หลังจากกรณี PSN โดนเจาะ โซนี่ออกมาตอบคำถามต่างๆ ผ่าน PlayStation Blog แล้ว เนื้อหาส่วนมากยังเหมือนเดิม ยกเว้นส่วนของข้อมูลบัตรเครดิต ซึ่งโซนี่ระบุว่า "เข้ารหัสเอาไว้"
โซนี่ยังยืนยันว่าไม่มีหลักฐานบ่งชี้ว่าข้อมูลบัตรเครดิตถูกเจาะไปด้วย (แต่ก็ยังไม่การันตี 100%) โดยโซนี่บอกว่าไม่เคยเก็บรหัสผ่านของบัตร (security code หรือ CSC) เอาไว้ ดังนั้นไม่โดนเจาะไปแน่ เป็นไปได้มากที่สุดคือหมายเลขบัตรและวันหมดอายุเท่านั้น
โซนี่ยังให้ข้อมูลว่าระบบของ PSN/Qriocity ยังไม่พร้อมจะนำกลับมาออนไลน์ และขอให้สมาชิก "รอเปลี่ยนรหัสผ่าน" ต่อไป ตอนนี้โซนี่กำลังสอบสวนหาผู้กระทำผิดร่วมกับบริษัทด้านความปลอดภัย และหน่วยงานภาครัฐอยู่
ข้อมูลของโซนี่นั้นขัดแย้งกับข่าวก่อนหน้านี้ว่า สมาชิก PSN หลายรายแจ้งว่าบัตรเครดิตถูกใช้งาน ตอนนี้ข้อมูลยังสับสนว่าสิ่งที่เกิดขึ้นจริงๆ เป็นอย่างไรกันแน่
ที่มา - PlayStation Blog
Comments
แสดงว่าเข้ารหัสเฉพาะ 3 ตัวด้านหลังสินะ โอ้เสร็จโก๋
เขาไม่เก็บไว้เลยนิครับจากข่าว ส่วนเลขบัตรกับวันหยุดอายุน่าจะเข้ารหัสไว้นะครับ ส่วนที่ไม่เขารหัสจะเป็นข้อมูลส่วนตัวมากกว่า
แต่ถามหน่อยครับ อันนี้นอกเรื่อง MD5 ถูกถอดรหัสได้แล้วเหรอ
MD5 ถอดไม่ได้ครับมันเข้ารหัสแบบ oneway
"Those who make peaceful revolution impossible will make violent revolution inevitable." JFK.
เหมือนจะมี คำแนะนำให้ใช้เป็น SHA-1 แล้วอ่ะครับ
ก็อาจจะถูกเจาะ แล้วหล่ะมั้งครับ
ถ้าพวกรหัสผ่านง่ายๆ และไม่มีการ salt ก็ถอดด้วย http://www.md5decrypter.com/ ได้ครับ
ขอเพิ่มเติมหน่อย
ถ้ามันมี algorithm ที่ถอดได้จริงผมว่ามันจะปฎิวัติวงการบีบอัดข้อมูลเลยทีเดียวเช่น ผมอยากส่งหนัง AV ให้เพื่อนก็แค่จับเข้ารหัส MD5 ซะแล้วส่งให้เพื่อนเอาไปถอดรหัสกลับมาดูเจ๋งโครตๆ(ถ้าสามารถถอดได้จริง)
"Those who make peaceful revolution impossible will make violent revolution inevitable." JFK.
MD5 เป็น hashing ครับ
คนละอย่างกกับพวก encryption เช่น DES, RSA .....
็
brute-force เอาครับ
เดี๋ยวนี้ เก็บ hash ก็ใช่ว่าจะปลอดภัย
ต้องใส่เกลือบ้าง ตีลังกาบ้าง
ถ้าข้อมูลต้นทางไม่ยาวมาก มีความน่าจะเป็นสูงที่จะถอดได้ครับ เพราะถ้ายาวมากๆ ก็จะเจอ hash collision เสียก่อน
lewcpe.com, @wasonliw
MD5 เป็น hashing แต่ภายใต้เงื่อนไขบางอย่าง ซึ่งมากเพียงพอ มันสามารถ reverse ได้ครับ
นั่นคือสาเหตุว่าทำไม NSA ถึงแนะนำให้ใช้ SHA-1 แทนครับ
เหอะ อายัติบัตรไปแล้ว แสรด รอบัตรใหม่
We need to learn to forgive but not forget...
ข่าวด้านล่างส่วนหนึ่งน่าจะมาจากการอุปทานด้วยนะครับ
ประเภทว่าทำเลขบัตรหลุดไปที่อื่น แต่เผอิญโดนมารูตเอาช่วงนี้เลยกลายเป็นว่าหลุดจาก sony ไปเฉย
ซื้อของผ่านเว็บบางที่ไม่ใช้ 3 ตัวหลังก็ได้ครับเช่น godaddy (มั้ง ช่วงหลังๆนี้ไม่ค่อยได้ซื้ของผ่านเว็บ)ใช้แค่ชื่อเจ้าของ หมายเลข วันหมดอายุ
บัตรผมต้องยืนยันความเป็นเจ้าของกับทางเวปของแบงค์อีกที (เป็นการ Verify สองชั้น หรือสามชั้นนี่ล่ะ ลืม) ก็ปลอดภัยประมาณนึง
ส่วนการเข้ารหัสบัตรเครดิตนี่รู้สึกจะเป็นเรื่องปรกติครับ