Tags:
Node Thumbnail

Lorrie Cranor หัวหน้าฝ่ายเทคโนโลยีของคณะกรรมการการค้าสหรัฐฯ (Federal Trade Commission - FTC) ขึ้นพูดในงาน PasswordCon ระบุถึงความเปลี่ยนแปลงด้านนโยบายของ FTC ที่เคยทวีตแนะนำผู้ใช้ให้เปลี่ยนรหัสผ่านบ่อยๆ เมื่อเธอเห็นทวีตนี้จึงไปพูดคุยกับหัวหน้าฝ่ายความปลอดภัยสารสนเทศ และหัวหน้าฝ่ายสารสนเทศ ระบุว่าผู้เชี่ยวชาญในช่วงหลังๆ ไม่แนะนำให้เปลี่ยนรหัสผ่านกันบ่อยๆ นัก

การศึกษากระบวนการบังคับเปลี่ยนรหัสผ่านที่สำคัญครั้งหนึ่งมาจากงานวิจัย "The Security of Modern Password Expiration" ที่ผู้วิจัยศึกษานโยบายของมหาวิทยาลัยที่บังคับเปลี่ยนรหัสผ่านทุกสามเดือน พบว่าในโลกความเป็นจริงผู้ใช้ส่วนมากมัก "แปลง" (transform) รหัสผ่านเดิมเป็นรหัสผ่านใหม่ เช่น "Wheeler#1" เป็น "wHeeler#1" หรือ "Wheeler#11" หรือ "Wheeler#2" รูปแบบเช่นนี้จะวนไปเรื่อยๆ ทุกครั้งที่บังคับเปลี่ยนรหัส

Cranor ระบุว่าเธอใช้รหัสผ่านสำหรับงานรัฐบาล 6 รหัส ตอนนี้มี 2 รหัสที่ไม่บังคับเปลี่ยนตามอายุการใช้งานอีกแล้ว และ FTC กำลังทำงานกับระบบที่เหลือ

ในงาน PasswordCon ยังมีรายการบรรยายอื่นๆ เช่น การบรรยายของ Jim Fenton หัวข้อ "Toward Better Password Requirements" ก็ระบุว่าร่างมาตรฐาน NIST 800-63B เวอร์ชั่นล่าสุดไม่มีการกำหนดให้เปลี่ยนรหัสผ่านเป็นรอบอีกแล้ว รวมถึงยังพูดถึงการสร้างกฎการตั้งรหัสผ่านที่ซับซ้อนว่าไม่ได้ช่วยเพิ่มความปลอดภัยมากนัก การแนะนำให้ผู้ใช้ตั้งรหัสผ่านได้ยาวๆ แต่ยังคงจำได้ง่ายสำคัญกว่า และหากผู้ใช้ไปใช้รหัสผ่านที่เคยมีการเปิดเผยต่อสาธารณะมาแล้วก็ควรมีการแจ้งเตือนผู้ใช้

ปีที่แล้วรัฐบาลอังกฤษก็เปลี่ยนคำแนะนำการตั้งรหัสผ่าน ไม่แนะนำให้บังคับเปลี่ยนรหัสผ่านตามรอบอีกต่อไป

ที่มา - ArsTechnica

Get latest news from Blognone

Comments

By: RadiusGreenhill
AndroidWindows
on 4 August 2016 - 00:39 #930279

ดังนั้น มาใช้ LastPass กันเถอะ

By: nrml
ContributorIn Love
on 4 August 2016 - 08:32 #930326 Reply to:930279
nrml's picture

LostPass น่ะเหรอครับ

By: iNin
iPhone
on 4 August 2016 - 00:53 #930284

เปลี่ยนบ่อย จนสุดท้ายลืมเอง 5555+

By: zda98
Windows Phone
on 4 August 2016 - 01:00 #930285

ถึงเวลาใช้ biometric system ได้แล้ว นิ่ว สแกนม่านตา

By: mr_tawan
ContributoriPhoneAndroidWindows
on 4 August 2016 - 01:11 #930289
mr_tawan's picture

August2016


  • 9tawan.net บล็อกส่วนตัวฮับ
By: lingjaidee
ContributoriPhoneAndroid
on 4 August 2016 - 01:50 #930295
lingjaidee's picture

แต่อาจจะช่วยได้ในบางกรณีนะครับ อย่างรหัส ATM ที่มีความเสี่ยงจาก Skimmer งี้ (ถ้ามันได้ข้อมูลบัตรไปก็อปตอนจังหวะเราเปลี่ยนรหัส อย่างน้อยก็รอด 55) แต่ถ้าเป็นรหัสทางคอมก็คงตามนั้น


my blog

By: lew
FounderJusci's WriterMEconomicsAndroid
on 4 August 2016 - 02:01 #930297 Reply to:930295
lew's picture

ประเด็นที่เขาให้เปลี่ยนรหัสสมัยก่อนก็เหตุผลนี้ล่ะครับ แต่ประโยชน์มันน้อยมากๆ

กรณี ATM ถ้าผู้ใช้มีวินัยเปลี่ยนรหัสผ่านทุก 2 เดือน แต่ในความเป็นจริงโจร skimmer มักไล่ถอนเงินภายในไม่กี่วัน ก่อนที่ธนาคารจะรู้ตัว โอกาสที่จังหวะเปลี่ยนรหัสจะตรงกับ skimmer กำลังเอาบัตรไปถอนเงินพอดีมันก็น้อยมากๆ


lewcpe.com, @public_lewcpe

By: alonerii
AndroidUbuntuWindows
on 4 August 2016 - 02:47 #930303 Reply to:930295

ส่วนตัวคิดว่าการเปลี่ยนรหัสผ่านบ่อย ๆ หรือเป็นรอบ ๆ ในทางทฤษฎีมันฟังดูดีนะครับ แต่เอาเข้าจริงประโยชน์มันต่ำมากครับ ถ้าบัตรโดน Skimmer อย่างช้า 1 เดือนบัตรก็โดนถอนแล้วล่ะ และแน่นอนว่าคงไม่มีใครอยากจะจำรหัสบัตรใหม่ทุก ๆ เดือนหรอกมั้ง โอกาสที่จะดวงดีได้เปลี่ยนรหัสก่อนโดนถอนมันน้อยมากครับ แถมปกติเราก็ไม่ค่อยเปลี่ยนรหัสบัตร ATM กันอยู่แล้วนอกจากบัตรหาย

By: put4558350
ContributorAndroidUbuntuWindows
on 4 August 2016 - 11:51 #930381 Reply to:930295
put4558350's picture

ผมว่าการเปลี่ยนรหัสเป็นระยะ ช่วยใด้มากเวลาโดนเอารหัสไปขาย / nsa ดูดข้อมูล นะครับ

atm ก็ช่วยเหมือนกันนะ ขึ้นกับว่าคนที่ skim เอาไปทำอย่างไร


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: nrml
ContributorIn Love
on 4 August 2016 - 12:00 #930382 Reply to:930381
nrml's picture

ทางทฤษฎีมันก็เป็นแบบนั้นครับ แต่ในทางปฏิบัติไม่ใช่ว่าทุกคนท่ีจะสามารถเคร่งครัดอยู่กับกฎนี้ไปได้ตลอด

By: Jonathan_Job
WriteriPhoneUbuntuWindows
on 4 August 2016 - 11:01 #930323
Jonathan_Job's picture

ข่าวซ้ำ? https://www.blognone.com/node/78964

By: lew
FounderJusci's WriterMEconomicsAndroid
on 4 August 2016 - 12:29 #930392 Reply to:930323
lew's picture

เอ้อ เธอไปพูดที่ PasswordCon เลยมีข่าวมาอีกรอบครับ


lewcpe.com, @public_lewcpe

By: natong on 4 August 2016 - 09:15 #930344

เห็นด้วยไม่เชื่อตั้งแต่ปี 1980 แล้ว
มันจะได้ผลกับกรณีที่แฮกเกอร์ได้ข้อมูล encrypted ไป และใช้เวลาหลายเดือนเพื่อวนลูปถอดรหัส

By: nessuchan
iPhoneAndroidWindows
on 4 August 2016 - 11:31 #930374
nessuchan's picture

เบื่อมากเวบที่บังคับเปลี่ยนรหัสผ่าน

และก็จริงคือ ผมก็ใช้แพทเทิร์นเดิม ๆ ซึ่งยอมรับมันไม่ปลอดภัยเลย แต่ต่อให้คิดดี ๆ เท่าไร เดี๋ยวอีกสามเดือนก็ต้องเปลี่ยนอยู่ดี - -*

By: Roborov
iPhoneAndroidUbuntuWindows
on 4 August 2016 - 15:25 #930418
Roborov's picture

ก็จริงนะครับ เจอหลายคนใช้วิธีเปลี่ยน password แบบรันเลขห้อยท้ายไปเรื่อยๆแทน แต่ตัวหน้านี่เหมือนเดิมเลย

By: -Rookies-
ContributorAndroidWindowsIn Love
on 4 August 2016 - 15:40 #930425

สูญเสียกันไปเท่าไหร่แล้วกับการโดนบังคับเปลี่ยนรหัส เลยจดรหัสแปะติดหน้าจอมันซะเลย...


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: tstcnr1u
iPhoneWindows PhoneAndroidUbuntu
on 4 August 2016 - 19:41 #930474 Reply to:930425

ถ้าเป็นเพื่อนๆสมัยเรียนนี่ไม่มีใครกล้าหรอกครับ

ลองจดรหัสเข้า window ติดหน้าจอแล้วไปกินข้าวพร้อมล็อคอิน Facebook ทิ้งไว้สิครับ ไม่เหลือ

By: illuminator
ContributorAndroidUbuntuWindows
on 4 August 2016 - 22:20 #930518
illuminator's picture

จากตอนแรกตั้งไว้ยาวเป็นสิบกว่าตัว เปลี่ยนแต่ละรอบหั่นสั่นลงทุกรอบเพราะคิดใหม่จำไม่ได้ สุดท้ายเหลืออยู่ไม่กี่ตัว

// จริงๆพยายามจำก็จำได้ แต่กว่าจะจำได้ก็โดนให้เปลี่ยนใหม่ ใครมันจะไปจำทัน


The softest water wears down the hardest rock.