นิทานสั้น: "รหัสผ่านที่ปลอดภัย"

ในหมู่บ้านเล็ก ๆ แห่งหนึ่ง มีเด็กชายชื่อ "น้อย" ที่ชอบเล่นเกมออนไลน์เป็นชีวิตจิตใจ น้อยมีเพื่อนสนิทชื่อ "จ้อย" ที่มักจะเล่นเกมด้วยกันเสมอ วันหนึ่ง น้อยได้พบกับเหตุการณ์ที่ทำให้เขาเรียนรู้ถึงความสำคัญของการใช้รหัสผ่านที่ปลอดภัย

ตัวอย่างความเสี่ยงเกี่ยวกับรหัสผ่าน และมาตรการควบคุม

Risk	Control
Weak Passwords	1.     Password Strength Meter 2.     Password minimum length = 12 3.     Password complexity = 4 (Uppercase (A-Z), Lowercase (a-z), Numbers (0-9), Special characters (#, %, etc.)
Password Reuse	1.     Minimum password duration = 0 2.     Maximum password duration = 0 3.     Password history = 4
Brute Force Attacks	1.     Captcha Implementation 2.     Logon attempt before lockout = 6 3.     Lockout duration = 30 min 4.     Reset logon attempts = 30 min 5.     Account Login/out or Lockout Notification
Credential theft	1.     Least Privilege Principle/Just-In-Time       Privileges 2.     Multi-Factor Authentication (MFA) 3.     Regular Password Changes 4.     Database Activity Monitoring 5.     Encrypted Storage 6.     Behavioral Analytics 7.     Security Awareness Training
Keylogging	1.     Only business devices are allowed to access the internal network. 2.     Anti-Virus/Malware 3.     Patch Management 4.     Endpoint Detection and Response (EDR) 5.     Secure Input Methods 6.     VA/Pentest 7.     Do not allow user to install program/application on device 8.     Device Hardening
Insider Threat	1.     Segregation of duty/Role-Based Access Control (RBAC) 2.     User review 3.     Change Management 4.     Log review 5.     User Behavior Analytics (UBA) 6.     Whistleblower Policy
Data breach	1.     Data Encryption 2.     On-premises 3.     Data Loss Prevention (DLP) 4.     Role-Based Access Control (RBAC) 5.     User review 6.     Monitoring/ Regular Audits
Unplan downtime	1.     Implement High Availability (HA) solutions 2.     Incident response (SLA = 1 h) 3.     Redundancy 4.     Backup/Restore 5.     Regular Testing

Password Guideline --- แนวทางการตั้งค่ารหัสผ่าน

Category	Parameter name	Guidelines	Explain
Aging	Minimum password duration	1 Day	The shortest time you must wait before changing your password again. เวลาสั้นที่สุดที่จะต้องรอก่อนเปลี่ยนรหัสผ่านอีกครั้ง ทั้งนี้เพื่อป้องกันผู้ใช้ไม่ให้เปลี่ยนรหัสผ่านหลายครั้งในระยะเวลาอันสั้นเพื่อกลับมาใช้รหัสผ่านที่ชื่นชอบ
	Maximum password duration	90 Day	The longest time you can use the same password before you need to change it. เวลาที่ยาวที่สุดที่คุณสามารถใช้รหัสผ่านเดิมได้ก่อนที่ต้องเปลี่ยนใหม่ ทั้งนี้การเปลี่ยนรหัสผ่านเป็นประจำช่วยจำกัดความเสียหายที่อาจเกิดจากการละเมิดรหัสผ่าน
	Password history	5	The number of previous passwords the system remembers to prevent you from reusing them. จำนวนรหัสผ่านก่อนหน้าที่ระบบจะจำเพื่อป้องกันไม่ให้คุณใช้ซ้ำ ทั้งนี้เพื่อป้องกันไม่ให้ผู้ใช้กลับมาใช้รหัสผ่านเดิมเร็วเกินไป ทำให้เกิดการสร้างรหัสผ่านใหม่และไม่ซ้ำกัน ซึ่งจะทำให้ยากต่อการคาดเดาของผู้ประสงค์ร้าย
	Minimum length	12	The fewest characters your password must have. จำนวนตัวอักษรที่น้อยที่สุดที่รหัสผ่านของคุณต้องมี ทั้งนี้แม้การใช้จำนวนอักษรที่มากจะทำให้เกิดความปลอดภัยแต่ก็แลกมาด้วยความยากในการจดจำรหัสผ่านนั้น ๆ ความยาว 12 ตัวอักษรเป็นสมดุลที่ดีระหว่างความปลอดภัยและความสะดวกของผู้ใช้ ทำให้รหัสผ่านมีความยาวเพียงพอในการต่อต้านการโจมตีแบบ brute-force
Complexity	Complexity	Yes (4 Levels)	Requirements for your password to include a mix of uppercase letters, lowercase letters, numbers, and special characters. ข้อกำหนดให้รหัสผ่านของคุณมีการผสมผสานระหว่างอักษรตัวพิมพ์ใหญ่, อักษรตัวพิมพ์เล็ก, ตัวเลข และอักขระพิเศษ การกำหนดความซับซ้อนทำให้รหัสผ่านยากต่อการคาดเดาหรือแคร็กโดยใช้วิธีการอัตโนมัติ
	Uppercase (A-Z)	Yes
	Lowercase (a-z)	Yes
	Numbers (0-9)	Yes
	Special characters (#, %, etc.)	Yes
Lockout	Logon attempt before lockout	5	The number of times you can try to log in before your account is temporarily locked. จำนวนครั้งที่คุณสามารถพยายามล็อกอินได้ก่อนที่บัญชีของคุณจะถูกล็อกชั่วคราว โดยการลดจำนวนครั้งที่อนุญาตให้ล็อกอินก่อนถูกล็อก ช่วยลดโอกาสที่ผู้โจมตีจะคาดเดารหัสผ่านโดยใช้วิธีการลองผิดลองถูก
	Lockout duration	30 min	The time your account will be locked if you exceed the allowed number of login attempts. เวลาที่บัญชีของคุณจะถูกล็อกหากคุณล็อกอินผิดเกินจำนวนครั้งที่อนุญาต น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป
	Reset logon attempts	30 min	The time after which the count of unsuccessful login attempts is reset. ระยะเวลาที่จำนวนครั้งที่ล็อกอินไม่สำเร็จจะถูกรีเซ็ต น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป
Others	Password change at the first logon	Yes	Requires you to change your password the first time you log in. กำหนดให้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งแรก เป็นการทำให้มั่นใจว่ารหัสผ่านเริ่มต้น (ซึ่งมักตั้งโดยผู้ดูแลระบบ) จะถูกเปลี่ยนทันทีโดยผู้ใช้ให้เป็นสิ่งที่ผู้ใช้รู้เพียงคนเดียว
	Multi Factor Authentication	Required	An additional security step requiring a second form of verification besides your password. ขั้นตอนการยืนยันตัวตนเพิ่มเติมนอกจากรหัสผ่าน โดย  MFA จะช่วยเพิ่มระดับความปลอดภัยเพิ่มเติม ทำให้ผู้โจมตียากขึ้นมากกว่าการเข้าถึงโดยใช้รหัสผ่านเพียงอย่างเดียว