หลายคนยังตั้งรหัสผ่านง่ายเกินไป Shutterstock/Vitalii Vodolaskyi
เป็นเวลากว่า 15 ปีแล้วที่บรรดาผู้นำเทคโนโลยีคาดการณ์ถึงการเสียชีวิตของรหัสผ่าน บิล เกตส์ทำนายไว้ ย้อนกลับไปใน 2004 และไมโครซอฟต์มี ทำนายไว้สำหรับปี 2021. มีการประกาศที่คล้ายกันจำนวนมากในระหว่างนั้น ควบคู่ไปกับวิพากษ์วิจารณ์รหัสผ่านอย่างต่อเนื่องว่าเป็นวิธีการป้องกันที่ไม่เพียงพอ
ทว่ารหัสผ่านยังคงเป็นลักษณะทั่วไปของการรักษาความปลอดภัยทางไซเบอร์ ซึ่งเป็นสิ่งที่ผู้คนใช้ทุกวัน ยิ่งไปกว่านั้น รหัสผ่านยังแสดงสัญญาณการหายไปเพียงเล็กน้อย แต่หลายคน ยังคงใช้ไม่ดี และดูเหมือนไม่รู้จักแนวปฏิบัติที่ดีที่แนะนำ
เป็นเรื่องปกติมากสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และ บริษัทที่ต้องโทษผู้ใช้ สำหรับการใช้รหัสผ่านไม่ดี โดยไม่ทราบว่าระบบอนุญาตให้ใช้ตัวเลือกที่ไม่ดี
เว็บไซต์หลายแห่งไม่มีคำแนะนำล่วงหน้าเกี่ยวกับวิธีการเลือกรหัสผ่านที่พวกเขาต้องการ บางทีอาจสมมติว่าเราทราบสิ่งเหล่านี้แล้วหรือสามารถค้นหาได้จากที่อื่น แต่การที่คนยังยืนกราน ในการใช้รหัสผ่านที่ไม่รัดกุม แสดงให้เห็นว่านี่เป็นมุมมองในแง่ดี
คำแนะนำที่ล้าสมัย
นอกจากจะไม่มีคำแนะนำแล้ว ยังพบเว็บไซต์ที่บังคับใช้ข้อกำหนดรหัสผ่านที่ล้าสมัยอีกด้วย คุณอาจคุ้นเคยกับระบบที่ยืนยันถึงความซับซ้อนของรหัสผ่าน โดยกำหนดให้ตัวพิมพ์ใหญ่ ตัวเลข หรืออักขระพิเศษเพื่อทำให้รหัสผ่านแข็งแกร่งขึ้น (คำตอบของเราซึ่งมักจะสะท้อนวิดีโอด้านล่าง)
อย่างไรก็ตาม คำแนะนำปัจจุบัน คือการยอมให้มีความซับซ้อนแต่ไม่ต้องการ และโดยพื้นฐานแล้วถือว่าความเข้มงวดของรหัสผ่านมีความหมายเหมือนกันกับความยาวของรหัสผ่าน
พื้นที่ ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติ แนะนำให้สร้างรหัสผ่านที่ยาวโดยการรวมคำสุ่มสามคำเข้าด้วยกัน ทำให้ใช้งานได้ยาวนานและน่าจดจำกว่าตัวเลือกมาตรฐานมากมาย
รหัสผ่านของฉันพยายาม
ที่ไม่มีประโยชน์ก็คือ แทนที่จะให้คำแนะนำและข้อกำหนดในตอนเริ่มต้น เว็บไซต์หลายแห่งเปิดเผยเฉพาะกฎเพื่อตอบสนองต่อการที่เราพยายามทำสิ่งที่ไม่ได้รับอนุญาต ฉันพยายามสร้างรหัสผ่านสำหรับไซต์ดังกล่าว ความพยายามส่วนใหญ่ของฉันได้รับการตอบกลับซึ่งจำเป็นต้องดำเนินการเพิ่มเติม จนกว่าฉันจะตัดสินใจเลือกทางเลือกสุดท้าย ซึ่งได้รับการยอมรับโดยไม่มีการร้องเรียน แต่รหัสผ่านที่ได้รับการยอมรับ สตีฟ! สั้นและคาดเดาได้ค่อนข้างดี
มวยปล้ำกับกฎ สตีเว่น เฟอร์เนลล์, ผู้เขียนให้ไว้
เมื่อฉันเล่นอีกหน่อย ตัวเลือกที่อ่อนแออื่น ๆ ก็ได้รับการยอมรับ ตัวอย่างเช่น 1234a!, abcde1 และ qwert! ทุกคนปฏิบัติตามกฎ เช่นเดียวกับ Furnell1 ซึ่งไม่ค่อยเข้มงวด โดยเฉพาะอย่างยิ่งเมื่อฉันป้อน Furnell เป็นนามสกุลของฉันที่อื่นในแบบฟอร์มลงทะเบียนแล้ว
ในขณะเดียวกัน กฎต่างๆ มักหมายความว่าเราไม่สามารถใช้รหัสผ่านที่อุปกรณ์ของเราสร้างขึ้นโดยอัตโนมัติสำหรับเรา หรือรหัสผ่านที่เราอาจสร้างขึ้นสำหรับตัวเราเองโดยปฏิบัติตามคำแนะนำในปัจจุบัน
เว็บไซต์หลายแห่งไม่อนุญาตให้สร้างรหัสผ่าน สตีเว่น เฟอร์เนลล์
ดูเหมือนว่าไซต์บางแห่งอาจคิดว่าสามารถชดเชยการขาดคำแนะนำได้โดยใช้เทคนิคต่างๆ เช่น ตัววัดรหัสผ่านเพื่อให้คะแนนตัวเลือกของเรา อย่างไรก็ตาม แม้ว่าสิ่งเหล่านี้จะให้ข้อเสนอแนะ แต่ก็ไม่สามารถทดแทนการให้คำแนะนำเกี่ยวกับรูปลักษณ์ที่ดีได้
เมื่อใช้ไซต์อื่น ฉันป้อนรหัสผ่านที่ไม่ดี (รหัสผ่านของคำ) และคำติชมเดียวที่ฉันได้รับคือรหัสผ่านอ่อนแอมาก หากผู้ใช้พยายามเสนอรหัสผ่านนี้อย่างแท้จริง สิ่งที่ต้องบอกคือสาเหตุที่ทำให้รหัสผ่านไม่ปลอดภัย แม้ว่าคุณจะพบเว็บไซต์บางแห่งที่ให้ข้อเสนอแนะที่ดีและมีข้อมูลมากขึ้นอย่างไม่ต้องสงสัย แต่ตัวอย่างนี้น่าเสียดายที่เป็นตัวแทนของเว็บไซต์อื่นๆ อีกมากมาย
กฎที่ต้องปฏิบัติตาม
แน่นอน เมื่อเน้นย้ำถึงการขาดคำแนะนำที่มีประสิทธิภาพ ก็คงเป็นการละเลยที่จะยุติโดยไม่ได้เสนอคำแนะนำบางอย่างจริงๆ คำแนะนำของ คสช เกี่ยวกับการเลือกและการใช้รหัสผ่านมีการระบุไว้และอธิบายสั้นๆ ด้านล่าง:
- ใช้รหัสผ่านที่รัดกุมและแยกจากกันสำหรับอีเมลของคุณ เนื่องจากนี่มักจะเป็นเส้นทางของคุณในการเข้าถึงบัญชีอื่นๆ
- สร้างรหัสผ่านที่รัดกุมโดยใช้คำสุ่มสามคำ ซึ่งจะทำให้รหัสผ่านที่รัดกุมและน่าจดจำยิ่งขึ้นแก่คุณ
- บันทึกรหัสผ่านของคุณในเบราว์เซอร์ - วิธีนี้จะช่วยป้องกันไม่ให้คุณลืมหรือทำรหัสผ่านหาย
- เปิดการตรวจสอบสิทธิ์แบบสองปัจจัย – เพิ่มองค์ประกอบการป้องกันเพิ่มเติมแม้ว่ารหัสผ่านของคุณจะถูกบุกรุก
มีประโยชน์ที่จะเสริมสิ่งนี้ด้วยการเตือนความจำเพิ่มเติมว่าอย่า ใช้รหัสผ่านเดียวกัน ในหลายบัญชีเพราะกลัวว่าการละเมิดบัญชีเดียวจะนำไปสู่การละเมิดทั้งหมด ไม่ใช่เพื่อแบ่งปันกับบุคคลอื่นเพราะจะไม่ใช่รหัสผ่านของคุณอีกต่อไป และจะไม่เก็บบันทึกที่สามารถค้นพบได้ การจัดเก็บไว้ในตำแหน่งที่มีการป้องกัน เช่น เครื่องมือจัดการรหัสผ่านนั้นเป็นเรื่องปกติ
เป็นเรื่องที่น่ากังวลที่จะคิดว่ารหัสผ่านมีมานานหลายทศวรรษแล้ว และเรายังคงเข้าใจผิดอยู่ และเป็นเพียงแง่มุมหนึ่งของความปลอดภัยทางไซเบอร์ที่เราจำเป็นต้องใช้อย่างเหมาะสม สิ่งนี้ไม่เป็นผลดีต่อการรักษาความปลอดภัยทางไซเบอร์ในวงกว้างมากขึ้น
เกี่ยวกับผู้เขียน
สตีเว่น เฟอร์เนลล์, ศาสตราจารย์ด้านความมั่นคงปลอดภัยไซเบอร์, มหาวิทยาลัยนอตติงแฮม
หนังสือ_ความปลอดภัย
บทความนี้ตีพิมพ์ซ้ำจาก สนทนา ภายใต้ใบอนุญาตครีเอทีฟคอมมอนส์ อ่าน บทความต้นฉบับ.
