Difference between revisions of "Pwned"

From CMU ITSC Network
 
(14 intermediate revisions by the same user not shown)
Line 1: Line 1:
 
== รหัสผ่านหลุด ภัยใกล้ตัวที่ไม่ควรมองข้าม ==
 
== รหัสผ่านหลุด ภัยใกล้ตัวที่ไม่ควรมองข้าม ==
 +
<br/> [[File:Pwned.jpg|center|800px|link=]]<br/>
 
&nbsp; &nbsp;&nbsp; &nbsp;&nbsp; &nbsp;&nbsp; &nbsp;ในยุคสังคมดิจิทัล การเข้าใช้งานระบบเทคโนโลยีสารสนเทศต่าง ๆ ผ่านเว็บไซด์ หรือผ่านแอพพลิเคชั่นในสมาร์ทโฟน ส่วนใหญ่แล้วจะต้องมีชื่อผู้ใช้ (username) และ รหัสผ่าน (password) เป็นกุญแจสำคัญในการเข้าถึงระบบและยืนยันตัวตนว่าเป็นเจ้าของบัญชีผู้ใช้งานนั้นจริง ดังนั้นการตั้งค่า password ให้ยากต่อการคาดเดา จะช่วยเพิ่มความปลอดภัยในการใช้งานยิ่งขึ้น รวมถึงในส่วนของผู้ดูแลระบบเทคโนโลยีสารสนเทศ ควรจะออกแบบระบบโดยคำนึงถึงหลักการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) ด้วยการเก็บ password หรือข้อมูลส่วนบุคคลของผู้ใช้งานด้วยการเข้ารหัส (Cryptographic Hash) ที่ยากต่อการถอดรหัสให้กลับมาเป็นข้อความต้นฉบับ ซึ่งแม้แต่ผู้ดูแลระบบเองก็จะไม่ทราบว่าผู้ใช้งานตั้ง password ไว้ว่าอย่างไร <br>
 
&nbsp; &nbsp;&nbsp; &nbsp;&nbsp; &nbsp;&nbsp; &nbsp;ในยุคสังคมดิจิทัล การเข้าใช้งานระบบเทคโนโลยีสารสนเทศต่าง ๆ ผ่านเว็บไซด์ หรือผ่านแอพพลิเคชั่นในสมาร์ทโฟน ส่วนใหญ่แล้วจะต้องมีชื่อผู้ใช้ (username) และ รหัสผ่าน (password) เป็นกุญแจสำคัญในการเข้าถึงระบบและยืนยันตัวตนว่าเป็นเจ้าของบัญชีผู้ใช้งานนั้นจริง ดังนั้นการตั้งค่า password ให้ยากต่อการคาดเดา จะช่วยเพิ่มความปลอดภัยในการใช้งานยิ่งขึ้น รวมถึงในส่วนของผู้ดูแลระบบเทคโนโลยีสารสนเทศ ควรจะออกแบบระบบโดยคำนึงถึงหลักการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) ด้วยการเก็บ password หรือข้อมูลส่วนบุคคลของผู้ใช้งานด้วยการเข้ารหัส (Cryptographic Hash) ที่ยากต่อการถอดรหัสให้กลับมาเป็นข้อความต้นฉบับ ซึ่งแม้แต่ผู้ดูแลระบบเองก็จะไม่ทราบว่าผู้ใช้งานตั้ง password ไว้ว่าอย่างไร <br>
 
<pre style="color: blue">สำหรับระบบ CMU Account ของมหาวิทยาลัยเชียงใหม่ ได้ออกแบบการเก็บ password ตามหลักการที่กล่าวมาข้างต้น ผู้ใช้งานสามารถมั่นใจได้ว่า password ของ CMU Account ที่อยู่ในความดูแลของสำนักบริการเทคโนโลยีสารสนเทศ มหาวิทยาลัยเชียงใหม่ จะเป็นความลับอยู่เสมอ  </pre>
 
<pre style="color: blue">สำหรับระบบ CMU Account ของมหาวิทยาลัยเชียงใหม่ ได้ออกแบบการเก็บ password ตามหลักการที่กล่าวมาข้างต้น ผู้ใช้งานสามารถมั่นใจได้ว่า password ของ CMU Account ที่อยู่ในความดูแลของสำนักบริการเทคโนโลยีสารสนเทศ มหาวิทยาลัยเชียงใหม่ จะเป็นความลับอยู่เสมอ  </pre>
 
อย่างไรก็ตามยังมีโอกาสที่ผู้ไม่ประสงค์ดีจะสามารถขโมย password จากผู้ใช้งาน ดังตัวอย่างต่อไปนี้
 
อย่างไรก็ตามยังมีโอกาสที่ผู้ไม่ประสงค์ดีจะสามารถขโมย password จากผู้ใช้งาน ดังตัวอย่างต่อไปนี้
# ''' Phishing''' เป็นคำเปรียบเทียบที่พ้องเสียงมาจาก Fishing ที่แปลว่า การตกปลา โดยในการตกปลานั้น ต้องมีเหยื่อล่อให้ปลามาติดเบ็ด จึงเปรียบเทียบถึงการสร้างสถานการณ์โดยการส่งข้อความ อีเมล หรือเว็บไซต์ปลอม เพื่อเป็นเหยื่อล่อให้ผู้เสียหายเข้ามาติดเบ็ด และหลอกล่อผู้เสียหายให้กรอกข้อมูลส่วนตัวต่าง ๆ กรอก username และ password หรือส่งโปรแกรมให้ติดตั้งลงเครื่องคอมพิวเตอร์ตามที่ผู้ไม่ประสงค์ดีต้องการ สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ cmo.to/phishing
+
# ''' Phishing''' เป็นคำเปรียบเทียบที่พ้องเสียงมาจาก Fishing ที่แปลว่า การตกปลา โดยในการตกปลานั้น ต้องมีเหยื่อล่อให้ปลามาติดเบ็ด จึงเปรียบเทียบถึงการสร้างสถานการณ์โดยการส่งข้อความ อีเมล หรือเว็บไซต์ปลอม เพื่อเป็นเหยื่อล่อให้ผู้เสียหายเข้ามาติดเบ็ด และหลอกล่อผู้เสียหายให้กรอกข้อมูลส่วนตัวต่าง ๆ กรอก username และ password หรือส่งโปรแกรมให้ติดตั้งลงเครื่องคอมพิวเตอร์ตามที่ผู้ไม่ประสงค์ดีต้องการ <ins>สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ https://cmu.to/phishing</ins>
# '''Password Attack''' ผู้ไม่ประสงค์ดีสามารถใช้เทคนิคนี้ ค้นหา password ที่ถูกต้องของผู้ใช้งานได้ หากท่านตั้ง password ที่ง่ายต่อการคาดเดา โดยใช้วิธีการดังต่อไปนี้  
+
# '''Password Attack''' ผู้ไม่ประสงค์ดีสามารถใช้เทคนิคนี้ ค้นหา password ที่ถูกต้องของผู้ใช้งานได้ <ins>'''หากท่านตั้ง password ที่ง่ายต่อการคาดเดา'''</ins> โดยใช้วิธีการดังต่อไปนี้  
#* '''Dictionary Attack''' คือการสุ่มเดา password จากไฟล์ที่มีการรวบรวมคำศัพท์ต่างๆ ที่อยู่ใน Dictionary เช่น คำศัพท์ที่พบบ่อย คำที่มีรูปแบบการสะกดจากรากศัพท์นานาชนิด โดยโปรแกรมเหล่านี้มีความถี่ในการเดา password อย่างน้อย 1 ล้านคำต่อวินาที เพราะฉะนั้น หากตั้ง password ที่มีอยู่ในคลังศัพท์ของผู้ไม่ประสงค์ดี ก็มีสิทธิ์ถูกเดาได้อย่างง่ายดาย
+
#* '''Dictionary Attack''' คือการสุ่มเดา password จากไฟล์ที่มีการรวบรวมคำศัพท์ต่างๆ ที่อยู่ใน Dictionary เช่น คำศัพท์ที่พบบ่อย คำที่มีรูปแบบการสะกดจากรากศัพท์นานาชนิด <ins>โดยโปรแกรมเหล่านี้มีความถี่ในการเดา password อย่างน้อย 1 ล้านคำต่อวินาที</ins> เพราะฉะนั้น หากตั้ง password ที่มีอยู่ในคลังศัพท์ของผู้ไม่ประสงค์ดี ก็มีสิทธิ์ถูกเดาได้อย่างง่ายดาย
#* '''Brute Force Attack''' คือวิธีการสุ่ม password ในทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก เพื่อให้ได้ password ที่ถูกต้อง ดังนั้น Brute force attack จึงเป็นวิธีที่จะสามารถหา password ได้อย่างแน่นอน เพียงแต่ขึ้นอยู่กับระยะของเวลาของการสุ่มหา จะมากหรือน้อยขึ้นอยู่กับความซับซ้อนของการตั้ง password
+
#* '''Brute Force Attack''' คือวิธีการสุ่ม password ในทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก เพื่อให้ได้ password ที่ถูกต้อง <ins>ดังนั้น Brute force attack จึงเป็นวิธีที่จะสามารถหา password ได้อย่างแน่นอน</ins> เพียงแต่ขึ้นอยู่กับระยะของเวลาของการสุ่มหา จะมากหรือน้อยขึ้นอยู่กับความซับซ้อนของการตั้ง password
 +
=== การตั้ง Password ที่ควรหลีกเลี่ยง ===
 +
*ข้อมูลที่สามารถระบุตัวตน เช่น ชื่อ-นามสกุล วันเดือนปีเกิด เบอร์โทรศัพท์ เลขบัตรประจำตัวต่าง ๆ ทั้งของตนเองและคนใกล้ตัว
 +
*คำศัพท์ที่มีอยู่ใน Dictionary
 +
*คำทั่วไปแล้วสะกดจากหลังไปหน้า เช่น facebook --> koobecaf  password --> drowssap welcome --> emoclew เป็นต้น
 +
*ใช้การเรียงตัวเลข เรียงตัวอักษร ใช้ตัวเลขหรือตัวอักษรซ้ำ เช่น abcd5678 1234abcd  66778899  wwxxyyzz เป็นต้น
 +
<br/> [[File:Pwned2.jpg|center|800px|link=]]<br/>
 +
=== วิธีการตั้ง Password เพื่อความปลอดภัย ===
 +
*มีความยาวไม่น้อยกว่า 8 ตัวอักษร และไม่เกิน 32 ตัวอักษรเนื่องจากบางระบบอาจจะไม่รองรับ password ที่ยาวเกินไป
 +
*ประกอบไปด้วยอักขระทั้ง 4 รูปแบบ (สลับตำแหน่งได้ตามสะดวก)
 +
** ตัวอักษรภาษาอังกฤษพิมพ์ใหญ่ (A-Z)
 +
** ตัวอักษรภาษาอังกฤษพิมพ์เล็ก (a-z)
 +
** ตัวเลข (0-9)
 +
** เครื่องหมายหรืออักขระพิเศษ (!@#$%^&*()_+|~-=\`{}[]:”;'<>?,./)
 +
=== ข้อแนะนำเพิ่มเติม ===
 +
*ไม่ควรใช้ password เดียวกันกับทุกบัญชี เช่น อีเมล บัญชีธนาคาร หรือโซเชียลมีเดีย หากถูกผู้ไม่ประสงค์ดีขโมย password ไปได้ ท่านมีความเสี่ยงที่จะสูญเสียความเป็นเจ้าของในทุกบัญชีที่ใช้ password เดียวกัน
 +
*เปิดใช้งานการยืนยันตัวตนแบบ Two-Factor Authentication (2FA) หรือ Multifactor Authentication (MFA) หากเว็บไซต์หรือแอพพลิเคชั่นนั้นมีบริการในส่วนนี้
 +
*ไม่ควรจด password ลงกระดาษหรือในไฟล์เอกสารที่ไม่มีการป้องกันการเข้าถึง
 +
*ออกจากระบบทุกครั้งหลังใช้งาน
 +
*กรณีใช้งานเครื่องคอมพิวเตอร์ส่วนกลาง ไม่ควรเลือกใช้คำสั่ง “จำรหัสผ่าน” (Remember me) ในเว็บไซต์หรือแอพพลิเคชั่นใด

Latest revision as of 06:37, 19 February 2022

รหัสผ่านหลุด ภัยใกล้ตัวที่ไม่ควรมองข้าม


Pwned.jpg


            ในยุคสังคมดิจิทัล การเข้าใช้งานระบบเทคโนโลยีสารสนเทศต่าง ๆ ผ่านเว็บไซด์ หรือผ่านแอพพลิเคชั่นในสมาร์ทโฟน ส่วนใหญ่แล้วจะต้องมีชื่อผู้ใช้ (username) และ รหัสผ่าน (password) เป็นกุญแจสำคัญในการเข้าถึงระบบและยืนยันตัวตนว่าเป็นเจ้าของบัญชีผู้ใช้งานนั้นจริง ดังนั้นการตั้งค่า password ให้ยากต่อการคาดเดา จะช่วยเพิ่มความปลอดภัยในการใช้งานยิ่งขึ้น รวมถึงในส่วนของผู้ดูแลระบบเทคโนโลยีสารสนเทศ ควรจะออกแบบระบบโดยคำนึงถึงหลักการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) ด้วยการเก็บ password หรือข้อมูลส่วนบุคคลของผู้ใช้งานด้วยการเข้ารหัส (Cryptographic Hash) ที่ยากต่อการถอดรหัสให้กลับมาเป็นข้อความต้นฉบับ ซึ่งแม้แต่ผู้ดูแลระบบเองก็จะไม่ทราบว่าผู้ใช้งานตั้ง password ไว้ว่าอย่างไร

สำหรับระบบ CMU Account ของมหาวิทยาลัยเชียงใหม่ ได้ออกแบบการเก็บ password ตามหลักการที่กล่าวมาข้างต้น ผู้ใช้งานสามารถมั่นใจได้ว่า password ของ CMU Account ที่อยู่ในความดูแลของสำนักบริการเทคโนโลยีสารสนเทศ มหาวิทยาลัยเชียงใหม่ จะเป็นความลับอยู่เสมอ   

อย่างไรก็ตามยังมีโอกาสที่ผู้ไม่ประสงค์ดีจะสามารถขโมย password จากผู้ใช้งาน ดังตัวอย่างต่อไปนี้

  1. Phishing เป็นคำเปรียบเทียบที่พ้องเสียงมาจาก Fishing ที่แปลว่า การตกปลา โดยในการตกปลานั้น ต้องมีเหยื่อล่อให้ปลามาติดเบ็ด จึงเปรียบเทียบถึงการสร้างสถานการณ์โดยการส่งข้อความ อีเมล หรือเว็บไซต์ปลอม เพื่อเป็นเหยื่อล่อให้ผู้เสียหายเข้ามาติดเบ็ด และหลอกล่อผู้เสียหายให้กรอกข้อมูลส่วนตัวต่าง ๆ กรอก username และ password หรือส่งโปรแกรมให้ติดตั้งลงเครื่องคอมพิวเตอร์ตามที่ผู้ไม่ประสงค์ดีต้องการ สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ https://cmu.to/phishing
  2. Password Attack ผู้ไม่ประสงค์ดีสามารถใช้เทคนิคนี้ ค้นหา password ที่ถูกต้องของผู้ใช้งานได้ หากท่านตั้ง password ที่ง่ายต่อการคาดเดา โดยใช้วิธีการดังต่อไปนี้
    • Dictionary Attack คือการสุ่มเดา password จากไฟล์ที่มีการรวบรวมคำศัพท์ต่างๆ ที่อยู่ใน Dictionary เช่น คำศัพท์ที่พบบ่อย คำที่มีรูปแบบการสะกดจากรากศัพท์นานาชนิด โดยโปรแกรมเหล่านี้มีความถี่ในการเดา password อย่างน้อย 1 ล้านคำต่อวินาที เพราะฉะนั้น หากตั้ง password ที่มีอยู่ในคลังศัพท์ของผู้ไม่ประสงค์ดี ก็มีสิทธิ์ถูกเดาได้อย่างง่ายดาย
    • Brute Force Attack คือวิธีการสุ่ม password ในทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก เพื่อให้ได้ password ที่ถูกต้อง ดังนั้น Brute force attack จึงเป็นวิธีที่จะสามารถหา password ได้อย่างแน่นอน เพียงแต่ขึ้นอยู่กับระยะของเวลาของการสุ่มหา จะมากหรือน้อยขึ้นอยู่กับความซับซ้อนของการตั้ง password

การตั้ง Password ที่ควรหลีกเลี่ยง

  • ข้อมูลที่สามารถระบุตัวตน เช่น ชื่อ-นามสกุล วันเดือนปีเกิด เบอร์โทรศัพท์ เลขบัตรประจำตัวต่าง ๆ ทั้งของตนเองและคนใกล้ตัว
  • คำศัพท์ที่มีอยู่ใน Dictionary
  • คำทั่วไปแล้วสะกดจากหลังไปหน้า เช่น facebook --> koobecaf password --> drowssap welcome --> emoclew เป็นต้น
  • ใช้การเรียงตัวเลข เรียงตัวอักษร ใช้ตัวเลขหรือตัวอักษรซ้ำ เช่น abcd5678 1234abcd 66778899 wwxxyyzz เป็นต้น


Pwned2.jpg


วิธีการตั้ง Password เพื่อความปลอดภัย

  • มีความยาวไม่น้อยกว่า 8 ตัวอักษร และไม่เกิน 32 ตัวอักษรเนื่องจากบางระบบอาจจะไม่รองรับ password ที่ยาวเกินไป
  • ประกอบไปด้วยอักขระทั้ง 4 รูปแบบ (สลับตำแหน่งได้ตามสะดวก)
    • ตัวอักษรภาษาอังกฤษพิมพ์ใหญ่ (A-Z)
    • ตัวอักษรภาษาอังกฤษพิมพ์เล็ก (a-z)
    • ตัวเลข (0-9)
    • เครื่องหมายหรืออักขระพิเศษ (!@#$%^&*()_+|~-=\`{}[]:”;'<>?,./)

ข้อแนะนำเพิ่มเติม

  • ไม่ควรใช้ password เดียวกันกับทุกบัญชี เช่น อีเมล บัญชีธนาคาร หรือโซเชียลมีเดีย หากถูกผู้ไม่ประสงค์ดีขโมย password ไปได้ ท่านมีความเสี่ยงที่จะสูญเสียความเป็นเจ้าของในทุกบัญชีที่ใช้ password เดียวกัน
  • เปิดใช้งานการยืนยันตัวตนแบบ Two-Factor Authentication (2FA) หรือ Multifactor Authentication (MFA) หากเว็บไซต์หรือแอพพลิเคชั่นนั้นมีบริการในส่วนนี้
  • ไม่ควรจด password ลงกระดาษหรือในไฟล์เอกสารที่ไม่มีการป้องกันการเข้าถึง
  • ออกจากระบบทุกครั้งหลังใช้งาน
  • กรณีใช้งานเครื่องคอมพิวเตอร์ส่วนกลาง ไม่ควรเลือกใช้คำสั่ง “จำรหัสผ่าน” (Remember me) ในเว็บไซต์หรือแอพพลิเคชั่นใด