Pwned

From CMU ITSC Network

รหัสผ่านหลุด ภัยใกล้ตัวที่ไม่ควรมองข้าม

            ในยุคสังคมดิจิทัล การเข้าใช้งานระบบเทคโนโลยีสารสนเทศต่าง ๆ ผ่านเว็บไซด์ หรือผ่านแอพพลิเคชั่นในสมาร์ทโฟน ส่วนใหญ่แล้วจะต้องมีชื่อผู้ใช้ (username) และ รหัสผ่าน (password) เป็นกุญแจสำคัญในการเข้าถึงระบบและยืนยันตัวตนว่าเป็นเจ้าของบัญชีผู้ใช้งานนั้นจริง ดังนั้นการตั้งค่า password ให้ยากต่อการคาดเดา จะช่วยเพิ่มความปลอดภัยในการใช้งานยิ่งขึ้น รวมถึงในส่วนของผู้ดูแลระบบเทคโนโลยีสารสนเทศ ควรจะออกแบบระบบโดยคำนึงถึงหลักการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) ด้วยการเก็บ password หรือข้อมูลส่วนบุคคลของผู้ใช้งานด้วยการเข้ารหัส (Cryptographic Hash) ที่ยากต่อการถอดรหัสให้กลับมาเป็นข้อความต้นฉบับ ซึ่งแม้แต่ผู้ดูแลระบบเองก็จะไม่ทราบว่าผู้ใช้งานตั้ง password ไว้ว่าอย่างไร

สำหรับระบบ CMU Account ของมหาวิทยาลัยเชียงใหม่ ได้ออกแบบการเก็บ password ตามหลักการที่กล่าวมาข้างต้น ผู้ใช้งานสามารถมั่นใจได้ว่า password ของ CMU Account ที่อยู่ในความดูแลของสำนักบริการเทคโนโลยีสารสนเทศ มหาวิทยาลัยเชียงใหม่ จะเป็นความลับอยู่เสมอ   

อย่างไรก็ตามยังมีโอกาสที่ผู้ไม่ประสงค์ดีจะสามารถขโมย password จากผู้ใช้งาน ดังตัวอย่างต่อไปนี้

  1. Phishing เป็นคำเปรียบเทียบที่พ้องเสียงมาจาก Fishing ที่แปลว่า การตกปลา โดยในการตกปลานั้น ต้องมีเหยื่อล่อให้ปลามาติดเบ็ด จึงเปรียบเทียบถึงการสร้างสถานการณ์โดยการส่งข้อความ อีเมล หรือเว็บไซต์ปลอม เพื่อเป็นเหยื่อล่อให้ผู้เสียหายเข้ามาติดเบ็ด และหลอกล่อผู้เสียหายให้กรอกข้อมูลส่วนตัวต่าง ๆ กรอก username และ password หรือส่งโปรแกรมให้ติดตั้งลงเครื่องคอมพิวเตอร์ตามที่ผู้ไม่ประสงค์ดีต้องการ สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ cmo.to/phishing
  2. Password Attack ผู้ไม่ประสงค์ดีสามารถใช้เทคนิคนี้ ค้นหา password ที่ถูกต้องของผู้ใช้งานได้ หากท่านตั้ง password ที่ง่ายต่อการคาดเดา โดยใช้วิธีการดังต่อไปนี้
    • Dictionary Attack คือการสุ่มเดา password จากไฟล์ที่มีการรวบรวมคำศัพท์ต่างๆ ที่อยู่ใน Dictionary เช่น คำศัพท์ที่พบบ่อย คำที่มีรูปแบบการสะกดจากรากศัพท์นานาชนิด โดยโปรแกรมเหล่านี้มีความถี่ในการเดา password อย่างน้อย 1 ล้านคำต่อวินาที เพราะฉะนั้น หากตั้ง password ที่มีอยู่ในคลังศัพท์ของผู้ไม่ประสงค์ดี ก็มีสิทธิ์ถูกเดาได้อย่างง่ายดาย
    • Brute Force Attack คือวิธีการสุ่ม password ในทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก เพื่อให้ได้ password ที่ถูกต้อง ดังนั้น Brute force attack จึงเป็นวิธีที่จะสามารถหา password ได้อย่างแน่นอน เพียงแต่ขึ้นอยู่กับระยะของเวลาของการสุ่มหา จะมากหรือน้อยขึ้นอยู่กับความซับซ้อนของการตั้ง password

การตั้ง Password ที่ควรหลีกเลี่ยง

    • ข้อมูลที่สามารถระบุตัวตน เช่น ชื่อ-นามสกุล วันเดือนปีเกิด เบอร์โทรศัพท์ เลขบัตรประจำตัวต่าง ๆ ทั้งของตนเองและคนใกล้ตัว
    • คำศัพท์ที่มีอยู่ใน Dictionary
    • คำทั่วไปแล้วสะกดจากหลังไปหน้า เช่น facebook --> koobecaf password --> drowssap welcome --> emoclew เป็นต้น
    • ใช้การเรียงตัวเลข เรียงตัวอักษร ใช้ตัวเลขหรือตัวอักษรซ้ำ เช่น abcd5678 1234abcd 66778899 wwxxyyzz เป็นต้น