Microsoft Azure แนะนำเทคนิค "การตั้งรหัสผ่าน" ให้ปลอดภัย

เพื่อเป็นการตอบสนองต่อข้อเสนอแนะของผู้ใช้งานMicrosoft จึงทำการเพิ่มจำนวนอักขระสูงสุดของรหัสผ่านให้กับ Azure AD (Azure Active Directory) ซึ่งเป็นบริการที่ครอบคลุมในเรื่องของการพิสูจน์ตัวตนและการบริหารจัดการการเข้าถึงข้อมูลและ/หรือApplication ที่เกี่ยวข้องบน Cloud

Microsoft Azure ประกาศเพิ่มจำนวนอักขระสำหรับรหัสผ่าน (Passwords)

ใน Azure Active Directory ซึ่งจากเดิมมีการจำกัดไว้ที่16 ตัวอักษร และได้เพิ่มจำนวนขึ้นเป็น256 ตัวอักษร นี่คงเป็นการบีบบังคับให้เหล่ามิจฉาชีพต้องใช้ความพยายามในการแฮก (Hack)มากยิ่งขึ้น

เรื่องนี้น่าจะเป็นประเด็นร้อนแรงสำหรับลูกค้าของAzure ที่เสนอต่อ Microsoft ถึงเรื่องของข้อจำกัดเล็กๆ น้อยๆ ของรหัสผ่าน ซึ่งดูเหมือนว่าจะยังไม่เป็นที่น่าพอใจสำหรับพวกเขา

"พวกคุณหลายคนพยายามย้ำเตือนเราว่า เรายังคงมีการจำกัดรหัสผ่านไว้ที่ 16 ตัวอักษร สำหรับบัญชีที่สร้างใน Azure AD" Alex Simons ในฐานะ Corporate Vice President of Program Management ของ Microsoft กล่าวว่า "ในขณะที่ Windows AD แบบ On-Premisesของเรา ก็เปิดโอกาสให้ใช้รหัสผ่าน (Passwords) และรหัสผ่านที่เป็นกลุ่มคำ (Pass-Phrase)ที่มีความยาวมากขึ้น ซึ่งก่อนหน้านั้นเราก็ไม่ได้รับการสนับสนุนในเรื่องดังกล่าว สำหรับบัญชีผู้ใช้งานในระบบคลาวด์ของ Azure AD"

"วันนี้เรายินดีที่จะแจ้งให้ทราบว่า เราได้ทำการเปลี่ยนข้อจำกัดนี้เป็นที่เรียบร้อยแล้ว และมันจะช่วยให้คุณสามารถตั้งรหัสผ่านที่มีความยาวได้สูงสุดถึง 256 ตัวอักษร (Characters)ซึ่งก็รวมถึงช่องว่าง (Spaces) ด้วยเช่นกัน" เขากล่าว

รหัสผ่านจะต้องเป็นไปตามเกณฑ์ที่จำเป็นสามในสี่ข้อตามที่ได้มีการกำหนดไว้ในเอกสารนโยบายของMicrosoft (Microsoft's Policy Documentation) ซึ่งจะต้องประกอบไปด้วย

▪          อักขระตัวพิมพ์เล็ก (Lowercase Characters)
▪          อักขระตัวพิมพ์ใหญ่ (Uppercase Characters)
▪          ตัวเลข (0-9)
         ▪          สัญลักษณ์ต่างๆ อาทิเช่น @ # $% ^ & * - _! + = [] {} | : ',.? / `~" (); เป็นต้น

เป็นที่ทราบกันดีว่าความปลอดภัยของบัญชี (Account) และรหัสผ่าน (Password) มีความสำคัญอย่างยิ่งสำหรับผู้ใช้งานด้านไอที (IT Users) แต่อย่างไรก็ตามMicrosoft ก็จะไม่บังคับให้คุณต้องสร้างรหัสผ่านที่โหดและหินขนาดนั้น ซึ่งพวกเขาจะยังคงใช้การกำหนดค่าขั้นต่ำเผื่อไว้ที่ 8 ตัวอักษร เท่านั้น

มันมีความแตกต่างกันอย่างมาก ระหว่างรหัสผ่านที่มีอักขระ 8ตัว และ 256 ตัว ซึ่งคุณสามารถเข้าไปตรวจสอบได้ที่ howsecureismypassword.net เพราะนี่คือเว็บไซต์ที่ใช้ในการตรวจสอบว่าถ้าHacker กำลังพยายามโจมตีโดยสุ่มรหัสผ่าน (Brute Force) ของคุณ พวกเขาจะต้องใช้เวลานานเท่าไร?
จากการทดสอบ เราใช้รหัสผ่านที่มีความแตกต่างกันถึงสามระดับ เพื่อดูว่าจะต้องใช้เวลานานเท่าใดในการถอดรหัส (Crack) แต่ละรหัส ซึ่งตัวอย่างแรกก็คือ "Jazzily1" โดยรหัสดังกล่าวเป็นไปตามข้อกำหนดของอักขระตัวอักษรขั้นต่ำ ที่จะต้องปฏิบัติตามข้อกำหนดของ Azure สามในสี่ข้อ ซึ่งนี่อาจจะต้องใช้เวลาหนึ่งเดือนในการถอดรหัส ตามผลการทดสอบของเว็บไซต์

ส่วนรหัสตัวอย่างชุดที่สอง มีอักขระรวม 137 ตัว ซึ่งจะต้องใช้เวลารวมทั้งสิ้น29,511,750,324 x (10^243) ปี ในการถอดรหัส (จัดว่าเป็นเวลาที่ค่อนข้างยาวนานเลยทีเดียว)และรหัสผ่านชุดสุดท้ายที่มีอักขระรวม 253 ตัว ที่เป็นการใช้ขีดจำกัดสูงสุดที่ Azureอนุญาตให้ใช้ และเราคิดว่าคงจะต้องใช้ "ตลอดไป"

นอกจากนี้ยังมีอีกหนึ่งวิธีที่จะใช้ในการพิจารณารหัสผ่านที่มีความปลอดภัยสูง นั่นก็คือ การจัดการเรื่องต่างๆ เกี่ยวกับการเข้ารหัสแบบ AES (Advanced Encryption Standard) ที่ใช้คีย์ขนาด 128 บิต ของ Professor Bill Buchanan โดยเขาได้กล่าวไว้ว่า ในการที่จะทำลายหนึ่งในรหัสเหล่านี้ มันจำเป็นที่จะต้องใช้พลังงานมหาศาล ซึ่งเทียบได้กับพลังงานที่จะต้องใช้ในการต้มน้ำในมหาสมุทรทุกๆ แห่งบนโลกใบนี้เป็นจำนวนถึง 16,384 ครั้ง เพียงเพื่อถอดรหัสเพียงคีย์เดียว

สำหรับข่าวการอัพเกรดของเดือนพฤษภาคม2019นั้น มีประกาศว่า Microsoft เพิ่งได้รับใบรับรองจาก FIDO (Fast IDentity Online) สำหรับ Windows Hello ที่เป็นฟีเจอร์ใหม่ด้านการตรวจสอบตัวตนและการให้สิทธิใช้งานของWindows 10 ของพวกเขา ซึ่งเป็นการพิสูจน์ตัวตนแบบไบโอเมตริกซ์ (Biometric) ที่อาจจะเป็นลายนิ้วมือ ภาพ เสียง หรือองค์ประกอบทางกายภาพอื่นๆ ของร่างกาย ที่จะนำมาใช้ในการยืนยันตัวตนเพื่อช่วยเสริมความน่าเชื่อถือและช่วยป้องกันการปลอมแปลงที่อาจเกิดขึ้น

หลักการทำงานของ Windows Hello

จะใช้การจดจำใบหน้า (Facial Recognition), การสแกนลายนิ้วมือ (Fingerprint) และ PIN Number ที่ปลอดภัย โดยฟีเจอร์ใหม่ที่ว่านี้จะถูกนำมาใช้กับอุปกรณ์Windows 10 มากกว่า 800 ล้านเครื่องในเดือนมิถุนายน ซึ่ง Windows Hello นั้น เป็นบริการที่สามารถทำงานร่วมกันได้กับบริการอื่นๆ ของ Microsoftเช่น Office 365, OneDrive เป็นต้น

"งานของเราที่เกี่ยวข้องกับ FIDO Alliance, W3C (World Wide Web Consortium) และการสนับสนุนมาตรฐานFIDO2 นั้น เป็นชิ้นส่วนสำคัญของคำมั่นสัญญาของ Microsoftเพื่อโลกที่ไร้รหัสผ่าน"Yogesh Mehta ตำแหน่ง Principal Group Program Manager ของ Microsoft ได้กล่าวไว้"ไม่มีใครชอบรหัสผ่าน (ยกเว้น Hacker)" เขากล่าวเสริม "คนส่วนใหญ่มักไม่ชอบรหัสผ่าน (Passwords) นั่นเป็นเพราะว่าพวกเขาจะต้องจำมันให้ได้" และผลที่ตามมาก็คือ ผู้คนส่วนใหญ่มักจะสร้างรหัสผ่านที่ง่ายต่อการคาดเดา ซึ่งทำให้พวกเขาตกเป็นเป้าหมายแรกสำหรับHacker ที่พยายามจะเข้าถึงคอมพิวเตอร์หรือเครือข่ายของพวกเขาในที่ทำงาน"

นอกจากนี้ ในเดือนพฤษภาคมที่ผ่านมายังได้มีการอัพเดตในเรื่องที่ Microsoftจะหยุดบังคับใช้นโยบายการหมดอายุรหัสผ่าน ซึ่งนโยบายดังกล่าวนั้นได้มีการแจ้งให้ผู้ใช้เปลี่ยนรหัสผ่านทุกสองสามเดือนโดยตรรกะของบริษัทที่อยู่เบื้องหลังของการหยุดบังคับใช้นโยบายในครั้งนี้ล้วนมาจากความคิดที่ว่า การที่ผู้ใช้เปลี่ยนรหัสผ่านบ่อยครั้งทำให้พวกเขามีแนวโน้มที่จะทำการเปลี่ยนแปลงเล็กๆ น้อยๆ เท่านั้น หรือแม้แต่เริ่มที่จะจดรหัสเหล่านั้นไว้ ดังนั้น ต่อให้มีระบบรักษาความปลอดภัยที่ทรงพลัง มันก็คงไม่ช่วยอะไร