[รีเซ็ตรหัส] ในหลาย ๆ ครั้ง เราอาจเคยเจอการบังคับให้เปลี่ยนรหัสผ่านใหม่ เพื่อความปลอดภัย แต่ไม่สะดวกผู้ใช้ เพราะต้องมาจำรหัสใหม่ กับหารหัสใหม่ที่มีความ “ซับซ้อน” มากพอด้วย ล่าสุดทางหน่วยงานใหญ่ในสหรัฐฯ อย่าง NIST ได้ร่างแนวทางการจัดการรหัสผ่านฉบับล่าสุด เผยควรลดความเข้มงวดให้น้อยลง
NIST สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐฯ ได้เสนอร่างแนวทางการจัดการรหัสผ่านใหม่ โดยใจความสำคัญคือการลดความซับซ้อน ไม่แนะนำให้ใช้รหัสผ่านหลายรูปแบบ หรือเปลี่ยนรหัสผ่านเป็นประจำอีกต่อไป
ตามร่างแนวทางการจัดการรหัสผ่านฉบับที่ 2 ของ NIST (SP 800-63-4) ได้ระบุข้อกำหนดทางเทคนิคและแนะนำแนวทางปฏิบัติที่ดีที่สุด สำหรับการจัดการรหัสผ่านและการยืนยันตัวตนใหม่ อย่างแรกคือ ผู้ให้บริการข้อมูลประจำตัว (CSP) หยุดบังคับผู้ใช้ให้ตั้งรหัสผ่านใหม่เป็นระยะ ๆ เช่นใน 60 ถึง 90 วัน ถัดมาคือหยุดบังคับให้ตั้งรหัสผ่านที่ใช้อักขระเฉพาะด้วย
ส่วนคำแนะนำอื่น ๆ ที่น่าสนใจ ก็มีทั้งการอนุญาตให้ใช้รหัสผ่านที่มีความยาวสูงสุดอย่างน้อย 64 อักขระ อนุญาตให้รวมอักขระ ASCII และ Unicode ในรหัสผ่าน
ย้อนไปในปี 2017 ทาง NIST เคยแนะนำให้ตั้งรหัสผ่านที่ประกอบด้วยตัวอักษรพิมพ์ใหญ่พิมพ์เล็ก การใช้ตัวเลข และการใช้อักขระพิเศษ ปัจจุบันเล็งเห็นแล้วว่าการตั้งรหัสผ่านที่ซับซ้อน กลับไม่ได้ปลอดภัยเสมอไป
เหตุเพราะความซับซ้อนนี้เอง ส่งผลให้ผู้ใช้ต้องทำทุกวิธี เพื่อให้รหัสผ่านเดาได้ง่ายขึ้น เช่น การเขียนรหัสผ่านในที่ที่ค้นหาได้ง่าย หรือใช้รหัสซ้ำในทุกบัญชี ส่วนการบังคับให้เปลี่ยนรหัสผ่านบ่อยครั้ง ก็ส่งผลให้ผู้ใช้ตั้งรหัสผ่านใหม่ที่ปลอดภัยน้อยกว่าเดิมลงไปอีก
จุดน่าสนใจอีกอย่างในร่างแนวทางการจัดการรหัสผ่านใหม่นี้ คือทาง NIST จากที่เคยใช้คำว่า should not หรือ “ไม่ควร” ก็เปลี่ยนเป็นคำว่า shall not หรือ “ต้องไม่” แทน อาจกล่าวได้ว่าร่างแนวทางนี้ ไม่ใช่เพียงคำแนะนำแล้ว หากแต่เป็นข้อกำหนดใหม่กันเลย ซึ่งอาจทำให้เกิดการเปลี่ยนแปลงกับทาง CSP หรือในหลาย ๆ องค์กรนับจากนี้อย่างแน่นอน
ที่มา : Darkreading
