สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ หรือ NIST ได้ออกบทความที่เกี่ยวกับ Password Security
1. ความยาวสำคัญกว่าความยาก
การบังคับให้รหัสผ่านใหม่มีความยากกลับยิ่งทำให้ความมั่นคงปลอดภัยลดลง เนื่องจากผู้ใช้หลายคนมักเพิ่มความยากให้รหัสผ่านตัวเองแบบง่ายๆ แต่ที่น่าเป็นห่วงยิ่งกว่า คือ การใช้รหัสผ่านเดิมซ้ำๆ กับหลายๆ บัญชี ซึ่งเพิ่มความเสี่ยงในการถูกโจมตีมากยิ่งขึ้น
2. ตัดการรีเซ็ตรหัสผ่านใหม่ทุก 3 เดือนหรือ 6 เดือนทิ้งไป
เราคงเคยเห็นนโยบายหลาย ๆ องค์กร ชอบเขียนว่า "รีเซ็ตรหัสผ่านบ่อยๆ เช่น ทุก 3 เดือนหรือทุก 6 เดือน" อย่างไรก็ตามเนื่องจากในชีวิตจริง การจดจำรหัสผ่านดีๆ ก็ยากอยู่แล้ว ผู้ใช้จึงมักเปลี่ยนรหัสผ่านเป็นรูปแบบที่คาดเดาได้ไม่ยาก ดังนั้น NIST จึงแนะนำให้ตัดการรีเซ็ตรหัสผ่านใหม่เมื่อเวลาผ่านไปออกจากนโยบายขององค์กร
องค์กรจึงควรพิจารณานโยบายของตนเองดี ๆ อีกสักครั้งว่าอะไรเหมาะกับเราไม่เหมาะกับเรา แต่สุดท้ายเหมาะหรือไม่เหมาะก็ต้องพิจารณาเรื่อง Security เป็นหลักสำคัญอยู่ดี จริงไหมครับ