สำนักงานผู้ตรวจการกระทรวงมหาดไทยสหรัฐฯ (Department of Interior – DOI) รายงานถึงการตรวจสอบรหัสผ่านในระบบพบว่ามีการใช้รหัสผ่านที่อ่อนแอจำนวนมาก และผู้ตรวจสอบสามารถหารหัสผ่านจากค่าแฮชได้ถึง 16% ของผู้ใช้ทั้งหมดที่มีอยู่ 85,944 คนได้ภายใน 90 นาที และเมื่อหารหัสต่อไปก็สามารถหารหัสผ่านเจอถึง 21% ของผู้ใช้ทั้งหมด

รหัสผ่านยอดนิยมมักเป็นคำว่า “password” ผสมกับ “1234” ในรูปแบบต่างๆ เพื่อให้ผ่านกฎความซับซ้อนรหัสผ่านไปเรื่อยๆ เฉพาะ “Password-1234” (มีตัวใหญ่, ตัวเล็ก, เครื่องหมาย, และตัวเลข) มีการใช้งานถึง 478 ครั้ง ทาง DOI มีมาตรฐานภายในกระทรวงระบุให้รหัสผ่านต้องยาวอย่างน้อย 12 ตัวอักษร ต้องประกอบตัวประเภทตัวอักขระตัวเล็ก, ตัวใหญ่, ตัวเลข, และเครื่องหมาย อย่างน้อย 3 ใน 4 ประเภท พร้อมกับบังคับเปลี่ยนรหัสผ่านทุก 60 วัน

การตรวจสอบก่อนหน้านี้เจ้าหน้าที่สามารถหารหัสผ่านเจอสูงถึง 20-40% รอบนี้จึงอาจจะพอถือว่าได้มีการปรับปรุงขึ้นแต่ก็ยังนับว่ามีรหัสผ่านอ่อนแอจำนวนมาก แต่ปัญหาอีกอย่างหนึ่งคือมีบัญชีจำนวนมากที่ไม่มีการใช้งาน ไม่ได้ล็อกอินนานเกิน 45 วันแต่ไม่ถูกปิดบัญชีตามมาตรฐานความปลอดภัย

รายงานแนะนำให้บังคับใช้การล็อกอินแบบ MFA ให้ครอบคลุมยิ่งขึ้น ปรับนโยบายเป็นตามมาตรฐาน NIST SP800-63 ที่ระบุว่าให้เลิกกำหนดความซับซ้อนรหัสผ่าน แต่ให้ไปตรวจสอบเอาว่าผู้ใช้ได้ใช้รหัสผ่านที่เคยหลุดออกไปมาก่อนหรือไม่

ที่มา – DOI-OIG