ในข่าวด่วนที่ไม่น่าแปลกใจเลย รหัสผ่านของคุณไม่ดีพอ และไม่ แม้ว่าคุณจะผสมตัวละครหลายตัวเข้าด้วยกัน หรือผสมชื่อสัตว์เลี้ยงของคุณเข้ากับลำดับสัญลักษณ์ตามเปอร์เซ็นต์การชนะของทีมฟุตบอลที่คุณชื่นชอบ
ข้อมูลใหม่ที่เผยแพร่ในปี 2025รายงานรหัสผ่านที่ละเมิด Specopsซึ่งมีการวิเคราะห์รหัสผ่านที่ถูกขโมยมัลแวร์มากกว่าหนึ่งพันล้านรหัสที่ค้นพบในปี 2024 แสดงให้เห็นว่ารหัสผ่านที่ถูกขโมย 230 ล้านรหัส “ตรงตามข้อกำหนดความซับซ้อนมาตรฐาน (มากกว่าแปดตัวอักษร ตัวพิมพ์ใหญ่หนึ่งตัว ตัวเลขหนึ่งตัว และอักขระพิเศษ)”
ตามที่เผยแพร่รายงานกล่าวว่า “นี่แสดงให้เห็นเพียงการประชุมมาตรฐานยังไม่พอ”
“จำนวนรหัสผ่านที่ถูกขโมยโดยมัลแวร์น่าจะเป็นข้อกังวลสำหรับองค์กรต่างๆ” ดาร์เรน เจมส์ ผู้จัดการผลิตภัณฑ์อาวุโสของ Specops Software กล่าว
“แม้ว่านโยบายรหัสผ่านขององค์กรของคุณจะเข้มงวดและเป็นไปตามมาตรฐานการปฏิบัติตามกฎระเบียบ แต่สิ่งนี้จะไม่ป้องกันรหัสผ่านจากการถูกขโมยโดยมัลแวร์ ที่จริงแล้วเราเห็นมากมายในชุดข้อมูลนี้เกินข้อกำหนดความยาวและความซับซ้อนในกฎระเบียบความปลอดภัยทางไซเบอร์ทั่วไป”
ที่กล่าวว่า ไม่ว่าจะเป็นความไม่รู้หรือความโง่เขลา การตัดสินใจของมนุษย์ยังคงมีบทบาทอยู่ ห้าอันดับแรกของรหัสผ่านที่ถูกขโมยในปี 2024 ได้แก่ 12345 ผู้ดูแลระบบ 12345678 รหัสผ่าน และรหัสผ่าน
ผู้ฉ้อโกงใช้มัลแวร์เช่น Redline, Vidar และ Raccoon Stealer เพื่อจับรหัสผ่านและเข้าถึง สิ่งเหล่านี้สามารถทำลายการป้องกันได้ซึ่งหมายความว่าแม้แต่รหัสผ่านที่ซับซ้อนก็ยังมีความเสี่ยง
แม้ว่า Specops จะเสนอเคล็ดลับที่เป็นประโยชน์บางประการ เช่น การบล็อกรหัสผ่านที่ไม่รัดกุมด้วยพจนานุกรมแยกรหัสผ่านแบบกำหนดเอง แต่ความหมายที่ใหญ่กว่านั้นชัดเจน
รหัสผ่านที่ดีที่สุด? มันน่าจะเป็นก-
Paper เปรียบเทียบพาสคีย์ที่ผูกกับอุปกรณ์และซิงค์กัน
ใหม่บทความวิจัยon Arvix เสนอการประเมินเปรียบเทียบระหว่างข้อมูลรับรองรหัสผ่านที่ผูกกับอุปกรณ์กับรหัสผ่านที่ซิงค์ โดยตั้งข้อสังเกตว่าแม้จะประสบความสำเร็จในการนำรหัสผ่านมาใช้ผ่านความพยายามของ“จนถึงขณะนี้ มีการวิจัยเพียงเล็กน้อยเกี่ยวกับการรักษาความปลอดภัยและการใช้งานรหัสผ่าน และแม้แต่น้อยยังได้พิจารณาถึงความแตกต่างระหว่างประเภทต่างๆ-
ผู้เขียนจากมหาวิทยาลัยออสโลตั้งเป้าที่จะจัดหมวดหมู่ระดับการเข้าถึงรหัสผ่านต่างๆ “เพื่อแสดงให้เห็นว่าส่งผลกระทบต่อความปลอดภัยและความพร้อมใช้งาน” โมเดลของพวกเขาสร้างความแตกต่างให้กับพาสคีย์ที่ผูกกับอุปกรณ์ในบริบทของผู้ใช้คนเดียว (จัดประเภทว่ามีความเสี่ยงต่ำ) พาสคีย์ที่ซิงค์และแชร์ในโมเดลที่มีผู้ใช้หลายคน (ความเสี่ยงปานกลาง) และพาสคีย์ที่ส่งออกที่มีขอบเขตภายนอก (มีความเสี่ยงสูง)
“การค้นพบของเราสนับสนุนการอ้างว่ารหัสผ่านที่ซิงค์มีความปลอดภัยน้อยกว่ารหัสผ่านที่เชื่อมโยงกับอุปกรณ์” รายงานกล่าว “อย่างไรก็ตาม ช่วงระหว่างรหัสผ่านที่ปลอดภัยและไม่ปลอดภัยจะแตกต่างกันไปอย่างมาก ขึ้นอยู่กับการใช้งานและการใช้งาน ดังนั้นเราจึงเน้นย้ำถึงความจำเป็นในการเข้มแข็งสำหรับบัญชีผู้ให้บริการรหัสผ่าน การใช้ข้อมูลรับรองร่วมกันอย่างระมัดระวัง และการสำรองข้อมูลที่ปลอดภัย”
ช่องโหว่ยังคงอยู่ การรับรองความถูกต้องจะปรับเปลี่ยน
ล่าสุดเรื่องราวใน Forbes เป็นตัวอย่างที่ดีของข้อความที่ครอบคลุม ชิ้นส่วนนี้มีรายละเอียดคำแนะนำด้านความปลอดภัยจากเกี่ยวกับช่องโหว่การเลี่ยงผ่านการตรวจสอบสิทธิ์แบบสองปัจจัยในแพ็คเกจซอฟต์แวร์โมดูลการตรวจสอบสิทธิ์แบบเสียบได้ pam-u2f แบบโอเพ่นซอร์ส
ในขณะที่ช่องโหว่ไม่มีผลกระทบใดๆอุปกรณ์ดังกล่าวเน้นย้ำความจริงปัจจุบันในการตรวจสอบสิทธิ์: พาสคีย์อยู่ในระหว่างดำเนินการ
แต่ก็ยังดีกว่ารหัสผ่าน
หัวข้อบทความ
-----
