ร่างมาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ NIST SP 800-63B ที่เปิดรับฟังความเห็นเมื่อปีที่แล้วตอนนี้ปิดช่วงรับฟังความเห็นและมีการแก้ไข เพิ่มเติมสำคัญคือการกำหนดให้บริการไม่ตรวจสอบความซับซ้อนของรหัสผ่าน และไม่บังคับให้ผู้ใช้เปลี่ยนรหัสผ่านตามระยะเวลาอีกต่อไป ทุกวันนี้บริการต่างๆ มักกำหนดความซับซ้อนของรหัสผ่าน เช่น ต้องมีตัวอักษรเล็ก, อักษรใหญ่, ตัวเลข, สัญลักษณ์ ผสมกัน แต่ในความเป็นจริงการโจมตีรหัสผ่านมักอาศัยการใช้รหัสผ่านที่รั่วออกมาจากบริการอื่นๆ ไม่ว่ารหัสจะมีความซับซ้อนแค่ไหนก็ไม่ได้ช่วยในกรณีเหล่านี้ อย่างไรก็ดี เอกสารยังกำหนดความยาวขั้นต่ำของรหัสผ่านไว้ที่ 8 ตัวอักษรและควรรับรหัสผ่านไม่น้อยกว่า 64 ตัวอักษร เอกสาร SP 800-63B เวอร์ชั่นใหม่เคยมีประเด็นสำคัญคือการประกาศเตรียมยกเลิกใช้ SMS สำหรับการยืนยันตัวตนขั้นที่สอง แต่ในเวอร์ชั่นล่าสุดเอกสารมีการปรับคำให้อ่อนลง โดยระบุว่าไม่สนับสนุน (discouraged) ให้ใช้งาน SMS สำหรับการยืนยันตัวตนขั้นที่สองอีกต่อไป ที่มา - ThreatPost Topics: NISTAuthenticationSecurity