งานวิจัยบ่งชี้เปลี่ยนรหัสผ่านทุก 2-3 เดือน "เสียมากกว่าได้"

Lorrie Cranor ประธานนักเทคโนโลยีของ FTC (คณะกรรมการการค้าสหรัฐฯ) และยังเป็นศาสตราจารย์วิทยาศาสตร์คอมพิวเตอร์ของสถาบัน Carnegie Mellon ได้เขียนบทความอธิบายว่าการที่ผู้ดูแลระบบกำหนดให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านเพื่อใช้งานคอมพิวเตอร์อยู่บ่อยๆ ส่งผลเสียต่อความปลอดภัยของระบบแทนที่จะเป็นผลดี

Cranor มีผลการวิจัยโดย University of North Carolina at Chapel Hill มาสนับสนุนข้อเขียนดังกล่าวด้วย ผลการวิจัยชี้ว่าเมื่อผู้ใช้ถูกบีบให้ต้องเปลี่ยนรหัสผ่านบ่อยจนเกินไป พวกเขาจะไม่เค้นสมองเพื่อคิดรหัสผ่านใหม่อย่างเต็มที่ หากแต่มีแนวโน้มว่าพวกเขาจะตั้งรหัสผ่านใหม่ซึ่งมีการเปลี่ยนแปลงไปจากรหัสผ่านเดิมด้วยรูปแบบที่คาดเดาได้ สิ่งที่เกิดขึ้นจริงกับหลายคนคือการดัดแปลงหรือแก้ไขรหัสผ่านเดิมเล็กน้อย ซึ่งมักจะเป็นวิธียอดนิยมอย่างเช่น

• เปลี่ยนตัวอักษรภาษาอังกฤษบางตัวไปใช้อักขระพิเศษที่หน้าตาคล้ายกันแทน เช่น เปลี่ยน "S" เป็น "$"
• ใช้การเพิ่มค่าของตัวเลขในรหัสผ่านชุดเก่า (บางรายใช้เปลี่ยนตัวเลขตามเดือนและปีที่ตั้งรหัสผ่าน)
• เพิ่มหรือลดจำนวนเครื่องหมายพิเศษในรหัสผ่าน เช่น รหัสผ่านเดิมลงท้ายด้วย "!!" ก็เพิ่มเป็น "!!!"
• ย้ายตำแหน่งชุดตัวเลขและข้อความสลับกันไปมา เช่น เปลี่ยนจาก "pw12345" เป็น "12345pw"

  งานวิจัยชี้ว่าการเปลี่ยนรหัสผ่านในแต่ละครั้งโดยมีรูปแบบการนำรหัสผ่านเก่ามา "แปลงร่าง" เป็นของใหม่เช่นนี้ ไม่ได้เพิ่มปัญหาสำหรับการแฮคของแฮคเกอร์เลย ในกรณีนี้หากแฮคเกอร์สามารถเข้าถึงข้อมูลรหัสผ่านชุดเก่าแล้วการจะเดารหัสผ่านใหม่นั้นไม่ใช่เรื่องยากแต่อย่างใด สิ่งสำคัญที่แท้จริงของเรื่องนี้ก็คือทุกครั้งที่ผู้ใช้ตั้งรหัสผ่านใหม่ ควรตั้งด้วยรูปแบบที่หาความเชื่อมโยงกับรหัสผ่านเดิมไม่ได้

ที่สำคัญคือแม้รหัสผ่านใหม่จะไม่มีความเชื่อมโยงกับรหัสผ่านเก่าให้เห็น แต่ตัวรหัสผ่านเองก็ควรถูกตั้งให้เดาได้ยากด้วย (ยิ่งมีความยาว, ผสมด้วยอักขระเครื่องหมายพิเศษ และไม่สามารถอ่านเป็นคำได้ ยิ่งถือว่าเป็นรหัสผ่านที่ดีเพราะเดาได้ยาก) ทว่าการที่ผู้ใช้ต้องเปลี่ยนรหัสผ่านบ่อยเกินไปจนทำให้ไม่ตั้งใจคิดรหัสผ่าน ส่งผลให้ในหลายกรณีผู้ใช้ตัดสินใจตั้งรหัสผ่านแบบไม่ซับซ้อนจนทำให้แฮคเกอร์คาดเดาได้ง่าย (ตัวอย่างจากข่าวเก่าใน Blognone ชี้ว่าหลายคนหมดมุกคิดรหัสผ่าน จนตัดสินใจเลือกใช้คำง่ายๆ มาเป็นรหัส เช่น football, princess, welcome) หรือกล่าวอีกนัยคือนโยบายเปลี่ยนรหัสผ่านบ่อยๆ กลับกลายเป็นสร้างแนวโน้มให้ระบบเปราะบางกว่าที่ควรจะเป็น

Cranor ยังอธิบายว่าหลายคนน่าจะมีความรู้สึกคล้ายกับผลการวิจัยนี้อยู่มานานแล้ว แต่การที่หลายองค์กรยังคงตั้งกฎให้ผู้ใช้เปลี่่ยนรหัสผ่านอยู่บ่อยๆ ซึ่งอาจเป็นทุกสัปดาห์, ทุกเดือน หรือทุก 3 เดือน นั่นเป็นเพราะว่าการที่ใครสักคนจะออกมาเรียกร้องว่าควรยืดอายุรหัสผ่านให้นานขึ้น อาจทำให้เขาคนนั้นถูกหัวหน้าหรือผู้บริหารมองว่าเป็นพวกละเลยไม่ใส่ใจความปลอดภัยขององค์กร หรือถูกเพ่งเล็งว่าเป็นคนเกียจคร้านถึงขนาดขี้เกียจคิดรหัสผ่าน แต่ตอนนี้มีงานวิจัยระดับดอกเตอร์มาสนับสนุนแนวคิดนี้แล้วว่า "เปลี่ยนรหัสผ่านบ่อยเกินไปนั้นเสียมากกว่าได้" จึงน่าจะเป็นโอกาสอันดีในการทบทวนมาตรการขององค์กรเกี่ยวกับเรื่องนี้

เพื่อตอบคำถามว่าเช่นนั้นแล้วนโยบายเรื่องรหัสผ่านควรมีแนวทางอย่างไรดี? ความเห็นจากผู้เชี่ยวชาญเรื่องรหัสผ่าน Mark Burnett ซึ่งเป็นผู้เขียนหนังสือชื่อ Perfect Password เสริมในเรื่องนี้ว่าการเปลี่ยนรหัสผ่านนั้นยังจำเป็นอยู่ แต่ไม่ควรบ่อยเกินไป ความถี่ในการเปลี่ยนรหัสผ่านที่กำลังดีนั้นควรเป็นทุก 6 เดือน หรือปีละครั้ง ซึ่งนั่นจะทำให้ผู้ใช้ตั้งใจคิดรหัสผ่านที่รัดกุม ในขณะที่ Cranor เองเสนอทางเลือกอีกหนึ่งอย่าง นั้นคือการใช้แอพจัดการรหัสผ่าน เช่น LastPass หรือ DashLane เข้ามาช่วย

ทิ้งท้ายไว้สำหรับใครที่ยังคลางแคลงใจจากข้อสรุปของงานวิจัยของ University of North Carolina at Chapel Hill สามารถเข้าไปดาวน์โหลดเอกสารงานวิจัยดังกล่าวได้จากที่นี่

ที่มา - Wired