ไม่บีบคั้นอีกต่อไป NIST เลิกกำหนดความซับซ้อนรหัสผ่าน, ไม่บังคับเปลี่ยนรหัส

By: lew
Founder Jusci's WriterMEconomics Android
on 4 May 2017 - 17:49 Tags:
Topics: 
NIST
Authentication
Security
Node Thumbnail

ร่างมาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ NIST SP 800-63B ที่ เปิดรับฟังความเห็นเมื่อปีที่แล้ว ตอนนี้ปิดช่วงรับฟังความเห็นและมีการแก้ไข จุดเพิ่มเติมสำคัญคือการกำหนดให้บริการไม่ตรวจสอบความซับซ้อนของรหัสผ่าน และไม่บังคับให้ผู้ใช้เปลี่ยนรหัสผ่านตามระยะเวลาอีกต่อไป

ทุกวันนี้บริการต่างๆ มักกำหนดความซับซ้อนของรหัสผ่าน เช่น ต้องมีตัวอักษรเล็ก, อักษรใหญ่, ตัวเลข, สัญลักษณ์ ผสมกัน แต่ในความเป็นจริงการโจมตีรหัสผ่านมักอาศัยการใช้รหัสผ่านที่รั่วออกมาจากบริการอื่นๆ ไม่ว่ารหัสจะมีความซับซ้อนแค่ไหนก็ไม่ได้ช่วยในกรณีเหล่านี้

เอกสารยังระบุว่าบริการไม่ควรบังคับผู้ใช้เปลี่ยนรหัสผ่านตามช่วงเวลาอีกต่อไป แต่ให้แนะนำผู้ใช้ให้เปลี่ยนรหัสผ่านเสมอ เมื่อรหัสผ่านหลุดออกไป

อย่างไรก็ดี เอกสารยังกำหนดความยาวขั้นต่ำของรหัสผ่านไว้ที่ 8 ตัวอักษรและควรรับรหัสผ่านไม่น้อยกว่า 64 ตัวอักษร และฝั่งเซิร์ฟเวอร์ต้องตรวจสอบการตั้งรหัสผ่านให้ไม่ตรงกับฐานข้อมูลรหัสผ่านที่เคยหลุดออกมาแล้ว หรือรูปแบบที่ง่ายเกินไปอย่างชัดเจน เช่น ตัวอักษรซ้ำๆ กัน หรือใช้ชื่อผู้ใช้

เอกสาร SP 800-63B เวอร์ชั่นใหม่เคยมีประเด็นสำคัญคือการประกาศเตรียมยกเลิกใช้ SMS สำหรับการยืนยันตัวตนขั้นที่สอง แต่ในเวอร์ชั่นล่าสุดเอกสารมีการปรับคำให้อ่อนลง โดยระบุว่าไม่สนับสนุน (discouraged) ให้ใช้งาน SMS สำหรับการยืนยันตัวตนขั้นที่สองอีกต่อไป

ที่มา - ThreatPost

alt=

Get latest news from Blognone

Comments

By: waroonh
Windows
on 4 May 2017 - 18:00 #983163

สบายมากครับ รหัสผ่าน
กด keyboard engดูแป้น ไทย
แล้วพิมพ์ไปเลยครับ

[6I=b9ayd,uriuUl

By: Bigkung
iPhone Windows Phone
on 4 May 2017 - 18:05 #983165 Reply to:983163
Bigkung's picture

ผมก็ใช้วิธีนี้ฮ่าๆ แต่คนที่ภาษาแม่เป็นภาษาที่มาจากภาษาลาตินนี้ลำบากครับ พวกภาษาสคริปนี่สบาย ญี่ปุ่นงี้ ไทยงี้

By: kamthorn
Contributor Android Ubuntu
on 4 May 2017 - 18:07 #983166 Reply to:983163

แล้วตอนกรอกรหัสบน on screen keyboard เช่นบนมือถือนี่ทำไงครับ

--

By: gondolaz
Android Ubuntu Windows
on 4 May 2017 - 18:13 #983167 Reply to:983166
gondolaz's picture

+1 ปัญหาเดียวกันเลยครับ

By: eszhang
Android Ubuntu
on 4 May 2017 - 18:22 #983171 Reply to:983166

ถ้าใช้ Android คุณ @sugree ทำ Thai<->English Keyboard เอาไว้ให้ใช้งานครับ

By: mr_tawan
Contributor iPhone Android Windows
on 4 May 2017 - 20:01 #983189 Reply to:983171
mr_tawan's picture

รู้สึกเหมือนไม่ได้เห็นชื่อนี้มานานมากเลยครับ

  • 9tawan.net บล็อกส่วนตัวฮับ
By: Jose
Windows Phone Android Symbian Ubuntu
on 4 May 2017 - 18:40 #983173 Reply to:983166
Jose's picture

ของผมสมมุติใช้ "โลกสดใสใจสดชื่น" ก็จะได้ "F]dlf.l.0lf=njo"
ช่วงแรกผมจะจด มอง ใส่ และจำ พยายามกรอกทีละตัว อย่าก็อปวางพอทำไปหลายๆ ครั้ง ผมก็จำได้เองครับ ไม่ต้องจำภาษาไทยด้วย สมองจำ F]dlf.l.0lf=njo ได้เองเลย
^_^

By: Fourpoint
Windows Phone Android Symbian
on 4 May 2017 - 19:10 #983177 Reply to:983166

ผมsave รูป keyboardที่มีแป้นไทย ไว้ครับ เปิดดูรูปตอนนั้นแล้วจำเลย

By: Mekokung
Contributor Android Windows
on 4 May 2017 - 21:27 #983209 Reply to:983166
Mekokung's picture

ของผมจำเอาเลยครับ ลำบากช่วงแรกแต่นานๆไปมันชินเองอ่ะครับ

Mekokung's Story บล็อกส่วนตัวที่ย้ายไป Blogger แล้วนะ

By: Dino
iPhone Symbian
on 4 May 2017 - 23:39 #983235 Reply to:983166
Dino's picture

อย่าถามว่ารหัสผ่านผมคืออะไร ผมเองก็จำไม่ได้ จำได้แต่ key stoke ครับ 555

By: Go-Kung
iPhone Windows Phone Android Blackberry
on 5 May 2017 - 00:21 #983245 Reply to:983166

ลำบากพอควรครับ

ตอนนี้ถ้าไม่มี keyboard จริงเทียบนี่คือผมพิมพ์ไม่ถูกเลยทีเดียว

By: e.p.
Contributor Android
on 4 May 2017 - 20:51 #983199 Reply to:983163
e.p.'s picture

เคยไปเจอคีย์บอร์ดของบางประเทศวางตัวอักษรไม่ตรงกัน นั่งพิมพ์อากาศอยู่พักใหญ่ถึงจะนึกออกว่ามันตรงกับตัวอักษรอะไรแน่ๆ

By: OXYGEN2
Contributor iPhone Android Windows
on 5 May 2017 - 01:09 #983259
OXYGEN2's picture

สมัยก่อนเพื่อนผมเคยใช้รหัส 123456 แล้วโดนขโมย acc มันเลยตั้งรหัสผ่านโดยการพิมพ์ภาษาไทยว่า 8;pgvhp

oxygen2.me , panithi's blo g

Device: HP Zbook, iPad Pro, iPhone 15PM, iPhone 16+, Nothing Phone 1