การจัดการตัวตนและการเข้าถึง
นโยบายรหัสผ่าน (Password Policy)
Password Policy
A good password policy favors length and uniqueness over frequent forced changes — and works best alongside MFA and a password manager.
รหัสผ่านที่ดีในยุคปัจจุบัน
แนวคิดใหม่เน้น "ยาวและไม่ซ้ำ" มากกว่า "เปลี่ยนบ่อยและซับซ้อนจนจำไม่ได้" เพราะการบังคับเปลี่ยนบ่อยมักทำให้คนตั้งรหัสที่เดาง่ายหรือจดไว้ที่ไม่ปลอดภัย
แนวทางที่แนะนำ
- ใช้วลียาว (passphrase) ที่จำได้แต่เดายาก
- ไม่ใช้รหัสเดียวกันข้ามหลายบริการ
- ใช้ตัวจัดการรหัสผ่าน และเปิด MFA เสมอ
ทำไมบริษัทประกันถึงถามเรื่องนี้
รหัสผ่านที่อ่อนหรือใช้ซ้ำเป็นสาเหตุของบัญชีถูกยึดจำนวนมาก บริษัทประกันมองนโยบายรหัสผ่านที่ดีเป็นสุขอนามัยไซเบอร์พื้นฐาน องค์กรที่บังคับรหัสแข็งแรงและใช้ MFA ร่วมด้วยจะลดโอกาสถูกเจาะบัญชี ซึ่งเป็นจุดเริ่มของเหตุใหญ่หลายกรณี
เช็คตัวเอง
องค์กรของคุณมีนโยบายรหัสผ่านที่เน้นความยาวและความไม่ซ้ำ พร้อมเปิด MFA บนบัญชีสำคัญแล้วหรือยัง?
ทำแบบประเมินความพร้อม 18 ข้อคำถามที่พบบ่อย
ต้องเปลี่ยนรหัสทุก 90 วันจริงไหม
แนวคิดใหม่ (เช่น NIST) ไม่แนะนำให้บังคับเปลี่ยนตามรอบเวลาโดยไม่จำเป็น เพราะทำให้คนตั้งรหัสอ่อนลง ควรเปลี่ยนเมื่อสงสัยว่ารหัสหลุดมากกว่า
รหัสผ่านที่ดีควรเป็นอย่างไร
ควรยาว (อย่างน้อย 12-16 ตัวอักษร) ไม่ซ้ำกับบริการอื่น และคาดเดายาก การใช้วลียาว (passphrase) จำง่ายและปลอดภัยกว่ารหัสสั้นที่ซับซ้อน
ตัวจัดการรหัสผ่าน (Password Manager) ปลอดภัยไหม
ปลอดภัยและแนะนำให้ใช้ เพราะช่วยสร้างและเก็บรหัสที่ไม่ซ้ำสำหรับทุกบริการ ทำให้ไม่ต้องจำหรือใช้รหัสเดิมซ้ำ ควรเปิด MFA บนตัวจัดการรหัสด้วย