เหตุใดการเปลี่ยนรหัสผ่านเป็นประจำจึงไม่ใช่เรื่องดี?

ข้อมูลเชิงลึกเกี่ยวกับความปลอดภัยของรหัสผ่านที่ยั่งยืนที่สุดประการหนึ่งคือการเปลี่ยนรหัสผ่านเป็นประจำจะช่วยเพิ่มความปลอดภัย อย่างน้อย นั่นคือสิ่งที่ทีมไอทีทั่วโลกผลักดันให้ผู้คนทำมาหลายทศวรรษ

อย่างไรก็ตาม คำแนะนำดังกล่าวได้รับการคัดค้านเสมอ ผู้คนจำนวนมากในอุตสาหกรรมการรักษาความปลอดภัยโต้แย้งว่าสิ่งนี้ทำให้มีรหัสผ่านที่ยังคงจดจำได้ง่าย ปัจจุบันการวิจัยได้พิสูจน์ทฤษฎีนี้แล้ว โดยแสดงให้เห็นว่าการเปลี่ยนรหัสผ่านบ่อยครั้งจะนำไปสู่ปัญหาความปลอดภัย

การเปลี่ยนรหัสผ่านบ่อยครั้งทำให้ความปลอดภัยไม่ดี

พวกเราหลายคนพบว่าการบังคับให้เปลี่ยนรหัสผ่านทุกๆ 4, 6 หรือ 8 สัปดาห์เป็นเรื่องน่ากลัว กลุ่มไอทีกลุ่มหนึ่งเสนอแนวคิดว่าการเปลี่ยนรหัสผ่านจะทำให้การละเมิดความปลอดภัยไม่มีประโยชน์ เนื่องจากทุกคนจะใช้รหัสผ่านใหม่

ในทางปฏิบัติสิ่งนี้นำไปสู่จุดอ่อนในการสร้างรหัสผ่าน แทนที่จะสร้างรหัสผ่านที่แข็งแกร่ง ไม่ซ้ำกัน และยากต่อการคาดเดา ผู้คนส่วนใหญ่มักเลือกใช้รหัสผ่านที่จำง่าย โดยประกอบด้วยส่วนเล็กๆ ที่ซ้ำกัน

ตัวอย่างเช่น รหัสผ่านที่แข็งแรง 16 อักขระอาจเป็น "hS'9{yX?Fzu#=_:R" ซึ่งรวมตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก ตัวเลข และสัญลักษณ์เข้าด้วยกัน มันเป็นเรื่องยากที่จะจดจำ แต่เมื่อเวลาผ่านไป คุณจะคุ้นเคยกับมัน ในขณะที่หากคุณต้องเปลี่ยนรหัสผ่านทุกเดือน คุณจะไม่มีเวลาจดจำเรื่องนี้ ส่งผลให้ผู้คนเริ่มใช้ประโยคที่น่าจดจำมากขึ้นโดยมีส่วนซ้ำเล็กๆ น้อยๆ

• มกราคม: difficultpassword1
• กุมภาพันธ์: d1fficultpassword2
• มีนาคม: d1ff1cultp4ssword3
• วี,วี...

เลือกใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน (หรือใช้ตัวจัดการรหัสผ่าน)

ศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติของสหราชอาณาจักรได้แนะนำไม่ให้ใช้รหัสผ่านทั่วไปมาตั้งแต่ปี 2015 และในปี 2024 สถาบันมาตรฐานแห่งชาติก็เริ่มทำตาม

คำแนะนำใหม่ของพวกเขาแนะนำให้รหัสผ่านหมดอายุทุกๆ 365 วัน ซึ่งจะเปลี่ยนกรอบเวลาอย่างมีนัยสำคัญและเพิ่มความปลอดภัย

ในเวลาเดียวกัน NIST กำลังอัปเดตข้อความเกี่ยวกับความยาวและความแข็งแกร่งของรหัสผ่านอีกด้วย ในบางกรณี กฎการสร้างรหัสผ่านจะจำกัดผู้ใช้ให้เหลือ 12 อักขระ หรือป้องกันไม่ให้ใช้สัญลักษณ์บางตัว ปัจจุบัน NIST แนะนำว่าควรใช้รหัสผ่านทั้งหมดดังต่อไปนี้:

• ขั้นต่ำ 15 ตัวอักษร
• สูงสุด 64 ตัวอักษร
• รวมถึงอักขระ ASCII ทั้งหมด อักขระช่องว่าง และอักขระ Unicode

การเปลี่ยนแปลงเหล่านี้หมายถึงการมีช่องป้อนรหัสผ่านเพิ่มมากขึ้น ทำให้สามารถกำหนดวลีรหัสผ่านที่แข็งแกร่งและจดจำได้ง่ายขึ้น ในขณะเดียวกันความแข็งแกร่งของรหัสผ่านโดยรวมก็เพิ่มขึ้นด้วยเช่นกัน

แน่นอนว่าองค์กรใดๆ ที่เกี่ยวข้องกับการรักษาความปลอดภัยด้วยรหัสผ่านควรเปิดใช้งานเครื่องมือจัดการรหัสผ่าน มีข้อควรพิจารณาด้านความปลอดภัยเพิ่มเติมที่เกี่ยวข้องกับการใช้ตัวจัดการรหัสผ่าน เช่น การจัดเก็บข้อมูลในเครื่อง การเข้ารหัสแบบไม่เปิดเผยข้อมูล ฯลฯ แต่แนวทางปฏิบัติที่ดีที่สุดคือการปกป้องบัญชีทั้งหมดของคุณด้วยรหัสผ่านที่แข็งแกร่ง