Tags:
Node Thumbnail

ร่างมาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ NIST SP 800-63B ที่เปิดรับฟังความเห็นเมื่อปีที่แล้วตอนนี้ปิดช่วงรับฟังความเห็นและมีการแก้ไข จุดเพิ่มเติมสำคัญคือการกำหนดให้บริการไม่ตรวจสอบความซับซ้อนของรหัสผ่าน และไม่บังคับให้ผู้ใช้เปลี่ยนรหัสผ่านตามระยะเวลาอีกต่อไป

ทุกวันนี้บริการต่างๆ มักกำหนดความซับซ้อนของรหัสผ่าน เช่น ต้องมีตัวอักษรเล็ก, อักษรใหญ่, ตัวเลข, สัญลักษณ์ ผสมกัน แต่ในความเป็นจริงการโจมตีรหัสผ่านมักอาศัยการใช้รหัสผ่านที่รั่วออกมาจากบริการอื่นๆ ไม่ว่ารหัสจะมีความซับซ้อนแค่ไหนก็ไม่ได้ช่วยในกรณีเหล่านี้

เอกสารยังระบุว่าบริการไม่ควรบังคับผู้ใช้เปลี่ยนรหัสผ่านตามช่วงเวลาอีกต่อไป แต่ให้แนะนำผู้ใช้ให้เปลี่ยนรหัสผ่านเสมอ เมื่อรหัสผ่านหลุดออกไป

อย่างไรก็ดี เอกสารยังกำหนดความยาวขั้นต่ำของรหัสผ่านไว้ที่ 8 ตัวอักษรและควรรับรหัสผ่านไม่น้อยกว่า 64 ตัวอักษร และฝั่งเซิร์ฟเวอร์ต้องตรวจสอบการตั้งรหัสผ่านให้ไม่ตรงกับฐานข้อมูลรหัสผ่านที่เคยหลุดออกมาแล้ว หรือรูปแบบที่ง่ายเกินไปอย่างชัดเจน เช่น ตัวอักษรซ้ำๆ กัน หรือใช้ชื่อผู้ใช้

เอกสาร SP 800-63B เวอร์ชั่นใหม่เคยมีประเด็นสำคัญคือการประกาศเตรียมยกเลิกใช้ SMS สำหรับการยืนยันตัวตนขั้นที่สอง แต่ในเวอร์ชั่นล่าสุดเอกสารมีการปรับคำให้อ่อนลง โดยระบุว่าไม่สนับสนุน (discouraged) ให้ใช้งาน SMS สำหรับการยืนยันตัวตนขั้นที่สองอีกต่อไป

ที่มา - ThreatPost

alt="upic.me"

Get latest news from Blognone

Comments

By: waroonh
Windows
on 4 May 2017 - 18:00 #983163

สบายมากครับ รหัสผ่าน
กด keyboard eng
ดูแป้น ไทย
แล้วพิมพ์ไปเลยครับ

[6I=b9ayd,uriuUl

By: Bigkung
iPhoneWindows Phone
on 4 May 2017 - 18:05 #983165 Reply to:983163
Bigkung's picture

ผมก็ใช้วิธีนี้ฮ่าๆ แต่คนที่ภาษาแม่เป็นภาษาที่มาจากภาษาลาตินนี้ลำบากครับ พวกภาษาสคริปนี่สบาย ญี่ปุ่นงี้ ไทยงี้

By: kamthorn
ContributorAndroidUbuntu
on 4 May 2017 - 18:07 #983166 Reply to:983163

แล้วตอนกรอกรหัสบน on screen keyboard เช่นบนมือถือนี่ทำไงครับ


-- blog

By: gondolaz
AndroidUbuntuWindows
on 4 May 2017 - 18:13 #983167 Reply to:983166
gondolaz's picture

+1 ปัญหาเดียวกันเลยครับ

By: eszhang
AndroidUbuntu
on 4 May 2017 - 18:22 #983171 Reply to:983166

ถ้าใช้ Android คุณ @sugree ทำ Thai<->English Keyboard เอาไว้ให้ใช้งานครับ

By: mr_tawan
ContributoriPhoneAndroidWindows
on 4 May 2017 - 20:01 #983189 Reply to:983171
mr_tawan's picture

รู้สึกเหมือนไม่ได้เห็นชื่อนี้มานานมากเลยครับ


  • 9tawan.net บล็อกส่วนตัวฮับ
By: Jose
Windows PhoneAndroidSymbianUbuntu
on 4 May 2017 - 18:40 #983173 Reply to:983166
Jose's picture

ของผมสมมุติใช้ "โลกสดใสใจสดชื่น" ก็จะได้ "F]dlf.l.0lf=njo"
ช่วงแรกผมจะจด มอง ใส่ และจำ พยายามกรอกทีละตัว อย่าก็อปวาง
พอทำไปหลายๆ ครั้ง ผมก็จำได้เองครับ ไม่ต้องจำภาษาไทยด้วย สมองจำ F]dlf.l.0lf=njo ได้เองเลย
^_^

By: Fourpoint
Windows PhoneAndroidSymbian
on 4 May 2017 - 19:10 #983177 Reply to:983166

ผมsave รูป keyboardที่มีแป้นไทย ไว้ครับ เปิดดูรูปตอนนั้นแล้วจำเลย

By: Mekokung
ContributorAndroidWindows
on 4 May 2017 - 21:27 #983209 Reply to:983166
Mekokung's picture

ของผมจำเอาเลยครับ ลำบากช่วงแรกแต่นานๆไปมันชินเองอ่ะครับ


Mekokung's Story บล็อกส่วนตัวที่ย้ายไป Blogger แล้วนะ

By: Dino
iPhoneSymbian
on 4 May 2017 - 23:39 #983235 Reply to:983166
Dino's picture

อย่าถามว่ารหัสผ่านผมคืออะไร ผมเองก็จำไม่ได้ จำได้แต่ key stoke ครับ 555

By: Go-Kung
iPhoneWindows PhoneAndroidBlackberry
on 5 May 2017 - 00:21 #983245 Reply to:983166

ลำบากพอควรครับ

ตอนนี้ถ้าไม่มี keyboard จริงเทียบนี่คือผมพิมพ์ไม่ถูกเลยทีเดียว

By: e.p.
ContributorAndroid
on 4 May 2017 - 20:51 #983199 Reply to:983163
e.p.'s picture

เคยไปเจอคีย์บอร์ดของบางประเทศวางตัวอักษรไม่ตรงกัน นั่งพิมพ์อากาศอยู่พักใหญ่ถึงจะนึกออกว่ามันตรงกับตัวอักษรอะไรแน่ๆ

By: OXYGEN2
ContributoriPhoneAndroidWindows
on 5 May 2017 - 01:09 #983259
OXYGEN2's picture

สมัยก่อนเพื่อนผมเคยใช้รหัส 123456 แล้วโดนขโมย acc มันเลยตั้งรหัสผ่านโดยการพิมพ์ภาษาไทยว่า 8;pgvhp


oxygen2.me, panithi's blog

Device: ThinkPad T480s, iPad Pro, iPhone XS Max, Galaxy Note 8, Huawei P30 Pro