ร่างมาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ NIST SP 800-63B ที่เปิดรับฟังความเห็นเมื่อปีที่แล้วตอนนี้ปิดช่วงรับฟังความเห็นและมีการแก้ไข จุดเพิ่มเติมสำคัญคือการกำหนดให้บริการไม่ตรวจสอบความซับซ้อนของรหัสผ่าน และไม่บังคับให้ผู้ใช้เปลี่ยนรหัสผ่านตามระยะเวลาอีกต่อไป
ทุกวันนี้บริการต่างๆ มักกำหนดความซับซ้อนของรหัสผ่าน เช่น ต้องมีตัวอักษรเล็ก, อักษรใหญ่, ตัวเลข, สัญลักษณ์ ผสมกัน แต่ในความเป็นจริงการโจมตีรหัสผ่านมักอาศัยการใช้รหัสผ่านที่รั่วออกมาจากบริการอื่นๆ ไม่ว่ารหัสจะมีความซับซ้อนแค่ไหนก็ไม่ได้ช่วยในกรณีเหล่านี้
เอกสารยังระบุว่าบริการไม่ควรบังคับผู้ใช้เปลี่ยนรหัสผ่านตามช่วงเวลาอีกต่อไป แต่ให้แนะนำผู้ใช้ให้เปลี่ยนรหัสผ่านเสมอ เมื่อรหัสผ่านหลุดออกไป
อย่างไรก็ดี เอกสารยังกำหนดความยาวขั้นต่ำของรหัสผ่านไว้ที่ 8 ตัวอักษรและควรรับรหัสผ่านไม่น้อยกว่า 64 ตัวอักษร และฝั่งเซิร์ฟเวอร์ต้องตรวจสอบการตั้งรหัสผ่านให้ไม่ตรงกับฐานข้อมูลรหัสผ่านที่เคยหลุดออกมาแล้ว หรือรูปแบบที่ง่ายเกินไปอย่างชัดเจน เช่น ตัวอักษรซ้ำๆ กัน หรือใช้ชื่อผู้ใช้
เอกสาร SP 800-63B เวอร์ชั่นใหม่เคยมีประเด็นสำคัญคือการประกาศเตรียมยกเลิกใช้ SMS สำหรับการยืนยันตัวตนขั้นที่สอง แต่ในเวอร์ชั่นล่าสุดเอกสารมีการปรับคำให้อ่อนลง โดยระบุว่าไม่สนับสนุน (discouraged) ให้ใช้งาน SMS สำหรับการยืนยันตัวตนขั้นที่สองอีกต่อไป
ที่มา - ThreatPost