Tags:
Node Thumbnail

NIST เผยแพร่ แนวทางสำหรับความปลอดภัยของรหัสผ่าน (Password) ซึ่งระบุในเอกสาร 800-63B ภาพรวมนั้นคล้ายกับแนวทางที่เคยระบุในเอกสารฉบับก่อนหน้า แต่มีการเปลี่ยนแปลงบางหัวข้อ ซึ่งหลายคนอาจคุ้นเคยว่าเป็นแนวทางตั้งรหัสผ่านที่ปลอดภัย แต่ NIST เปลี่ยนคำแนะนำแล้ว

โดยหัวข้อหนึ่ง NIST บอกว่า ต้องไม่กำหนดให้ตั้งรหัสผ่านที่ซับซ้อน ซึ่งมีทั้งอักษรตัวเล็ก-ตัวใหญ่ ตัวเลข และอักขระพิเศษ (Shall Not) แต่ ต้องกำหนดให้รหัสผ่านยาวอย่างน้อย 8 ตัวอักษร (Shall) และ แนะนำให้กำหนดอย่างน้อย 15 ตัวอักษร (Should) ซึ่งนักวิจัยของ NIST ให้ข้อมูลว่า รหัสผ่านที่ยาวกว่านั้นปลอดภัยกว่า และดีกว่าการไปกำหนดให้ตั้งรหัสผสมอักขระ

อีกหัวข้อที่ NIST เปลี่ยนแนวทางคือ การกำหนดรอบที่ต้องเปลี่ยนรหัสผ่าน โดย NIST ให้แนวทางว่า ต้องไม่บังคับผู้ใช้งานเปลี่ยนรหัสผ่านตามกำหนดเวลา แต่ ต้องบังคับให้เปลี่ยนรหัสผ่านหากมีหลักฐานการถูกเจาะข้อมูล ซึ่งนักวิจัย NIST บอกว่าการสั่งให้เปลี่ยนรหัสผ่านบ่อย ๆ ไม่ได้เพิ่มความปลอดภัย และอาจทำให้ความปลอดภัยลดลงด้วยซ้ำ รวมทั้งแนะนำให้องค์กรทำรายการรหัสผ่านที่ห้ามใช้ (blocklist) ซึ่งเป็นรหัสที่อ่อนแอหรือมีรายงานการถูกเจาะข้อมูล

NIST ยังเปลี่ยนให้ ต้องไม่ใช้การถามคำถามเพื่อยืนยันตัวตน เช่น ชื่อสัตว์เลี้ยง เนื่องจากอาจถูก Social Engineering ได้ง่าย ส่วนการเข้ารหัสให้ใช้ Salt ร่วมกับปัจจัยอื่นที่ทำให้การโจมตีมีต้นทุนสูง

แนวทางการกำหนดรหัสผ่านในองค์กรทั้งหมดของ NIST ฉบับล่าสุดเป็นดังนี้

  1. Verifiers and CSPs SHALLrequire passwords to be a minimum of eight characters in length and SHOULDrequire passwords to be a minimum of 15 characters in length.
  2. Verifiers and CSPs SHOULDpermit a maximum password length of at least 64 characters.
  3. Verifiers and CSPs SHOULDaccept all printing ASCII [RFC20] characters and the space character in passwords.
  4. Verifiers and CSPs SHOULDaccept Unicode [ISO/ISC 10646] characters in passwords. Each Unicode code point SHALLbe counted as a single character when evaluating password length.
  5. Verifiers and CSPs SHALL NOTimpose other composition rules (e.g., requiring mixtures of different character types) for passwords.
  6. Verifiers and CSPs SHALL NOTrequire users to change passwords periodically. However, verifiers SHALLforce a change if there is evidence of compromise of the authenticator.
  7. Verifiers and CSPs SHALL NOTpermit the subscriber to store a hint that is accessible to an unauthenticated claimant.
  8. Verifiers and CSPs SHALL NOTprompt subscribers to use knowledge-based authentication (KBA) (e.g., “What was the name of your first pet?”) or security questions when choosing passwords.
  9. Verifiers SHALLverify the entire submitted password (i.e., not truncate it).

ที่มา: Cyber Security News

No Description

Get latest news from Blognone

Comments

By: Azymik on 29 September 2024 - 20:05 #1323502

SHALL NOT น่าจะแปลเป็น ต้องไม่ มากกว่า ไม่ต้อง นะครับ

By: arjin
Writer iPhone Windows
on 29 September 2024 - 20:37 #1323504 Reply to:1323502
arjin's picture

ขอบคุณครับ

By: btoy
Contributor Android Windows
on 29 September 2024 - 20:50 #1323505
btoy's picture

ค่อนข้างเห็นด้วยมากๆครับ


..: เรื่อยไป

By: wichitchai on 30 September 2024 - 09:32 #1323527

แต่ audit ในไทยยังบอกว่าองค์กรต้องเปลี่ยนทุกๆ 3 เดือน?

By: osmiumwo1f
Contributor Windows Phone Windows
on 30 September 2024 - 09:48 #1323530
osmiumwo1f's picture

ข้อ 4 นี่น่าสนใจตรงที่มันจะใช้ emoji และทุกอักษรในทุกภาษาได้ด้วย ซึ่งจะทำให้ทั้ง brute force และ dict ใช้เวลานานมากกว่าเดิมหลายเท่า แถมอาจจะได้เห็นคนพิมพ์รหัสผ่านด้วยแป้นพิมพ์ emoji ครับ

By: Hoo
Android Windows
on 30 September 2024 - 13:32 #1323551 Reply to:1323530

เป็น emojiถ้าจะ login บนคอม จะทำยังไงละเนี่ย 😅

แต่นึกถึงสมัย Dos เคยใช้ Alt-255 😁

By: osmiumwo1f
Contributor Windows Phone Windows
on 30 September 2024 - 14:26 #1323560 Reply to:1323551
osmiumwo1f's picture

กด Alt code เอา (ถ้ามันยอมนะ)🤣🤣 แต่ไม่อยากนึกสภาพพิมพ์รหัสผ่านเป็นภาษาจีนเลยครับ

By: hisoft
Contributor Windows Phone Windows
on 30 September 2024 - 15:05 #1323568 Reply to:1323551
hisoft's picture

เอ้อ เพิ่งสังเกตเหมือนกันว่าช่อง password ของ browser มันไม่ยอมให้ใส่ emoji (จาก win + . )

By: darkleonic
Contributor Android WindowsIn Love
on 30 September 2024 - 11:04 #1323535
darkleonic's picture

แต่ Audit ISO ต่างๆ ยังบังคับอยู่ดี


I need healing.

By: puuga
iPhone Android
on 30 September 2024 - 13:11 #1323544 Reply to:1323535
puuga's picture

มันเศร้าตรงนี้

By: zionzz on 30 September 2024 - 13:45 #1323554 Reply to:1323535

ถ้าเราอยากทำตามมาตรฐานใหม่ของ NIST เราก็เขียน password policy ไว้แล้วใช้เอกสาร NIST ตัวใหม่อ้างอิงตอน Audit มาตรวจก็ได้นี่ครับไม่แน่ใจว่าหมายถึง ISO ไหน แต่ 27k:2022 เขาก็เขียนไว้ในคู่มือเลยนะว่าไม่ควรบังคับเปลี่ยนบ่อยๆ (ver 2013 ยังบอกให้เปลี่ยนเป็นประจำอยู่)

By: lancaster
Contributor
on 30 September 2024 - 15:48 #1323572 Reply to:1323535

ถ้า 27001 ตาม annex ไม่ได้บังคับลงมาเจาะจงขนาดนี้นะครับ เพียงแต่เราต้องอธิบาย auditor ได้ว่า policy เราอ้างอิงตามเอกสารไหน แล้วมีเหตุผลอะไรบ้างที่ทำตามนี้

จากประสบการณ์ บริษัทส่วนมากที่เจอจะติดปัญหาที่ consult (ที่ช่วยเราร่าง policy) กับ isms team (ของเราเอง) ที่ขาดความรู้ตรงนี้ แล้วเอาง่ายโดยการบังคับ policy โบราณพวกนั้น เสร็จแล้วก็โยนความผิดให้ auditor ว่าโดน auditor บังคับมาครับ

By: zda98
Windows Phone
on 30 September 2024 - 11:52 #1323539

ภาษาไทย keyboard ภาษาอังกฤษดีสุด จำงานดี

By: TeamKiller
Contributor iPhone
on 30 September 2024 - 14:17 #1323559 Reply to:1323539
TeamKiller's picture

พิมพ์ในมือถือยังไงอะครับ

By: YF-01
Android Ubuntu
on 30 September 2024 - 17:01 #1323583 Reply to:1323559

ดูคีย์บอร์ดไปเรื่อยๆ เดี๋ยวจำได้เองครับ 555

By: poa
Android
on 30 September 2024 - 21:17 #1323599 Reply to:1323559

ทุกวันนี้ผมยังตามหา app keyboard ที่มี layout ภาษาไทย-อังกฤษเท่ากันอยู่ ตอนนี้ใช้ TSwipe-pro กับ android 12 อยู่ ถ้าเปลี่ยนมือถือให้ใหม่กว่านี้ก็จะใช้ไม่ได้แล้ว