9 ข้อครบจบ ของระบบ “รหัสผ่าน” ที่ปลอดภัยสูงสุด !!
NIST หรือ National Institute of Standards and Technology หน่วยงานของรัฐบาลสหรัฐอเมริกา ที่มีหน้าที่ในการพัฒนาและส่งเสริมมาตรฐานการวัดและเทคโนโลยีต่าง ๆ เผยแนวทางการตั้งพาสเวิร์ดหรือรหัสผ่านฉบับใหม่ (800-63B) สำหรับผู้ให้บริการ ครบจบใน 9 ข้อ
1. ผู้ตรวจสอบและผู้ให้บริการโทรคมนาคม “จะต้อง” กำหนดให้การตั้งรหัสผ่าน มีความยาวอย่างน้อย 8 ตัวอักษร “หรือควรจะ” ควรกำหนดให้การตั้งรหัสผ่านมีความยาวอย่างน้อย 15 ตัวอักษร
2. ผู้ตรวจสอบและผู้ให้บริการโทรคมนาคม ควรอนุญาตให้สามารถตั้งรหัสผ่านได้ยาวสูงสุดอย่างน้อย 64 ตัวอักษร
3. ผู้ตรวจสอบและผู้ให้บริการโทรคมนาคม ควรอนุญาตให้ใช้ตัวอักษร ASCII [RFC20] ทั้งหมด (การเข้ารหัสข้อมูลที่ใช้ตัวอักษรและสัญลักษณ์ในคอมพิวเตอร์) และตัวอักษรช่องว่างในการตั้งรหัสผ่าน
4. ผู้ตรวจสอบและผู้ให้บริการโทรคมนาคม ควรอนุญาตให้ใช้ตัวอักษร Unicode [ISO/ISC 10646] ในการตั้งรหัสผ่าน (การเข้ารหัสข้อมูลที่ออกแบบมาเพื่อแทนค่าตัวอักษรและสัญลักษณ์ในภาษาต่าง ๆ ทั่วโลก) จุดรหัส Unicode แต่ละจุด ควรนับเป็นตัวอักษร ตัวเดียว เมื่อต้องประเมินเรื่องความยาวของรหัสผ่าน
5. ผู้ตรวจสอบและผู้ให้บริการโทรคมนาคม จะต้องไม่ให้ผู้ใช้ตั้งรหัสผ่านที่มีการผสมตัวอักษร เช่น กำหนดให้ใช้ตัวอักษรต่าง ๆ ผสมกัน
6. ผู้ตรวจสอบและผู้ให้บริการโทรคมนาคม จะต้องไม่บังคับให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อย ๆ อย่างไรก็ตาม ผู้ตรวจสอบ “จะต้อง” บังคับให้เกิดการเปลี่ยนรหัสผ่าน หากพบว่าระบบการตรวจสอบความถูกต้องเกิดปัญหา หรือมีการบุกรุกจากภายนอก
7. ผู้ตรวจสอบและผู้ให้บริการโทรคมนาคม จะต้องไม่อนุญาตให้ผู้ใช้เก็บเบาะแสที่เกี่ยวกับรหัสผ่านเอาไว้เอง เพราะมีโอกาสให้ผู้ใช้งานที่ไม่ใช่เจ้าของรหัสผ่าน สามารถเข้าถึงตัวรหัสผ่านได้
8. ผู้ตรวจสอบและผู้ให้บริการโทรคมนาคม จะต้องไม่แจ้งเตือนผู้ใช้งาน ตรวจสอบสิทธิ์ในรหัสผ่านโดยใช้ฐานข้อมูลความรู้ (knowledge-based authentication) เช่น “ชื่อสัตว์เลี้ยงตัวแรกของคุณคืออะไร” หรือคำถามด้านความปลอดภัย (security questions) เมื่อต้องเลือกใช้รหัสผ่าน
9. ผู้ตรวจสอบจะต้องตรวจสอบรหัสผ่านที่ส่งมาทั้งหมด ครบทุกตัวอักษร โดยไม่ตัดทอนใด ๆ
แนวทางทั้ง 9 ข้อนี้เน้นย้ำถึงความสำคัญ องการรับรองความถูกต้องแบบหลายปัจจัย (MFA) ที่เป็นอีกขั้นของการรักษาความปลอดภัย ในขณะที่องค์กรนำหลักเกณฑ์ใหม่เหล่านี้ไปใช้ ผู้ใช้จะได้เห็นการเปลี่ยนแปลงในนโยบายรหัสผ่าน ของแต่ละแพลตฟอร์มและบริการต่าง ๆ แม้ว่าระบบทั้งหมดอาจต้องใช้เวลาในการปรับตัว แต่ผู้เชี่ยวชาญเชื่อว่าการเปลี่ยนแปลงเหล่านี้ จะนำไปสู่การรักษาความปลอดภัยด้วยรหัสผ่านที่มีประสิทธิภาพมากขึ้นในระยะยาว
ที่มาข้อมูล : cybersecuritynews.com