Tags:
Topics: 
Node Thumbnail

มาตรฐานการยืนยันตัวตน NIST 800-63 เพิ่งออกใหม่ไปเมื่อไม่กี่เดือนก่อน ทาง Wall Street Journal ก็ไปสัมภาษณ์ Bill Burr ผู้จัดการของ NIST เมื่อปี 2003 และเป็นผู้เขียน NIST 800-63A เวอร์ชั่นแรก ระบุว่ารหัสผ่านต้องมีความซับซ้อนด้วยการผสมประเภทอักขระ (ตัวเล็ก, ตัวใหญ่, ตัวเลข, สัญลักษณ์) พร้อมๆ กับระบุให้รหัสผ่านมีวันหมดอายุ

ตอนนี้ Burr เกษียณแล้ว และระบุว่าเขาเสียใจกับสิ่งที่เขียนไปส่วนมาก (much of what I did) อย่างไรก็ตาม เขาระบุว่าตอนนั้นมีความกดดันให้ NIST ต้องเร่งออกมาตรฐาน และข้อมูลรหัสผ่านหาได้ยาก เขาเคยไปถามรหัสผ่านจากผู้ดูแลระบบของ NIST เองแต่ก็ไม่มีใครแชร์ให้ว่าตั้งรหัสอย่างไร สุดท้ายจึงเป็นใช้เอกสารแนะนำ (white paper) ที่เขียนขึ้นในช่วง 1980 เป็นตัวตั้งต้นของมาตรฐาน

Paul Grassi ที่ปรึกษาของ NIST ที่ร่วมโครงการ NIST 800-63 เวอร์ชั่นล่าสุดระบุว่าตอนเริ่มโครงการคาดว่าจะเป็นการแก้ไขเพียงเล็กน้อย แต่กลายเป็นว่าต้องเขียนใหม่จากต้น

คำแนะนำการตั้งรหัสผ่านใน NIST 800-63 เวอร์ชั่นล่าสุด ระบุว่าว่าไม่ควรบังคับให้ผู้ใช้ผสมตัวอักษรตามประเภทลงในรหัสผ่าน และไม่ควรบังคับเปลี่ยนรหัสผ่านโดยไม่มีเหตุจำเป็น ยกเว้นในกรณีที่มีหลักฐานว่ารหัสผ่านรั่วไหลจึงบังคับ

ที่มา - South China Morning Post, Wall Street Journal

No Description

Get latest news from Blognone

Comments

By: newbie
ContributoriPhoneWindows
on 9 August 2017 - 07:52 #1001724

พร้อมๆ กันระบุให้รหัสผ่านมีวันหมดอายุ > พร้อมๆ กับ?
เกษียน > เกษียณ
สุดท้ายจึงเป็นใช้เอกสารแนะนำ > ?

By: BonBon
iPhone
on 9 August 2017 - 09:42 #1001752

เห็นด้วยนะว่ามันยากและไม่เหมาะกับคนจำ

แต่ถ้าใช้ plain word แบบนี้ และรู้ pattern ว่าคำต่อกันตรงๆ
dictionary attack น่าจะใช้เวลานิดเดียว
ควรจะเพิ่มตัวเลขไปอีกนิดส่วนใดก็ได้ ก็จับ pattern ลำบากแล้ว

By: thedesp
WriterAndroidWindows
on 9 August 2017 - 09:52 #1001755 Reply to:1001752
thedesp's picture

เอามาต่อกันหลายคำ จำนวนหลักก็มากไปด้วย
dic attack จะใช้เวลานานขึ้นแบบ exponential นะครับ
แล้วถ้าเดาทีละคำ จะมีเรื่องการเรียงลำดับคำให้ปวดหัวอีก

By: atheist
AndroidUbuntuWindows
on 9 August 2017 - 10:53 #1001765 Reply to:1001752

ของผมใช้วิธีเพิ่มตัวพิมพ์ใหญ่เข้าไปแบบที่เราจำได้ง่าย ๆ คนเดียว

By: GodPapa
iPhoneWindows PhoneAndroidBlackberry
on 9 August 2017 - 11:01 #1001770
GodPapa's picture

ra hut pan

By: toooooooon
iPhoneWindows PhoneAndroidBlackberry
on 9 August 2017 - 13:43 #1001805 Reply to:1001770

password is no password

By: SilentHeal
AndroidUbuntuWindowsIn Love
on 9 August 2017 - 11:19 #1001772
SilentHeal's picture

เคยใช้ TMB biz บังคับเปลี่ยนรหัส ทุก 30 วันรึไงนี่ล่ะ ... ห้ามตั้งซ้ำ ของเดิมด้วย ช่วงนั้นลำบากมาก สุดท้ายต้องจดรหัสเอาไว้ โครตปลอดภัย

By: wichate
Android
on 9 August 2017 - 11:43 #1001775

ยิ่งเปลี่ยนบ่อยโอกาศถูก Hack ยิ่งง่ายขึ้น (เพราะมีแนวโน้มจะตั้งง่ายขึ้นเรื่อยๆ)

By: AdmOd
iPhoneWindows
on 9 August 2017 - 16:53 #1001835
AdmOd's picture

เด็กยุคถัดไปอาจจะสงสัยว่าทำไมพี่ที่อายุเยอะถึงชอบใช้รหัสผ่านว่า P@ssw0rd123

By: McKay
ContributorAndroidWindowsIn Love
on 9 August 2017 - 17:19 #1001843 Reply to:1001835
McKay's picture

555555555555

รหัสนี้ใช้กันทุกองกรณ์สินะครับ


In Soviet Warcraft, Argus comes to you.