องค์กรประกันคุณภาพข้อมูลแห่งชาติของอังกฤษ (National Technical Authority for Information Assurance - CESG) ออกคำแนะนำการใช้รหัสผ่านฉบับใหม่ ปรับปรุงแนวทางการใช้รหัสผ่านให้ปลอดภัย
คำแนะนำมีหลายข้อ แต่ข้อที่เป็นการเปลี่ยนแปลงหนักๆ คือข้อ 2 ที่ระบุว่าการบังคับเปลี่ยนรหัสผ่านเป็นรอบๆ 30 ถึง 90 วันนั้นเป็นการสร้างภาระให้ผู้ใช้โดยไม่จำเป็น หากรหัสผ่านหลุดไปจริงก็มักจะถูกใช้เจาะระบบในเวลาไม่นาน แนวทางที่ดีกว่าคือการตรวจสอบการใช้รหัสผ่านอย่างต่อเนื่อง แจ้งผู้ใช้เมื่อมีการใช้รหัสผ่านและเปิดช่องทางให้ผู้ใช้รายงานหากมีการใช้รหัสผ่านโดยไม่ได้รับอนุญาต
คำแนะนำของ CESG มีทั้งหมด 7 ข้อ ดังนี้
- เปลี่ยนรหัสผ่านเริ่มต้นเสมอ
- ช่วยผู้ใช้ลดภาระการจำรหัสผ่าน เลิกบังคับเปลี่ยนรหัสผ่านบ่อยๆ, หากการใช้งานจริงจำเป็นต้องแชร์รหัสผ่านควรหาทางออกให้ผู้ใช้ เช่น โทเค็น, หรือ RFID
- เข้าใจข้อจำกัดการสร้างรหัสโดยตัวผู้ใช้ แนะนำแนวทางการสร้างรหัสผ่าน, ช่วยผู้ใช้ตรวจสอบการใช้รหัสผ่านที่พบบ่อย, เตือนผู้ใช้ว่ามิตเตอร์ความแข็งแรงรหัสผ่านไม่สามารถตรวจสอบกรณีที่ผู้ใช้ใช้ข้อมูลส่วนตัว
- เข้าใจข้อจำกัดการสร้างรหัสโดยเครื่อง รหัสผ่านที่ได้จากเครื่องสุ่มอาจจะจำยากจนเกินไป ผู้ดูแลระบบอาจจะช่วยเหลือผู้ใช้ด้วยการวางแนวทางการสุ่มให้จำได้ง่ายขึ้น หรือสร้างรหัสหลายชุดให้ผู้ใช้เลือกจำอันที่จำง่ายที่สุดสำหรับตัวเอง
- จัดลำดับความสำคัญ ผู้ใช้ที่ความสำคัญสูง เช่น ผู้ดูแลระบบ, ผู้ใช้ที่เข้าระบบได้จากระยะไกล จำเป็นต้องได้รับการปกป้องมากกว่าปกติ เช่น อาจจะมีกระบวนการยืนยันตัวตนสองชั้น
- ตรวจสอบการใช้งานสม่ำเสมอ ระบบล็อกอินควรทนทานต่อการถูกเดารหัสผ่านสุ่ม ระบบอาจจะหน่วงเวลาเพิ่มเติมเมื่อมีการใส่รหัสผิด แจ้งเตือนผู้ใช้เมื่อมีความพยายามล็อกอินผิดปกติบ่อยครั้ง และห้ามใช้รหัสผ่านที่พบบ่อย
- อย่าเก็บรหัสผ่านโดยไม่แฮช ควรแฮชรหัสผ่านก่อนเก็บลงดิสก์ทุกครั้ง, ใช้ค่า salt สำหรับทุกบัญชีแยกจากกัน, รักษาไฟล์รหัสผ่านให้ดี
ใครที่เจ็บปวดกับนโยบายรหัสผ่านที่บังคับเปลี่ยนกันบ่อยๆ คำแนะนำของ CESG รอบนี้อาจจะเป็นแนวทางสนับสนุนให้เปลี่ยนนโยบายกันเสียทีครับ
CESG เป็นหน่วยงานที่ชื่อย่อแปลกๆ เพราะชื่อเดิมของหน่วยงานคือ Communications-Electronics Security Group ภายใต้ GCHQ หรือหน่วยข่าวกรองของรัฐบาลอังกฤษ
ที่มา - CESG, CESG (PDF)