ช่วงหลังๆ เราได้เห็นรายการการเจาะฐานข้อมูลเว็บไซต์จำนวนมาก และรหัสผ่านมักหลุดออกมาสู่สาธารณะ แม้รหัสผ่านเหล่านี้จะแฮชเอาไว้แล้วก็ตามแต่ก็มักจะถูกแกะออกมาได้ในภายหลังด้วยการไล่ค่าที่เป็นไปได้ทั้งหมด ข้อเสนอใหม่จาก Ari Juels และ Ronald L. Rivest (ตัว R ใน RSA) เสนอแนวทางการตรวจจับการใช้รหัสผ่านที่หลุดออกไปในชื่อว่า "Honeywords"
Honeywords เสนอให้เก็บค่าแฮชของรหัสผ่านพร้อมๆ กันหลายๆ รหัส โดยเก็บกระบวนการเลือกว่ารหัสผ่านไหนเป็นรหัสจริงไว้อีกชั้นหนึ่งแยกออกไป ภายใต้กระบวนการนี้หากแฮกเกอร์ได้ค่าแฮชของรหัสผ่านไปแล้วพยายามล็อกอินเข้าระบบด้วยรหัสผ่านที่ย้อนกลับค่าแฮชมาได้ โอกาสที่จะใช้รหัสผ่านที่ผิดจะมีสสูงและผู้ให้บริการจะสามารถล็อกบัญชีผู้ใช้ที่ถูกโจมตีได้ทันท่วงที
กระบวนการนี้ช่วยลดความเสี่ยงให้กับบัญชีผู้ใช้ได้เท่านั้น ในความเป็นจริงกระบวนการเลือกค่าแฮชที่ถูกต้องก็อาจจะหลุดไปพร้อมกับตารางค่าแฮชเอง แต่มันก็เพิ่มชั้นป้องกันเข้ามาทำให้แฮกเกอร์ทำงานได้ยากขึ้นไปอีก
ที่มา - ArsTechnica, MIT
Comments
ความคิดดี... กันพวกที่เข้ามาถึงดั้ม Database ทันทีโดนไม่ไล่ Code ดูก่อน
เอ้อ ไม่เลว ทุกวันนี้ก็ใช้ Hash ปลอมร่วมอยู่แล้ว แต่ไม่นึกถึงว่าเอา จับ Hash ปลอมว่าบอทแฮคแหะ
เหมือนจะเคยอ่านวิธีการคล้ายๆกันนี้มาก่อนครับ ใช้แฮช มีแฮชซ้อนแฮชในแต่ละเซสชัน แฮชด้วยคีย์ และปล่อย padding ล่อลวงให้งงเล่น สุดท้ายเขาสรุปคล้ายกันกับ honeywords ว่า กระบวนการเลือกแฮช/กระบวนล่ออาจหลุดได้อีก พึ่ง multiauthen ก็ช่วยได้ แต่บางระบบก็ไม่ได้ใช้กัน
My Blog
โอกาสที่จะใช้รหัสผ่านที่ผิดจะมี "สสูง"
เกินมาตัวนึงครับ
มันคล้าย ๆ กับระบบกันร้านโดนงัดหรือเปล่าครับ คือแบบว่าวางกระจกที่ติดตั้งสัญญาณกันขโมยไว้ก่อนประตูเหล็กม้วนอีกที ประมาณว่าใครคิดจะบุกเข้ามาเราก็รู้ตัวก่อนมันจะเจาะประตูม้วนแล้ว ผมเข้าใจถูกหรือเปล่าครับ
ในความเข้าใจของผม มันน่าจะออกแนววิชาแยกเงาพันร่าง (นารุโตะ :P) มีร่างแยกออกมา (ค่า hash ปลอม) เก็บเอาไว้ พอมีคนได้ชุด hash ของรหัสผ่านไป ก็ต้องไปสุ่มว่าค่านั้นจะใช่ของแท้หรือเปล่า ถ้าไม่ใช่ก็งมหาต่อไปจนกว่าจะเจอ (อาจแจ๊คพ๊อตซัดโดนตัวจริงตั้งแต่หมัดแรกเลยก็ได้) ซึ่งจะช่วยซื้อเวลาให้ทางผู้ดูแล server รู้ตัวว่าโดนยกเค้าชุด hash ไป
ไม่น่าจะเป็นระบบกันขโมย ที่พอถูกเจาะแล้วจะรู้ตัวทันที
.
~ HudchewMan's Station & @HudchewMan~
เหมือนเราเอาขี้หนูที่แต่งสีกลิ่นรสแล้วแพคใส่กล่องพร้อมกับเม็ดบ๊วย จากนั้นให้คนกินใช่หรือเปล่าครับ เพราะกว่าจะรู้ว่าที่กินไม่ใช่บ๊วยทั้งหมดคงกินขี้หนูไปมากพอดู
ออกแนว สุสาน ฮ่องเต้ ไรงี้ไงครับ ที่มีสุสานลูกหลายอัน เป็นสุสานหลอก ไว้ล่อพวกขโมยสุสาน พร้อมติดกับดักไว้ด้วย
ส่วนสุสานจริงซ่อนไว้ไม่มีใครรู้
ผมเดาว่า
ใช่ไหม ?
ใช่ครับ ผมอธิบายแบบท่านไม่เป็นจริงๆ ขอบคุณที่ช่วยขยายความครับผม ผมเข้าใจแบบนี้เลย
ประมาณ มีประตูหลายบานให้เข้าครับ แต่มีประตูเดียวที่เข้าได้ นอกนั้นเปิดไปเป็นกำแพงเปล่าๆพร้อมสัญญาณกันขโมยทั้งหมด
++ 10 สั้นๆ แต่เข้าใจง่ายสุดเลยฮ่ะ