Tags:
Node Thumbnail

องค์กรประกันคุณภาพข้อมูลแห่งชาติของอังกฤษ (National Technical Authority for Information Assurance - CESG) ออกคำแนะนำการใช้รหัสผ่านฉบับใหม่ ปรับปรุงแนวทางการใช้รหัสผ่านให้ปลอดภัย

คำแนะนำมีหลายข้อ แต่ข้อที่เป็นการเปลี่ยนแปลงหนักๆ คือข้อ 2 ที่ระบุว่าการบังคับเปลี่ยนรหัสผ่านเป็นรอบๆ 30 ถึง 90 วันนั้นเป็นการสร้างภาระให้ผู้ใช้โดยไม่จำเป็น หากรหัสผ่านหลุดไปจริงก็มักจะถูกใช้เจาะระบบในเวลาไม่นาน แนวทางที่ดีกว่าคือการตรวจสอบการใช้รหัสผ่านอย่างต่อเนื่อง แจ้งผู้ใช้เมื่อมีการใช้รหัสผ่านและเปิดช่องทางให้ผู้ใช้รายงานหากมีการใช้รหัสผ่านโดยไม่ได้รับอนุญาต

คำแนะนำของ CESG มีทั้งหมด 7 ข้อ ดังนี้

  1. เปลี่ยนรหัสผ่านเริ่มต้นเสมอ
  2. ช่วยผู้ใช้ลดภาระการจำรหัสผ่าน เลิกบังคับเปลี่ยนรหัสผ่านบ่อยๆ, หากการใช้งานจริงจำเป็นต้องแชร์รหัสผ่านควรหาทางออกให้ผู้ใช้ เช่น โทเค็น, หรือ RFID
  3. เข้าใจข้อจำกัดการสร้างรหัสโดยตัวผู้ใช้ แนะนำแนวทางการสร้างรหัสผ่าน, ช่วยผู้ใช้ตรวจสอบการใช้รหัสผ่านที่พบบ่อย, เตือนผู้ใช้ว่ามิตเตอร์ความแข็งแรงรหัสผ่านไม่สามารถตรวจสอบกรณีที่ผู้ใช้ใช้ข้อมูลส่วนตัว
  4. เข้าใจข้อจำกัดการสร้างรหัสโดยเครื่อง รหัสผ่านที่ได้จากเครื่องสุ่มอาจจะจำยากจนเกินไป ผู้ดูแลระบบอาจจะช่วยเหลือผู้ใช้ด้วยการวางแนวทางการสุ่มให้จำได้ง่ายขึ้น หรือสร้างรหัสหลายชุดให้ผู้ใช้เลือกจำอันที่จำง่ายที่สุดสำหรับตัวเอง
  5. จัดลำดับความสำคัญ ผู้ใช้ที่ความสำคัญสูง เช่น ผู้ดูแลระบบ, ผู้ใช้ที่เข้าระบบได้จากระยะไกล จำเป็นต้องได้รับการปกป้องมากกว่าปกติ เช่น อาจจะมีกระบวนการยืนยันตัวตนสองชั้น
  6. ตรวจสอบการใช้งานสม่ำเสมอ ระบบล็อกอินควรทนทานต่อการถูกเดารหัสผ่านสุ่ม ระบบอาจจะหน่วงเวลาเพิ่มเติมเมื่อมีการใส่รหัสผิด แจ้งเตือนผู้ใช้เมื่อมีความพยายามล็อกอินผิดปกติบ่อยครั้ง และห้ามใช้รหัสผ่านที่พบบ่อย
  7. อย่าเก็บรหัสผ่านโดยไม่แฮช ควรแฮชรหัสผ่านก่อนเก็บลงดิสก์ทุกครั้ง, ใช้ค่า salt สำหรับทุกบัญชีแยกจากกัน, รักษาไฟล์รหัสผ่านให้ดี

ใครที่เจ็บปวดกับนโยบายรหัสผ่านที่บังคับเปลี่ยนกันบ่อยๆ คำแนะนำของ CESG รอบนี้อาจจะเป็นแนวทางสนับสนุนให้เปลี่ยนนโยบายกันเสียทีครับ

CESG เป็นหน่วยงานที่ชื่อย่อแปลกๆ เพราะชื่อเดิมของหน่วยงานคือ Communications-Electronics Security Group ภายใต้ GCHQ หรือหน่วยข่าวกรองของรัฐบาลอังกฤษ

ที่มา - CESG, CESG (PDF)

alt="upic.me"

Get latest news from Blognone

Comments

By: dazehaze
Android
on 11 September 2015 - 12:58 #842053
dazehaze's picture

จริงครับ เปลี่ยนบ่อยจนลืมเองบางที

By: SilentHeal
AndroidUbuntuWindowsIn Love
on 11 September 2015 - 15:01 #842114 Reply to:842053
SilentHeal's picture

โดนมาเลยครับ เว็บธนาคารแห่งหนึ่ง บังคับเปลี่ยนทุก 45 วัน แล้วก็ ห้ามซ้ำของเดิมที่เคยเปลี่ยนๆ มาด้วย (ไม่แน่ใจว่า นับกี่รอบ)

ได้โทรไปปลดล็อค ID หลายครั้งแล้ว

By: put4558350
ContributorAndroidUbuntuWindows
on 12 September 2015 - 06:52 #842328 Reply to:842114
put4558350's picture

คงต้องเลือกระหว่างโดน hack หรือ ดักข้อมูลใด้ กับ ความยุ่งยากในการเปลี่ยนรหัสบ่อยๆ

... ต้องไม่ลืมว่าต้นทางของคำแนะนำนี้มาจากหน่วยข่าวกรองนะครับ ไม่ควรเปลี่ยน pass บ่อยๆ อาจเป็นเพราะ pass ที่ดักมามันจะไช้ไม่ใด้

2 ช่วยผู้ใช้ลดภาระการจำรหัสผ่าน เลิกบังคับเปลี่ยนรหัสผ่านบ่อยๆ = เปิดโอกาสให้ password ที่ดักมาไช้งานใด้นานหน่อย
3 เข้าใจข้อจำกัดการสร้างรหัสโดยตัวผู้ใช้ แนะนำแนวทางการสร้างรหัสผ่าน, ช่วยผู้ใช้ตรวจสอบการใช้รหัสผ่านที่พบบ่อย, เตือนผู้ใช้ว่ามิตเตอร์ความแข็งแรงรหัสผ่านไม่สามารถตรวจสอบกรณีที่ผู้ใช้ใช้ข้อมูลส่วนตัว = ขอ string สั้นๆ ?
4 เข้าใจข้อจำกัดการสร้างรหัสโดยเครื่อง รหัสผ่านที่ได้จากเครื่องสุ่มอาจจะจำยากจนเกินไป = เปิดโอกาสให้ dictionary brute force !?


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: animateex
iPhoneAndroidUbuntuWindows
on 11 September 2015 - 13:09 #842059
animateex's picture

ผมเลิกใช้ hotmail เพราะแบบนี้แหละ โดนบังคับเปลี่ยน pass เฉลี่ยเดือนละหนหรือสองหน (แถมห้ามใช้ pass เก่า) แต่เพราะเป็นเมลสำคัญเลยทนอยู่ 2 ปีจนฟางเส้นสุดท้ายขาดไปเมื่อเร็วๆ นี้

By: errin on 11 September 2015 - 13:18 #842067 Reply to:842059

บางทีก็สงสัยว่าระหว่างแฮคเกอร์กับผู้ใช้ใครจะ Log in เข้าไปง่ายกว่ากัน

By: MaxxIE
iPhoneAndroidUbuntuWindows
on 11 September 2015 - 21:53 #842260 Reply to:842067
MaxxIE's picture

+1 hotmailที่สูญเสียไปเลยครับ

By: hisoft
ContributorWindows PhoneWindows
on 11 September 2015 - 13:40 #842082 Reply to:842059
hisoft's picture

เอ่อ ไปโดนอะไรมารึเปล่าครับ ผมไม่เคยโดนนะครับนอกจากเปลี่ยนเอง

ภาพจากหนึ่งในบัญชีไมโครซอฟท์

No Description

By: AmidoriA
UbuntuWindows
on 11 September 2015 - 14:18 #842100 Reply to:842082
AmidoriA's picture

ผมโดนกับบัญชีที่ไม่ได้ล็อคอินนานๆครับ แต่ถ้าล็อคอิทุกวันเหมือนจะไม่มีปัญหาอะไรครับ

By: hisoft
ContributorWindows PhoneWindows
on 11 September 2015 - 14:52 #842109 Reply to:842100
hisoft's picture

บัญชีสำรองก้นหม้อที่ไม่ได้เข้ามาเกินครึ่งปีผมนี่รหัสผ่านเก่ากว่าบัญชีในรูปอีกครับ - -" แล้วของคุณ animateex นี่ดูน่าจะใช้บ่อยด้วย

ผมว่าไมโครซอฟท์มีปัญหาด้านการสื่อสารแล้วล่ะมั้งครับเนี่ย เวลาแจ้งให้เปลี่ยนรหัสนี่เค้าแจ้งอะไรมาอีกมั้ยครับ แบบพวกสาเหตุหรืออะไรแถวๆ นั้น

By: animateex
iPhoneAndroidUbuntuWindows
on 13 September 2015 - 22:03 #842672 Reply to:842082
animateex's picture

โดนแจ้งว่ามีผู้พยาม login จากที่อื่นครับ แต่เท่าผมเช็คแล้วมันมาจากการที่ผมให้หลาย client หลายตัวพร้อมกัน (ios android windows) รวมถึงยังมี gmail ที่ทำหน้าดูดเมลมา backup ให้อีกชั้น

By: tanersirakorn
ContributorAndroidUbuntuIn Love
on 11 September 2015 - 14:26 #842103 Reply to:842059
tanersirakorn's picture

ผมว่าผมเคยเห็นมันเป็น "ตัวเลือก" หนึ่งนะ เคยติ๊กไว้แล้วไมาทันสังเกตหรือเปล่าครับ?


Blog | Twitter

By: hisoft
ContributorWindows PhoneWindows
on 11 September 2015 - 14:52 #842111 Reply to:842103
hisoft's picture

เมื่อกี้ผมพยายามส่องหาเหมือนกันครับแต่ไม่เจอแฮะ

By: osmiumwo1f
ContributorWindows PhoneWindows
on 11 September 2015 - 16:01 #842160 Reply to:842111
osmiumwo1f's picture

เคยเห็นอยู่ว่ามีตัวเลือกที่คอยเตือนให้ผู้ใช้งานเปลี่ยนรหัสผ่านบ่อยๆ นะครับ แต่น่าจะโดนสั่งเก็บไปนานแล้วหล่ะครับ

By: nrml
ContributorIn Love
on 11 September 2015 - 15:44 #842148 Reply to:842059
nrml's picture

ผมพยายาม recover password จนท้อครับ สุดท้ายยอมแพ้ ได้แต่ก้มหน้ายอมรับชะตากรรมโยนอดีตและเรื่องราวมากมายในนั้นทั้งหมดทิ้งไป

By: -Rookies-
ContributorAndroidWindowsIn Love
on 11 September 2015 - 13:34 #842081

เห็นด้วยอย่างแรง เห็นบ่อยมากที่บริษัทบังคับให้เปลี่ยนรหัสผ่านบ่อย ๆ (บางอันทุกเดือน) พนง.จำไม่ได้เลยจดแปะ Post-it ติดตรงมานิเตอร์นั่นแหละ แล้วมันจะปลอดภัยตรงไหนฟระ? (อย่างน้อยก้ไม่ปลอดภัยจากภายในล่ะ)


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: nrml
ContributorIn Love
on 11 September 2015 - 13:45 #842084
nrml's picture

ตอนนี้มีพาสเวิร์ดหลายชุด จนจำแทบไม่ได้แล้ว เพราะแต่ละที่ก็มมีกฎเรื่องการตั้งพาสเวิร์ดแตกต่างกันไป กลายเป็นว่าจากแต่ก่อนไม่ค่อยกดปุ่ม forget password จำเป็นต้องมากดรัวๆ

By: AMp
In Love
on 11 September 2015 - 14:31 #842104 Reply to:842084

+1 บางที่ห้ามแม้กระทั่งเครื่องหมายต่างๆ ด้วย ต้องเปลี่ยนใหม่เลย อุตส่าห์ตั้งรหัสผ่านไว้ซะดิบดี สุดท้ายก็ต้องหาที่เก็บไว้กันลืม

By: zerost
AndroidWindows
on 11 September 2015 - 14:09 #842095
zerost's picture

ตอนนี้กลายเป้นว่าพวก Account ไม่สำคัญนี่ผมใช้ usernam+pass เดียวกันหมดเลย ไอ้พวกที่ให้เปลี่ยนบ่อยๆนี่ก็ใช้พาสพวกนี้แหละมาเพิ่มเลขปีเลขเดือนที่เปลี่ยนไป เพราะ Cycle เปลี่ยนพาสมักจะ fix เป็น 1.2,3 เดือนอยู่แล้วเลยไม่ลำบากจะจำนัก พาสพิศดารนี่จะใช้แต่กับพวก รหัสบัญชีที่เกี่ยวข้องกับการใช้เงินก็พอ

By: somphong.s
AndroidWindows
on 11 September 2015 - 14:44 #842108

แอบ ระแวง นิดนึง ว่า
พวกแอบดู เขาได้รหัสเราไปเก็บไว้
ถ้าเราเปลี่ยนบ่อย เขาจัดการ ลำบาก รึเปล่า
5555

By: lew
FounderJusci's WriterMEconomicsAndroid
on 11 September 2015 - 14:59 #842113 Reply to:842108
lew's picture

อันนี้ในคำแนะนำถึงได้บอกไงครับ ว่าให้แจ้งผู้ใช้เวลามีการล็อกอิน ผู้ใช้จะได้รู้ตัวว่าถูกขโมยรหัสไปแล้ว

ระบบที่ความสำคัญสูงๆ โดนแอบดูไป "แค่" 30 วันนี่ความเสียหายไม่ได้น้อยลงเท่าไหร่


lewcpe.com, @public_lewcpe

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 11 September 2015 - 15:35 #842142 Reply to:842113

+1 อาจโดนสูบไปหมดตัวตั้งแต่วันแรก

By: kiva
iPhone
on 11 September 2015 - 16:03 #842165

เผอิญคนเราไม่มีข้อมูลอันเดียว มีหลายอย่างให้เปลี่ยนบ่อยๆก็แย่นะ

By: dahoba
ContributorAndroidUbuntu
on 11 September 2015 - 16:33 #842180
dahoba's picture

ผมเก็บ password ด้วย LastPass หลังจากข่าวเมื่อไม่นานนี้ที่เค้าโดน hacker พยายามเจาะก็มั่นใจใน LastPass มากขึ้น

ผมมีคำถามครับ
"อย่าเก็บรหัสผ่านโดยไม่แฮช ควรแฮชรหัสผ่านก่อนเก็บลงดิสก์ทุกครั้ง" จะทำอย่างไรได้บ้าง?

เท่าที่ search ดู OSX เค้าแนะนำ GPG suite หรือ OSX มี built-in encryption แล้วถ้าจะ hash แล้วใส่ cloud drive วันนึงอยากเปิดจาก window อีกวันอาจจะเปิดจาก linux จะทำยังไงให้มันใช้ได้?

แต่ละท่านทำอย่างไรกันครับ อยากให้แชร์ให้อ่านหน่อย


:daho:

By: McKay
ContributorAndroidWindowsIn Love
on 11 September 2015 - 16:41 #842182 Reply to:842180
McKay's picture

ผมเข้าใจว่า

อย่าเก็บรหัสผ่านโดยไม่แฮช ควรแฮชรหัสผ่านก่อนเก็บลงดิสก์ทุกครั้ง

หมายถึงผู้ให้บริการนะครับ


In Soviet Warcraft, Argus comes to you.

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 11 September 2015 - 22:49 #842286 Reply to:842180

ปกติมันจะทำที่ฝั่งผู้บริการครับแฮกเกอร์จะได้ไม่ดูดทีเดียว แต่ถ้าอยากทำก็ง่ายนิดเดียว(สำหรับโปรแกรมเมอร์) คือเขียนโปรแกรมทำ AES ง่ายๆแล้วเก็บมาสเตอร์พาสเวิร์คไว้แค่อันเดียว แต่จริงก็มีคนเขียนแอพแบบนี้เยอะแต่จะชัวร์เขียนเองเลยอัพความแข็งแกร่งในการเข้ารหัสลับได้ตลอด

By: McKay
ContributorAndroidWindowsIn Love
on 11 September 2015 - 16:40 #842181
McKay's picture

x


In Soviet Warcraft, Argus comes to you.

By: A4
iPhoneAndroidRed HatSUSE
on 5 December 2015 - 17:59 #866316
A4's picture

LastPass เช่นกัน