้อนรหัสผ่าน และเมื่ออักขระกลายเป็นจุดทันทีที่พิมพ์ จะเป็นการยากที่จะบอกว่าคุณผิดพลาดตรงไหน วิธีนี้กระตุ้นให้ผู้ใช้เลือกรหัสผ่านที่สั้นลงซึ่งไม่น่าจะทำให้สับสน โดยเฉพาะในเว็บไซต์ที่อนุญาตให้เข้าสู่ระบบได้เพียงไม่กี่ครั้ง
ดังนั้นหากผู้ใช้สามารถเลือกที่จะให้รหัสผ่านแสดงระหว่างการพิมพ์ได้ ผู้ใช้ก็จะมีโอกาสป้อนรหัสผ่านยาวๆ ได้อย่างถูกต้องในการลองครั้งแรก
2. อนุญาตรหัสผ่าน “Paste-In”
หากป้อนรหัสผ่านง่ายกว่า ผู้ใช้ของคุณมีแนวโน้มที่จะใช้รหัสผ่านที่ยาวและซับซ้อนกว่าตั้งแต่แรก (ซึ่งปลอดภัยกว่า) นั่นคือจุดที่การทำงานของรหัสผ่านแบบ “วางใน” มีประโยชน์ — หากการป้อนรหัสผ่านนั้นง่ายเหมือนการคัดลอกและวางลงในช่องรหัสผ่าน มันส่งเสริมพฤติกรรมที่ปลอดภัยยิ่งขึ้น
นี่เป็นสิ่งสำคัญอย่างยิ่งเมื่อพิจารณาถึงจำนวนรหัสผ่านที่คนทั่วไปต้องจำในทุกวันนี้ และเครื่องมือที่ผู้คนใช้ในการจัดการรหัสผ่านทั้งหมด
ตัวอย่างเช่น การสำรวจโดย NordPassพบว่า 70% ของผู้คนในสหรัฐอเมริกาและสหราชอาณาจักรมีรหัสผ่านมากกว่า 10 รหัส (20% มีมากกว่า 50 รหัส) และหลายคนเริ่มใช้เครื่องมือจัดการรหัสผ่านเพื่อสร้างและจัดเก็บรหัสผ่านของตน ดังนั้น การอนุญาตให้วางในฟังก์ชันนี้ยังช่วยให้ผู้ใช้สามารถใช้ฟังก์ชันป้อนอัตโนมัติของผู้จัดการรหัสผ่านเพื่อปรับปรุงกระบวนการตรวจสอบความถูกต้องและรักษาความปลอดภัยในเวลาเดียวกัน
3. ใช้การป้องกันรหัสผ่านที่ถูกละเมิด
แนวทางรหัสผ่านใหม่ของ NIST กำหนดให้รหัสผ่านใหม่ทั้งหมดต้องตรวจสอบกับ “บัญชีดำ” ซึ่งรวมถึงคำในพจนานุกรม สตริงที่ซ้ำหรือต่อเนื่องกัน รหัสผ่านที่ใช้จากการละเมิดความปลอดภัยก่อนหน้านี้ การเปลี่ยนแปลงชื่อไซต์ วลีรหัสผ่านที่ใช้กันทั่วไป หรือคำและรูปแบบอื่นๆ ที่ อาชญากรไซเบอร์น่าจะคาดเดาได้
บางแพลตฟอร์ม เช่น Auth0ยกระดับสิ่งนี้ไปอีกระดับหนึ่งและตรวจสอบความพยายามในการเข้าสู่ระบบตามเวลาจริงกับบัญชีดำ เพื่อให้มั่นใจว่าผู้ใช้ได้รับการปกป้องแม้ว่ารหัสผ่านของพวกเขาจะรั่วไหลสู่สาธารณะ:
4. อย่าใช้ “คำแนะนำรหัสผ่าน”
บางบริษัทพยายามช่วยผู้ใช้จำรหัสผ่านที่ซับซ้อนโดยเสนอคำใบ้หรือให้พวกเขาตอบคำถามส่วนตัว
อย่างไรก็ตาม ด้วยการเผยแพร่ข้อมูลส่วนบุคคลอย่างต่อเนื่องบนโซเชียลมีเดียหรือผ่านวิศวกรรมโซเชียล คำตอบของข้อความแจ้งเหล่านี้จึงง่ายต่อการค้นหา ทำให้ผู้โจมตีสามารถเจาะบัญชีผู้ใช้ของคุณได้อย่างง่ายดาย ดังนั้นแนวทางปฏิบัตินี้จึงถูกห้ามโดยแนวทางของ NIST เกี่ยวกับรหัสผ่าน
5. จำกัด ความพยายามรหัสผ่าน
ผู้โจมตีจำนวนมากจะพยายามเจาะบัญชีโดยการเข้าสู่ระบบซ้ำแล้วซ้ำเล่า จนกว่าพวกเขาจะทราบรหัสผ่านที่ถูกต้อง (การโจมตีด้วยกำลังดุร้าย) และวิธีที่ดีในการหยุดการโจมตีประเภทนี้คือการจำกัดจำนวนครั้งในการเข้าสู่ระบบที่อนุญาตก่อนที่จะล็อคบัญชี
ผู้โจมตีโดยเฉลี่ยจะต้องใช้ความพยายามมากกว่าผู้ใช้ทั่วไปที่พิมพ์ผิดได้ง่าย ดังนั้น โดยรวมจุดตัดหรือดีเลย์ คุณจะเพิ่มระยะเวลาอย่างมากที่ผู้โจมตีจะต้องบุกเข้ามา (จนถึงจุดที่แทบไม่มีประโยชน์ที่จะลอง)
ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้
Face-sso (By K&O) หากท่านสนใจ เครื่องสแกนใบหน้ารุ่นต่างๆ หลากหลายรุ่น หรือ ติดตั้งระบบสแกนใบหน้า สามารถติดต่อสอบถามได้โดยตรง เรามีแอดมินคอยคอบคำถาม 24 ชั้วโมงที่ Line OA เครื่องสแกนใบหน้า สามารถ ขอราคาพิเศษได้ ตามงบประมาณที่เหมาะสม สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ มั่นใจเพราะเป็นราคาที่สุด คุ้มค่าที่สุด
หากท่านมีความสนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
