บริการจัดการรหัสผ่าน 1Password ได้เพิ่มฟีเจอร์ใหม่เพื่อตรวจสอบว่ารหัสผ่านของผู้ใช้รั่วออกไปหรือยัง โดยใช้บริการของ Troy Hunt ผู้เชี่ยวชาญด้านความปลอดภัยที่มีชื่อว่า Pwned Passwords โดยบริการนี้มีฐานข้อมูลรหัสผ่านเก็บได้จากการรั่วไหลจำนวนกว่า 500 ล้านรหัส

วิธีใช้งานสำหรับผู้ใช้ 1Password คือจะต้องล็อกอินเข้าไปที่เว็บไซต์ 1Password.com ก่อน จากนั้นคลิก Open Vault เพื่อดูข้อมูลที่เก็บอยู่ภายใน เลือกบัญชีล็อกอินที่เก็บไว้ จากนั้นกด Shift-Control-Option-C จากนั้นจะมีปุ่ม Check Password ปรากฏขึ้นข้าง ๆ รหัสผ่าน เมื่อคลิกแล้ว 1Password ก็จะติดต่อไปยังระบบ Pwned Passwords เพื่อตรวจสอบและแสดงว่ามีรหัสผ่านนี้อยู่ในฐานข้อมูลหรือไม่

ทั้งนี้ AgileBits ผู้พัฒนา 1Password กล่าวว่า การที่ปรากฏว่ารหัสผ่านอยู่ในฐานข้อมูลอาจไม่ได้หมายความว่ารหัสผ่านของผู้ใช้รั่ว คืออาจจะมีผู้ใช้คนอื่นที่ใช้รหัสผ่านเดียวกัน แต่ผู้ใช้ก็ควรเปลี่ยนรหัสผ่าน

นอกจากนี้ AgileBits ยังมีแผนที่จะใส่ฟีเจอร์นี้ลงในแอพ 1Password เพื่อให้ผู้ใช้สามารถตรวจสอบรหัสผ่านรั่วได้ในแอพเลย ไม่ต้องเปิดเว็บไซต์อีกต่อไป

ระบบตรวจสอบนี้ทำให้หลายคนตั้งข้อสงสัยว่า รหัสผ่านที่เก็บไว้ใน 1Password จะรั่วไปถึงบริการ Pwned Passwords หรือไม่นั้น Troy Hunt และเพื่อนจาก Cloudflare ได้คิดวิธีการตรวจสอบโดยส่งข้อมูลเพียงบางส่วนเท่านั้น เพื่อทำให้เซิร์ฟเวอร์ของ Pwned Passwords ไม่มีข้อมูลเพียงพอที่จะประกอบกลับมาเป็นรหัสผ่านได้

ปกติแล้ว 1Password ใช้วิธีแฮชรหัสผ่านด้วยอัลกอริทึม SHA-1 อยู่แล้ว แต่การส่งรหัสผ่านที่ถูกแฮชด้วย SHA-1 เข้าไปยังเซิร์ฟเวอร์ทั้งชุดจะเป็นการให้ข้อมูลเซิร์ฟเวอร์มากจนเกินไปจนสามารถประกอบกลับเป็นรหัสผ่านได้ ระบบ Pwned Passwords จึงรับอักขระเพียง 5 ตัวจาก 40 ตัวที่เกิดจากการแฮชเท่านั้น จากนั้นเซิร์ฟเวอร์ก็จะค้นหาและส่งรายการรหัสผ่านทั้งหมดที่แฮชแล้วมีอักขระขึ้นต้น 5 ตัวเหมือนกันกลับมา และระบบ 1Password จะทำการเทียบข้อมูลรหัสผ่านเอง

สำหรับผู้ที่สนใจรายละเอียดฉบับเต็ม สามารถอ่านได้จากเว็บไซต์ของ Troy Hunt

ที่มา - AgileBits

ภาพจาก AgileBits