ผลสำรวจรหัสผ่านหลุด ผู้ใช้ 86% ใช้รหัสผ่านซ้ำกับบริการอื่น แม้รหัสผ่านจะซับซ้อน

By lew

on 25 May 2018 - 14:48 Tag: Password, Security

Password

Troy Hunt นักวิจัยความปลอดภัยไซเบอร์ผู้ก่อตั้งโครงการ Pwned Passwords นำรหัสผ่านหลุดจากเว็บ CashCrate ที่หลุดมาตั้งแต่ปี 2016 มาสำรวจพบว่า 86% ของรหัสผ่านที่หลุดออกมาซ้ำกับรหัสที่หลุดออกมาก่อนหน้านี้แล้ว

รหัสผ่านที่ซ้ำกับที่หลุดมาก่อนหน้าส่วนมากเป็นรหัสผ่านคุณภาพแย่ เช่น "123456", "qwerty", หรือ "password" แต่ที่น่าสนใจคือมีรหัสผ่านคุณภาพดีที่ยาวกว่าขั้นต่ำที่แนะนำ มีความซับซ้อนมากพอ แต่กลับมีการใช้งานในบริการที่รหัสผ่านหลุดมาก่อนแล้ว เช่น "D*lishmars3an0eei3", "20921147_bronzegoddess", "anchorage alaska", หรือ "i like to have sex"

รหัสผ่านจำนวนหนึ่งแม้จะยาวพอ และไม่อยู่ในฐานข้อมูลมาก่อนแต่ก็คาดเดาได้ง่าย เพราะใช้ชื่อเว็บเอง เช่น "cashcrate123", "CashCrate", "mycashcrate"

คำแนะนำการยืนยันตัวตนผู้ใช้ของ NIST หรือ NIST 800-63B ระบุให้ผู้ให้บริการต้องตรวจสอบรหัสผ่านว่าเป็นรหัสผ่านคุณภาพต่ำหรือไม่ โดยควรตรวจจากฐานข้อมูลที่หลุดออกมาก่อนหน้า, คำในพจนานุกรม, การใช้ตัวอักษรซ้ำๆ, และการใช้รหัสผ่านเป็นชื่อผู้ใช้หรือชื่อบริการ

ฐานข้อมูล Pwned Passwords เปิดให้ดาวน์โหลดไปใช้งานในองค์กรได้ โดยมีรหัสผ่านรวม 306 ล้านรายการ

ที่มา - Troy Hunt

Hiring! บริษัทที่น่าสนใจ

Carmen Software

Hotel Financial Solutions

Next Innovation (Thailand) Co., Ltd.

We are web design with consulting & engineering services driven the future stronger and flexibility.

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

Kiatnakin Phatra Financial Group

Financial Service

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

Thoughtworks Thailand

Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

Nipa Cloud

#1 OpenStack cloud provider in Thailand with our own data center and software platform.

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

MuvMi (Urban Mobility Tech Co.,Ltd.)

Shape the future of urban mobility towards affordable, clean, and safe solutions

T.N. Digital Solution Co., Ltd.

TNDS has been involving in every first move of banking’s major digital transformation.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Siam Commercial Bank Public Company Limited

"Let's start a brighter career future together"

Icon Framework co.,Ltd.

Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก

REFINITIV

The Financial and Risk business of Thomson Reuters is now Refinitiv

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

LTMH

LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย

Seven Peaks

We Drive Digital Transformation

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

LINE MAN Wongnai

Join our journey to becoming No.1 food platform in Thailand

ยอมรับว่ายากแต่ซ้ำอะ

iStyle Fri, 25/05/2018 - 14:53

ยอมรับว่ายากแต่ซ้ำอะ แต่ไม่ซ้ำกันทุกอันแล้วแต่ความสำคัญ ไม่งั้นจำไม่หมด

ตั้งแต่ใช้ lastpass

nessuchan Fri, 25/05/2018 - 15:08

ตั้งแต่ใช้ lastpass ก็จำไม่ได้อีกเลยว่ารหัสผ่านของตัวเองคืออะไร - -

พึ่งใช้ไม่ถึงปี

gab Fri, 25/05/2018 - 23:41

พึ่งใช้ไม่ถึงปี เริ่มลืมเลือนไปเรื่อยๆ

พยายามจะให้มันยากและไม่ซ้ำในแ

wrongite Fri, 25/05/2018 - 15:20

พยายามจะให้มันยากและไม่ซ้ำในแต่ละเว็บ โดยเฉพาะที่เกี่ยวกับธุรกรรมทางการเงิน
ตอนอายุ 20 กว่าๆ ก็ไม่มีปัญหา ตอนนี้ไม่ไหวล่ะ reset password บ่อยมาก จำไม่ได้
password paypal นี่ แทบจะไม่เคยจำได้เลย จะใช้ทีก็ reset ที

password manager ช่วยได้ครับ

Configuleto Fri, 25/05/2018 - 15:56

password manager ช่วยได้ครับ

นำรหัสผ่านหลุกดจากเว็บ

panurat2000 Fri, 25/05/2018 - 15:32

นำรหัสผ่านหลุกดจากเว็บ CashCrate

หลุกด => หลุด

ยาก ไม่ซ้ำ

Sxton Fri, 25/05/2018 - 15:45

ยาก ไม่ซ้ำ แต่ละบริการไม่มีความเกี่ยวโยงกัน
ไม่พึ่ง app ไม่พึ่ง internet ไม่ต้องพกมือถือ
ผ่านทุกเงื่อนไขการตั้งพาสเวิร์ด
จ้องคีร์ตอนพิมพ์ไม่ใช่ภาษาคน
ผลลัพธ์ที่พิมพ์ออกมาก็ไม่ใช่ภาษาคน

เกือบดีละ มาตกม้าตายตอนต้องเปลี่ยนพาสเวิร์ด
บริการส่วนใหญ่ไม่ให้วนๆ ใช้ซ้ำพาสเดิมๆ
ต้องมาจำสูตรใหม่ทุกรอบ... (="=

นั่นแหละครับ โดนมาหมด

nrml Fri, 25/05/2018 - 15:52

นั่นแหละครับ โดนมาหมด กลายเป็นว่าต้องจำพาสเวิร์ดไม่หวาดไม่ไหว ทั้งอันเก่าอันใหม่ ไปๆ มาๆ ในแง่ของการใช้งานจริงผู้ใช้ก็จะเริ่มรู้สึกเบื่อหน่าย แย่สุดคือจากที่เคยตั้งแบบ secure สูงๆ ก็กลับไปตั้งพาสเวิร์ดหรือใช้วิธีการจำพาสเวิร์ดแบบที่ทำให้ใช้งานได้ง่ายๆ เช่นเขียนแปะไว้บน post it

>Tryo Hunt:If you're

McKay Fri, 25/05/2018 - 15:49

Troy Hunt:If you're impatient you can go and play with it right now

มี password อยู่ 5

lunatic Fri, 25/05/2018 - 15:52

มี password อยู่ 5 ชุดตามความสำคัญของบริการ แต่ก็ซ้ำอยู่ดี
เคยคิดว่าจะเปลี่ยนเป็น password เดียวแล้ว + ชื่อบริการลงไปจะปลอดภัยกว่ารึเปล่า :/

ผมก็ใช้งั้น ชื่อบริการ +

Mypandacm Fri, 25/05/2018 - 17:41

ผมก็ใช้งั้น ชื่อบริการ + อักษรใหญ่เล็ก + สัญลักษณ์ + ตัวเลข
เช่น FBPanda,1150
TWTPanda,1150
HMPanda,1150

เอาไปเอามา ลืมว่าเว็บนี้ย่อว่าอะไร Tweeter ใช้ TWT หรือ Tw หรือ TW หรือ Twt
Reset อีกแล้วจ้าาาาา 55555
สรุปกลับมาใช้แบบ 1 pass ทุกบริการแม่ม 55555

BNPanda,1150 ลองแปร๊บ

aeksael Fri, 25/05/2018 - 18:52

BNPanda,1150 ลองแปร๊บ

BAIDUeiei007

wisidsak Sat, 26/05/2018 - 00:13

BAIDUeiei007

คนพูดมันก็พูดได้อ่ะนะ

chettaphong Fri, 25/05/2018 - 16:09

คนพูดมันก็พูดได้อ่ะนะ ผมเองก็จำไม่หวาดไม่ไหวเหมือนกัน

มี 5 อัน มีแค่ เมล์ 2 อัน 2

Vkvs09 Fri, 25/05/2018 - 17:21

มี 5 อัน มีแค่ เมล์ 2 อัน 2 บัญชี ที่ไม่ซ้ำ

แต่นอกนั้น ซ้ำเพียบ

มีไม่ซ้ำแค่พวกธนาคารกับอีเมล์

mehn Fri, 25/05/2018 - 18:55

มีไม่ซ้ำแค่พวกธนาคารกับอีเมล์ นอกนั้นซ้ำเพียบ

พิมพ์ภาษาไทยบน keyboard

Hoo Fri, 25/05/2018 - 20:35

พิมพ์ภาษาไทยบน keyboard อังกฤษ ช่วยได้เยอะ
จำของเราเองก็ง่าย ได้ password ที่ซับซ้อน(ถ้าไม่รู้ทริกนี้) อีกต่างหาก

ปัญหาเกิดทันทีเวลาไป log in

orpheous Fri, 25/05/2018 - 22:32

ปัญหาเกิดทันทีเวลาไป log in บนมือถือ/iPad นีสิครับ

Lastpass อย่างเดียวครับ

Thaitop_BN Fri, 25/05/2018 - 20:39

Lastpass อย่างเดียวครับ ขี้เกียจจำ ขี้เกียจคิด ขี้เกียจกรอกเอง

รอให้หมดยุค Good Password

foizy Sat, 26/05/2018 - 01:52

รอให้หมดยุค Good Password ที่ดีควรประกอบไปด้วย x,y,z ไปซะที

(จริงๆ Practice ยุคใหม่ๆมันจะแปลงร่างเป็น พาสเวิร์ดควรจะจำง่ายๆ มีแค่ไม่กี่ชุด ไม่ต้องเปลี่ยน และใช้คู่กับ Bio/2-3-4 way auth เพื่อใช้เข้าสู่เว็บอื่นๆ)

https://www.npr.org/sections/alltechconsidered/2017/08/14/543434808/forget-tough-passwords-new-guidelines-make-it-simple

เพราะไม่ว่าจะพิมพ์มุกไหน Hacker/Cracker ที่แท้ทรูก็จะจัดการได้อยู่ดี (ถ้าทำ Brute Force ได้)

พิมพ์คีย์ติดกัน (อยู่ในดิค)
พิมพ์ทับศัพท์ ก็เอาดิคต้นทาง (ซึ่งมักมีแค่หลักไม่กี่แสนคำ) มาแปลงเป็น keyboard input ก็จะได้ dict ของคำแบบพิมพ์ทับศัพท์แล้วอีกชุดนึง (แค่รู้ Target ประเทศ)
เปลี่ยนแค่ตัวสองตัวต้นหรือท้าย จาก Pawned Password DB ก็ใช้ dictionary attack ได้
ต่อให้มี Salt ก็เอา Salt ไปผูกดิกได้อยู่ดี

เอาจริงๆปัญหารหัสผ่านมันไม่ได้หลุดเพราะถูก Bruteforce ตรงๆหน้าเว็บหรอกครับ มันหลุดเพราะ DB โดนเจาะไปแล้วไป Bruteforce หลังบ้านเอาเลยต่างหาก ซึ่งโอกาสที่จะโดน Dictionary Attack มันสูง (เพราะรูปลักษณะ password มันเคยหลุดไปเยอะมากแล้วตั้ง 306 ล้านรายการที่ปรากฎในข่าว

ลองคิดภาพว่าเอา 306 ล้านรายการ + พจนานุกรมคำศัพท์ทั่วโลก เข้า Neuron Network/Machine Learning ดูสิ แล้ว Generate good dictionary ขึ้นมาในการเดา

ยุคของรหัสผ่านน่าจะเหลือไม่นานแล้วครับ