เวบ/อินเตอร์เน็ตเทคโนโลยี ระบบปฏฺบัติการและซอฟท์แวร์ ซอร์สโค๊ด/โอเพนซอร์ส เทคโนโลยีฐานข้อมูล ระบบเครือข่ายและความมั่นคง เอ็มไอเอส/อีบิสสิเนส อื่น ๆ เกี่ยวกับไอ.ที. อื่น ๆ ไม่เกี่ยวกับไอ.ที.

ระบบเครือข่ายและความมั่นคง

คำแนะนำในการเลือกใช้ รหัสผ่าน (Passwords)

เริ่มต้นเช้าวันทำงานนั้น ผมเชื่อว่าสิ่งที่เราต้องทำเป็นอันดับแรกๆ คือเปิดเครื่องคอมพิวเตอร์หรือโน้ตบุ๊ค
อัปเดท ( 23 สิงหาคม 2551 ) , แสดง (25,970) , ความคิดเห็น (2) , พิมพ์  
 
ระบบเครือข่ายและความมั่นคง
ความรู้เบื้องต้นเกี่ยวกับเรื่องพอร์ท(Port Concept) port port port port และ port
เทคนิคการสแกนพอร์ทและวิธีป้องกัน หนึ่งในเทคนิคที่โด่งดังที่สุดที่ผู้โจมตีใช้ในการเจาะผ่านเข้าไปยังระบบได้ scan port
ความรู้พื้นฐานเกี่ยวกับ Firewall ระบบหนึ่งหรือกลุ่มของระบบที่บังคับใช้นโยบายการควบคุมการเข้าถึงของระหว่างเครือข่ายสองเครือข่าย
Network Address Translation (NAT) เมื่อจะ private IP เชื่อมต่อและใช้งานอินเทอร์เน็ต
ทำความรู้จักกับ VLAN/Virtual LAN เทคโนโลยีที่ใช้ในการจำลองสร้างเครือข่าย
เลือกใช้พรอกซี่ (Proxy) แบบไหนดี ? เมื่อมีหลายแบบก็ต้องเลือกใช้สักแบบ
MIME กับ อีเมล คู่หูที่ขาดกันมิได้ เมื่อระบบเครือข่ายไม่รู้จักไฟล์ แล้วจะส่งไปอย่างไร
WiMax เทคโนโลยีใหม่ที่กำลังจะมาถึง WiMax เทคโนโลยีใหม่ที่กำลังจะมาถึง
มารู้จัก Application Architecture กันดีกว่า มารู้จัก Application Architecture กัน
Internet 2 : อนาคต Internet จะเป็นอย่างไร Internet 2 : อนาคต Internet จะเป็นอย่างไร

เริ่มต้นเช้าวันทำงานนั้น ผมเชื่อว่าสิ่งที่เราต้องทำเป็นอันดับแรกๆ คือเปิดเครื่องคอมพิวเตอร์หรือโน้ตบุ๊ค จากนั้นก็ต้องทำการล็อกออนโดยใช้ยูสเซอร์เนมและพาสเวิร์ด (สำหรับท่านที่ไม่กำหนดพาสเวิร์ดหลังจากบทความนี้จบแล้ว ผมขอแนะนำให้ท่านทำการกำหนดพาสเวิร์ดทันทีที่ทำได้ เพื่อความปลอดภัยของข้อมูลของท่านเอง) และหลังจากเข้าใช้งานเครื่องได้แล้วผมเชื่อว่าส่วนมากก็จะทำการเช็คว่ามีอีเมลใหม่หรือไม่ ซึ่งในขั้นตอนนี้ก็ต้องใช้ยูสเซอร์เนมและพาสเวิร์ด อีกเช่นกัน ที่เกริ่นเสียยาวก็เพื่อแสดงให้เห็นว่า ในการเข้าใช้งานระบบคอมพิวเตอร์หรือระบบสารสนเทศต่างๆ นั้น อย่างน้อยที่สุดแล้วจะต้องใช้พาสเวิร์ดในการตรวจสอบ และในหลายๆ ระบบจะต้องใช้ยูสเซอร์เนมควบคู่กับพาสเวิร์ด และในระบบที่ต้องการความปลอดภัยสูงมากๆ อาจจะต้องใช้ระบบไบโอเมติค เช่น การสแกนลายนิ้วมือ เป็นต้น

จากที่กล่าวมาด้านบน จะเห็นได้ว่าก่อนที่เราจะสามารถเข้าใช้งานระบบต่างๆ ได้นั้น จะต้องทำการตรวจสอบตัวตนก่อนว่าเป็นใคร ในกรณีที่ระบบไม่สามารถตรวจสอบตัวตนได้หรือตรวจสอบแล้วไม่ถูกต้อง เช่น ใส่ยูสเซอร์เนมหรือพาสเวิร์ดไม่ถูกต้อง ระบบก็จะปฏิเสธการให้บริการทันที แต่หากการตรวจสอบตัวตนผ่าน จากนั้นระบบก็จะทำการตรวจสอบว่ามีสิทธิ์ในการใช้งานระบบตามที่ร้องขอหรือไม่ หากไม่มีสิทธิ์ก็จะปฏิเสธการให้บริการทันที เช่น ใส่ยูสเซอร์เนมหรือพาสเวิร์ดถูกต้องแต่ไม่มีสิทธิ์เข้าใช้งานในเวลาที่ล็อกออน เป็นต้น แต่หากมีสิทธิ์ก็อนุญาตให้เข้าใช้งานตามการร้องขอได้ เช่น ใส่ยูสเซอร์เนมหรือพาสเวิร์ดถูกต้อง และมีสิทธิ์เข้าใช้งานในเวลาที่ล็อกออน เป็นต้น ซึ่งขั้นตอนการตรวจสอบตัวตนนั้นจะเรียกว่าการ Authentication และขั้นตอนการตรวจสอบสิทธิ์ในการใช้งานนั้นจะเรียกว่าการ Authorization

  
 
จากประสบการณ์ที่ประสบมาและผมยังเชื่อว่ามีองกรค์อีกมากที่มีการใช้งานระบบปฏิบัติการวินโดวส์เอ็กซ์พีโดยไม่มีการตั้ง Password ของ Administrator โดยให้เหตุผลว่าไม่สะดวก ขี้เกียจจำ ซึ่งเป็นการกระทำที่เสี่ยงอย่างมหันต์ เนื่องจากแฮกเกอร์ทราบดีอยู่แล้วว่าในระบบปฏิบัติการวินโดวส์เอ็กซ์พีจะมี User name ที่ชื่อ Administrator ดังนั้นการไม่กำหนด Password ก็เหมือนกับการเปิดประตูตู้เซฟทิ้งไว้ รอวันที่ขโมยจะเดินมาเจอแล้วทำการขโมยสิ่งที่มีค่าไป (แต่สำหรับระบบคอมพิวเตอร์นั้น วันที่ว่าอาจจะไม่นานอย่างที่ท่านคิดก็ได้) เมื่อถึงวันนั้นท่านอาจจะต้องเสียใจ ซึ่งอาจจะมากกว่าความไม่สะดวกหรือความขี้เกียจมากมายนัก

การตรวจสอบตัวตน (Authentication)
โดยทั่วไปแล้ว การตรวจสอบตัวตนในระบบคอมพิวเตอร์หรือระบบสารสนเทศต่างๆ นั้นจะใช้ User name หรือ User ID ควบคู่กับ Password ตัวอย่างเช่น การใช้บริการอีเมล จะต้องใส่ User ID และ Password ก่อนจึงจะเข้าใช้งานได้ เป็นต้น เพื่อให้เข้าใจได้ง่ายขึ้นให้นึกถึงการใช้งานตู้ ATM ซึ่งบัตร ATM เปรียบได้กับ User name และ รหัส ATM ก็เปรียบได้กับ Password

เนื่องจากการ User name และ Password นั้น เป็นเสมือนตัวแทนของยูสเซอร์ ในการเข้าใช้งานระบบต่างๆ แต่เนื่องจาก User name นั้น โดยตัวมันเองแล้วจะไม่ได้เป็นความลับ ตัวอย่างเช่น ในระบบปฏิบัติการวินโดวส์เอ็กซ์พีนั้น จะมี User name ที่ชื่อ Administrator หรือในหน้า Log On Screen ก็จะแสดง User name ของผู้ใช้ หรือในระบบอีเมล ผู้ส่งจะทราบ email address ของผู้รับ และเมื่อผู้รับเช็คอีเมลก็จะทราบ email address ของผู้ที่ส่งมา เป็นต้น และเมื่อพิจารณาการใช้งานภายในหน่วยงานต่างๆ โดยทั่วไปหน่วยงานจะมีการนโยบายเกี่ยวกับการกำหนด User name และ Password ภายในองค์กร เช่น กำหนดให้ใช้งาน User name ตาม ชื่อ หรือ นามสกุล หรือ รหัสพนักงาน หรือ รหัสนักศึกษา เป็นต้น และให้ผู้ใช้เป็นคนกำหนด Password เอง โดยหน่วยงานอาจกำหนดกรอบให้ เช่น Password จะต้องมีความยาวอย่างน้อย 15 ตัว เป็นต้น ดังนั้นการกำหนด Password จึงเป็นตัวกำหนดระดับความปลอดภัยในการใช้งานระบบสารสนเทศ ซึ่งการเลือกรหัสผ่านที่ดีนั้นจะทำให้มีความสะดวกในการใช้งานและขณะเดียวกันก็มีความปลอดภัยในระดับที่ยอมรับได้ ข้อแนะนำพื้นฐานทั่วไปสำหรับผู้ใช้วินโดวส์และระบบสารสนเทศต่างๆ ในการเลือกรหัสผ่านที่ดี คือเลือกรหัสผ่านที่มีความปลอดภัย จากแฮกโดยการเดารหัสผ่าน, การทำ Dictionary Attack, การทำ Brute Force Attack ในขณะเดียวกัยต้องสะดวกในการใช้งาน คือ ต้องสามารถจดจำได้ง่ายด้วย โดยมีรายละเอียดดังนี้

1. ข้อแนะนำพื้นฐานในการกำหนดรหัสผ่านที่ปลอดภัย
ข้อแนะนำพื้นฐานในการกำหนดรหัสผ่านให้มีความความปลอดภัย มีดังนี้
1. การกำหนดรหัสผ่านให้มีความยาวอย่างน้อย 8 อักษร และลักษณะอย่างน้อย 3 ใน 5 ของลักษณะดังนี้
1.1 อักษรตัวพิมเล็ก (Lowercase letters) เช่น a, b, c เป็นต้น
1.2 อักษรตัวพิมใหญ่ (Uppercase letters) เช่น A, B, C เป็นต้น
1.3 ตัวเลข (Numbers) คือ 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
1.4 สัญลักษณ์ (Symbols) เช่น ( ) ` ~ ! @ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , . ? / เป็นต้น
1.5 อักษรแบบยูนิโค้ด (Unicode characters) คือ €, ?, ?, และ ?
2. รหัสผ่านไม่ควรที่ประกอบด้วยตัวอักษรที่มีอยู่ในชื่อ user name เกินกว่า 3 ตัวอักษร
3. เพื่อให้มีความปลอดภัยเพิ่มขึ้นควรทำเปลี่ยนรหัสผ่านเป็นประจำอย่างน้อยทุกๆ 42 วัน
4. ไม่ควรใช้รหัสผ่านซ้ำกับรหัสผ่านที่เคยใช้มาแล้ว
5. อย่าเขียนรหัสผ่านลงกระดาษโดยเด็ดขาด

ตัวอย่างรหัสผ่านให้มีความความปลอดภัย:
L1Verpoo!fc%9 หรือ Ar@na!+fc7 หรือ M@nun!ted?fc1

อย่างไรก็ตาม ถึงแม้ว่าจะทำการเลือกรหัสผ่านตามข้อแนะนำด้านบนแล้วก็ตาม แต่ก็อาจจะยังไม่ปลอดภัยเพียงพอ เนื่องจากปัญหาที่พบได้บ่อย คือ ยูสเซอร์กลัวว่าจะจำรหัสผ่านไม่ได้จึงทำการเขียนรหัสผ่านลงกระดาษโน้ตและติดไว้ตามที่ต่างๆ เช่น ติดไว้กับมอนิเตอร์บ้าง บนโต๊ะทำงานบ้าง ซึ่งเป็นการกระทำที่เสี่ยงต่อความปลอดภัยอย่างมาก เหมือนกับการเก็บของไว้ในตู้เซฟที่แน่นหนาแต่เขียนรหัสแปะไว้หน้าตู้ ซึ่งไม่มีประโยชน์และไม่ช่วยป้องกันความปลอดภัยอะไรได้เลย ดังนั้น นอกจากรหัสผ่านที่กำหนดจะต้องมีปลอดภัยแล้ว รหัสผ่านที่กำหนดนั้นจะต้องจดจำได้ง่ายอีกด้วยจึงจะมีความปลอดภัยสูงสุด โดยคำแนะนำในการรหัสผ่านที่ปลอดภัยและสามารถจดจำได้ง่าย มีดังต่อไปนี้
  
 

2. คำแนะนำในการเลือกรหัสผ่านที่ดี
รหัสผ่านที่ดีนั้นจะต้องมีความปลอดภัย คือ ยากต่อการแคร็ก ในขณะเดียวกันต้องสามารถจดจำได้ง่าย โดยการใช้คำวลี (Pass Phrases) เป็นรหัสผ่านนั้น จะทำให้ได้รหัสผ่านที่ดี เนื่องจากการใช้รหัสผ่านที่เป็นคำวลี (Pass Phrases) ที่ประกอบด้วย อักษรตัวเล็ก อักษรตัวใหญ่ ตัวเลข และสัญญลักษณ์ นั้น จะทำการแคร็กได้ยากมากถึงแม้ว่าจะใช้เครื่องมือแคร็กรหัสผ่านที่ดีที่สุด โดยยูสเซอร์ที่ใช้ระบบปฏิบัติการ Windows 2000, Windows XP, และ Windows Server 2003 จะรองรับการใช้รหัสผ่านได้เกิน 15 ตัวอักษร รวมถึงการใช้ช่องไฟ (Space) ในรหัสผ่านได้ โดยทิปในการเลือกรหัสผ่านที่แข็งแกร่ง มีดังนี้

3. ทิปในการเลือกรหัสผ่านที่แข็งแกร่ง
1. ใช้คำมากกว่า 1 คำ
เลือกใช้คำ 2 คำมารวมกันเป็นรหัสผ่านแทนการใช้คำเพียงคำเดียว ตัวอย่างเช่น FergusonPanda หรือ FergiePanda เป็นต้น
2 ใช้สัญลักษณ์แทนตัวอักษร
โดยทั่วไปแล้วยูสเซอร์จะชอบเพิ่มตัวเลขนำหน้าหรือต่อท้ายตัวอักษรในรหัสผ่าน เช่น 1Ronaldo309 เป็นต้น ซึ่งรหัสผ่านนี้จะถูกแคร็กได้โดยไม่ยากนัก ดังนั้นควรใช้สัญลักษณ์แทนตัวอักษรในรหัสผ่าน เช่น การใช้ "@" แทน "A", "!" แทน "l", "0" แทน "O", "$" แทน "S", และ "3" แทน "E" เป็นต้นจะทำให้รหัสผ่านมีความแข็งแกร่งขึ้น ตัวอย่างเช่น Ronaldo อาจใช้เป็น Ron@ld0 เป็นต้น
3. เลือกรหัสผ่านให้ผูกกับเหตุการณ์สำคัญหรือบุคคลต่างๆ ที่ท่านประทับใจ
การใช้รหัสผ่านมีความแข็งแกร่งนั้น อาจจะยากในการจดจำ ดังนั้นควรเลือกรหัสผ่านให้ผูกกับเหตุการณ์สำคัญหรือบุคคลต่างๆเพื่อจะช่วยให้จดจำได้ง่ายขึ้น ตัวอย่างเช่น @rsena!Champ07
4. ใช้คำพ้องเสียงแทนคำจริง
ใช้คำพ้องเสียงแทนคำจริงในรหัสผ่านนั้นช่วยให้รหัสผ่านมีความแข็งแกร่งขึ้นในขณะเดียวกันก็จดจำได้ง่ายอีกด้วย โดยการใช้ "2" แทน "to" หรือ "too" หรือ "two", "4" แทน "for" ตัวอย่างเช่น W@lk2$choo! เป็นต้น
5. ให้ใช้รหัสผ่านที่ยาวที่สุดเท่าที่ท่านทำได้
สำหรับรหัสผ่านนั้น ยิ่งมีความยาวๆ มากขึ้นจะทำให้รหัสผ่านนั้นมีความแข็งแกร่งเพิ่มมากขึ้น
6. ใช้ตัวอักษรตัวแรกขอในแต่ละคำประกอบกัน
การใช้ตัวอักษรตัวแรกขอในแต่ละคำในประโยคประกอบกันเป็นรหัสผ่านนั้น จะทำให้รหัสผ่านมีความแข็งแกร่งและง่ายต่อการจำ เช่น "My favorite song is The Song Remain The Same" อาจใช้รหัสผ่านเป็น Mf@1TsRTs ซึ่งยากในการแคร็กมาก

4. สิ่งที่ควรทำในการเลือกรหัสผ่าน
-กำหนดรหัสผ่านโดยให้ประกอบด้วย ตัวอักษร, สัญลักษณ์, และตัวเลข ซึ่งง่ายในการจดจำของท่านแต่ยากในการเดาของคนอื่น
-กำหนดรหัสผ่านให้สามารถอ่านเป็นคำพูดได้ (ถึงแม้ว่าจะไม่ได้เป็นคำจริงๆ) ง่ายในการจดจำของท่าน
-กำหนดรหัสผ่านโดยใช้วลีที่ท่านชอบหรือพูดบ่อยๆ โดยอย่าลืมเพิ่มตัวเลขหรืออักขระพิเศษเข้าไปด้วย
-กำหนดรหัสผ่านโดยใช้สิ่งของ 2 อย่างมาร่วมกันด้วยตัวเลขหรืออักขระพิเศษ เช่น "Phone + 4 + you" = "Phone4you" or "Fone4y0u" เป็นต้น

5. สิ่งที่ไม่ควรทำในการเลือกรหัสผ่าน
-ไม่ใช้ข้อมูลส่วนตัวเช่น รหัสประจำตัวประชาชนหรือใบขับขี่หรือประกันสังคม ชื่อสมาชิกในครอบครัว รถยนต์ หมายเลขโทรศัพท์ ชื่อสัตว์เลี้ยง วันเกิด ที่อยู่ งานอดิเรก หรืออย่างอื่นที่มีคนทราบหลายคน เป็นรหัสผ่าน
-ไม่ใช้การสะกดคำในภาษาต่างๆ ไม่ว่าจะเป็นแบบการสะกดธรรมดาหรือการสะกดกลับหลัง เป็นรหัสผ่าน
-ไม่ใช้รหัสผ่านที่ผูกกับเดือนปฏิทิน เช่น ไม่ควรใช้ "Mayday" ในเดือนพฤษภาคม
-ไม่ควรใช้รหัสผ่านที่มีส่วนหนึ่งส่วนใดเหมือนกับรหัสผ่านก่อนหน้า

http://www.microsoft.com/smallbusiness/support/articles/select_sec_passwords.mspx



เขียนโดย : http://thaiwinadmin.blogspot.com/2008/01/kb2008017.html

อุดม
12 ก.ย. 2555 , 03:17 PM
เป็นคำแนะนำทีดีครับขอบคุณครับ

funt
18 ม.ค. 2556 , 05:10 PM
คุณไปหามาจากไหน เป็นคำแนะนำที่ไม่ดี เลย ไปค้นหามาใหม่
1

ความคิดเห็น/แนะนำ/ติชม/อื่นๆ เกี่ยวกับบทความนี้
ชื่อของคุณ  : *     อีเมล : *    
ความคิดเห็น : *    
      อีเมลล์จะไม่ถูกเปิดเผย (นโยบายข้อมูลส่วนบุคคล)

Copyright © 2002 - 2017 by www.NEXTPROJECT.net All rights reserved. Policy