ผู้ใช้ควรถูกบังคับให้รีเซ็ตรหัสผ่านเป็นประจำหรือไม่?

เบ็ดเตล็ดDec 19, 2021
click fraud protection

หนึ่งในคำแนะนำด้านความปลอดภัยของบัญชีโดยทั่วไปคือ ผู้ใช้ควรเปลี่ยนรหัสผ่านเป็นประจำ เหตุผลที่อยู่เบื้องหลังแนวทางนี้คือการลดระยะเวลาที่รหัสผ่านสามารถใช้ได้ เผื่อในกรณีที่รหัสผ่านถูกบุกรุก กลยุทธ์ทั้งหมดนี้อิงตามคำแนะนำในอดีตจากกลุ่มความปลอดภัยทางไซเบอร์ชั้นนำ เช่น American NIST หรือสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ

เป็นเวลาหลายทศวรรษที่รัฐบาลและบริษัทต่างๆ ปฏิบัติตามคำแนะนำนี้และบังคับให้ผู้ใช้รีเซ็ตรหัสผ่านเป็นประจำ โดยปกติทุกๆ 90 วัน อย่างไรก็ตาม เมื่อเวลาผ่านไป การวิจัยพบว่าแนวทางนี้ไม่ได้ผลตามที่ตั้งใจไว้และในปี 2017 NIST กับสหราชอาณาจักร กปปสหรือ National Cyber ​​Security Center ได้เปลี่ยนคำแนะนำให้เปลี่ยนรหัสผ่านเฉพาะเมื่อมีเหตุอันควรสงสัยว่ามีการประนีประนอม

เหตุใดคำแนะนำจึงเปลี่ยนไป

คำแนะนำในการเปลี่ยนรหัสผ่านเป็นประจำถูกนำมาใช้เพื่อช่วยเพิ่มความปลอดภัย จากมุมมองที่สมเหตุสมผล คำแนะนำในการรีเฟรชรหัสผ่านเป็นประจำนั้นสมเหตุสมผล ประสบการณ์ในโลกแห่งความเป็นจริงนั้นแตกต่างกันเล็กน้อย การวิจัยพบว่าการบังคับผู้ใช้ให้เปลี่ยนรหัสผ่านเป็นประจำทำให้พวกเขามีแนวโน้มที่จะเริ่มใช้รหัสผ่านที่คล้ายกันซึ่งพวกเขาสามารถเพิ่มได้อย่างมีนัยสำคัญ ตัวอย่างเช่น แทนที่จะเลือกรหัสผ่านเช่น "9L=Xk&2>" ผู้ใช้จะใช้รหัสผ่านเช่น "Spring2019!" แทน

ปรากฎว่า เมื่อถูกบังคับให้ต้องคิดและจำรหัสผ่านหลายอัน แล้วเปลี่ยนรหัสผ่านเป็นประจำ ผู้คนมักใช้รหัสผ่านที่จำง่ายซึ่งไม่ปลอดภัยมากกว่า ปัญหาเกี่ยวกับรหัสผ่านที่เพิ่มขึ้นเช่น “Spring2019!” คือคาดเดาได้ง่ายและทำให้ง่ายต่อการคาดการณ์การเปลี่ยนแปลงในอนาคตด้วย เมื่อรวมกันหมายความว่าการบังคับรีเซ็ตรหัสผ่านจะผลักดันให้ผู้ใช้เลือกจดจำได้ง่ายขึ้นและ ดังนั้นรหัสผ่านที่อ่อนแอกว่าซึ่งมักจะบ่อนทำลายผลประโยชน์ที่ตั้งใจไว้ของการลดอนาคต เสี่ยง.

ตัวอย่างเช่น ในสถานการณ์ที่แย่ที่สุด แฮ็กเกอร์อาจประนีประนอมรหัสผ่าน “Spring2019!” ภายในไม่กี่เดือนนับจากวันที่มีผลบังคับใช้ ณ จุดนี้ พวกเขาสามารถลองใช้ตัวแปรที่มีคำว่า "ฤดูใบไม้ร่วง" แทนที่จะเป็น "ฤดูใบไม้ผลิ" และมีแนวโน้มที่จะเข้าถึงได้ หากบริษัทตรวจพบการละเมิดความปลอดภัยแล้วบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านก็ถือว่ายุติธรรม มีแนวโน้มว่าผู้ใช้ที่ได้รับผลกระทบจะเปลี่ยนรหัสผ่านเป็น “Winter2019!” และคิดว่าพวกเขากำลัง ปลอดภัย. แฮ็กเกอร์ที่รู้รูปแบบอาจลองทำเช่นนี้หากพวกเขาสามารถเข้าถึงได้อีกครั้ง ขึ้นอยู่กับระยะเวลาที่ผู้ใช้ยึดติดกับรูปแบบนี้ ผู้โจมตีสามารถใช้สิ่งนี้เพื่อเข้าถึงได้หลายปี ในขณะที่ผู้ใช้รู้สึกปลอดภัยเพราะเปลี่ยนรหัสผ่านเป็นประจำ

คำแนะนำใหม่คืออะไร?

เพื่อช่วยสนับสนุนให้ผู้ใช้หลีกเลี่ยงรหัสผ่านที่เป็นสูตร ตอนนี้คำแนะนำคือให้รีเซ็ตรหัสผ่านใหม่เมื่อมีข้อสงสัยตามสมควรว่าพวกเขาถูกบุกรุกเท่านั้น การไม่บังคับให้ผู้ใช้จำรหัสผ่านใหม่เป็นประจำ มักจะเลือกรหัสผ่านที่คาดเดายากตั้งแต่แรก

ประกอบกับคำแนะนำอื่นๆ จำนวนหนึ่งที่มุ่งส่งเสริมการสร้างรหัสผ่านที่รัดกุมยิ่งขึ้น ซึ่งรวมถึงการตรวจสอบให้แน่ใจว่ารหัสผ่านทั้งหมดมีความยาวอย่างน้อยแปดอักขระอย่างน้อยที่สุด และจำนวนอักขระสูงสุดคืออย่างน้อย 64 อักขระ นอกจากนี้ยังแนะนำให้บริษัทต่างๆ เริ่มเปลี่ยนจากกฎความซับซ้อนไปสู่การใช้รายการบล็อก ใช้พจนานุกรมที่มีรหัสผ่านไม่รัดกุม เช่น “ChangeMe!” และ “Password1” ที่มีความซับซ้อนมากมาย ความต้องการ.

ชุมชนความปลอดภัยทางไซเบอร์เกือบเป็นเอกฉันท์เห็นด้วยว่ารหัสผ่านไม่ควรหมดอายุโดยอัตโนมัติ

หมายเหตุ: ขออภัย ในบางสถานการณ์ คุณยังอาจจำเป็นต้องทำเช่นนั้น เนื่องจากรัฐบาลบางแห่งยังไม่ได้เปลี่ยนแปลงกฎหมายที่กำหนดให้รหัสผ่านหมดอายุสำหรับระบบที่มีความละเอียดอ่อนหรือเป็นความลับ