Pwned

From CMU ITSC Network
Revision as of 10:10, 18 February 2022 by Thomhathai (talk | contribs)

            ในยุคสังคมดิจิทัล การเข้าใช้งานระบบเทคโนโลยีสารสนเทศต่าง ๆ ผ่านเว็บไซด์ หรือผ่านแอพพลิเคชั่นในสมาร์ทโฟน ส่วนใหญ่แล้วจะต้องมีชื่อผู้ใช้ (username) และ รหัสผ่าน (password) เป็นกุญแจสำคัญในการเข้าถึงระบบและยืนยันตัวตนว่าเป็นเจ้าของบัญชีผู้ใช้งานนั้นจริง ดังนั้นการตั้งค่า password ให้ยากต่อการคาดเดา จะช่วยเพิ่มความปลอดภัยในการใช้งานยิ่งขึ้น รวมถึงในส่วนของผู้ดูแลระบบเทคโนโลยีสารสนเทศ ควรจะออกแบบระบบโดยคำนึงถึงหลักการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) ด้วยการเก็บ password หรือข้อมูลส่วนบุคคลของผู้ใช้งานด้วยการเข้ารหัส (Cryptographic Hash) ที่ยากต่อการถอดรหัสให้กลับมาเป็นข้อความต้นฉบับ ซึ่งแม้แต่ผู้ดูแลระบบเองก็จะไม่ทราบว่าผู้ใช้งานตั้ง password ไว้ว่าอย่างไร
            สำหรับระบบ CMU Account ของมหาวิทยาลัยเชียงใหม่ ได้ออกแบบการเก็บ password ตามหลักการที่กล่าวมาข้างต้น ผู้ใช้งานสามารถมั่นใจได้ว่า password ของ CMU Account ที่อยู่ในความดูแลของสำนักบริการเทคโนโลยีสารสนเทศ มหาวิทยาลัยเชียงใหม่ จะเป็นความลับอยู่เสมอ อย่างไรก็ตามยังมีโอกาสที่ผู้ไม่ประสงค์ดีจะสามารถขโมย password จากผู้ใช้งาน ดังตัวอย่างต่อไปนี้

  1. Phishing เป็นคำเปรียบเทียบที่พ้องเสียงมาจาก Fishing ที่แปลว่า การตกปลา โดยในการตกปลานั้น ต้องมีเหยื่อล่อให้ปลามาติดเบ็ด จึงเปรียบเทียบถึงการสร้างสถานการณ์โดยการส่งข้อความ อีเมล หรือเว็บไซต์ปลอม เพื่อเป็นเหยื่อล่อให้ผู้เสียหายเข้ามาติดเบ็ด และหลอกล่อผู้เสียหายให้กรอกข้อมูลส่วนตัวต่าง ๆ กรอก username และ password หรือส่งโปรแกรมให้ติดตั้งลงเครื่องคอมพิวเตอร์ตามที่ผู้ไม่ประสงค์ดีต้องการ สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ cmo.to/phishing
  2. Password Attack ผู้ไม่ประสงค์ดีสามารถใช้เทคนิคนี้ ค้นหา password ที่ถูกต้องของผู้ใช้งานได้ หากท่านตั้ง password ที่ง่ายต่อการคาดเดา โดยใช้วิธีการดังต่อไปนี้
    • Dictionary Attack คือการสุ่มเดา password จากไฟล์ที่มีการรวบรวมคำศัพท์ต่างๆ ที่อยู่ใน Dictionary เช่น คำศัพท์ที่พบบ่อย คำที่มีรูปแบบการสะกดจากรากศัพท์นานาชนิด โดยโปรแกรมเหล่านี้มีความถี่ในการเดา password อย่างน้อย 1 ล้านคำต่อวินาที เพราะฉะนั้น หากตั้ง password ที่มีอยู่ในคลังศัพท์ของผู้ไม่ประสงค์ดี ก็มีสิทธิ์ถูกเดาได้อย่างง่ายดาย
    • Brute Force Attack คือวิธีการสุ่ม password ในทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก เพื่อให้ได้ password ที่ถูกต้อง ดังนั้น Brute force attack จึงเป็นวิธีที่จะสามารถหา password ได้อย่างแน่นอน เพียงแต่ขึ้นอยู่กับระยะของเวลาของการสุ่มหา จะมากหรือน้อยขึ้นอยู่กับความซับซ้อนของการตั้ง password