ช่วงหลังๆ เราได้เห็นรายการการเจาะฐานข้อมูลเว็บไซต์จำนวนมาก และรหัสผ่านมักหลุดออกมาสู่สาธารณะ แม้รหัสผ่านเหล่านี้จะแฮชเอาไว้แล้วก็ตามแต่ก็มักจะถูกแกะออกมาได้ในภายหลังด้วยการไล่ค่าที่เป็นไปได้ทั้งหมด ข้อเสนอใหม่จาก Ari Juels และ Ronald L. Rivest (ตัว R ใน RSA) เสนอแนวทางการตรวจจับการใช้รหัสผ่านที่หลุดออกไปในชื่อว่า "Honeywords"
Honeywords เสนอให้เก็บค่าแฮชของรหัสผ่านพร้อมๆ กันหลายๆ รหัส โดยเก็บกระบวนการเลือกว่ารหัสผ่านไหนเป็นรหัสจริงไว้อีกชั้นหนึ่งแยกออกไป ภายใต้กระบวนการนี้หากแฮกเกอร์ได้ค่าแฮชของรหัสผ่านไปแล้วพยายามล็อกอินเข้าระบบด้วยรหัสผ่านที่ย้อนกลับค่าแฮชมาได้ โอกาสที่จะใช้รหัสผ่านที่ผิดจะมีสสูงและผู้ให้บริการจะสามารถล็อกบัญชีผู้ใช้ที่ถูกโจมตีได้ทันท่วงที
กระบวนการนี้ช่วยลดความเสี่ยงให้กับบัญชีผู้ใช้ได้เท่านั้น ในความเป็นจริงกระบวนการเลือกค่าแฮชที่ถูกต้องก็อาจจะหลุดไปพร้อมกับตารางค่าแฮชเอง แต่มันก็เพิ่มชั้นป้องกันเข้ามาทำให้แฮกเกอร์ทำงานได้ยากขึ้นไปอีก
ที่มา - ArsTechnica, MIT
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
ความคิดดี... กันพวกที่เข้ามาถึงดั้ม Database ทันทีโดนไม่ไล่ Code ดูก่อน
เอ้อ ไม่เลว ทุกวันนี้ก็ใช้ Hash ปลอมร่วมอยู่แล้ว แต่ไม่นึกถึงว่าเอา จับ Hash ปลอมว่าบอทแฮคแหะ
เหมือนจะเคยอ่านวิธีการคล้ายๆกันนี้มาก่อนครับ ใช้แฮช มีแฮชซ้อนแฮชในแต่ละเซสชัน แฮชด้วยคีย์ และปล่อย padding ล่อลวงให้งงเล่น สุดท้ายเขาสรุปคล้ายกันกับ honeywords ว่า กระบวนการเลือกแฮช/กระบวนล่ออาจหลุดได้อีก พึ่ง multiauthen ก็ช่วยได้ แต่บางระบบก็ไม่ได้ใช้กัน
My Blog
โอกาสที่จะใช้รหัสผ่านที่ผิดจะมี "สสูง"
เกินมาตัวนึงครับ
มันคล้าย ๆ กับระบบกันร้านโดนงัดหรือเปล่าครับ คือแบบว่าวางกระจกที่ติดตั้งสัญญาณกันขโมยไว้ก่อนประตูเหล็กม้วนอีกที ประมาณว่าใครคิดจะบุกเข้ามาเราก็รู้ตัวก่อนมันจะเจาะประตูม้วนแล้ว ผมเข้าใจถูกหรือเปล่าครับ
ในความเข้าใจของผม มันน่าจะออกแนววิชาแยกเงาพันร่าง (นารุโตะ :P) มีร่างแยกออกมา (ค่า hash ปลอม) เก็บเอาไว้ พอมีคนได้ชุด hash ของรหัสผ่านไป ก็ต้องไปสุ่มว่าค่านั้นจะใช่ของแท้หรือเปล่า ถ้าไม่ใช่ก็งมหาต่อไปจนกว่าจะเจอ (อาจแจ๊คพ๊อตซัดโดนตัวจริงตั้งแต่หมัดแรกเลยก็ได้) ซึ่งจะช่วยซื้อเวลาให้ทางผู้ดูแล server รู้ตัวว่าโดนยกเค้าชุด hash ไป
ไม่น่าจะเป็นระบบกันขโมย ที่พอถูกเจาะแล้วจะรู้ตัวทันที
.
~ HudchewMan's Station & @HudchewMan~
เหมือนเราเอาขี้หนูที่แต่งสีกลิ่นรสแล้วแพคใส่กล่องพร้อมกับเม็ดบ๊วย จากนั้นให้คนกินใช่หรือเปล่าครับ เพราะกว่าจะรู้ว่าที่กินไม่ใช่บ๊วยทั้งหมดคงกินขี้หนูไปมากพอดู
ออกแนว สุสาน ฮ่องเต้ ไรงี้ไงครับ ที่มีสุสานลูกหลายอัน เป็นสุสานหลอก ไว้ล่อพวกขโมยสุสาน พร้อมติดกับดักไว้ด้วย
ส่วนสุสานจริงซ่อนไว้ไม่มีใครรู้
ผมเดาว่า
ใช่ไหม ?
ใช่ครับ ผมอธิบายแบบท่านไม่เป็นจริงๆ ขอบคุณที่ช่วยขยายความครับผม ผมเข้าใจแบบนี้เลย
ประมาณ มีประตูหลายบานให้เข้าครับ แต่มีประตูเดียวที่เข้าได้ นอกนั้นเปิดไปเป็นกำแพงเปล่าๆพร้อมสัญญาณกันขโมยทั้งหมด
++ 10 สั้นๆ แต่เข้าใจง่ายสุดเลยฮ่ะ