Clear
Lead Graphic Papers

ข่าวสั้น

Windows 10 เวอร์ชันใหม่ เตรียมยกเลิกนโยบายบังคับให้รหัสผ่านมีวันหมดอายุ เนื่องจากไม่ได้ช่วยให้มีความมั่นคงปลอดภัยเพิ่มมากขึ้น

ที่ผ่านมา หลายหน่วยงานมีนโยบายกำหนดวันหมดอายุของรหัสผ่าน เพื่อบังคับให้พนักงานต้องเปลี่ยนรหัสผ่านใหม่ตามระยะเวลาที่กำหนด อย่างไรก็ตาม ในช่วงหลังมีงานวิจัยหลายแห่งที่บอกว่าวิธีนี้ไม่ได้ช่วยให้บัญชีผู้ใช้มีความมั่นคงปลอดภัยมากขึ้น ยิ่งไปกว่านั้นการบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อยๆ อาจทำให้แย่ลงกว่าเดิม เช่น ผู้ใช้ยังตั้งรหัสผ่านเหมือนเดิมแต่เปลี่ยนแค่ตัวเลขหรือตัวอักษรบางตัว หรือจดบันทึกรหัสผ่านแล้วแปะไว้หน้าจอเพราะกลัวลืม ทั้งนี้เมื่อปี 2560 ทางหน่วยงาน NIST ของสหรัฐฯ ได้เผยแพร่เอกสาร NIST 800-63B เรื่องข้อกำหนดของรหัสผ่าน โดยตัดข้อแนะนำที่บังคับให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านบ่อยๆ ออกไปแล้ว (ดูเพิ่มเติมได้จาก https://pages.nist.gov/800-63-3/sp800-63b.html)

Microsoft ได้เผยแพร่ร่างเอกสาร security baseline สำหรับ Windows 10 v1903 และ Windows Server v1903 ซึ่งเป็นนโยบายการตั้งค่าความมั่นคงปลอดภัยเริ่มต้นของ Windows เวอร์ชันใหม่ที่จะปล่อยให้ดาวน์โหลดกันในช่วงปลายเดือนพฤษภาคม 2562 ตัวเอกสารมีการปรับปรุงหลายอย่าง แต่สิ่งที่เป็นประเด็นน่าสนใจที่สุดในการปรับปรุงรอบนี้คือการนำนโยบายองค์กรที่บังคับให้พนักงานเปลี่ยนรหัสผ่านตามระยะเวลาที่กำหนดออกไปแล้ว

ทาง Microsoft ให้เหตุผลว่า นโยบายการบังคับให้เปลี่ยนรหัสผ่านบ่อยๆ นั้นไม่ได้ช่วยให้ระบบมีความมั่นคงปลอดภัยมากขึ้นอย่างที่เข้าใจกัน เพราะจุดประสงค์ที่แท้จริงของนโยบายนี้ออกแบบมาเพื่อป้องกันไม่ให้ผู้ประสงค์ร้ายสามารถแคร็กรหัสผ่านได้ทันก่อนที่รหัสผ่านเดิมจะหมดอายุ แต่ในทางปฏิบัติแล้วเมื่อรหัสผ่านเดิมไม่รั่วไหลก็ไม่ได้มีความจำเป็นอะไรต้องเปลี่ยน อีกทั้งหากรหัสผ่านหลุดรั่วออกไป นโยบายการเปลี่ยนรหัสผ่านแบบที่ใช้อยู่นี้ก็ป้องกันไม่ทันอยู่ดี

อย่างไรก็ตาม นโยบายใหม่นี้มีผลเฉพาะเรื่องการกำหนดอายุของรหัสผ่านเท่านั้น แต่นโยบายความยาวและความซับซ้อนของรหัสผ่านนั้นยังคงเดิม ทั้งนี้ ผู้ดูแลระบบยังสามารถเลือกได้ว่าต้องการให้รหัสผ่านมีวันหมดอายุหรือไม่ นอกจากนี้ ทาง Microsoft ได้มีข้อแนะนำเพิ่มเติมเพื่อเพิ่มความมั่นคงปลอดภัยของบัญชีด้วย เช่น ห้ามไม่ให้ตั้งรหัสผ่านซ้ำกับรหัสผ่านที่เคยปรากฏในฐานข้อมูลรหัสผ่านที่ถูกเปิดเผย (leaked password) เปิดใช้งานการยืนยันตัวตนแบบสองปัจจัย (2-factor authentication) รวมถึงมีมาตรการตรวจสอบและแจ้งเตือนการล็อกอินที่ผิดปกติเพื่อให้ผู้ใช้เปลี่ยนรหัสผ่านทันทีที่สงสัยว่ามีบุคคลอื่นล่วงรู้รหัสผ่านด้วย

ร่างเอกสาร security baseline ฉบับนี้ยังอยู่ในระหว่างการเผยแพร่เพื่อรับฟังความเห็นจากสาธารณะ ก่อนที่จะนำมาใช้จริงใน Windows เวอร์ชันถัดไป ผู้ที่สนใจสามารถศึกษาข้อมูลเพิ่มเติมได้จากที่มา

วันที่: 2019-04-29 | ที่มา: Microsoft | Share on Facebook Share on Twitter Share on Google+

Clear