คนล้มอย่าข้าม 1Password ชี้ฐานข้อมูล LastPass ยิง master password ไม่ยาก หมื่นล้านรหัสใช้เงินเพียง 3,500 บาท

By lew Founder on Tag: 1Password, Security, Data Breach, Password Manager
1Password

หลังเหตุการณ์ LastPass ข้อมูลหลุด ตอนนี้คู่แข่งสำคัญอย่าง 1Password ก็ออกมาแสดงความเห็นว่าแม้รหัสผ่านของผู้ใช้จะถูกเข้ารหัสด้วย PBKDF2 และทาง LastPass จะระบุว่าการเดารหัสผ่านจะใช้เวลานานนับล้านปี หากผู้ใช้ตั้งรหัสผ่านโดยสุ่มมาดีพอและยาว 12 ตัวอักษรขึ้นไป แต่ทาง 1Password ก็ชี้ว่าโดยทั่วไปมนุษย์ไม่สามารถตั้งรหัสผ่านคุณภาพสูงได้อยู่แล้วยกเว้นว่าจะใช้ซอฟต์แวร์สุ่มรหัสผ่านมาให้

รหัสผ่านแบบสุ่มสมบูรณ์ 12 ตัวอักษรนั้นมีความเป็นไปได้ถึง 272 หรือ 4,700 ล้านล้านล้านรูปแบบ แต่ในความเป็นจริงรหัสผ่านที่มนุษย์ตั้งก็จะคาดเดาง่ายกว่านั้นมาก และการยิงแฮช PBKDF2-H256 ที่ประสิทธิภาพดีที่สุดนั้นใช้ต้นทุนเพียง 100 ดอลลาร์ต่อการยิงหมื่นล้านรหัสเท่านั้น และการยิงหมื่นล้านรหัสก็น่าจะเพียงพอที่จะเจาะฐานข้อมูลของคนที่ตั้ง master password เองจำนวนมาก

1Password ใช้กระบวนการเข้ารหัสต่างออกไป คือ ระบบ Secret Key ที่เป็นอักษรสุ่มอย่างสมบูรณ์ 34 ตัวทำให้ความเป็นไปได้มากกว่า 2128 รูปแบบ และ Secret Key นี้เก็บอยู่ในอุปกรณ์ที่ล็อกอิน 1Password ไว้ไม่ได้ส่งกลับเซิร์ฟเวอร์ ทำให้ในกรณีที่เลวร้ายที่สุดที่คนร้ายขโมยฐานข้อมูลของลูกค้าไปได้เหมือนเหตุการณ์ที่เกิดกับ LastPass ตัวฐานข้อมูลก็ยังไม่มีความเสี่ยงที่จะถูกยิงรหัสผ่าน

ที่มา - 1Password

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

dbpod Thu, 29/12/2022 - 23:32

ผมใช้ 1Password ตั้งแต่เปิดตัว
MasterPassword รหัสผ่านแบบสุ่มสมบูรณ์ ยาวเกิน 60 ตัวอักษร
หวังว่าคงปลอดภัยไปอีกนาน :D

dbpod Fri, 30/12/2022 - 20:32

ใช่ครับ แต่พยายามหาคำที่เวลาพิมพ์ได้พวก &$#@=)(-=':"! มาด้วยครับ

คำก็อย่าให้มีความหมายเช่น อ่านเมซซี่จูบโรนัลโด้​วิ่งลอดฟ้าไปหาเมียแต่ลูกค้า​อย่างเดือดสีแดง

ได้เป็น vjkog,::uj0^[Fioy]Ffh;bh']vfahkwxskg,upc9j]^d8hkvpjk'gfnvflucf'

63 ตัวอักษร

dbpod Fri, 30/12/2022 - 20:39

1Password พิมพ์ในแอปมือถือครั้งเดัยว

แล้วเปลี่ยนเป็นสแกนนิ้วมือแทนได้

ตั้งค่าให้ต้องกรอก MasterPasswordใหม่ทุกๆ7 วัน เดือน หรือ กรอกครั้งเดียวได้ครับ

แต่ปกติผมไม่ใช้งานอะไรพวกนี้ในมือถือ พาสทุกอย่างจะใช้ผ่านเครื่อง Mac ที่ไม่มีลงแอปหรือEXtension แปลกๆ เครื่องเก่าจะเก็บไม่ขาย ห้ามหาย แยกกับเครื่องเล่นเกมส์หรือทำงานปกติ

เพราะถ้ามีปัญหา พนักงานกำลังผ่อนบ้านผ่อนรถ จะลำบากไปด้วย :D

Hoo Fri, 30/12/2022 - 22:40

+1
เคยพยายาม login ด้วยมือถือแล้วไม่ได้
จนต้องไปเปิดคอม พิมพ์บน notepad
แล้วพิมพ์ลอกจาก notepad ลงมือถือ
เพื่อจะ login บนมือถือได้ 😂

Eka-X Fri, 30/12/2022 - 00:16

แต่ 1Password 8 ก็บังคับให้เก็บคลังรหัสไว้ที่เซิร์ฟเวอร์ของ 1Password แล้ว ไม่ได้ให้เก็บเองหรือเก็บใน Dropbox เหมือนรุ่นก่อนๆ เพื่อเก็บเงินค่าสมาชิก

iamfalan Fri, 30/12/2022 - 01:53

เขาหมายถึง secret key ที่ฝังอยู่ในเครื่องครับ
ที่พอเราลง app ใหม่ เราต้องเอา secret key จาก app เดิมมาใส่ ตัวนั้นเขาไม่ได้ส่งกลับไปที่ server และน่าจะเป็น key สำหรับเข้ารหัสด้วย
แต่ ถ้า login ผ่าน web ก็น่าจะต้องส่งกลับไป แต่น่าจะไม่ได้เก็บลง db

ash_to_ash Fri, 30/12/2022 - 09:55

เหนื่อยใจ ย้ายดีไหมหรือไม่ย้ายดี
บางเว็บก็มี 2fa บางเว็บก็ไม่มีเห้อออ

Bigkung Fri, 30/12/2022 - 10:47

ถ้าไม่ใช่คนที่ภาษาที่มีรากฐานมาจากภาษาละตินเป็นภาษาแม่ ก็ให้พิมพ์เป็นภาษาของตัวเองแต่ตั้งคีย์เป็นภาษาอังกฤษก็จบแล้ว แถมยาวด้วย จะบ่นอะไรก็ได้ก็เป็น Passwords ได้หมด และส่วนมากมันจะโหดมากด้วย ถ้าไม่รู้เจ้าของ master password เป็นคนประเทสอะไรรสนิยมเป็นยังไงก็เดายากยกเว้นตั้งมาสั้น

msmgames Fri, 30/12/2022 - 15:54

กำลังเลือกใช้ ระหว่าง Bitwarden กับ 1password เลือกตัวไหนดีกว่าหรอครับ ลองไปใช้ ทั้งคู่แล้ว มันโอเคทั้งคู่เลยน่ะครับ แต่ติดต้อง 1 password มันสลัป vault ยาก 55555

iamfalan Fri, 30/12/2022 - 22:35

ในแง่ความปลอดภัย 1Password ปลอดภัยกว่าเยอะในกรณี ผู้ให้บริการโดน hack เพราะ secret key มันอยู่ที่เราครับ
Bitwarden หลักการมันยังคล้ายๆ Lastpass ซึ่งถ้าตั้ง master password ไม่แข็งแรง มันจะสุ่มง่ายมาก (สมัยนี้ตั้งเป็นคำๆ ยาวๆ ก็ไม่ช่วยมาก เพราะทำ dictionary attack ได้อยู่) แต่สังเกตว่าปัญหาของ Lastpass หลายอย่างเกิดจากการให้บริการมานาน เช่นข้อมูลบางส่วนเข้ารหัสด้วย key ความยาวต่ำไป แต่แก้ในพวก password ใหม่ๆ กรณีนี้ Bitwarden ที่มาทีหลัง มันจะดีกว่า เพราะใช้ practice ใหม่ๆ มาตั้งแต่แรก

แต่ผมแนะนำกรณีใช้ส่วนตัว ลง Vaultwarden (Unofficial Bitwarden server ข้อดีคือกินแรมน้อยกว่าของ official) ที่เครื่องตัวเองครับ แล้วทำ security best practice ง่ายๆ ก็ปลอดภัยดี ความเสี่ยงที่จะโดน hack ก็น้อยกว่า

lew Fri, 30/12/2022 - 20:03

ถ้าหมายถึง webauthn/FIDO นี่ไม่ช่วยนะครับ มันเป็นกระบวนการเก็บกุญแจเข้ารหัส

(ตัวกุญแจ Yubi มันรองรับการเก็บกุญแจเข้ารหัสอยู่ แต่ทั่วไปถ้าพูดถึง 2FA ไม่น่าใช้ฟีเจอร์นั้น)