Tags:
Node Thumbnail

Troy Hunt นักวิจัยความปลอดภัยไซเบอร์ผู้ก่อตั้งโครงการ Pwned Passwords นำรหัสผ่านหลุดจากเว็บ CashCrate ที่หลุดมาตั้งแต่ปี 2016 มาสำรวจพบว่า 86% ของรหัสผ่านที่หลุดออกมาซ้ำกับรหัสที่หลุดออกมาก่อนหน้านี้แล้ว

รหัสผ่านที่ซ้ำกับที่หลุดมาก่อนหน้าส่วนมากเป็นรหัสผ่านคุณภาพแย่ เช่น "123456", "qwerty", หรือ "password" แต่ที่น่าสนใจคือมีรหัสผ่านคุณภาพดีที่ยาวกว่าขั้นต่ำที่แนะนำ มีความซับซ้อนมากพอ แต่กลับมีการใช้งานในบริการที่รหัสผ่านหลุดมาก่อนแล้ว เช่น "D*lishmars3an0eei3", "20921147_bronzegoddess", "anchorage alaska", หรือ "i like to have sex"

รหัสผ่านจำนวนหนึ่งแม้จะยาวพอ และไม่อยู่ในฐานข้อมูลมาก่อนแต่ก็คาดเดาได้ง่าย เพราะใช้ชื่อเว็บเอง เช่น "cashcrate123", "CashCrate", "mycashcrate"

คำแนะนำการยืนยันตัวตนผู้ใช้ของ NIST หรือ NIST 800-63B ระบุให้ผู้ให้บริการต้องตรวจสอบรหัสผ่านว่าเป็นรหัสผ่านคุณภาพต่ำหรือไม่ โดยควรตรวจจากฐานข้อมูลที่หลุดออกมาก่อนหน้า, คำในพจนานุกรม, การใช้ตัวอักษรซ้ำๆ, และการใช้รหัสผ่านเป็นชื่อผู้ใช้หรือชื่อบริการ

ฐานข้อมูล Pwned Passwords เปิดให้ดาวน์โหลดไปใช้งานในองค์กรได้ โดยมีรหัสผ่านรวม 306 ล้านรายการ

ที่มา - Troy Hunt

Get latest news from Blognone

Comments

By: iStyle
ContributoriPhoneAndroidSymbian
on 25 May 2018 - 14:53 #1051553
iStyle's picture

ยอมรับว่ายากแต่ซ้ำอะ แต่ไม่ซ้ำกันทุกอันแล้วแต่ความสำคัญ ไม่งั้นจำไม่หมด


May the Force Close be with you. || @nuttyi

By: nessuchan
iPhoneAndroidWindows
on 25 May 2018 - 15:08 #1051555
nessuchan's picture

ตั้งแต่ใช้ lastpass ก็จำไม่ได้อีกเลยว่ารหัสผ่านของตัวเองคืออะไร - -

By: gab
Windows PhoneAndroidWindows
on 25 May 2018 - 23:41 #1051681 Reply to:1051555
gab's picture

พึ่งใช้ไม่ถึงปี เริ่มลืมเลือนไปเรื่อยๆ

By: wrongite on 25 May 2018 - 15:20 #1051558
wrongite's picture

พยายามจะให้มันยากและไม่ซ้ำในแต่ละเว็บ โดยเฉพาะที่เกี่ยวกับธุรกรรมทางการเงิน
ตอนอายุ 20 กว่าๆ ก็ไม่มีปัญหา ตอนนี้ไม่ไหวล่ะ reset password บ่อยมาก จำไม่ได้
password paypal นี่ แทบจะไม่เคยจำได้เลย จะใช้ทีก็ reset ที

By: Configuleto
AndroidWindows
on 25 May 2018 - 15:56 #1051568 Reply to:1051558
Configuleto's picture

password manager ช่วยได้ครับ

By: panurat2000
ContributorSymbianUbuntuIn Love
on 25 May 2018 - 15:32 #1051560
panurat2000's picture

นำรหัสผ่านหลุกดจากเว็บ CashCrate

หลุกด => หลุด

By: Sxton on 25 May 2018 - 15:45 #1051562
  • ยาก ไม่ซ้ำ แต่ละบริการไม่มีความเกี่ยวโยงกัน
  • ไม่พึ่ง app ไม่พึ่ง internet ไม่ต้องพกมือถือ
  • ผ่านทุกเงื่อนไขการตั้งพาสเวิร์ด
  • จ้องคีร์ตอนพิมพ์ไม่ใช่ภาษาคน
  • ผลลัพธ์ที่พิมพ์ออกมาก็ไม่ใช่ภาษาคน

เกือบดีละ มาตกม้าตายตอนต้องเปลี่ยนพาสเวิร์ด
บริการส่วนใหญ่ไม่ให้วนๆ ใช้ซ้ำพาสเดิมๆ
ต้องมาจำสูตรใหม่ทุกรอบ... (="=

By: nrml
ContributorIn Love
on 25 May 2018 - 15:52 #1051565 Reply to:1051562
nrml's picture

นั่นแหละครับ โดนมาหมด กลายเป็นว่าต้องจำพาสเวิร์ดไม่หวาดไม่ไหว ทั้งอันเก่าอันใหม่ ไปๆ มาๆ ในแง่ของการใช้งานจริงผู้ใช้ก็จะเริ่มรู้สึกเบื่อหน่าย แย่สุดคือจากที่เคยตั้งแบบ secure สูงๆ ก็กลับไปตั้งพาสเวิร์ดหรือใช้วิธีการจำพาสเวิร์ดแบบที่ทำให้ใช้งานได้ง่ายๆ เช่นเขียนแปะไว้บน post it

By: McKay
ContributorAndroidWindowsIn Love
on 25 May 2018 - 15:49 #1051564
McKay's picture
By: lunatic on 25 May 2018 - 15:52 #1051566
lunatic's picture

มี password อยู่ 5 ชุดตามความสำคัญของบริการ แต่ก็ซ้ำอยู่ดี
เคยคิดว่าจะเปลี่ยนเป็น password เดียวแล้ว + ชื่อบริการลงไปจะปลอดภัยกว่ารึเปล่า :/

By: Mypandacm on 25 May 2018 - 17:41 #1051599 Reply to:1051566
Mypandacm's picture

ผมก็ใช้งั้น ชื่อบริการ + อักษรใหญ่เล็ก + สัญลักษณ์ + ตัวเลข
เช่น FBPanda,1150
TWTPanda,1150
HMPanda,1150

เอาไปเอามา ลืมว่าเว็บนี้ย่อว่าอะไร Tweeter ใช้ TWT หรือ Tw หรือ TW หรือ Twt
Reset อีกแล้วจ้าาาาา 55555
สรุปกลับมาใช้แบบ 1 pass ทุกบริการแม่ม 55555

By: aeksael
ContributoriPhoneWindows PhoneAndroid
on 25 May 2018 - 18:52 #1051623 Reply to:1051599
aeksael's picture

BNPanda,1150 ลองแปร๊บ


The Last Wizard Of Century.

By: wisidsak
AndroidIn Love
on 26 May 2018 - 00:13 #1051685 Reply to:1051566
wisidsak's picture

BAIDUeiei007

By: chettaphong
iPhoneWindows PhoneAndroidRed Hat
on 25 May 2018 - 16:09 #1051570

คนพูดมันก็พูดได้อ่ะนะ ผมเองก็จำไม่หวาดไม่ไหวเหมือนกัน

By: Vkvs09
iPhoneAndroidUbuntuWindows
on 25 May 2018 - 17:21 #1051587

มี 5 อัน มีแค่ เมล์ 2 อัน 2 บัญชี ที่ไม่ซ้ำ

แต่นอกนั้น ซ้ำเพียบ

By: mehn
iPhone
on 25 May 2018 - 18:55 #1051624
mehn's picture

มีไม่ซ้ำแค่พวกธนาคารกับอีเมล์ นอกนั้นซ้ำเพียบ

By: Hoo
AndroidWindows
on 25 May 2018 - 20:35 #1051645

พิมพ์ภาษาไทยบน keyboard อังกฤษ ช่วยได้เยอะ
จำของเราเองก็ง่าย ได้ password ที่ซับซ้อน(ถ้าไม่รู้ทริกนี้) อีกต่างหาก

By: orpheous
AndroidWindowsIn Love
on 25 May 2018 - 22:32 #1051670 Reply to:1051645
orpheous's picture

ปัญหาเกิดทันทีเวลาไป log in บนมือถือ/iPad นีสิครับ

By: Thaitop_BN
Windows PhoneUbuntuWindows
on 25 May 2018 - 20:39 #1051647
Thaitop_BN's picture

Lastpass อย่างเดียวครับ ขี้เกียจจำ ขี้เกียจคิด ขี้เกียจกรอกเอง

By: foizy
AndroidUbuntuWindows
on 26 May 2018 - 01:52 #1051697

รอให้หมดยุค Good Password ที่ดีควรประกอบไปด้วย x,y,z ไปซะที

(จริงๆ Practice ยุคใหม่ๆมันจะแปลงร่างเป็น พาสเวิร์ดควรจะจำง่ายๆ มีแค่ไม่กี่ชุด ไม่ต้องเปลี่ยน และใช้คู่กับ Bio/2-3-4 way auth เพื่อใช้เข้าสู่เว็บอื่นๆ)

https://www.npr.org/sections/alltechconsidered/2017/08/14/543434808/forget-tough-passwords-new-guidelines-make-it-simple

เพราะไม่ว่าจะพิมพ์มุกไหน Hacker/Cracker ที่แท้ทรูก็จะจัดการได้อยู่ดี (ถ้าทำ Brute Force ได้)

  • พิมพ์คีย์ติดกัน (อยู่ในดิค)
  • พิมพ์ทับศัพท์ ก็เอาดิคต้นทาง (ซึ่งมักมีแค่หลักไม่กี่แสนคำ) มาแปลงเป็น keyboard input ก็จะได้ dict ของคำแบบพิมพ์ทับศัพท์แล้วอีกชุดนึง (แค่รู้ Target ประเทศ)
  • เปลี่ยนแค่ตัวสองตัวต้นหรือท้าย จาก Pawned Password DB ก็ใช้ dictionary attack ได้
  • ต่อให้มี Salt ก็เอา Salt ไปผูกดิกได้อยู่ดี

เอาจริงๆปัญหารหัสผ่านมันไม่ได้หลุดเพราะถูก Bruteforce ตรงๆหน้าเว็บหรอกครับ มันหลุดเพราะ DB โดนเจาะไปแล้วไป Bruteforce หลังบ้านเอาเลยต่างหาก ซึ่งโอกาสที่จะโดน Dictionary Attack มันสูง (เพราะรูปลักษณะ password มันเคยหลุดไปเยอะมากแล้วตั้ง 306 ล้านรายการที่ปรากฎในข่าว

ลองคิดภาพว่าเอา 306 ล้านรายการ + พจนานุกรมคำศัพท์ทั่วโลก เข้า Neuron Network/Machine Learning ดูสิ แล้ว Generate good dictionary ขึ้นมาในการเดา

ยุคของรหัสผ่านน่าจะเหลือไม่นานแล้วครับ

By: btoy
ContributorAndroidWindows
on 26 May 2018 - 05:14 #1051700
btoy's picture

ของผมก็นะ อะไรที่ไม่ได้เกี่ยวกับธุระกรรมทางการเงินนี่ซ้ำไปเลย คือจำไม่ไหว (ไม่ได้ใช้ password manager อีกต่างหาก) ส่วนของธนาคารก็จะแตกต่างกัน แต่ก็จะมีรูปแบบให้พอจำได้ แหะๆ


..: เรื่อยไป

By: alph501
iPhoneWindowsIn Love
on 26 May 2018 - 11:57 #1051745
alph501's picture

แรกๆพอไหวนะ แต่พอหลังๆ นี่ต้องคิดวิธีเข้ารหัสเอง

By: zda98
Windows Phone
on 27 May 2018 - 21:08 #1051909

ผมว่า 2 fa คือทางออกถึงรู้ password ก็เข้าถึงไม่ได้