NIST แนะนำแนวทางจัดการ Password - ไม่ต้องบังคับเปลี่ยนบ่อย - ไม่ต้องใช้อักขระผสม

By: arjin

on 29 September 2024 - 20:35 Tags:

Topics:

NIST

Password

Authentication

NIST เผยแพร่ แนวทางสำหรับความปลอดภัยของรหัสผ่าน (Password) ซึ่งระบุในเอกสาร 800-63B ภาพรวมนั้นคล้ายกับแนวทางที่เคยระบุในเอกสารฉบับก่อนหน้า แต่มีการเปลี่ยนแปลงบางหัวข้อ ซึ่งหลายคนอาจคุ้นเคยว่าเป็นแนวทางตั้งรหัสผ่านที่ปลอดภัย แต่ NIST เปลี่ยนคำแนะนำแล้ว

โดยหัวข้อหนึ่ง NIST บอกว่า ต้องไม่กำหนดให้ตั้งรหัสผ่านที่ซับซ้อน ซึ่งมีทั้งอักษรตัวเล็ก-ตัวใหญ่ ตัวเลข และอักขระพิเศษ (Shall Not) แต่ ต้องกำหนดให้รหัสผ่านยาวอย่างน้อย 8 ตัวอักษร (Shall) และ แนะนำให้กำหนดอย่างน้อย 15 ตัวอักษร (Should) ซึ่งนักวิจัยของ NIST ให้ข้อมูลว่า รหัสผ่านที่ยาวกว่านั้นปลอดภัยกว่า และดีกว่าการไปกำหนดให้ตั้งรหัสผสมอักขระ

อีกหัวข้อที่ NIST เปลี่ยนแนวทางคือ การกำหนดรอบที่ต้องเปลี่ยนรหัสผ่าน โดย NIST ให้แนวทางว่า ต้องไม่บังคับผู้ใช้งานเปลี่ยนรหัสผ่านตามกำหนดเวลา แต่ ต้องบังคับให้เปลี่ยนรหัสผ่านหากมีหลักฐานการถูกเจาะข้อมูล ซึ่งนักวิจัย NIST บอกว่าการสั่งให้เปลี่ยนรหัสผ่านบ่อย ๆ ไม่ได้เพิ่มความปลอดภัย และอาจทำให้ความปลอดภัยลดลงด้วยซ้ำ รวมทั้งแนะนำให้องค์กรทำรายการรหัสผ่านที่ห้ามใช้ (blocklist) ซึ่งเป็นรหัสที่อ่อนแอหรือมีรายงานการถูกเจาะข้อมูล

NIST ยังเปลี่ยนให้ ต้องไม่ใช้การถามคำถามเพื่อยืนยันตัวตน เช่น ชื่อสัตว์เลี้ยง เนื่องจากอาจถูก Social Engineering ได้ง่าย ส่วนการเข้ารหัสให้ใช้ Salt ร่วมกับปัจจัยอื่นที่ทำให้การโจมตีมีต้นทุนสูง

แนวทางการกำหนดรหัสผ่านในองค์กรทั้งหมดของ NIST ฉบับล่าสุดเป็นดังนี้

Verifiers and CSPs SHALLrequire passwords to be a minimum of eight characters in length and SHOULDrequire passwords to be a minimum of 15 characters in length.

Verifiers and CSPs SHOULDpermit a maximum password length of at least 64 characters.

Verifiers and CSPs SHOULDaccept all printing ASCII [RFC20] characters and the space character in passwords.

Verifiers and CSPs SHOULDaccept Unicode [ISO/ISC 10646] characters in passwords. Each Unicode code point SHALLbe counted as a single character when evaluating password length.

Verifiers and CSPs SHALL NOTimpose other composition rules (e.g., requiring mixtures of different character types) for passwords.

Verifiers and CSPs SHALL NOTrequire users to change passwords periodically. However, verifiers SHALLforce a change if there is evidence of compromise of the authenticator.

Verifiers and CSPs SHALL NOTpermit the subscriber to store a hint that is accessible to an unauthenticated claimant.

Verifiers and CSPs SHALL NOTprompt subscribers to use knowledge-based authentication (KBA) (e.g., “What was the name of your first pet?”) or security questions when choosing passwords.

Verifiers SHALLverify the entire submitted password (i.e., not truncate it).

ที่มา: Cyber Security News

No Description

Hiring! บริษัทที่น่าสนใจ

Seven Peaks

We Drive Digital Transformation

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

Comments

By: Azymik on 29 September 2024 - 20:05 #1323502

SHALL NOT น่าจะแปลเป็น ต้องไม่ มากกว่า ไม่ต้อง นะครับ

By: arjin

on 29 September 2024 - 20:37 #1323504 Reply to:1323502

ขอบคุณครับ

By: btoy

on 29 September 2024 - 20:50 #1323505

ค่อนข้างเห็นด้วยมากๆครับ

..: เรื่อยไป

By: wichitchai on 30 September 2024 - 09:32 #1323527

แต่ audit ในไทยยังบอกว่าองค์กรต้องเปลี่ยนทุกๆ 3 เดือน?

By: osmiumwo1f

on 30 September 2024 - 09:48 #1323530

ข้อ 4 นี่น่าสนใจตรงที่มันจะใช้ emoji และทุกอักษรในทุกภาษาได้ด้วย ซึ่งจะทำให้ทั้ง brute force และ dict ใช้เวลานานมากกว่าเดิมหลายเท่า แถมอาจจะได้เห็นคนพิมพ์รหัสผ่านด้วยแป้นพิมพ์ emoji ครับ

By: Hoo

on 30 September 2024 - 13:32 #1323551 Reply to:1323530

เป็น emojiถ้าจะ login บนคอม จะทำยังไงละเนี่ย 😅

แต่นึกถึงสมัย Dos เคยใช้ Alt-255 😁

By: osmiumwo1f

on 30 September 2024 - 14:26 #1323560 Reply to:1323551

กด Alt code เอา (ถ้ามันยอมนะ)🤣🤣 แต่ไม่อยากนึกสภาพพิมพ์รหัสผ่านเป็นภาษาจีนเลยครับ

By: hisoft

on 30 September 2024 - 15:05 #1323568 Reply to:1323551

เอ้อ เพิ่งสังเกตเหมือนกันว่าช่อง password ของ browser มันไม่ยอมให้ใส่ emoji (จาก win + . )

By: darkleonic

on 30 September 2024 - 11:04 #1323535

แต่ Audit ISO ต่างๆ ยังบังคับอยู่ดี

I need healing.

By: puuga

on 30 September 2024 - 13:11 #1323544 Reply to:1323535

มันเศร้าตรงนี้

By: zionzz on 30 September 2024 - 13:45 #1323554 Reply to:1323535

ถ้าเราอยากทำตามมาตรฐานใหม่ของ NIST เราก็เขียน password policy ไว้แล้วใช้เอกสาร NIST ตัวใหม่อ้างอิงตอน Audit มาตรวจก็ได้นี่ครับไม่แน่ใจว่าหมายถึง ISO ไหน แต่ 27k:2022 เขาก็เขียนไว้ในคู่มือเลยนะว่าไม่ควรบังคับเปลี่ยนบ่อยๆ (ver 2013 ยังบอกให้เปลี่ยนเป็นประจำอยู่)

By: lancaster

on 30 September 2024 - 15:48 #1323572 Reply to:1323535

ถ้า 27001 ตาม annex ไม่ได้บังคับลงมาเจาะจงขนาดนี้นะครับ เพียงแต่เราต้องอธิบาย auditor ได้ว่า policy เราอ้างอิงตามเอกสารไหน แล้วมีเหตุผลอะไรบ้างที่ทำตามนี้

จากประสบการณ์ บริษัทส่วนมากที่เจอจะติดปัญหาที่ consult (ที่ช่วยเราร่าง policy) กับ isms team (ของเราเอง) ที่ขาดความรู้ตรงนี้ แล้วเอาง่ายโดยการบังคับ policy โบราณพวกนั้น เสร็จแล้วก็โยนความผิดให้ auditor ว่าโดน auditor บังคับมาครับ

By: zda98

on 30 September 2024 - 11:52 #1323539

ภาษาไทย keyboard ภาษาอังกฤษดีสุด จำงานดี

By: TeamKiller

on 30 September 2024 - 14:17 #1323559 Reply to:1323539

พิมพ์ในมือถือยังไงอะครับ

By: YF-01

on 30 September 2024 - 17:01 #1323583 Reply to:1323559

ดูคีย์บอร์ดไปเรื่อยๆ เดี๋ยวจำได้เองครับ 555

By: poa

on 30 September 2024 - 21:17 #1323599 Reply to:1323559

ทุกวันนี้ผมยังตามหา app keyboard ที่มี layout ภาษาไทย-อังกฤษเท่ากันอยู่ ตอนนี้ใช้ TSwipe-pro กับ android 12 อยู่ ถ้าเปลี่ยนมือถือให้ใหม่กว่านี้ก็จะใช้ไม่ได้แล้ว