Lorrie Cranor หัวหน้าฝ่ายเทคโนโลยีของคณะกรรมการการค้าสหรัฐฯ (Federal Trade Commission - FTC) ขึ้นพูดในงาน PasswordCon ระบุถึงความเปลี่ยนแปลงด้านนโยบายของ FTC ที่เคยทวีตแนะนำผู้ใช้ให้เปลี่ยนรหัสผ่านบ่อยๆ เมื่อเธอเห็นทวีตนี้จึงไปพูดคุยกับหัวหน้าฝ่ายความปลอดภัยสารสนเทศ และหัวหน้าฝ่ายสารสนเทศ ระบุว่าผู้เชี่ยวชาญในช่วงหลังๆ ไม่แนะนำให้เปลี่ยนรหัสผ่านกันบ่อยๆ นัก

การศึกษากระบวนการบังคับเปลี่ยนรหัสผ่านที่สำคัญครั้งหนึ่งมาจากงานวิจัย "The Security of Modern Password Expiration" ที่ผู้วิจัยศึกษานโยบายของมหาวิทยาลัยที่บังคับเปลี่ยนรหัสผ่านทุกสามเดือน พบว่าในโลกความเป็นจริงผู้ใช้ส่วนมากมัก "แปลง" (transform) รหัสผ่านเดิมเป็นรหัสผ่านใหม่ เช่น "Wheeler#1" เป็น "wHeeler#1" หรือ "Wheeler#11" หรือ "Wheeler#2" รูปแบบเช่นนี้จะวนไปเรื่อยๆ ทุกครั้งที่บังคับเปลี่ยนรหัส

Cranor ระบุว่าเธอใช้รหัสผ่านสำหรับงานรัฐบาล 6 รหัส ตอนนี้มี 2 รหัสที่ไม่บังคับเปลี่ยนตามอายุการใช้งานอีกแล้ว และ FTC กำลังทำงานกับระบบที่เหลือ

ในงาน PasswordCon ยังมีรายการบรรยายอื่นๆ เช่น การบรรยายของ Jim Fenton หัวข้อ "Toward Better Password Requirements" ก็ระบุว่าร่างมาตรฐาน NIST 800-63B เวอร์ชั่นล่าสุดไม่มีการกำหนดให้เปลี่ยนรหัสผ่านเป็นรอบอีกแล้ว รวมถึงยังพูดถึงการสร้างกฎการตั้งรหัสผ่านที่ซับซ้อนว่าไม่ได้ช่วยเพิ่มความปลอดภัยมากนัก การแนะนำให้ผู้ใช้ตั้งรหัสผ่านได้ยาวๆ แต่ยังคงจำได้ง่ายสำคัญกว่า และหากผู้ใช้ไปใช้รหัสผ่านที่เคยมีการเปิดเผยต่อสาธารณะมาแล้วก็ควรมีการแจ้งเตือนผู้ใช้

ปีที่แล้วรัฐบาลอังกฤษก็เปลี่ยนคำแนะนำการตั้งรหัสผ่าน ไม่แนะนำให้บังคับเปลี่ยนรหัสผ่านตามรอบอีกต่อไป

ที่มา - ArsTechnica