Security

องค์กรประกันคุณภาพข้อมูลแห่งชาติของอังกฤษ (National Technical Authority for Information Assurance - CESG) ออกคำแนะนำการใช้รหัสผ่านฉบับใหม่ ปรับปรุงแนวทางการใช้รหัสผ่านให้ปลอดภัย

คำแนะนำมีหลายข้อ แต่ข้อที่เป็นการเปลี่ยนแปลงหนักๆ คือข้อ 2 ที่ระบุว่าการบังคับเปลี่ยนรหัสผ่านเป็นรอบๆ 30 ถึง 90 วันนั้นเป็นการสร้างภาระให้ผู้ใช้โดยไม่จำเป็น หากรหัสผ่านหลุดไปจริงก็มักจะถูกใช้เจาะระบบในเวลาไม่นาน แนวทางที่ดีกว่าคือการตรวจสอบการใช้รหัสผ่านอย่างต่อเนื่อง แจ้งผู้ใช้เมื่อมีการใช้รหัสผ่านและเปิดช่องทางให้ผู้ใช้รายงานหากมีการใช้รหัสผ่านโดยไม่ได้รับอนุญาต

คำแนะนำของ CESG มีทั้งหมด 7 ข้อ ดังนี้

  1. เปลี่ยนรหัสผ่านเริ่มต้นเสมอ
  2. ช่วยผู้ใช้ลดภาระการจำรหัสผ่าน เลิกบังคับเปลี่ยนรหัสผ่านบ่อยๆ, หากการใช้งานจริงจำเป็นต้องแชร์รหัสผ่านควรหาทางออกให้ผู้ใช้ เช่น โทเค็น, หรือ RFID
  3. เข้าใจข้อจำกัดการสร้างรหัสโดยตัวผู้ใช้ แนะนำแนวทางการสร้างรหัสผ่าน, ช่วยผู้ใช้ตรวจสอบการใช้รหัสผ่านที่พบบ่อย, เตือนผู้ใช้ว่ามิตเตอร์ความแข็งแรงรหัสผ่านไม่สามารถตรวจสอบกรณีที่ผู้ใช้ใช้ข้อมูลส่วนตัว
  4. เข้าใจข้อจำกัดการสร้างรหัสโดยเครื่อง รหัสผ่านที่ได้จากเครื่องสุ่มอาจจะจำยากจนเกินไป ผู้ดูแลระบบอาจจะช่วยเหลือผู้ใช้ด้วยการวางแนวทางการสุ่มให้จำได้ง่ายขึ้น หรือสร้างรหัสหลายชุดให้ผู้ใช้เลือกจำอันที่จำง่ายที่สุดสำหรับตัวเอง
  5. จัดลำดับความสำคัญ ผู้ใช้ที่ความสำคัญสูง เช่น ผู้ดูแลระบบ, ผู้ใช้ที่เข้าระบบได้จากระยะไกล จำเป็นต้องได้รับการปกป้องมากกว่าปกติ เช่น อาจจะมีกระบวนการยืนยันตัวตนสองชั้น
  6. ตรวจสอบการใช้งานสม่ำเสมอ ระบบล็อกอินควรทนทานต่อการถูกเดารหัสผ่านสุ่ม ระบบอาจจะหน่วงเวลาเพิ่มเติมเมื่อมีการใส่รหัสผิด แจ้งเตือนผู้ใช้เมื่อมีความพยายามล็อกอินผิดปกติบ่อยครั้ง และห้ามใช้รหัสผ่านที่พบบ่อย
  7. อย่าเก็บรหัสผ่านโดยไม่แฮช ควรแฮชรหัสผ่านก่อนเก็บลงดิสก์ทุกครั้ง, ใช้ค่า salt สำหรับทุกบัญชีแยกจากกัน, รักษาไฟล์รหัสผ่านให้ดี

ใครที่เจ็บปวดกับนโยบายรหัสผ่านที่บังคับเปลี่ยนกันบ่อยๆ คำแนะนำของ CESG รอบนี้อาจจะเป็นแนวทางสนับสนุนให้เปลี่ยนนโยบายกันเสียทีครับ

CESG เป็นหน่วยงานที่ชื่อย่อแปลกๆ เพราะชื่อเดิมของหน่วยงานคือ Communications-Electronics Security Group ภายใต้ GCHQ หรือหน่วยข่าวกรองของรัฐบาลอังกฤษ

ที่มา - CESG, CESG (PDF)

upic.me

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

โดนมาเลยครับ เว็บธนาคารแห่งหนึ่ง บังคับเปลี่ยนทุก 45 วัน แล้วก็ ห้ามซ้ำของเดิมที่เคยเปลี่ยนๆ มาด้วย (ไม่แน่ใจว่า นับกี่รอบ)

ได้โทรไปปลดล็อค ID หลายครั้งแล้ว

คงต้องเลือกระหว่างโดน hack หรือ ดักข้อมูลใด้ กับ ความยุ่งยากในการเปลี่ยนรหัสบ่อยๆ

... ต้องไม่ลืมว่าต้นทางของคำแนะนำนี้มาจากหน่วยข่าวกรองนะครับ ไม่ควรเปลี่ยน pass บ่อยๆ อาจเป็นเพราะ pass ที่ดักมามันจะไช้ไม่ใด้

2 ช่วยผู้ใช้ลดภาระการจำรหัสผ่าน เลิกบังคับเปลี่ยนรหัสผ่านบ่อยๆ = เปิดโอกาสให้ password ที่ดักมาไช้งานใด้นานหน่อย
3 เข้าใจข้อจำกัดการสร้างรหัสโดยตัวผู้ใช้ แนะนำแนวทางการสร้างรหัสผ่าน, ช่วยผู้ใช้ตรวจสอบการใช้รหัสผ่านที่พบบ่อย, เตือนผู้ใช้ว่ามิตเตอร์ความแข็งแรงรหัสผ่านไม่สามารถตรวจสอบกรณีที่ผู้ใช้ใช้ข้อมูลส่วนตัว = ขอ string สั้นๆ ?
4 เข้าใจข้อจำกัดการสร้างรหัสโดยเครื่อง รหัสผ่านที่ได้จากเครื่องสุ่มอาจจะจำยากจนเกินไป = เปิดโอกาสให้ dictionary brute force !?

ผมเลิกใช้ hotmail เพราะแบบนี้แหละ โดนบังคับเปลี่ยน pass เฉลี่ยเดือนละหนหรือสองหน (แถมห้ามใช้ pass เก่า) แต่เพราะเป็นเมลสำคัญเลยทนอยู่ 2 ปีจนฟางเส้นสุดท้ายขาดไปเมื่อเร็วๆ นี้

ผมโดนกับบัญชีที่ไม่ได้ล็อคอินนานๆครับ แต่ถ้าล็อคอิทุกวันเหมือนจะไม่มีปัญหาอะไรครับ

บัญชีสำรองก้นหม้อที่ไม่ได้เข้ามาเกินครึ่งปีผมนี่รหัสผ่านเก่ากว่าบัญชีในรูปอีกครับ - -" แล้วของคุณ animateex นี่ดูน่าจะใช้บ่อยด้วย

ผมว่าไมโครซอฟท์มีปัญหาด้านการสื่อสารแล้วล่ะมั้งครับเนี่ย เวลาแจ้งให้เปลี่ยนรหัสนี่เค้าแจ้งอะไรมาอีกมั้ยครับ แบบพวกสาเหตุหรืออะไรแถวๆ นั้น

โดนแจ้งว่ามีผู้พยาม login จากที่อื่นครับ แต่เท่าผมเช็คแล้วมันมาจากการที่ผมให้หลาย client หลายตัวพร้อมกัน (ios android windows) รวมถึงยังมี gmail ที่ทำหน้าดูดเมลมา backup ให้อีกชั้น

เคยเห็นอยู่ว่ามีตัวเลือกที่คอยเตือนให้ผู้ใช้งานเปลี่ยนรหัสผ่านบ่อยๆ นะครับ แต่น่าจะโดนสั่งเก็บไปนานแล้วหล่ะครับ

เห็นด้วยอย่างแรง เห็นบ่อยมากที่บริษัทบังคับให้เปลี่ยนรหัสผ่านบ่อย ๆ (บางอันทุกเดือน) พนง.จำไม่ได้เลยจดแปะ Post-it ติดตรงมานิเตอร์นั่นแหละ แล้วมันจะปลอดภัยตรงไหนฟระ? (อย่างน้อยก้ไม่ปลอดภัยจากภายในล่ะ)

ตอนนี้มีพาสเวิร์ดหลายชุด จนจำแทบไม่ได้แล้ว เพราะแต่ละที่ก็มมีกฎเรื่องการตั้งพาสเวิร์ดแตกต่างกันไป กลายเป็นว่าจากแต่ก่อนไม่ค่อยกดปุ่ม forget password จำเป็นต้องมากดรัวๆ

+1 บางที่ห้ามแม้กระทั่งเครื่องหมายต่างๆ ด้วย ต้องเปลี่ยนใหม่เลย อุตส่าห์ตั้งรหัสผ่านไว้ซะดิบดี สุดท้ายก็ต้องหาที่เก็บไว้กันลืม

ตอนนี้กลายเป้นว่าพวก Account ไม่สำคัญนี่ผมใช้ usernam+pass เดียวกันหมดเลย ไอ้พวกที่ให้เปลี่ยนบ่อยๆนี่ก็ใช้พาสพวกนี้แหละมาเพิ่มเลขปีเลขเดือนที่เปลี่ยนไป เพราะ Cycle เปลี่ยนพาสมักจะ fix เป็น 1.2,3 เดือนอยู่แล้วเลยไม่ลำบากจะจำนัก พาสพิศดารนี่จะใช้แต่กับพวก รหัสบัญชีที่เกี่ยวข้องกับการใช้เงินก็พอ

อันนี้ในคำแนะนำถึงได้บอกไงครับ ว่าให้แจ้งผู้ใช้เวลามีการล็อกอิน ผู้ใช้จะได้รู้ตัวว่าถูกขโมยรหัสไปแล้ว

ระบบที่ความสำคัญสูงๆ โดนแอบดูไป "แค่" 30 วันนี่ความเสียหายไม่ได้น้อยลงเท่าไหร่

ผมเก็บ password ด้วย LastPass หลังจากข่าวเมื่อไม่นานนี้ที่เค้าโดน hacker พยายามเจาะก็มั่นใจใน LastPass มากขึ้น

ผมมีคำถามครับ
"อย่าเก็บรหัสผ่านโดยไม่แฮช ควรแฮชรหัสผ่านก่อนเก็บลงดิสก์ทุกครั้ง" จะทำอย่างไรได้บ้าง?

เท่าที่ search ดู OSX เค้าแนะนำ GPG suite หรือ OSX มี built-in encryption แล้วถ้าจะ hash แล้วใส่ cloud drive วันนึงอยากเปิดจาก window อีกวันอาจจะเปิดจาก linux จะทำยังไงให้มันใช้ได้?

แต่ละท่านทำอย่างไรกันครับ อยากให้แชร์ให้อ่านหน่อย

ผมเข้าใจว่า

อย่าเก็บรหัสผ่านโดยไม่แฮช ควรแฮชรหัสผ่านก่อนเก็บลงดิสก์ทุกครั้ง

หมายถึงผู้ให้บริการนะครับ

ปกติมันจะทำที่ฝั่งผู้บริการครับแฮกเกอร์จะได้ไม่ดูดทีเดียว แต่ถ้าอยากทำก็ง่ายนิดเดียว(สำหรับโปรแกรมเมอร์) คือเขียนโปรแกรมทำ AES ง่ายๆแล้วเก็บมาสเตอร์พาสเวิร์คไว้แค่อันเดียว แต่จริงก็มีคนเขียนแอพแบบนี้เยอะแต่จะชัวร์เขียนเองเลยอัพความแข็งแกร่งในการเข้ารหัสลับได้ตลอด