ในปัจจุบันการรักษาความปลอดภัยของรหัสผ่านกำลังได้รับการปรับปรุงอย่างต่อเนื่อง เพื่อให้มีความปลอดภัยที่ดียิ่งขึ้น สำหรับองค์กรที่ยังคงใช้แนวทางเก่า ๆ ในการกำหนดนโยบายรหัสผ่าน อาจถึงเวลาแล้วที่จะต้องพิจารณาทบทวนแนวทางการรักษาความปลอดภัยของรหัสผ่านตามคำแนะนำใหม่จาก สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST : National Institute of Standards and Technology) ซึ่งมีการเปลี่ยนแปลงที่สำคัญเพื่อปรับให้ทันสมัยกับการโจมตีทางไซเบอร์ในยุคปัจจุบัน
1. ความยาวของรหัสผ่านสำคัญกว่าความซับซ้อน
NIST ชี้ให้เห็นว่าแทนที่จะบังคับให้ผู้ใช้สร้างรหัสผ่านที่ซับซ้อนโดยการรวมตัวอักษรตัวใหญ่ ตัวเล็ก ตัวเลข และสัญลักษณ์ ซึ่งมักสร้างรูปแบบที่สามารถคาดเดาได้ง่าย ตัวอย่างเช่น ผู้ใช้มักจะ:
– เริ่มต้นรหัสผ่านด้วยตัวอักษรตัวใหญ่ (เช่น welcome456 กลายเป็น Welcome456)
– จบรหัสผ่านด้วยตัวเลขหรือสัญลักษณ์ (เช่น Welcome456, Welcome2024!!)
– สลับตัวอักษรที่พบได้ทั่วไป (เช่น WelcomeToXYZCorp กลายเป็น W3lcomeToXYZCorp)
สิ่งนี้หมายความว่าอะไร? รหัสผ่านที่ดูเหมือนซับซ้อน (และเป็นไปตามข้อกำหนดของนโยบายรหัสผ่าน) อาจถูกแฮ็กได้ง่าย เพราะมีรูปแบบที่สามารถคาดเดาได้ แต่ควรมุ่งเน้นที่การใช้ รหัสผ่านที่ยาวขึ้น หรือ วลีรหัส (passphrases) ที่ง่ายต่อการจดจำแต่ยากที่จะคาดเดา ซึ่งเป็นวิธีที่มีประสิทธิภาพมากกว่าในการป้องกันการถูกแฮ็ก
2. ส่งเสริมการใช้รหัสผ่านที่ยาวขึ้น
การวิจัยจาก NIST ยืนยันว่า ความยาวของรหัสผ่าน เป็นตัวป้องกันที่มีประสิทธิภาพมากที่สุด การกำหนดให้รหัสผ่านมีความยาวมากขึ้นถึง 64 ตัวอักษร จะช่วยเพิ่มความปลอดภัย แม้จะยากต่อการจดจำ แต่ก็สามารถให้การป้องกันที่ดีขึ้น หากมีการใช้งานร่วมกับเครื่องมือตรวจจับการละเมิดข้อมูล
3. การใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA : Multi-factor authentication)
การยืนยันตัวตนแบบหลายปัจจัย (MFA) ไม่ใช่ตัวเลือกอีกต่อไป แต่เป็น เครื่องมือสำคัญ ที่จะช่วยเพิ่มการป้องกันเมื่อรหัสผ่านล้มเหลว งานวิจัยจาก Microsoft พบว่า 99% ของบัญชีที่ถูกเจาะไม่มี MFA ดังนั้นการนำ MFA มาใช้จะช่วยปิดช่องทางการโจมตีที่แฮ็กเกอร์มักใช้
4. หลีกเลี่ยงการเปลี่ยนรหัสผ่านบ่อยเกินไป
ผู้ใช้ทั่วไปมักไม่ชอบถูกบังคับให้เปลี่ยนรหัสผ่านบ่อยๆ และ NIST เองก็แนะนำว่าไม่ควรบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อยเกินไป เนื่องจากการเปลี่ยนรหัสผ่านบ่อย ๆ อาจนำไปสู่ “รหัสผ่านที่อ่อนแอลง” เพราะผู้ใช้จะเลือกปรับเปลี่ยนแค่เล็กน้อยเท่านั้น แต่อย่างไรก็ตามก็ไม่ควรยกเลิกนโยบายการเปลี่ยนรหัสผ่านโดยสิ้นเชิง ควรขยายระยะเวลาการเปลี่ยนรหัสผ่านให้นานขึ้น พร้อมกับใช้เครื่องมือตรวจจับการละเมิดเข้ามาร่วมด้วย
5. ป้องกันการใช้รหัสผ่านที่ถูกแฮ็กหรือโดนเจาะ
การใช้รหัสผ่านที่เคยถูกเจาะระบบไปแล้วเป็นช่องโหว่ที่สำคัญสำหรับการโจมตีทางไซเบอร์ NIST แนะนำให้องค์กรตรวจสอบรหัสผ่านใหม่กับฐานข้อมูลของรหัสผ่านที่ถูกแฮ็ก เพื่อลดความเสี่ยงจากการใช้รหัสผ่านที่เคยถูกเปิดเผย
6. ยกเลิกการใช้คำใบ้รหัสผ่านและคำถามเพื่อความปลอดภัย
คำถามเพื่อความปลอดภัย เช่น “ชื่อสัตว์เลี้ยงตัวแรกของคุณคืออะไร?” หรือ “ชื่อเดิมของแม่คุณคืออะไร?” นั้นล้าสมัยแล้ว เพราะข้อมูลเหล่านี้มักจะถูกเผยแพร่บนโซเชียลมีเดียและสามารถถูกใช้ในการโจมตีได้ง่าย NIST แนะนำให้ใช้อีเมลสำหรับการกู้คืนรหัสผ่านและการยืนยันตัวตนด้วย MFA ในการตั้งค่ารหัสผ่านใหม่แทน
สรุป
การปรับปรุงนโยบายรหัสผ่านตามคำแนะนำจาก NIST จะช่วยเสริมสร้างความปลอดภัยให้กับองค์กรได้อย่างมีประสิทธิภาพ โดยการมุ่งเน้นไปที่ ความยาวของรหัสผ่าน, การใช้ MFA, การป้องกันรหัสผ่านที่ถูกเจาะ, และการยกเลิกวิธีการกู้คืนที่ล้าสมัย หากองค์กรนำคำแนะนำเหล่านี้ไปใช้ ก็จะช่วยลดความเสี่ยงจากการโจมตีทางไซเบอร์และปกป้องข้อมูลสำคัญได้อย่างมั่นคง
เรียบเรียงจากต้นฉบับ – BPC
