Tags:
Node Thumbnail

สำนักงานผู้ตรวจการกระทรวงมหาดไทยสหรัฐฯ (Department of Interior - DOI) รายงานถึงการตรวจสอบรหัสผ่านในระบบพบว่ามีการใช้รหัสผ่านที่อ่อนแอจำนวนมาก และผู้ตรวจสอบสามารถหารหัสผ่านจากค่าแฮชได้ถึง 16% ของผู้ใช้ทั้งหมดที่มีอยู่ 85,944 คนได้ภายใน 90 นาที และเมื่อหารหัสต่อไปก็สามารถหารหัสผ่านเจอถึง 21% ของผู้ใช้ทั้งหมด

รหัสผ่านยอดนิยมมักเป็นคำว่า "password" ผสมกับ "1234" ในรูปแบบต่างๆ เพื่อให้ผ่านกฎความซับซ้อนรหัสผ่านไปเรื่อยๆ เฉพาะ "Password-1234" (มีตัวใหญ่, ตัวเล็ก, เครื่องหมาย, และตัวเลข) มีการใช้งานถึง 478 ครั้ง ทาง DOI มีมาตรฐานภายในกระทรวงระบุให้รหัสผ่านต้องยาวอย่างน้อย 12 ตัวอักษร ต้องประกอบตัวประเภทตัวอักขระตัวเล็ก, ตัวใหญ่, ตัวเลข, และเครื่องหมาย อย่างน้อย 3 ใน 4 ประเภท พร้อมกับบังคับเปลี่ยนรหัสผ่านทุก 60 วัน

การตรวจสอบก่อนหน้านี้เจ้าหน้าที่สามารถหารหัสผ่านเจอสูงถึง 20-40% รอบนี้จึงอาจจะพอถือว่าได้มีการปรับปรุงขึ้นแต่ก็ยังนับว่ามีรหัสผ่านอ่อนแอจำนวนมาก แต่ปัญหาอีกอย่างหนึ่งคือมีบัญชีจำนวนมากที่ไม่มีการใช้งาน ไม่ได้ล็อกอินนานเกิน 45 วันแต่ไม่ถูกปิดบัญชีตามมาตรฐานความปลอดภัย

รายงานแนะนำให้บังคับใช้การล็อกอินแบบ MFA ให้ครอบคลุมยิ่งขึ้น ปรับนโยบายเป็นตามมาตรฐาน NIST SP800-63 ที่ระบุว่าให้เลิกกำหนดความซับซ้อนรหัสผ่าน แต่ให้ไปตรวจสอบเอาว่าผู้ใช้ได้ใช้รหัสผ่านที่เคยหลุดออกไปมาก่อนหรือไม่

ที่มา - DOI-OIG

alt="Screenshot-2566-02-01-at-22-22-23.png"

Get latest news from Blognone

Comments

By: Hoo
AndroidWindows
on 1 February 2023 - 23:02 #1276239

มีใครรู้มั๊ยว่า Br0nc0$2012 หมายถึงอะไร
ทำไมใช้กันเยอะ 🤔

By: zendz
iPhone
on 1 February 2023 - 23:41 #1276240 Reply to:1276239

เดาว่าเป็นคนใช้งาน ford รุ่น bronco ที่ผลิตในปี 2012 ซึ่ง pass นี้น่าจะเป็น default password แล้ว user ไม่ได้เปลี่ยน

By: whitebigbird
Contributor
on 2 February 2023 - 13:12 #1276307 Reply to:1276239
whitebigbird's picture

น่าจะแฟนๆ Denver Broncos ทีมใน NFL เดาว่าปี 2012 น่าจะมีเหตุการณ์สำคัญอะไรสักอย่าง

By: K_AViar
Windows PhoneUbuntuWindowsIn Love
on 1 February 2023 - 23:59 #1276244

ขำอันสุดท้าย 😅

By: PowerBerry
Android
on 2 February 2023 - 05:49 #1276253

ที่พบเจอมาด้วยตัวเอง ถ้าโดนบังคับให้เปลี่ยนภายในเวลาที่กำหนดแล้วมีเงื่อนไขต้องยาวและใช้ตัวอักษรพิเศษ ผลลัพธ์คือ ไม่ลืมก็จบที่รหัสแบบง่ายแต่ขอให้ผ่านเงื่อนไข

By: AMp
In Love
on 2 February 2023 - 09:25 #1276272 Reply to:1276253

ผมใช้วิธีเบิ้ลตัวท้ายไปแทน ยื้อไปได้อีกพักใหญ่

By: canconan
iPhone
on 2 February 2023 - 10:26 #1276285 Reply to:1276253

สำหรับคอมออฟฟิศ ผมใช้วิธีเปลี่ยนทุกเดือนแล้วเพิ่มคีย์ปีและเดือนเข้าไป LoL

By: mr_tawan
ContributoriPhoneAndroidWindows
on 2 February 2023 - 13:55 #1276311 Reply to:1276253
mr_tawan's picture

Noom@Feb23


  • 9tawan.net บล็อกส่วนตัวฮับ
By: horakung
iPhoneAndroidWindows
on 2 February 2023 - 06:21 #1276254
horakung's picture

ยอมเลยว่า สมัยนี้รหัสผ่านไม่ต้องยากมากก็ได้ แต่ต้องมี 2FA หรือ Key จะสะดวกสุด

By: chettaphong
iPhoneWindows PhoneAndroidRed Hat
on 2 February 2023 - 07:09 #1276256 Reply to:1276254

จริงครับ 2FA หรือมี key ดีที่สุด

By: btoy
ContributorAndroidWindows
on 2 February 2023 - 08:43 #1276262 Reply to:1276254
btoy's picture

เห็นด้วยว่าเป็นตัวเลือกที่ทั้งสะดวกและปลอดภัย


..: เรื่อยไป

By: AMp
In Love
on 2 February 2023 - 09:22 #1276270

สู้ของไทยไม่ได้ รหัสผ่านแข็งแรงกว่าเยอะ j4*9c+p.

By: rattananen
AndroidWindows
on 2 February 2023 - 10:24 #1276283 Reply to:1276270

ผิดครับต้อง j4**9c+p

By: sMaliHug on 2 February 2023 - 09:32 #1276273

เลิกใช้ครับ password สับสนวุ่นวายกับuser และไม่ปลอดภัยอีก

By: nzing82
AndroidWindows
on 2 February 2023 - 11:53 #1276296

รหัสผ่านแบบคาราโอเกะได้มะ
Ch@ny@rkd@in@yokm@i!!!

By: tom789
Windows Phone
on 2 February 2023 - 12:22 #1276303

ใช้ง่าย จำง่าย บ้างครั้งใช้ยากไป นานๆก็ลืมอีก