Tags:
Node Thumbnail

หมายเหตุ: ข่าวนี้มีศัพท์เทคนิคด้านการเข้ารหัสค่อนข้างมาก อ่านรายละเอียดกันเองตามลิงก์ Wikipedia ที่ให้ไว้นะครับ

LastPass ซอฟต์แวร์ช่วยจัดการรหัสผ่านแบบข้ามแพลตฟอร์ม รายงานว่ามีทราฟฟิกไม่ปกติเข้ามายังเซิร์ฟเวอร์ของตัวเอง และแปลว่าข้อมูลของผู้ใช้ซึ่งได้แก่ อีเมล, salt ของเซิร์ฟเวอร์ และ hash ของรหัสผ่านที่ถูก salt แล้ว อาจจะถูกเจาะไปด้วย (ยังพิสูจน์ไม่ได้ว่าถูกเจาะไปจริง)

LastPass บอกว่าตามหลักแล้วถ้ารหัสผ่านหลัก (master password) ของเราแข็งแรงพอ ก็ไม่มีปัญหาอะไร แต่ถ้าใช้รหัสผ่านง่ายๆ ก็อาจโดนเจาะด้วยวิธี brute force ได้ในกรณีที่เลวร้ายที่สุดที่อาจเกิดขึ้นได้

เพื่อป้องกันไว้ก่อน LastPass จึงบังคับให้ผู้ใช้ทุกคนเปลี่ยน master password โดยทันที และถือโอกาสเพิ่มความแข็งแรงให้เซิร์ฟเวอร์โดยเพิ่มวิธีเข้ารหัสแบบ PBKDF2 เข้ามาด้วย

ที่มา - LastPass Blog

Get latest news from Blognone

Comments

By: lancaster
ContributorUbuntuWindows
on 5 May 2011 - 23:01 #285733

ฤดูวิกฤติงวการ security

By: put4558350
ContributorAndroidUbuntuWindows
on 6 May 2011 - 00:08 #285767 Reply to:285733
put4558350's picture

ปัญหาของ sony คือไปท้า hacker ก่อน,พอโดนขู้แล้วก็ไม่ป้องกัน,สุดท้ายรู้แล้วแต่เอาไปดองไว้ 7 วันค่อยมาบอก


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: b4lmung on 6 May 2011 - 01:58 #285793 Reply to:285767
b4lmung's picture

-Sony ไม่เคยท้าหนิครับ ที่จริงก็แค่ไปเล่นงานคนที่เผยแพร่วิธีการที่ทำให้เครื่องทั้งหมดเล่นเกมส์เถื่อน PS3 ได้ทั่วโลก

-เชื่อว่าคงวางระบบป้องกันไว้อยู่ตามปกติ แต่อย่าลืมว่า "ไม่มีที่ใดในโลกที่ปลอดภัยจริงๆ"

By: xxxooo
Windows PhoneWindowsIn Love
on 6 May 2011 - 10:39 #285865 Reply to:285793

ประเด็นคือ เค้าไม่ได้เผยแพร่ วิธี เล่นเกมส์เถื่อน น่ะสิครับ

เค้าเจาะ เอา ROOT Key เพื่อ ลง Linux ที่ทาง SONY เคยคุยว่า ทำได้ และเป็นเหตุผลที่คนส่วนหนึ่งซื้อ PS3 แล้ว SONY มา BLOCK Linux ทีหลัง

คนที่นำ ROOT KEY ไปหา วิธี ทำให้ PS3 เล่นเถื่อนได้ เป็นอีก คนนึง

ประเด็นนี้ ถ้าฟ้องกันจริง ผมว่า GEOHOT รอด

By: b4lmung on 6 May 2011 - 13:16 #285907 Reply to:285865
b4lmung's picture

ไม่แน่ว่าจะรอดครับ ต้องดูจุดประสงค์ด้วย
ต้องมีเหตุผลดีๆมาแก้ต่างในชั้นศาลว่า คุณเผยแพร่ Root Key เพื่ออะไร ถ้าหวังดีจริงๆ ทำไมไม่ติดต่อ Sony เพื่อช่วยป้องกัน

By: Perl
ContributoriPhoneUbuntu
on 5 May 2011 - 23:06 #285735
Perl's picture

ฤดูวิกฤติวงการผู้ใช้ด้วยเช่นกัน = =

(ต่อไปเว็บอะไรมันจะโดนอีก..)

By: latesleeper
Android
on 6 May 2011 - 00:23 #285771 Reply to:285735

จริง การทำ password service นี่เป็นการสปอยล์ผู้ใช้

By: nsom on 5 May 2011 - 23:07 #285737

แนะนำแก้คำครับ...

brute force = การโจมตีด้วยการเดารหัสแบบสุ่ม(brute force)
worst case = กรณีที่เลวร้ายที่สุด

By: mokin
Contributor
on 6 May 2011 - 04:16 #285817 Reply to:285737
mokin's picture

+1

By: neizod
ContributorTraineeIn Love
on 6 May 2011 - 04:52 #285825 Reply to:285737
neizod's picture

ทับศัพท์เข้าใจง่ายกว่าครับ

อนึ่ง brute force ไม่ใช่การเดาสุ่มซะทั้งหมดนะครับ อย่างน้อยก็มีคลังรหัสผ่านให้เราเริ่มจากตรงนี้ได้

By: mk
FounderAndroid
on 6 May 2011 - 09:27 #285845 Reply to:285737
mk's picture

worst case แก้ตามนั้นครับ

ส่วน brute force ผมว่าความหมายมันไม่เกี่ยวกับสุ่มหรือไม่ น่าจะต้องใช้คำประมาณว่า "ถล่มไปเรื่อย" อะไรแนวนั้นมากกว่าครับ

By: tekkasit
ContributorAndroidWindowsIn Love
on 6 May 2011 - 12:15 #285891 Reply to:285845
tekkasit's picture

ผมก็เห็นด้วย brute force ต้องมีมีคำว่าสุ่ม (random) เพราะมันไม่สุ่มน่ะ มีส่วนใหญ่จะพก dictionary หรือรายชื่อน่าลอง มาด้วยแถมยิงไปตามลิสต์ อาจจะมี prefix, suffix นิดหน่อย แต่ไม่สุ่มนะ

By: McKay
ContributorAndroidWindowsIn Love
on 6 May 2011 - 17:07 #285985 Reply to:285891
McKay's picture

ผืดคนน


In Soviet Warcraft, Argus comes to you.

By: McKay
ContributorAndroidWindowsIn Love
on 6 May 2011 - 17:07 #286006 Reply to:285737
McKay's picture

การนับเพิ่มทีละ 1 ไปเรื่อยๆไม่น่าจะใช้คำว่าสุ่มได้นะครับ
สุ่มน่าจะเป็นแบบ 2 4 7 8 13 แบบนี้มากกว่า


In Soviet Warcraft, Argus comes to you.

By: snowz
iPhoneAndroidUbuntuWindows
on 5 May 2011 - 23:15 #285742

โหดร้ายมาก..เพิ่งย้ายมาใช้บริการไม่นานก็โดนซะแล้ว

By: cornario
iPhoneAndroidUbuntuWindows
on 5 May 2011 - 23:44 #285747
cornario's picture

ใช้ premium อยู่ รหัส bank/credit/paypal อยู่ในนั้นเพียบเลย -0-

edit: ไปอ่านดูมันแค่ "อาจจะโดน brute force" ไม่ใช่ "อาจจะโดน hack" ใช่รึเปล่าครับ ถ้าตั้งรหัสไว้ดีก็ไม่น่าจะมีผล รอด T^T ว่าแต่รหัสที่เอามา brute force นี่ที่ขโมยมาจาก SONY รึเปล่าหว่า :X

By: mokin
Contributor
on 6 May 2011 - 04:37 #285824 Reply to:285747
mokin's picture

Oop! ใส่ทุกอย่างเลย เรื่องเงินๆ ทองๆ ผมจำเองหมดเลยครับ

By: thedesp
WriterAndroidWindows
on 5 May 2011 - 23:36 #285751
thedesp's picture

โฮะๆๆๆ ออกข่าวแบบนี้ก็เหมือน DDoS ตัวเองนะ

By: mementototem
ContributorJusci's WriterAndroidWindows
on 5 May 2011 - 23:38 #285752
mementototem's picture

ใช้ Xmarks (ยังไม่ได้เปลี่ยนเป็น LastPass เลย) จะโดนด้วยไหม?


Jusci - Google Plus - Twitter - FSN

By: trufa
ContributorWindows PhoneAndroidWindows
on 5 May 2011 - 23:49 #285759 Reply to:285752
trufa's picture

Xmarks เหมือนกัน...


Happiness only real when shared.

By: sunback
Contributor
on 6 May 2011 - 00:03 #285766
sunback's picture

งานเข้าแล้ว รหัสทุกสรรพสิ่งอยู่ในนั้น

By: mehn
iPhone
on 6 May 2011 - 00:14 #285768
mehn's picture

เวรแล้ว

[edited] กลับมาอ่านเนื้อหาอีกที อ่อ ยังไม่ได้โดนแฮก
แต่อาจโดน brute force รู้สึกดีขึ้นในระดับหนึ่ง

By: mk
FounderAndroid
on 6 May 2011 - 09:28 #285846 Reply to:285768
mk's picture

ผมใส่คำว่า "อาจ" ไว้ในหัวข่าว และเน้นตัวหนาที่เนื้อข่าวแล้วนะครับ

By: Priesdelly
ContributorAndroidWindows
on 6 May 2011 - 02:51 #285798
Priesdelly's picture

ถ้า brute force รหัสผมยังไม่น่าจะเป็นอะไร


Follow the white rabbit. | Priesdelly's Blog

By: dafty
AndroidWindowsIn Love
on 6 May 2011 - 10:51 #285873

ตามหลักการแล้ว ไม่ควรเอา Password ไว้ที่เดียวกันหมดหรือเปล่าฮ๊าฟฟ

By: earnz
iPhoneAndroidUbuntu
on 6 May 2011 - 11:01 #285876 Reply to:285873

สำหรับคนที่ชอบลืมพาสเวิส การเอาพาสเวิสไปไว้หลายๆที่ทำให้เค้าลำบากมากกว่าเดิมครับ

By: pexza
AndroidUbuntuWindows
on 6 May 2011 - 12:51 #285901
pexza's picture

ตอนนี้ยัง Login เข้า Lastpass ไม่ได้เลย จะเปลี่ยน Password เฮ้อ ...

By: cornario
iPhoneAndroidUbuntuWindows
on 6 May 2011 - 13:01 #285905 Reply to:285901
cornario's picture

ผมว่าชาว blognone ส่วนใหญ่คงไม่ต้องห่วงเรื่องเปลี่ยน password นะครับ จากที่ PCW สัมภาษณ์ CEO ของ lastpass วันนี้

PCW: If someone had what you'd consider a strong master password, then, would they have any reason to be worried at this point?

Siegrist: No. None.

http://www.pcworld.com/article/227268/exclusive_lastpass_ceo_explains_possible_hack.html

By: pexza
AndroidUbuntuWindows
on 6 May 2011 - 13:17 #285909 Reply to:285905
pexza's picture

คือ password ผมมันกิ๊กก็อกมากอะครับ ก็ไม่ใช่ศัพท์ใน dic แต่ก็ไม่มีอักขระพิเศษอะไรเลย เสียวมาก

By: Eka-X
ContributoriPhoneAndroidIn Love
on 6 May 2011 - 19:10 #286063

ผมก็ใช้บริการเก็บพาสอยู่นะของ 1Password แล้วซิงค์ข้อมูลระหว่างกันด้วย Dropbox
เนื่องจาก master password มันสำคัญมากเลยตั้งยาว 12 ตัวเป็นตัวเลขตัวอักษรสุ่ม แล้วก็ไม่ได้จด ไม่ได้เขียนไว้ที่ไหนเลย จำรหัสไม้ตายนี้อย่างเดียว
แต่ใช้ไปซักพักคงต้องเปลี่ยนรหัส