Tags:
Node Thumbnail

Lorrie Cranor ประธานนักเทคโนโลยีของ FTC (คณะกรรมการการค้าสหรัฐฯ) และยังเป็นศาสตราจารย์วิทยาศาสตร์คอมพิวเตอร์ของสถาบัน Carnegie Mellon ได้เขียนบทความอธิบายว่าการที่ผู้ดูแลระบบกำหนดให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านเพื่อใช้งานคอมพิวเตอร์อยู่บ่อยๆ ส่งผลเสียต่อความปลอดภัยของระบบแทนที่จะเป็นผลดี

Cranor มีผลการวิจัยโดย University of North Carolina at Chapel Hill มาสนับสนุนข้อเขียนดังกล่าวด้วย ผลการวิจัยชี้ว่าเมื่อผู้ใช้ถูกบีบให้ต้องเปลี่ยนรหัสผ่านบ่อยจนเกินไป พวกเขาจะไม่เค้นสมองเพื่อคิดรหัสผ่านใหม่อย่างเต็มที่ หากแต่มีแนวโน้มว่าพวกเขาจะตั้งรหัสผ่านใหม่ซึ่งมีการเปลี่ยนแปลงไปจากรหัสผ่านเดิมด้วยรูปแบบที่คาดเดาได้ สิ่งที่เกิดขึ้นจริงกับหลายคนคือการดัดแปลงหรือแก้ไขรหัสผ่านเดิมเล็กน้อย ซึ่งมักจะเป็นวิธียอดนิยมอย่างเช่น

  • เปลี่ยนตัวอักษรภาษาอังกฤษบางตัวไปใช้อักขระพิเศษที่หน้าตาคล้ายกันแทน เช่น เปลี่ยน "S" เป็น "$"
  • ใช้การเพิ่มค่าของตัวเลขในรหัสผ่านชุดเก่า (บางรายใช้เปลี่ยนตัวเลขตามเดือนและปีที่ตั้งรหัสผ่าน)
  • เพิ่มหรือลดจำนวนเครื่องหมายพิเศษในรหัสผ่าน เช่น รหัสผ่านเดิมลงท้ายด้วย "!!" ก็เพิ่มเป็น "!!!"
  • ย้ายตำแหน่งชุดตัวเลขและข้อความสลับกันไปมา เช่น เปลี่ยนจาก "pw12345" เป็น "12345pw"

    งานวิจัยชี้ว่าการเปลี่ยนรหัสผ่านในแต่ละครั้งโดยมีรูปแบบการนำรหัสผ่านเก่ามา "แปลงร่าง" เป็นของใหม่เช่นนี้ ไม่ได้เพิ่มปัญหาสำหรับการแฮคของแฮคเกอร์เลย ในกรณีนี้หากแฮคเกอร์สามารถเข้าถึงข้อมูลรหัสผ่านชุดเก่าแล้วการจะเดารหัสผ่านใหม่นั้นไม่ใช่เรื่องยากแต่อย่างใด สิ่งสำคัญที่แท้จริงของเรื่องนี้ก็คือทุกครั้งที่ผู้ใช้ตั้งรหัสผ่านใหม่ ควรตั้งด้วยรูปแบบที่หาความเชื่อมโยงกับรหัสผ่านเดิมไม่ได้

ที่สำคัญคือแม้รหัสผ่านใหม่จะไม่มีความเชื่อมโยงกับรหัสผ่านเก่าให้เห็น แต่ตัวรหัสผ่านเองก็ควรถูกตั้งให้เดาได้ยากด้วย (ยิ่งมีความยาว, ผสมด้วยอักขระเครื่องหมายพิเศษ และไม่สามารถอ่านเป็นคำได้ ยิ่งถือว่าเป็นรหัสผ่านที่ดีเพราะเดาได้ยาก) ทว่าการที่ผู้ใช้ต้องเปลี่ยนรหัสผ่านบ่อยเกินไปจนทำให้ไม่ตั้งใจคิดรหัสผ่าน ส่งผลให้ในหลายกรณีผู้ใช้ตัดสินใจตั้งรหัสผ่านแบบไม่ซับซ้อนจนทำให้แฮคเกอร์คาดเดาได้ง่าย (ตัวอย่างจากข่าวเก่าใน Blognone ชี้ว่าหลายคนหมดมุกคิดรหัสผ่าน จนตัดสินใจเลือกใช้คำง่ายๆ มาเป็นรหัส เช่น football, princess, welcome) หรือกล่าวอีกนัยคือนโยบายเปลี่ยนรหัสผ่านบ่อยๆ กลับกลายเป็นสร้างแนวโน้มให้ระบบเปราะบางกว่าที่ควรจะเป็น

Cranor ยังอธิบายว่าหลายคนน่าจะมีความรู้สึกคล้ายกับผลการวิจัยนี้อยู่มานานแล้ว แต่การที่หลายองค์กรยังคงตั้งกฎให้ผู้ใช้เปลี่่ยนรหัสผ่านอยู่บ่อยๆ ซึ่งอาจเป็นทุกสัปดาห์, ทุกเดือน หรือทุก 3 เดือน นั่นเป็นเพราะว่าการที่ใครสักคนจะออกมาเรียกร้องว่าควรยืดอายุรหัสผ่านให้นานขึ้น อาจทำให้เขาคนนั้นถูกหัวหน้าหรือผู้บริหารมองว่าเป็นพวกละเลยไม่ใส่ใจความปลอดภัยขององค์กร หรือถูกเพ่งเล็งว่าเป็นคนเกียจคร้านถึงขนาดขี้เกียจคิดรหัสผ่าน แต่ตอนนี้มีงานวิจัยระดับดอกเตอร์มาสนับสนุนแนวคิดนี้แล้วว่า "เปลี่ยนรหัสผ่านบ่อยเกินไปนั้นเสียมากกว่าได้" จึงน่าจะเป็นโอกาสอันดีในการทบทวนมาตรการขององค์กรเกี่ยวกับเรื่องนี้

เพื่อตอบคำถามว่าเช่นนั้นแล้วนโยบายเรื่องรหัสผ่านควรมีแนวทางอย่างไรดี? ความเห็นจากผู้เชี่ยวชาญเรื่องรหัสผ่าน Mark Burnett ซึ่งเป็นผู้เขียนหนังสือชื่อ Perfect Password เสริมในเรื่องนี้ว่าการเปลี่ยนรหัสผ่านนั้นยังจำเป็นอยู่ แต่ไม่ควรบ่อยเกินไป ความถี่ในการเปลี่ยนรหัสผ่านที่กำลังดีนั้นควรเป็นทุก 6 เดือน หรือปีละครั้ง ซึ่งนั่นจะทำให้ผู้ใช้ตั้งใจคิดรหัสผ่านที่รัดกุม ในขณะที่ Cranor เองเสนอทางเลือกอีกหนึ่งอย่าง นั้นคือการใช้แอพจัดการรหัสผ่าน เช่น LastPass หรือ DashLane เข้ามาช่วย

ทิ้งท้ายไว้สำหรับใครที่ยังคลางแคลงใจจากข้อสรุปของงานวิจัยของ University of North Carolina at Chapel Hill สามารถเข้าไปดาวน์โหลดเอกสารงานวิจัยดังกล่าวได้จากที่นี่

ที่มา - Wired

Get latest news from Blognone

Comments

By: john dick
iPhone
on 11 March 2016 - 02:24 #892462

หน่าน เอาแล้วสิ

By: put4558350
ContributorAndroidUbuntuWindows
on 11 March 2016 - 02:58 #892466
put4558350's picture

ถ้าไช้ LastPass แล้ว LastPass ที่ไช้โดนหมายศาลขอ password ทั้งหมดที่คุณไช้ก็โดนสอยไปนะครับ


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: Thaitop_BN
Windows PhoneUbuntuWindows
on 11 March 2016 - 03:14 #892467 Reply to:892466
Thaitop_BN's picture

มันเข้ารหัสไว้นิครับ แล้วเขาก็ไม่ได้เก็บรหัสผ่านล็อกอินเราไว้ด้วย ขอไปก็ไม่ได้อะไรหรอก

By: Bluetus
iPhone
on 11 March 2016 - 06:12 #892476
Bluetus's picture

เรื่องจริงเลย

มีช่วงหนึ่งถูกบังคับเปลี่ยนบ่อย ก็เพิ่มเลขกันไป ฮา

By: time3957
iPhoneWindows PhoneAndroidWindows
on 11 March 2016 - 10:12 #892552 Reply to:892476

+1 เช่นกัน มีอยู่กันหนึ่งของบริษัทห้ามตั้งซ้ำด้วยแต่ให้เปลี่ยนบ่อยมากกกกก ตอนนี้ เพิ่มเลขไปจาก xxx1 ตอนนี้เป็น xxx1234567890 แล้ว 55+

By: eol
Android
on 11 March 2016 - 17:39 #892729 Reply to:892476
eol's picture

ผมเพิ่มเลขท้ายเหมือนกัน เปลี่ยนทีก็ +1 +1 +1 ฮ่าๆ ขี้เกียจจำว้อย

By: revensoft
Windows PhoneWindows
on 11 March 2016 - 07:07 #892480

ส่วนตัวผมคิดว่าประโยคง่ายๆ เช่น My dog ate my homework but my teacher don't believe me. นั้นเป็นรหัสที่แกะยากกว่าข้อความสั้นๆ แต่หลากตัวอักษรเช่น ^hi$_b8! ทว่าเนื่องจากเปลืองพื้นที่เก็บเลยแนะนำให้ใช้แบบสั้นแต่หลากตัวอักษรมากกว่า(หลายๆ ที่จำกัดจำนวนอักษรรหัสผ่านไว้ที่ 16 ตัวอักษร) ซึ่งแบบข้อความนั้นผู้ใช้สามารถนึกประโยคอะไรก็ได้ที่เกี่ยวกับชีวิตประจำวันในช่วงเวลานั้นๆ เอามาเป็นรหัสผ่าน ง่ายกว่า แกะยากกว่า และเวลาเปลี่ยนรหัสนั้นก็จะต่างออกไปจากของเดิมอย่างสิ้นเชิง

By: nrml
ContributorIn Love
on 11 March 2016 - 07:13 #892481 Reply to:892480
nrml's picture

ปัญหาคือแต่ละที่ก็จะมีฟอร์แมตของการตั้งพาสเวิร์ดแตกต่างกันออกไป ทั้งการผสมอักรขระ การจำกัดความยาว พอมันมีหลากหลายทีนี้ก็ต้องสร้างพาสเวิร์ดหลากหลายรูปแบบ ไปๆ มาก็จำไม่ค่อยได้อีก สุดท้ายก็จะเข้าลูปแบบในข่าว

By: TW
AndroidWindows
on 11 March 2016 - 07:16 #892482

ถูกทุกข้อเลย

By: rainhawk
AndroidWindows
on 11 March 2016 - 08:02 #892483
rainhawk's picture

ให้ lastpass เจนให้โลด
คงไม่มีคนนั่งจำ password ยาว 16 หลักประกอบด้วยตัวอักษรทุกแบบหรอก แถมไม่เหมือนกันทุกเวบไซต์ด้วย
ส่วนมาสเตอร์พาสเวิร์คผมเปลี่ยนทุก 1 ปี

By: gingtalk
Windows PhoneAndroidWindows
on 11 March 2016 - 07:35 #892485
gingtalk's picture

เวลาเปลี่ยน ความรู้/ความเชื่ิอ ก็เปลี่ยน

By: PriteHome
ContributorAndroidWindows
on 11 March 2016 - 07:55 #892492 Reply to:892485
PriteHome's picture

เขาเรียกว่า ประสบการณ์

By: absulation
AndroidWindows
on 11 March 2016 - 07:35 #892486
absulation's picture

ใช่เลย ทำแบบนี้เลย
ถ้าตั้งยากเกินมันทำให้ลืมอีก

By: waroonh
Windows
on 11 March 2016 - 08:17 #892499

ผมตั้งมั่ว 16 หลัก มีตัวอักษร ตัวเลข เครื่องหมายผสมกัน
แล้ว เอาปากกา เขียนรหัสใส่ฝาผนังบ้านไว้ ครับ
ถ้าโจรมันเข้ามาดูได้ ถึงในห้อง ก็ให้มันเอาไปครับ

By: RadiusGreenhill
AndroidWindows
on 11 March 2016 - 08:21 #892501

ถ้าไม่มี LastPass คงต้องได้กด reset password บ่อยๆ แน่เลย

By: thsecmaniac
AndroidWindows
on 11 March 2016 - 08:22 #892502

ผมใช้วิธีคิดประโยคภาษาไทย ประโยคหนึ่งยาวๆ แล้วพิมพ์แป้น Eng เอา รหัสเลยยาวแตจำง่าย เสียอย่างเดียวถ้าคีย์บอร์ดไม่ใช้ภาษาไทยหรือเป็นบนมือถือจะซวยเอา

By: badboyz08
AndroidWindows
on 11 March 2016 - 11:29 #892588 Reply to:892502
badboyz08's picture

ผมทำแบบนี้เหมือนกัน แต่ในมือถือผมเซฟไว้เมนูเดาคำครับ

By: 255BB
Android
on 11 March 2016 - 08:30 #892506

ใช้การเพิ่มค่าของตัวเลขในรหัสผ่านชุดเก่า (บางรายใช้เปลี่ยนตัวเลขตามเดือนและปีที่ตั้งรหัสผ่าน)<<< ที่ทำงานผมบังคับเปลี่ยนทุกๆ ๒ เดือน ส่วนใหญ่เลยเปลี่ยนตามข้อนี้เลย ใส่เลขเดือนเข้าไป หรือใส่เป็น xxxxx001 xxxxx002 ...

By: Eddz on 11 March 2016 - 08:47 #892512
Eddz's picture

สารภาพตามตรงรหัสเข้า Login ทุกเว็บให้ Chrome เซฟเก็บไว้หมดเลย
ถ้ารู้ Google Account ก็ได้รหัสไปหมด แม้กระทั่ง internet banking

By: sariarty
ContributoriPhoneAndroidRed Hat
on 11 March 2016 - 09:38 #892534 Reply to:892512
sariarty's picture

ตั้ง 2Auth ก็ชวยได้เยอะครับ ถึงแม้จะรู้รหัส แต่ติด 2auth ก็เข้าไม่ได้เหมือนกัน


ข้าขอทรยศต่อคนทั้งโลก ดีกว่าให้ใครมาทรยศข้า

By: panurat2000
ContributorSymbianUbuntuIn Love
on 11 March 2016 - 09:04 #892520
panurat2000's picture

จึงน่าจะเป็นโอกาสอันดีในการทบทวนมาตรการขององค์เกี่ยวกับเรื่องนี้

ขององค์ ?

By: Jonathan_Job
WriteriPhoneUbuntuWindows
on 11 March 2016 - 11:18 #892582 Reply to:892520
Jonathan_Job's picture

"ผลการวิจัยโดย University of North Carolina" ---> "ผลการวิจัยโดย University of North Carolina at Chapel Hill"

UNC มีหลายแห่งครับ UNC Chapel Hill (UNC), UNC Charlotte (UNCC), UNC Greensboro (UNCG) ถ้าพูดตัวย่อ UNC จะเป็นที่รู้กันว่า Chapel Hill แต่ถ้าพูดเต็มควรจะต้องบอกเมืองด้วยครับ

Ref : https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes

By: frozenology
ContributoriPhoneAndroid
on 11 March 2016 - 09:08 #892521

เปลี่ยนบ่อย แถมต้องใส่ตัวอักขระพิเศษ นรกแตก


@fb.me/frozenology@

By: mr_tawan
ContributoriPhoneAndroidWindows
on 11 March 2016 - 09:46 #892542
mr_tawan's picture

ยิ่งพอบังคับให้เปลี่ยนทุกเดือนนะ ... พาสเวิร์ดแทบจะเหมือนกันหมดทั้งออฟฟิศ เดาได้เลย


  • 9tawan.net บล็อกส่วนตัวฮับ
By: -Rookies-
ContributorAndroidWindowsIn Love
on 11 March 2016 - 10:06 #892549

ไม่พูดเรื่องจดรหัสติดไว้หน้าจอแฮะ


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: kiva
iPhone
on 11 March 2016 - 10:13 #892554

ของผมใช้passwordป็นภาษาจีนแทน

By: redarmy
iPhoneAndroidWindows
on 11 March 2016 - 10:45 #892568

มันคือเรื่องจริง

By: MaxxIE
iPhoneAndroidUbuntuWindows
on 11 March 2016 - 14:04 #892643
MaxxIE's picture

น่าจะมีตัวแสกนลายนิ้วมือแบบUniversal ที่เอาไปต่อเครื่องไหนก็ป้อนลายนิ้วมือแทนรหัสผ่านได้เลย

By: nest3d
iPhoneAndroid
on 11 March 2016 - 18:36 #892747

จริงนะ

หลังๆ ก็ + YYYYMMWW เอา

By: Fawkes
iPhoneWindows PhoneAndroidBlackberry
on 11 March 2016 - 19:18 #892752

ที่ออฟฟิศ รหัสใหม่คือ ชื่อเดือนภาษาอังกฤษ 4 ตัว ตามด้วย ปี พ.ศ.

แจ่มแมว