ทำไมต้อง เปลี่ยน Password และต้องมีความซับซ้อนในการป้อน Password (password must meet complex) User บอกไม่ชอบเลย ตอน Login แต่ละครั้ง บอกวัยรุ่นเซ็ง
เช้าวันหนึ่ง เวลา 9:00 ของ Office แห่งหนึ่ง เสียงโทรศัพท์ โทรเข้าแผนก IT
เจ๊ดาว : นิ ไอทีทำไมทำอะไร กับคอมพิวเตอร์มันเข้าไม่ได้เลย พิมพ์ตั้งหลายครั้ง
พนักงาน IT : อ่อ…มันเป็นช่วง Password หมดอายุครับพี่ มันจะต้องตั้ง Password ใหม่ คือ ตัวเล็ก,ตัวใหญ่ อักขระพิเศษ ตัวเลข และก็ตัวอักษรไม่ต่ำกว่า 8 ตัวด้วยนะครับ มันจะต้องมีพวกนี้หมดเลยครับ ไม่งั้นระบบไม่ให้ผ่าน
เจ๊ดาว: อ้าว ทำไมมันยุ่งยากอย่างนี้ ทำให้หน่อยได้ไหม
พนักงาน IT: (หลังจากคาดเดาอารมณ์ User และ อยากเข้าเครื่องให้ไว เราเลยต้องรีบ Reset Password ที่ Active Directory) โอเคแล้วพี่ รบกวนพี่บอก Password ที่พี่ตั้งให้ผมหน่อยครับ เดี๋ยวผมตั้ง Password ให้เลย
เจ๊ดาว: เออๆๆ ได้แล้ว แล้วมันจะเป็นอีกรึเปล่า?
พนักงาน IT: เดี๋ยวอีก 90 วัน จะต้องเป็นช่วง Password หมดอายุอีกทีอะครับ ก็ให้เปลี่ยนอีกครั้ง
เจ๊ดาว : อื่มๆได้ แต่ทำไมดูมันเข้ายากจังนะ หลังจากมี การทำให้ Password หมดอายุอะไรเนี่ย
พนักงาน IT : ครับ มันเป็นเรื่องความปลอดภัย ให้คอมพิวเตอร์ ของพี่มีความปลอดภัยมากขึ้น
เจ๊ดาว: แต่บางทีจะรีบทำงานนะ ก็เลยอยากจะเข้าเร็วๆ ไม่คิดว่าเป็นแบบนี้
พนักงาน IT : (บทปลอบใจ User) ครับ ก็นิดหน่อยครับ เป็น นโยบายของ IT Director ครับ ถ้ามีอะไรพี่โทรมาได้นะครับ
User ไม่เข้าใจ ว่าทำไม ระบบจะ Security อะไรมากมาย Password จะ must meet complex สลับซับซ้อนทำไม
แต่ในความเป็นจริงแล้ว ถ้าเปรียบเทียบกับการ ล็อกกุญแจบ้าน บางครั้ง เราล็อกกลอนประตูที่ลูกบิด พอในบ้าน เราก็ล็อกกลอนอีกชั้นนึง เพื่อกันขโมยขึ้นบ้าน ถ้ายิ่งมีความซับซ้อนมากเท่าไหร่ การคาดเดาก็จะยากตามไปด้วยครับ
ในกรณีของ Office365 ก็เช่นกันกับ ระบบ AD คราวนี้หลักการตั้ง Password ที่ว่า ประกอบไปด้วย
- ภาษาอังกฤษตัวใหญ่ (A-Z) (Uppercase characters of European languages)
- ภาษาอังกฤษตัวเล็ก (a-z) (Lowercase characters of European languages)
- ตัวเลข (0-9) (Base 10 digits)
- ตัวอักขระพิเศษ ~!@#$%^&*_-+=`|\(){}[]:;”‘<>,.?/ (Nonalphanumeric characters)
จะต้องมีคุณลักษณะ อย่างน้อย 3 อย่างใน 4 อย่าง เช่น เราจะตั้ง Password ว่า ABC#defg ซึ่งขาดคุณลักษณะของข้อที่ 4 คือ ตัวเลขไป แต่ว่าระบบการเปลี่ยน Password ของ Office365 ก็ให้ผ่านเหมือนกัน
หรือ
- abc#1234 ขาดคุณลักษณะ ของ ตัวใหญ่ (Uppercase)
- ABC#1234 ขาดคุณลักษณะ ของ ตัวเล็ก (Lowercase)
- ABcd1234 ขาดคุณลักษณะ ของ ตัวสัญลักษณ์พิเศษ (Nonalphanumeric characters)
ระบบก็ให้ผ่านเหมือนกันครับ
ซึ่งการที่มี คุณลักษณะมากเท่าไหร่ ก็เท่ากับว่า คุณเพิ่มความปลอดภัย ในการที่จะให้คนเดา Password มากเท่านั้น
เช่น A-Z คุณก็จะต้องเดา A-Z ตัวใหญ่ จำนวน 26 ตัว, ตัวอักษร a-z ตัวเล็ก อีก 26 ตัว, ตัวเลข 0-9 อีก 10 ตัว
จาก 3 คุณลักษณะอีกแสนคำ และถ้ายิ่งเพิ่ม คุณลักษณะของ อักขระพิเศษไปอีก จะยิ่งเพิ่มความยากในการคาดเดาไปอีกเป็นแสนๆคำ (แนะนำว่า ให้ตั้ง Password ให้ครบ 4 คุณลักษณะ คือ ตัวเล็ก,ตัวใหญ่,ตัวเลข,อักขระพิเศษ เพื่อความ แข็งแกร่งของ Password เพิ่มเติม ยิ่งเพิ่มคุณลักษณะ ก็จะยิ่งเพิ่ม กฎเกณฑ์ในการคาดเดา Password ได้ยากเข้าไปอีก)
แต่ การตั้ง Password ข้อห้ามอย่างนึง คือ อย่าเอาชื่อ อีเมล์ (หรือชื่อ loginname) มาตั้งเป็นส่วนของ Password ถึงแม้ว่า จะครบเป็น 3 ใน 4 คุณลักษณะก็ตาม แต่ระบบ ของ การเปลี่ยน Password ของ Office 365 ไม่ยอมรับในส่วนนี้นะครับ
เช่น
ระบบจะไม่ยอม
ถึงแม้ว่า TeEvEe_T จะเท่ากับ ภาษาอังกฤษตัวใหญ่ + ภาษาอังกฤษตัวเล็ก+ อักขระพิเศษ _ แต่ถือ ว่าเป็นข้อยกเว้นนะครับ
ที่มา:
https://oddytee.wordpress.com/2014/10/09/office-365-password-policy/
https://technet.microsoft.com/en-us/library/cc786468(v=ws.10).aspx