ผู้ใช้ควรถูกบังคับให้รีเซ็ตรหัสผ่านเป็นประจำหรือไม่?

คำแนะนำด้านความปลอดภัยของบัญชีทั่วไปอย่างหนึ่งคือ ผู้ใช้ควรเปลี่ยนรหัสผ่านเป็นประจำ เหตุผลที่อยู่เบื้องหลังแนวทางนี้คือการลดระยะเวลาที่รหัสผ่านสามารถใช้ได้ เผื่อในกรณีที่รหัสผ่านถูกบุกรุก กลยุทธ์ทั้งหมดนี้อิงตามคำแนะนำในอดีตจากกลุ่มความปลอดภัยทางไซเบอร์ชั้นนำ เช่น American NIST หรือสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ

เป็นเวลาหลายทศวรรษที่รัฐบาลและบริษัทต่างๆ ปฏิบัติตามคำแนะนำนี้และบังคับให้ผู้ใช้รีเซ็ตรหัสผ่านเป็นประจำ ซึ่งปกติแล้วทุกๆ 90 วัน อย่างไรก็ตาม เมื่อเวลาผ่านไป การวิจัยพบว่าวิธีการนี้ไม่ได้ผลตามที่ตั้งใจไว้ และในปี 2017 NISTร่วมกับNCSCของสหราชอาณาจักรหรือ National Cyber ​​Security Center ได้เปลี่ยนคำแนะนำให้เปลี่ยนรหัสผ่านเฉพาะเมื่อมีข้อสงสัยที่สมเหตุสมผลว่าอาจเกิดการประนีประนอม

เหตุใดคำแนะนำจึงเปลี่ยนไป

คำแนะนำในการเปลี่ยนรหัสผ่านเป็นประจำถูกนำมาใช้เพื่อช่วยเพิ่มความปลอดภัย จากมุมมองที่สมเหตุสมผล คำแนะนำในการรีเฟรชรหัสผ่านเป็นประจำนั้นสมเหตุสมผล ประสบการณ์ในโลกแห่งความเป็นจริงนั้นแตกต่างกันเล็กน้อย การวิจัยพบว่าการบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านเป็นประจำทำให้พวกเขามีแนวโน้มที่จะเริ่มใช้รหัสผ่านที่คล้ายกันมากขึ้นอย่างมีนัยสำคัญซึ่งพวกเขาสามารถเพิ่มขึ้นได้ ตัวอย่างเช่น แทนที่จะเลือกรหัสผ่านเช่น "9L=Xk&2>" ผู้ใช้จะใช้รหัสผ่านเช่น "Spring2019!" แทน

ปรากฎว่า เมื่อถูกบังคับให้ต้องคิดและจำรหัสผ่านหลายอัน แล้วเปลี่ยนรหัสผ่านเป็นประจำ ผู้คนมักใช้รหัสผ่านที่จำง่ายซึ่งไม่ปลอดภัยมากกว่า ปัญหาเกี่ยวกับรหัสผ่านที่เพิ่มขึ้นเช่น “Spring2019!” คือการคาดเดาได้ง่ายและทำให้ง่ายต่อการคาดการณ์การเปลี่ยนแปลงในอนาคตด้วย เมื่อรวมเข้าด้วยกันหมายความว่าการบังคับรีเซ็ตรหัสผ่านจะผลักดันให้ผู้ใช้เลือกให้จำได้ง่ายขึ้นและรหัสผ่านที่อ่อนแอกว่า ซึ่งมักจะบ่อนทำลายผลประโยชน์ที่ตั้งใจไว้ในการลดความเสี่ยงในอนาคต

ตัวอย่างเช่น ในสถานการณ์ที่เลวร้ายที่สุด แฮ็กเกอร์อาจประนีประนอมรหัสผ่าน “Spring2019!” ภายในไม่กี่เดือนนับจากวันที่มีผลบังคับใช้ ณ จุดนี้ พวกเขาสามารถลองใช้ตัวแปรที่มีคำว่า "ฤดูใบไม้ร่วง" แทนที่จะเป็น "ฤดูใบไม้ผลิ" และมีแนวโน้มที่จะเข้าถึงได้ หากบริษัทตรวจพบการละเมิดความปลอดภัยนี้และบังคับให้ผู้ใช้เปลี่ยนรหัสผ่าน มีความเป็นไปได้ค่อนข้างมากที่ผู้ใช้ที่ได้รับผลกระทบจะเปลี่ยนรหัสผ่านเป็น “Winter2019!” และคิดว่าพวกเขาปลอดภัย แฮ็กเกอร์ที่รู้รูปแบบอาจลองทำเช่นนี้หากพวกเขาสามารถเข้าถึงได้อีกครั้ง ขึ้นอยู่กับระยะเวลาที่ผู้ใช้ยึดติดกับรูปแบบนี้ ผู้โจมตีสามารถใช้สิ่งนี้เพื่อเข้าถึงได้ตลอดหลายปี ขณะที่ผู้ใช้รู้สึกปลอดภัยเพราะพวกเขาเปลี่ยนรหัสผ่านเป็นประจำ

คำแนะนำใหม่คืออะไร?

เพื่อช่วยสนับสนุนให้ผู้ใช้หลีกเลี่ยงรหัสผ่านที่เป็นสูตร ตอนนี้คำแนะนำคือให้รีเซ็ตรหัสผ่านใหม่เมื่อมีข้อสงสัยตามสมควรว่าพวกเขาถูกบุกรุกเท่านั้น การไม่บังคับให้ผู้ใช้จำรหัสผ่านใหม่เป็นประจำ มักจะเลือกรหัสผ่านที่รัดกุมตั้งแต่แรก

ประกอบกับคำแนะนำอื่นๆ จำนวนหนึ่งที่มุ่งส่งเสริมการสร้างรหัสผ่านที่รัดกุมยิ่งขึ้น ซึ่งรวมถึงการตรวจสอบให้แน่ใจว่ารหัสผ่านทั้งหมดมีความยาวอย่างน้อยแปดอักขระอย่างน้อยที่สุด และจำนวนอักขระสูงสุดคืออย่างน้อย 64 อักขระ นอกจากนี้ยังแนะนำให้บริษัทต่างๆ เริ่มเปลี่ยนจากกฎความซับซ้อนไปสู่การใช้รายการบล็อกโดยใช้พจนานุกรมที่มีรหัสผ่านที่ไม่รัดกุม เช่น “ChangeMe!” และ “Password1” ซึ่งตรงตามข้อกำหนดความซับซ้อนมากมาย

ชุมชนความปลอดภัยทางไซเบอร์เกือบเป็นเอกฉันท์เห็นด้วยว่ารหัสผ่านไม่ควรหมดอายุโดยอัตโนมัติ

หมายเหตุ: ขออภัย ในบางสถานการณ์ ยังอาจจำเป็นต้องทำเช่นนั้น เนื่องจากรัฐบาลบางแห่งยังไม่ได้เปลี่ยนแปลงกฎหมายที่กำหนดให้รหัสผ่านหมดอายุสำหรับระบบที่มีความละเอียดอ่อนหรือเป็นความลับ