Tags:
Node Thumbnail

หลังเหตุการณ์ LastPass ข้อมูลหลุด ตอนนี้คู่แข่งสำคัญอย่าง 1Password ก็ออกมาแสดงความเห็นว่าแม้รหัสผ่านของผู้ใช้จะถูกเข้ารหัสด้วย PBKDF2 และทาง LastPass จะระบุว่าการเดารหัสผ่านจะใช้เวลานานนับล้านปี หากผู้ใช้ตั้งรหัสผ่านโดยสุ่มมาดีพอและยาว 12 ตัวอักษรขึ้นไป แต่ทาง 1Password ก็ชี้ว่าโดยทั่วไปมนุษย์ไม่สามารถตั้งรหัสผ่านคุณภาพสูงได้อยู่แล้วยกเว้นว่าจะใช้ซอฟต์แวร์สุ่มรหัสผ่านมาให้

รหัสผ่านแบบสุ่มสมบูรณ์ 12 ตัวอักษรนั้นมีความเป็นไปได้ถึง 272 หรือ 4,700 ล้านล้านล้านรูปแบบ แต่ในความเป็นจริงรหัสผ่านที่มนุษย์ตั้งก็จะคาดเดาง่ายกว่านั้นมาก และการยิงแฮช PBKDF2-H256 ที่ประสิทธิภาพดีที่สุดนั้นใช้ต้นทุนเพียง 100 ดอลลาร์ต่อการยิงหมื่นล้านรหัสเท่านั้น และการยิงหมื่นล้านรหัสก็น่าจะเพียงพอที่จะเจาะฐานข้อมูลของคนที่ตั้ง master password เองจำนวนมาก

1Password ใช้กระบวนการเข้ารหัสต่างออกไป คือ ระบบ Secret Key ที่เป็นอักษรสุ่มอย่างสมบูรณ์ 34 ตัวทำให้ความเป็นไปได้มากกว่า 2128 รูปแบบ และ Secret Key นี้เก็บอยู่ในอุปกรณ์ที่ล็อกอิน 1Password ไว้ไม่ได้ส่งกลับเซิร์ฟเวอร์ ทำให้ในกรณีที่เลวร้ายที่สุดที่คนร้ายขโมยฐานข้อมูลของลูกค้าไปได้เหมือนเหตุการณ์ที่เกิดกับ LastPass ตัวฐานข้อมูลก็ยังไม่มีความเสี่ยงที่จะถูกยิงรหัสผ่าน

ที่มา - 1Password

No Description

Get latest news from Blognone

Comments

By: lew
FounderJusci's WriterMEconomicsAndroid
on 29 December 2022 - 22:56 #1273330
lew's picture

เหยียบซ้ำเลย


lewcpe.com, @wasonliw

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 29 December 2022 - 23:12 #1273331 Reply to:1273330
Ford AntiTrust's picture

กระทืบดีกว่าครับ

เหยียบสุภาพไป...

By: PriteHome
ContributorAndroidWindows
on 30 December 2022 - 23:50 #1273409 Reply to:1273331
PriteHome's picture

+1

By: hisoft
ContributorWindows PhoneWindows
on 29 December 2022 - 23:13 #1273332 Reply to:1273330
hisoft's picture

😂

By: crucifier
iPhoneAndroidUbuntu
on 29 December 2022 - 23:37 #1273335 Reply to:1273330

🤣🤣🤣

By: btoy
ContributorAndroidWindows
on 30 December 2022 - 10:22 #1273361 Reply to:1273330
btoy's picture

555 ถ้าใส่ในข่าวได้คงใส่ไปแล้ว เลยต้องตามมาซ้ำในคอมเมนต์


..: เรื่อยไป

By: hisoft
ContributorWindows PhoneWindows
on 29 December 2022 - 23:14 #1273333
hisoft's picture

เริ่มสนใจแล้วว่า Bitwarden ใช้ท่าไหน

By: wwwangel
ContributorAndroidUbuntuWindows
on 30 December 2022 - 08:58 #1273349 Reply to:1273333
wwwangel's picture

นั่นสินะ 🤔


-- ^_^ --

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 30 December 2022 - 09:11 #1273353 Reply to:1273333
By: hisoft
ContributorWindows PhoneWindows
on 30 December 2022 - 15:59 #1273383 Reply to:1273353
hisoft's picture

ขอบคุณครับ

อืมมม ผมชอบหน้า Interactive Cryptography Page เค้าแฮะ

By: sian
Windows PhoneAndroidWindows
on 30 December 2022 - 09:18 #1273355 Reply to:1273333
sian's picture

Edit: ตาม comment ด้านบนครับ

By: dbpod
iPhoneUbuntuIn Love
on 29 December 2022 - 23:32 #1273334
dbpod's picture

ผมใช้ 1Password ตั้งแต่เปิดตัว
MasterPassword รหัสผ่านแบบสุ่มสมบูรณ์ ยาวเกิน 60 ตัวอักษร
หวังว่าคงปลอดภัยไปอีกนาน :D

By: mrKaqz
ContributorAndroidBlackberry
on 30 December 2022 - 00:26 #1273338 Reply to:1273334

จำยังไงครับ 60 ตัวอักษร ยาวมาก

By: whitebigbird
Contributor
on 30 December 2022 - 02:00 #1273341 Reply to:1273338
whitebigbird's picture

ใช้ LastPass จำ master password ของ 1password อีกต่อนึง แฮร่!

By: dbpod
iPhoneUbuntuIn Love
on 30 December 2022 - 08:12 #1273345 Reply to:1273338
dbpod's picture

เป็นภาษาไทยไม่มีความหมายแต่กดคีย์บอร์ด​พิมพ์เป็นภาษาอังกฤษ​ครับ :p

By: Elysium
ContributorWindows PhoneSymbianWindows
on 30 December 2022 - 08:19 #1273346 Reply to:1273345
Elysium's picture

เป็นภาษาไทยไม่มีความหมายแต่กดคีย์บอร์ด​พิมพ์เป็นภาษาอังกฤษ​ครับ

อันนี้สินะ "Password"


คนขี้ลืม | คนบ้าเกม | คนเหงาๆ

By: hisoft
ContributorWindows PhoneWindows
on 30 December 2022 - 16:06 #1273386 Reply to:1273346
hisoft's picture

Password —> ญงรรตวเม

เดี๋ยว นี่มันกลับไปอีกข้างนึง

By: parkpaya
Windows PhoneAndroidSymbianUbuntu
on 30 December 2022 - 10:24 #1273363 Reply to:1273345

เช่น "ไก่จิกเด็กตายเด็กตายบนปากโอ่ง" แต่ถ้ากดแป้นอังกฤษจะได้ว่า "wdj0bdgfHd9kpgfHd9kp[oxkdFvj'" ใช่ไหมครับ

By: dbpod
iPhoneUbuntuIn Love
on 30 December 2022 - 20:32 #1273366 Reply to:1273363
dbpod's picture

ใช่ครับ แต่พยายามหาคำที่เวลาพิมพ์ได้พวก &$#@=)(-=':"! มาด้วยครับ

คำก็อย่าให้มีความหมายเช่น อ่านเมซซี่จูบโรนัลโด้​วิ่งลอดฟ้าไปหาเมียแต่ลูกค้า​อย่างเดือดสีแดง

ได้เป็น vjkog,::uj0^[Fioy]Ffh;bh']vfahkwxskg,upc9j]^d8hkvpjk'gfnvflucf'

63 ตัวอักษร

By: arth
iPhoneWindows PhoneWindows
on 30 December 2022 - 12:54 #1273374 Reply to:1273363

เคยตั้งรหัสแบบนี้ แต่ปัญหาคือพอจะไปพิมพ์บนมือถือนี่งานหยาบครับ

By: dbpod
iPhoneUbuntuIn Love
on 30 December 2022 - 20:39 #1273382 Reply to:1273374
dbpod's picture

1Password พิมพ์ในแอปมือถือครั้งเดัยว

แล้วเปลี่ยนเป็นสแกนนิ้วมือแทนได้

ตั้งค่าให้ต้องกรอก MasterPasswordใหม่ทุกๆ7 วัน เดือน หรือ กรอกครั้งเดียวได้ครับ

แต่ปกติผมไม่ใช้งานอะไรพวกนี้ในมือถือ พาสทุกอย่างจะใช้ผ่านเครื่อง Mac ที่ไม่มีลงแอปหรือEXtension แปลกๆ เครื่องเก่าจะเก็บไม่ขาย ห้ามหาย แยกกับเครื่องเล่นเกมส์หรือทำงานปกติ

เพราะถ้ามีปัญหา พนักงานกำลังผ่อนบ้านผ่อนรถ จะลำบากไปด้วย :D

By: Hoo
AndroidWindows
on 30 December 2022 - 22:40 #1273402 Reply to:1273374

+1
เคยพยายาม login ด้วยมือถือแล้วไม่ได้
จนต้องไปเปิดคอม พิมพ์บน notepad
แล้วพิมพ์ลอกจาก notepad ลงมือถือ
เพื่อจะ login บนมือถือได้ 😂

By: mr_tawan
ContributoriPhoneAndroidWindows
on 30 December 2022 - 09:51 #1273358 Reply to:1273338
mr_tawan's picture

ผมเคยใช้ ThisIsACrazyLongPasswordNoOneWantsToRememberItButIWillFor#2019Resolution อยู่นะครับ

แต่ตอนพิมพ์บนมือถือมันยาวเกิน ขี้เกียจ เลยเปลี่ยนใหม่ 5555


  • 9tawan.net บล็อกส่วนตัวฮับ
By: Eka-X
ContributoriPhoneAndroidIn Love
on 30 December 2022 - 00:16 #1273337

แต่ 1Password 8 ก็บังคับให้เก็บคลังรหัสไว้ที่เซิร์ฟเวอร์ของ 1Password แล้ว ไม่ได้ให้เก็บเองหรือเก็บใน Dropbox เหมือนรุ่นก่อนๆ เพื่อเก็บเงินค่าสมาชิก

By: iamfalan
iPhoneAndroidWindows
on 30 December 2022 - 01:53 #1273340 Reply to:1273337

เขาหมายถึง secret key ที่ฝังอยู่ในเครื่องครับ
ที่พอเราลง app ใหม่ เราต้องเอา secret key จาก app เดิมมาใส่ ตัวนั้นเขาไม่ได้ส่งกลับไปที่ server และน่าจะเป็น key สำหรับเข้ารหัสด้วย
แต่ ถ้า login ผ่าน web ก็น่าจะต้องส่งกลับไป แต่น่าจะไม่ได้เก็บลง db

By: PH41
ContributorAndroidUbuntuWindows
on 30 December 2022 - 02:46 #1273342
PH41's picture

ชอบ 1pass ตรง secret key นี่แหละ

Bitwarden ฟรี แต่ใช้แค่ username password

By: maxmin on 30 December 2022 - 06:50 #1273343

คนล้มอย่าข้าม ให้เหยียบซ้ำ

By: pongniwat on 30 December 2022 - 09:15 #1273354
pongniwat's picture

รออีกซักแปปจะกลับมาใช้ lastpass คนที่โดนหนักขนาดนี้น่าจะแข่งแกร่งขึ้นพอตัว
หรือไม่ก็ล้มละลาย 5555

By: ash_to_ash
AndroidWindows
on 30 December 2022 - 09:55 #1273359

เหนื่อยใจ ย้ายดีไหมหรือไม่ย้ายดี
บางเว็บก็มี 2fa บางเว็บก็ไม่มีเห้อออ

By: Bigkung
iPhoneWindows Phone
on 30 December 2022 - 10:47 #1273365
Bigkung's picture

ถ้าไม่ใช่คนที่ภาษาที่มีรากฐานมาจากภาษาละตินเป็นภาษาแม่ ก็ให้พิมพ์เป็นภาษาของตัวเองแต่ตั้งคีย์เป็นภาษาอังกฤษก็จบแล้ว แถมยาวด้วย จะบ่นอะไรก็ได้ก็เป็น Passwords ได้หมด และส่วนมากมันจะโหดมากด้วย ถ้าไม่รู้เจ้าของ master password เป็นคนประเทสอะไรรสนิยมเป็นยังไงก็เดายากยกเว้นตั้งมาสั้น

By: msmgames
iPhoneAndroidBlackberry
on 30 December 2022 - 15:54 #1273381

กำลังเลือกใช้ ระหว่าง Bitwarden กับ 1password เลือกตัวไหนดีกว่าหรอครับ ลองไปใช้ ทั้งคู่แล้ว มันโอเคทั้งคู่เลยน่ะครับ แต่ติดต้อง 1 password มันสลัป vault ยาก 55555

By: iamfalan
iPhoneAndroidWindows
on 30 December 2022 - 22:35 #1273401 Reply to:1273381

ในแง่ความปลอดภัย 1Password ปลอดภัยกว่าเยอะในกรณี ผู้ให้บริการโดน hack เพราะ secret key มันอยู่ที่เราครับ
Bitwarden หลักการมันยังคล้ายๆ Lastpass ซึ่งถ้าตั้ง master password ไม่แข็งแรง มันจะสุ่มง่ายมาก (สมัยนี้ตั้งเป็นคำๆ ยาวๆ ก็ไม่ช่วยมาก เพราะทำ dictionary attack ได้อยู่) แต่สังเกตว่าปัญหาของ Lastpass หลายอย่างเกิดจากการให้บริการมานาน เช่นข้อมูลบางส่วนเข้ารหัสด้วย key ความยาวต่ำไป แต่แก้ในพวก password ใหม่ๆ กรณีนี้ Bitwarden ที่มาทีหลัง มันจะดีกว่า เพราะใช้ practice ใหม่ๆ มาตั้งแต่แรก

แต่ผมแนะนำกรณีใช้ส่วนตัว ลง Vaultwarden (Unofficial Bitwarden server ข้อดีคือกินแรมน้อยกว่าของ official) ที่เครื่องตัวเองครับ แล้วทำ security best practice ง่ายๆ ก็ปลอดภัยดี ความเสี่ยงที่จะโดน hack ก็น้อยกว่า

By: ninja741 on 30 December 2022 - 16:05 #1273385

ใช้ yubikey ทำ 2FA ก็จบนะ เดา pass ถูกก็ไม่ช่วยอะไร

By: lew
FounderJusci's WriterMEconomicsAndroid
on 30 December 2022 - 20:03 #1273394 Reply to:1273385
lew's picture

ถ้าหมายถึง webauthn/FIDO นี่ไม่ช่วยนะครับ มันเป็นกระบวนการเก็บกุญแจเข้ารหัส

(ตัวกุญแจ Yubi มันรองรับการเก็บกุญแจเข้ารหัสอยู่ แต่ทั่วไปถ้าพูดถึง 2FA ไม่น่าใช้ฟีเจอร์นั้น)


lewcpe.com, @wasonliw

By: ninja741 on 31 December 2022 - 15:50 #1273448 Reply to:1273394

นึกว่าที่หลุดไปคือ master password กลับไปดูอีกที database หลุดไปด้วย