NIST บอกว่าไม่ต้องเปลี่ยน password ตามห้วงเวลา แต่ให้เปลี่ยนเมื่อ compromise “แปลว่า” NIST (National Institute of Standards and Technology) ได้ปรับปรุงคำแนะนำเรื่องการจัดการรหัสผ่าน โดยระบุว่าไม่จำเป็นต้องเปลี่ยนรหัสผ่านทุกๆ 180 วันอีกต่อไป ยกเว้นว่ามีหลักฐานว่ารหัสผ่านนั้นถูกโจมตีหรือถูกขโมย ดังนั้น การเฝ้าระวังและตรวจสอบว่ารหัสผ่านถูกโจรกรรมหรือไม่เป็นสิ่งสำคัญ เพื่อให้สามารถเปลี่ยนรหัสผ่านได้เมื่อมีการโจมตีจริงๆ
วิธีการเฝ้าระวังว่า credentials หรือรหัสผ่านถูกขโมยหรือไม่ มีดังนี้:
1. ใช้บริการตรวจสอบรหัสผ่านที่รั่วไหล
มีบริการหลายแห่งที่ออกแบบมาเพื่อตรวจสอบว่ารหัสผ่านหรือข้อมูลเข้าสู่ระบบของคุณถูกเผยแพร่ในเว็บมืดหรือจากการโจมตีข้อมูล เช่น:
• Have I Been Pwned: บริการที่ช่วยตรวจสอบว่าข้อมูลอีเมลหรือรหัสผ่านของคุณเคยถูกเปิดเผยจากการโจมตีข้อมูลหรือไม่
• Google Password Manager และ Microsoft Defender: มีระบบแจ้งเตือนหากรหัสผ่านที่บันทึกไว้ถูกพบว่าอยู่ในฐานข้อมูลที่ถูกโจมตี
2. ใช้ระบบ Security Information and Event Management (SIEM)
• SIEM เป็นระบบที่รวบรวมและวิเคราะห์ข้อมูลจากหลายแหล่งในเครือข่ายของคุณ เพื่อแจ้งเตือนหากพบกิจกรรมที่น่าสงสัย เช่น การพยายามเข้าสู่ระบบจาก IP แปลกๆ หรือการพยายามเจาะระบบหลายครั้ง
• ตัวอย่างเช่น Splunk, IBM QRadar, และ Azure Sentinel สามารถระบุรูปแบบการโจมตีที่อาจเป็นสัญญาณของการโจรกรรมข้อมูลได้
3. ติดตามพฤติกรรมการเข้าสู่ระบบที่ผิดปกติ
• ใช้บริการอย่าง Microsoft Azure AD Conditional Access, Google Workspace, หรือ Okta เพื่อตรวจสอบการพยายามเข้าสู่ระบบที่น่าสงสัย เช่น:
• การเข้าสู่ระบบจากสถานที่หรืออุปกรณ์ที่ไม่คุ้นเคย
• การพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้ง (อาจเป็นการโจมตีแบบ brute force)
• การเข้าสู่ระบบในเวลาที่ผิดปกติ
4. เปิดใช้การยืนยันตัวตนสองชั้น (MFA)
• การเปิดใช้ MFA จะช่วยป้องกันการเข้าถึงข้อมูล แม้ว่ารหัสผ่านจะถูกขโมย โดยการเฝ้าติดตามการพยายามยืนยันตัวตนที่ล้มเหลวจาก MFA ก็สามารถเป็นสัญญาณของการโจรกรรมรหัสผ่านได้
5. ใช้แหล่งข้อมูลและข่าวสารเกี่ยวกับภัยคุกคาม (Threat Intelligence)
• สมัครรับบริการแจ้งเตือนภัยคุกคามจากแหล่งข้อมูลที่อัพเดท เช่น Recorded Future และ ThreatConnect ซึ่งรวบรวมข้อมูลจากกลุ่มผู้โจมตีและสามารถแจ้งเตือนเมื่อพบว่ามีข้อมูลรหัสผ่านรั่วไหล
6. ทำการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ
• ทำการตรวจสอบระบบความปลอดภัยและประเมินความเสี่ยงอย่างสม่ำเสมอเพื่อระบุจุดอ่อนในการจัดการรหัสผ่าน รวมถึงตรวจสอบบันทึกและรายงานเหตุการณ์ที่อาจบ่งชี้ถึงการโจมตี
7. ตรวจสอบเว็บมืด (Dark Web Monitoring)
• บางระบบรักษาความปลอดภัยมีฟีเจอร์สำหรับตรวจสอบเว็บมืดว่ามีการซื้อขายข้อมูลรหัสผ่านขององค์กรหรือไม่ เช่น SpyCloud และ ID Agent Dark Web ID
8. การสร้างความตระหนักและการรายงานเหตุการณ์จากพนักงาน
• ให้ความรู้แก่พนักงานในการรู้จักและรายงานพฤติกรรมที่น่าสงสัย เช่น:
• การแจ้งเตือนการรีเซ็ตรหัสผ่านที่ไม่ได้ร้องขอ
• การแจ้งเตือนการเข้าสู่ระบบจากสถานที่ที่ไม่รู้จัก
ด้วยการผสมผสานการใช้เครื่องมือและการปฏิบัติเหล่านี้ คุณสามารถตรวจสอบได้อย่างมีประสิทธิภาพว่ามีการโจรกรรมรหัสผ่านเกิดขึ้นหรือไม่ และเปลี่ยนรหัสผ่านเมื่อมีการโจมตีเกิดขึ้นจริง สรุปว่า มันมีงานต้องทำเพิ่มนะถ้าทำไม่ได้ หรือ ไม่ได้ทำ ก็ต้องพิจารณาให้ดี ว่าจะรับมือ credential leaks อย่างไร ต่อไป ไม่ใช่ยกเลิก เรื่องบังคับเปลี่ยน แล้วไม่ทำอะไรเลย
บทความโดย : พลอากาศตรี อมร ชมเชย. เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)