APNIC ประกาศเปลี่ยนการเก็บรหัสผ่านเป็น bcrypt

2018-10-04

APNIC ประกาศเปลี่ยนกระบวนการเก็บรหัสผ่านจากเดิมใช้ค่าแฮชของ MD5 หรือ crypt มาเป็น bcrypt โดยผู้ใช้ที่เปลี่ยนรหัสผ่านหลังจากนี้จะได้รับค่า auth ตัวใหม่ พร้อมกับประกาศว่าทาง APNIC จะบังคับให้รหัสผ่านทั้งหมดเป็น bcrypt ในอนาคต ผู้ดูแลระบบควรเปลี่ยนรหัสแต่เนิ่นๆ

ปีที่แล้ว APNIC เคยพลาดทำฐานข้อมูลรหัสผ่านหลุดออกมาสู่อินเทอร์เน็ต แม้รหัสผ่านจะถูกแฮชไว้แล้ว แต่การใช้ crypt หรือ MD5 ก็ป้องกันการไล่เดารหัสผ่านไม่ได้ โดยเฉพาะนโยบายเดิมที่จำกัดความยาวรหัสผ่านไว้ที่ 8 ตัวอักษรเท่านั้น การใช้ bcrypt ทำให้ได้ค่าแฮชที่ทนทานกว่าเดิม โดยสามารถปรับ work factor ทำให้การคำนวณค่าแฮชยากขึ้นได้ตามค่าที่ตั้งไว้ แม้รหัสผ่านจะหลุดออกมาก็มีความเสี่ยงต่ำลง และเมื่อเวลาผ่านไปก็สามารถตั้งค่า work factor ให้ทนทานขึ้นได้

มาตรฐาน NIST SP 800-63 บังคับให้เก็บค่าแฮชของรหัสผ่านด้วยฟังก์ชั่นแฮชที่ทนทานต่อการไล่เดารหัสผ่าน โดยแนะนำฟังก์ชั่น PBKDF2 และยังบังคับให้ใส่ค่า salt ความยาวอย่างน้อย 32 บิต นอกจากนี้ยังแนะนำให้รองรับรหัสผ่านอย่างน้อย 64 ตัวอักษรเพื่อเปิดให้ผู้ใช้ตั้งรหัสผ่านคุณภาพสูงได้อิสระ ข้อเสนอแนะมาตรฐานการยืนยันตัวจนของสพธอ. ที่เพิ่งเปิดเผยเมื่อวันที่ 1 ตุลาคมที่ผ่านมา ไม่มีข้อบังคับหรือคำแนะนำเหล่านี้

ที่มา – APNIC

No Description

Topics: