Difference between revisions of "Pwned"
From CMU ITSC Network
Thomhathai (talk | contribs) |
Thomhathai (talk | contribs) |
||
| (23 intermediate revisions by the same user not shown) | |||
| Line 1: | Line 1: | ||
| − | ในยุคสังคมดิจิทัล การเข้าใช้งานระบบเทคโนโลยีสารสนเทศต่าง ๆ ผ่านเว็บไซด์ หรือผ่านแอพพลิเคชั่นในสมาร์ทโฟน ส่วนใหญ่แล้วจะต้องมีชื่อผู้ใช้ (username) และ รหัสผ่าน (password) เป็นกุญแจสำคัญในการเข้าถึงระบบและยืนยันตัวตนว่าเป็นเจ้าของบัญชีผู้ใช้งานนั้นจริง ดังนั้นการตั้งค่า password ให้ยากต่อการคาดเดา จะช่วยเพิ่มความปลอดภัยในการใช้งานยิ่งขึ้น รวมถึงในส่วนของผู้ดูแลระบบเทคโนโลยีสารสนเทศ ควรจะออกแบบระบบโดยคำนึงถึงหลักการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) ด้วยการเก็บ password หรือข้อมูลส่วนบุคคลของผู้ใช้งานด้วยการเข้ารหัส (Cryptographic Hash) ที่ยากต่อการถอดรหัสให้กลับมาเป็นข้อความต้นฉบับ ซึ่งแม้แต่ผู้ดูแลระบบเองก็จะไม่ทราบว่าผู้ใช้งานตั้ง password ไว้ว่าอย่างไร | + | == รหัสผ่านหลุด ภัยใกล้ตัวที่ไม่ควรมองข้าม == |
| − | สำหรับระบบ CMU Account ของมหาวิทยาลัยเชียงใหม่ ได้ออกแบบการเก็บ password ตามหลักการที่กล่าวมาข้างต้น ผู้ใช้งานสามารถมั่นใจได้ว่า password ของ CMU Account ที่อยู่ในความดูแลของสำนักบริการเทคโนโลยีสารสนเทศ มหาวิทยาลัยเชียงใหม่ จะเป็นความลับอยู่เสมอ | + | <br/> [[File:Pwned.jpg|center|800px|link=]]<br/> |
| − | # '''Phishing''' เป็นคำเปรียบเทียบที่พ้องเสียงมาจาก Fishing ที่แปลว่า การตกปลา โดยในการตกปลานั้น ต้องมีเหยื่อล่อให้ปลามาติดเบ็ด จึงเปรียบเทียบถึงการสร้างสถานการณ์โดยการส่งข้อความ อีเมล หรือเว็บไซต์ปลอม เพื่อเป็นเหยื่อล่อให้ผู้เสียหายเข้ามาติดเบ็ด และหลอกล่อผู้เสียหายให้กรอกข้อมูลส่วนตัวต่าง ๆ กรอก username และ password หรือส่งโปรแกรมให้ติดตั้งลงเครื่องคอมพิวเตอร์ตามที่ผู้ไม่ประสงค์ดีต้องการ สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ | + | ในยุคสังคมดิจิทัล การเข้าใช้งานระบบเทคโนโลยีสารสนเทศต่าง ๆ ผ่านเว็บไซด์ หรือผ่านแอพพลิเคชั่นในสมาร์ทโฟน ส่วนใหญ่แล้วจะต้องมีชื่อผู้ใช้ (username) และ รหัสผ่าน (password) เป็นกุญแจสำคัญในการเข้าถึงระบบและยืนยันตัวตนว่าเป็นเจ้าของบัญชีผู้ใช้งานนั้นจริง ดังนั้นการตั้งค่า password ให้ยากต่อการคาดเดา จะช่วยเพิ่มความปลอดภัยในการใช้งานยิ่งขึ้น รวมถึงในส่วนของผู้ดูแลระบบเทคโนโลยีสารสนเทศ ควรจะออกแบบระบบโดยคำนึงถึงหลักการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) ด้วยการเก็บ password หรือข้อมูลส่วนบุคคลของผู้ใช้งานด้วยการเข้ารหัส (Cryptographic Hash) ที่ยากต่อการถอดรหัสให้กลับมาเป็นข้อความต้นฉบับ ซึ่งแม้แต่ผู้ดูแลระบบเองก็จะไม่ทราบว่าผู้ใช้งานตั้ง password ไว้ว่าอย่างไร <br> |
| − | # '''Password Attack''' ผู้ไม่ประสงค์ดีสามารถใช้เทคนิคนี้ ค้นหา password ที่ถูกต้องของผู้ใช้งานได้ หากท่านตั้ง password ที่ง่ายต่อการคาดเดา โดยใช้วิธีการดังต่อไปนี้ | + | <pre style="color: blue">สำหรับระบบ CMU Account ของมหาวิทยาลัยเชียงใหม่ ได้ออกแบบการเก็บ password ตามหลักการที่กล่าวมาข้างต้น ผู้ใช้งานสามารถมั่นใจได้ว่า password ของ CMU Account ที่อยู่ในความดูแลของสำนักบริการเทคโนโลยีสารสนเทศ มหาวิทยาลัยเชียงใหม่ จะเป็นความลับอยู่เสมอ </pre> |
| − | #* '''Dictionary Attack''' คือการสุ่มเดา password จากไฟล์ที่มีการรวบรวมคำศัพท์ต่างๆ ที่อยู่ใน Dictionary เช่น คำศัพท์ที่พบบ่อย คำที่มีรูปแบบการสะกดจากรากศัพท์นานาชนิด โดยโปรแกรมเหล่านี้มีความถี่ในการเดา password อย่างน้อย 1 ล้านคำต่อวินาที เพราะฉะนั้น หากตั้ง password ที่มีอยู่ในคลังศัพท์ของผู้ไม่ประสงค์ดี ก็มีสิทธิ์ถูกเดาได้อย่างง่ายดาย | + | อย่างไรก็ตามยังมีโอกาสที่ผู้ไม่ประสงค์ดีจะสามารถขโมย password จากผู้ใช้งาน ดังตัวอย่างต่อไปนี้ |
| − | #* '''Brute Force Attack''' คือวิธีการสุ่ม password ในทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก เพื่อให้ได้ password ที่ถูกต้อง ดังนั้น Brute force attack จึงเป็นวิธีที่จะสามารถหา password ได้อย่างแน่นอน เพียงแต่ขึ้นอยู่กับระยะของเวลาของการสุ่มหา จะมากหรือน้อยขึ้นอยู่กับความซับซ้อนของการตั้ง password | + | # ''' Phishing''' เป็นคำเปรียบเทียบที่พ้องเสียงมาจาก Fishing ที่แปลว่า การตกปลา โดยในการตกปลานั้น ต้องมีเหยื่อล่อให้ปลามาติดเบ็ด จึงเปรียบเทียบถึงการสร้างสถานการณ์โดยการส่งข้อความ อีเมล หรือเว็บไซต์ปลอม เพื่อเป็นเหยื่อล่อให้ผู้เสียหายเข้ามาติดเบ็ด และหลอกล่อผู้เสียหายให้กรอกข้อมูลส่วนตัวต่าง ๆ กรอก username และ password หรือส่งโปรแกรมให้ติดตั้งลงเครื่องคอมพิวเตอร์ตามที่ผู้ไม่ประสงค์ดีต้องการ <ins>สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ https://cmu.to/phishing</ins> |
| + | # '''Password Attack''' ผู้ไม่ประสงค์ดีสามารถใช้เทคนิคนี้ ค้นหา password ที่ถูกต้องของผู้ใช้งานได้ <ins>'''หากท่านตั้ง password ที่ง่ายต่อการคาดเดา'''</ins> โดยใช้วิธีการดังต่อไปนี้ | ||
| + | #* '''Dictionary Attack''' คือการสุ่มเดา password จากไฟล์ที่มีการรวบรวมคำศัพท์ต่างๆ ที่อยู่ใน Dictionary เช่น คำศัพท์ที่พบบ่อย คำที่มีรูปแบบการสะกดจากรากศัพท์นานาชนิด <ins>โดยโปรแกรมเหล่านี้มีความถี่ในการเดา password อย่างน้อย 1 ล้านคำต่อวินาที</ins> เพราะฉะนั้น หากตั้ง password ที่มีอยู่ในคลังศัพท์ของผู้ไม่ประสงค์ดี ก็มีสิทธิ์ถูกเดาได้อย่างง่ายดาย | ||
| + | #* '''Brute Force Attack''' คือวิธีการสุ่ม password ในทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก เพื่อให้ได้ password ที่ถูกต้อง <ins>ดังนั้น Brute force attack จึงเป็นวิธีที่จะสามารถหา password ได้อย่างแน่นอน</ins> เพียงแต่ขึ้นอยู่กับระยะของเวลาของการสุ่มหา จะมากหรือน้อยขึ้นอยู่กับความซับซ้อนของการตั้ง password | ||
| + | === การตั้ง Password ที่ควรหลีกเลี่ยง === | ||
| + | *ข้อมูลที่สามารถระบุตัวตน เช่น ชื่อ-นามสกุล วันเดือนปีเกิด เบอร์โทรศัพท์ เลขบัตรประจำตัวต่าง ๆ ทั้งของตนเองและคนใกล้ตัว | ||
| + | *คำศัพท์ที่มีอยู่ใน Dictionary | ||
| + | *คำทั่วไปแล้วสะกดจากหลังไปหน้า เช่น facebook --> koobecaf password --> drowssap welcome --> emoclew เป็นต้น | ||
| + | *ใช้การเรียงตัวเลข เรียงตัวอักษร ใช้ตัวเลขหรือตัวอักษรซ้ำ เช่น abcd5678 1234abcd 66778899 wwxxyyzz เป็นต้น | ||
| + | <br/> [[File:Pwned2.jpg|center|800px|link=]]<br/> | ||
| + | === วิธีการตั้ง Password เพื่อความปลอดภัย === | ||
| + | *มีความยาวไม่น้อยกว่า 8 ตัวอักษร และไม่เกิน 32 ตัวอักษรเนื่องจากบางระบบอาจจะไม่รองรับ password ที่ยาวเกินไป | ||
| + | *ประกอบไปด้วยอักขระทั้ง 4 รูปแบบ (สลับตำแหน่งได้ตามสะดวก) | ||
| + | ** ตัวอักษรภาษาอังกฤษพิมพ์ใหญ่ (A-Z) | ||
| + | ** ตัวอักษรภาษาอังกฤษพิมพ์เล็ก (a-z) | ||
| + | ** ตัวเลข (0-9) | ||
| + | ** เครื่องหมายหรืออักขระพิเศษ (!@#$%^&*()_+|~-=\`{}[]:”;'<>?,./) | ||
| + | === ข้อแนะนำเพิ่มเติม === | ||
| + | *ไม่ควรใช้ password เดียวกันกับทุกบัญชี เช่น อีเมล บัญชีธนาคาร หรือโซเชียลมีเดีย หากถูกผู้ไม่ประสงค์ดีขโมย password ไปได้ ท่านมีความเสี่ยงที่จะสูญเสียความเป็นเจ้าของในทุกบัญชีที่ใช้ password เดียวกัน | ||
| + | *เปิดใช้งานการยืนยันตัวตนแบบ Two-Factor Authentication (2FA) หรือ Multifactor Authentication (MFA) หากเว็บไซต์หรือแอพพลิเคชั่นนั้นมีบริการในส่วนนี้ | ||
| + | *ไม่ควรจด password ลงกระดาษหรือในไฟล์เอกสารที่ไม่มีการป้องกันการเข้าถึง | ||
| + | *ออกจากระบบทุกครั้งหลังใช้งาน | ||
| + | *กรณีใช้งานเครื่องคอมพิวเตอร์ส่วนกลาง ไม่ควรเลือกใช้คำสั่ง “จำรหัสผ่าน” (Remember me) ในเว็บไซต์หรือแอพพลิเคชั่นใด | ||
Latest revision as of 06:37, 19 February 2022
รหัสผ่านหลุด ภัยใกล้ตัวที่ไม่ควรมองข้าม
ในยุคสังคมดิจิทัล การเข้าใช้งานระบบเทคโนโลยีสารสนเทศต่าง ๆ ผ่านเว็บไซด์ หรือผ่านแอพพลิเคชั่นในสมาร์ทโฟน ส่วนใหญ่แล้วจะต้องมีชื่อผู้ใช้ (username) และ รหัสผ่าน (password) เป็นกุญแจสำคัญในการเข้าถึงระบบและยืนยันตัวตนว่าเป็นเจ้าของบัญชีผู้ใช้งานนั้นจริง ดังนั้นการตั้งค่า password ให้ยากต่อการคาดเดา จะช่วยเพิ่มความปลอดภัยในการใช้งานยิ่งขึ้น รวมถึงในส่วนของผู้ดูแลระบบเทคโนโลยีสารสนเทศ ควรจะออกแบบระบบโดยคำนึงถึงหลักการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) ด้วยการเก็บ password หรือข้อมูลส่วนบุคคลของผู้ใช้งานด้วยการเข้ารหัส (Cryptographic Hash) ที่ยากต่อการถอดรหัสให้กลับมาเป็นข้อความต้นฉบับ ซึ่งแม้แต่ผู้ดูแลระบบเองก็จะไม่ทราบว่าผู้ใช้งานตั้ง password ไว้ว่าอย่างไร
สำหรับระบบ CMU Account ของมหาวิทยาลัยเชียงใหม่ ได้ออกแบบการเก็บ password ตามหลักการที่กล่าวมาข้างต้น ผู้ใช้งานสามารถมั่นใจได้ว่า password ของ CMU Account ที่อยู่ในความดูแลของสำนักบริการเทคโนโลยีสารสนเทศ มหาวิทยาลัยเชียงใหม่ จะเป็นความลับอยู่เสมอ
อย่างไรก็ตามยังมีโอกาสที่ผู้ไม่ประสงค์ดีจะสามารถขโมย password จากผู้ใช้งาน ดังตัวอย่างต่อไปนี้
- Phishing เป็นคำเปรียบเทียบที่พ้องเสียงมาจาก Fishing ที่แปลว่า การตกปลา โดยในการตกปลานั้น ต้องมีเหยื่อล่อให้ปลามาติดเบ็ด จึงเปรียบเทียบถึงการสร้างสถานการณ์โดยการส่งข้อความ อีเมล หรือเว็บไซต์ปลอม เพื่อเป็นเหยื่อล่อให้ผู้เสียหายเข้ามาติดเบ็ด และหลอกล่อผู้เสียหายให้กรอกข้อมูลส่วนตัวต่าง ๆ กรอก username และ password หรือส่งโปรแกรมให้ติดตั้งลงเครื่องคอมพิวเตอร์ตามที่ผู้ไม่ประสงค์ดีต้องการ สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ https://cmu.to/phishing
- Password Attack ผู้ไม่ประสงค์ดีสามารถใช้เทคนิคนี้ ค้นหา password ที่ถูกต้องของผู้ใช้งานได้ หากท่านตั้ง password ที่ง่ายต่อการคาดเดา โดยใช้วิธีการดังต่อไปนี้
- Dictionary Attack คือการสุ่มเดา password จากไฟล์ที่มีการรวบรวมคำศัพท์ต่างๆ ที่อยู่ใน Dictionary เช่น คำศัพท์ที่พบบ่อย คำที่มีรูปแบบการสะกดจากรากศัพท์นานาชนิด โดยโปรแกรมเหล่านี้มีความถี่ในการเดา password อย่างน้อย 1 ล้านคำต่อวินาที เพราะฉะนั้น หากตั้ง password ที่มีอยู่ในคลังศัพท์ของผู้ไม่ประสงค์ดี ก็มีสิทธิ์ถูกเดาได้อย่างง่ายดาย
- Brute Force Attack คือวิธีการสุ่ม password ในทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก เพื่อให้ได้ password ที่ถูกต้อง ดังนั้น Brute force attack จึงเป็นวิธีที่จะสามารถหา password ได้อย่างแน่นอน เพียงแต่ขึ้นอยู่กับระยะของเวลาของการสุ่มหา จะมากหรือน้อยขึ้นอยู่กับความซับซ้อนของการตั้ง password
การตั้ง Password ที่ควรหลีกเลี่ยง
- ข้อมูลที่สามารถระบุตัวตน เช่น ชื่อ-นามสกุล วันเดือนปีเกิด เบอร์โทรศัพท์ เลขบัตรประจำตัวต่าง ๆ ทั้งของตนเองและคนใกล้ตัว
- คำศัพท์ที่มีอยู่ใน Dictionary
- คำทั่วไปแล้วสะกดจากหลังไปหน้า เช่น facebook --> koobecaf password --> drowssap welcome --> emoclew เป็นต้น
- ใช้การเรียงตัวเลข เรียงตัวอักษร ใช้ตัวเลขหรือตัวอักษรซ้ำ เช่น abcd5678 1234abcd 66778899 wwxxyyzz เป็นต้น
วิธีการตั้ง Password เพื่อความปลอดภัย
- มีความยาวไม่น้อยกว่า 8 ตัวอักษร และไม่เกิน 32 ตัวอักษรเนื่องจากบางระบบอาจจะไม่รองรับ password ที่ยาวเกินไป
- ประกอบไปด้วยอักขระทั้ง 4 รูปแบบ (สลับตำแหน่งได้ตามสะดวก)
- ตัวอักษรภาษาอังกฤษพิมพ์ใหญ่ (A-Z)
- ตัวอักษรภาษาอังกฤษพิมพ์เล็ก (a-z)
- ตัวเลข (0-9)
- เครื่องหมายหรืออักขระพิเศษ (!@#$%^&*()_+|~-=\`{}[]:”;'<>?,./)
ข้อแนะนำเพิ่มเติม
- ไม่ควรใช้ password เดียวกันกับทุกบัญชี เช่น อีเมล บัญชีธนาคาร หรือโซเชียลมีเดีย หากถูกผู้ไม่ประสงค์ดีขโมย password ไปได้ ท่านมีความเสี่ยงที่จะสูญเสียความเป็นเจ้าของในทุกบัญชีที่ใช้ password เดียวกัน
- เปิดใช้งานการยืนยันตัวตนแบบ Two-Factor Authentication (2FA) หรือ Multifactor Authentication (MFA) หากเว็บไซต์หรือแอพพลิเคชั่นนั้นมีบริการในส่วนนี้
- ไม่ควรจด password ลงกระดาษหรือในไฟล์เอกสารที่ไม่มีการป้องกันการเข้าถึง
- ออกจากระบบทุกครั้งหลังใช้งาน
- กรณีใช้งานเครื่องคอมพิวเตอร์ส่วนกลาง ไม่ควรเลือกใช้คำสั่ง “จำรหัสผ่าน” (Remember me) ในเว็บไซต์หรือแอพพลิเคชั่นใด
