TOP

Sitemap

Sitemap Descriptions

เกี่ยวกับ สพธอ.

ข่าวประชาสัมพันธ์

CIS ออกข้อแนะนำในการกำหนดนโยบายรหัสผ่าน เน้นตั้งให้ยาว เปิดใช้ 2FA และเฝ้าระวังการโจมตี

Cybersecurity Documents
  • 27 ส.ค. 63
  • 2570

CIS ออกข้อแนะนำในการกำหนดนโยบายรหัสผ่าน เน้นตั้งให้ยาว เปิดใช้ 2FA และเฝ้าระวังการโจมตี

Center for Internet Security หรือ (CIS) เป็นองค์กรที่กำหนดเกณฑ์เปรียบเทียบ (bechmark) ด้านความมั่นคงปลอดภัยของระบบไอที โดยเกณฑ์เหล่านี้ได้รับการยอมรับและถูกนำไปใช้อ้างอิงในหลายหน่วยงาน เมื่อเดือนกรกฎาคม 2563 ทาง CIS ได้เผยแพร่เอกสาร CIS Password Policy Guide เพื่อเป็นแนวทางให้หน่วยงานนำไปใช้เป็นเกณฑ์เปรียบเทียบในการกำหนดนโยบายรหัสผ่าน สาระสำคัญของแนวทางดังกล่าวจะเน้นการตั้งรหัสผ่านให้ยาว เปิดใช้การยืนยันตัวตนแบบหลายปัจจัย (multi-factor authentication หรือ MFA) และเฝ้าระวังการโจมตี

เหตุผลหลัก ๆ ของข้อแนะนำนี้เพื่อให้หน่วยงานสามารถกำหนดนโยบายรหัสผ่านที่สอดคล้องกับรูปแบบการโจมตีที่เกิดขึ้นจริง เนื่องจากการได้มาซึ่งรหัสผ่านนั้นไม่ได้มีแค่วิธีการเดา (guessing หรือ brute force) ที่เป็นการทดลองไล่สุ่มจนกว่าจะได้รหัสผ่านที่ถูกต้อง ซึ่งเป็นวิธีที่ใช้เวลานานและสามารถตรวจจับความผิดปกติได้ง่าย แต่ยังมีวิธีที่ได้ผลกว่าและซับซ้อนน้อยกว่าอย่างการทำวิศวกรรมสังคม (social engineering) เช่น หลอกให้ผู้ใช้กรอกรหัสผ่านในเว็บไซต์ฟิชชิ่ง หรือการใช้มัลแวร์ขโมยข้อมูล ซึ่งเป็นวิธีที่ผู้โจมตีสามารถได้รหัสผ่านที่ถูกต้องมาโดยไม่ต้องคาดเดา ดังนั้นแนวทางการกำหนดนโยบายรหัสผ่านจึงควรกำหนดให้รองรับการโจมตีในรูปแบบอื่นที่ไม่ใช่การเดารหัสผ่านด้วย อีกทั้งถึงแม้ข้อแนะนำด้านความมั่นคงปลอดภัยจะระบุว่าควรเปิดใช้งาน MFA แต่บางระบบก็อาจยังไม่รองรับ รวมถึงการใช้เครื่องมือบริหารจัดการรหัสผ่าน (password manager) ที่ถึงแม้ในปัจจุบันจะใช้งานได้สะดวกขึ้นแล้ว แต่ผู้ใช้จำนวนมากก็ยังคงใช้วิธีการกำหนดและจดจำรหัสผ่านด้วยตนเองอยู่ ดังนั้นในข้อแนะนำของ CIS จึงเขียนมาเพื่อให้ครอบคลุมแนวทางการกำหนดนโยบายรหัสผ่านทั้ง 3 รูปแบบ

ตัวอย่างข้อแนะนำในเอกสาร CIS Password Policy Guide

  • บัญชีที่เปิดใช้งาน MFA อนุญาตให้ตั้งรหัสผ่านได้ต่ำสุด 8 ตัวอักษร แต่ถ้าไม่เปิดใช้ MFA ควรกำหนดให้ตั้งรหัสผ่านที่มีความยาวไม่ต่ำกว่า 14 ตัวอักษร
  • ไม่บังคับให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านบ่อย ๆ แต่ให้เปลี่ยนเฉพาะในกรณีที่จำเป็น เช่น พบว่าข้อมูลรั่วไหล หรือพบการล็อกอินที่ผิดปกติ อย่างไรก็ตาม ทาง CIS ได้แนะนำให้เปลี่ยนรหัสผ่านใหม่ทุก 1 ปี ด้วยเหตุผลว่าเป็นปราการด่านสุดท้าย (backstop) ในการรักษาความมั่นคงปลอดภัยของรหัสผ่าน
  • ในขั้นตอนการตั้งรหัสผ่าน ต้องตรวจสอบว่ารหัสผ่านที่ผู้ใช้ตั้งนั้นไม่ตรงกับรายการรหัสผ่านที่เคยรั่วไหลมาก่อนหน้านี้ และไม่ซ้ำกับรหัสผ่าน 5 ชุดล่าสุดที่ผู้ใช้เคยตั้งมาแล้วก่อนหน้านี้
  • ตั้งค่า session lock เมื่อไม่มีการใช้งานเกิน 15 นาทีหรือน้อยกว่า
  • ป้องกันการโจมตีแบบ brute force ด้วยการจำกัดจำนวนครั้งที่ล็อกอินผิด เช่น เมื่อล็อกอินผิดต่อเนื่องเกิน 5 ครั้งให้ระงับการใช้งานบัญชีนั้นชั่วคราว (อย่างน้อย 15 นาที) รวมถึงตั้งค่าให้มีการแจ้งเตือนผู้ดูแลระบบเมื่อมีการล็อกอินผิดพลาดเกินจำนวนครั้งที่กำหนด
  • หากบัญชีใดที่ไม่มีการล็อกอินเกิน 45 วันให้ระงับการใช้งานบัญชีนั้นโดยอัตโนมัติ
  • พัฒนาระบบให้รองรับการใช้งานร่วมกับโปรแกรมบริหารจัดการรหัสผ่าน รวมถึงอนุญาตให้ช่องกรอกรหัสผ่านนั้นสามารถ paste ข้อมูลได้

ทั้งนี้ หน่วยงานอาจกำหนดนโยบายรหัสผ่านที่แตกต่างไปจากข้อแนะนำของ CIS หรืออาจพิจารณาอ้างอิงจากข้อแนะนำอื่นได้ (เช่น NIST SP 800-63) โดยขึ้นอยู่กับความพร้อมและความเหมาะสมของระบบ รายละเอียดและแนวทางของการตั้งค่าในแต่ละรายการ ผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากเอกสารฉบับเต็ม

ที่มา: CIS

Rating :
Avg: 2 (1 ratings)