ข่าวเว็บ Adobe ถูกแฮ็กเมื่อเดือนที่แล้วมีปัญหามากกว่าที่รายงานออกมาในตอนแรก เพราะฐานข้อมูลรหัสผ่านที่รั่วออกมากลับมีกระบวนการเข้ารหัสที่ไม่ได้มาตรฐาน โดยฐานข้อมูลรหัสผ่านนั้นไม่ได้เป็นค่าแฮชของรหัสผ่านเอาไว้ แต่กลับเข้ารหัสแบบกุญแจสมมาตร และใช้กระบวนการเข้ารหัสแบบ Electronic Code Book (ECB) ทำให้นักวิจัยสามารถเข้าหารหัสผ่านที่ซ้ำกัน และวิเคราะห์ย้อนกลับหารหัสผ่านที่แท้จริงได้
Jeremi Gosney นักวิจัยจาก Stricture Group ถอดรหัสผ่านออกมาแล้วเรียงสิบอันดับแรกของรหัสผ่านที่ใช้งานสูงสุดของผู้ใช้ Adobe พบว่าผู้ใช้ส่วนมากตั้งรหัสผ่านเป็น "123456" จำนวนเกือบสองล้านคน รายงาน 100 อันดับแรกของรหัสผ่านที่ได้รับความนิยมนี้แสดงให้เห็นว่านโยบายการตั้งรหัสผ่านของ Adobe ยังเป็นปัญหา เพราะ Adobe ยอมให้ตั้งรหัสผ่านที่อ่อนแอได้ แม้ว่าในอนาคตรหัสผ่านภายในจะถูกเก็บไว้อย่างได้มาตรฐาน แต่หากตั้งรหัสผ่านอ่อนแอเช่นนี้ก็จะเสี่ยงต่อการถูกเดารหัสผ่านจากรายการรหัสผ่านที่ได้รับความนิยมสูงอยู่ดี
ตอนนี้ Adobe บังคับให้ผู้ใช้ต้องตั้งรหัสผ่านใหม่ก่อนใช้งานต่อแล้ว แต่สำหรับผู้ที่ใช้รหัสผ่านตรงกับบริการอื่นๆ ควรเปลี่ยนรหัสผ่านบริการอื่นๆ ทันที (และเลิกใช้รหัสผ่านเหมือนกันทุกบริการ) เพราะตอนนี้น่าจะมีกลุ่มนักวิจัยหรือแฮ็กเกอร์ถอดรหัสฐานข้อมูลทั้งหมดเสร็จสิ้นไปแล้ว
ที่มา - The Register, Stricture Group, CSO Online
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
ห้า ห้า รหัสแบบสไลด์คีย์บอร์ดในสมัยก่อน มันเป็นเทรนก่อนที่หน้าจอสัมผัสจะมาอีกนะเออ
..: เรื่อยไป
password เก่าผมเองครับ
asdfghjkl;'
รูดพรืดดดดดดดด
ผมสงสัยว่าทำไมเซิร์ฟเวอร์ของระบบเขาไม่เข้ารหัสกับ ชื่อล็อคอินด้วยครับ อันนี้น่าจะเป็นประโยชน์กับผู้ใช้มากกว่า เพราะชื่อล็อคอินของแต่ละคนน่าจะถูกตั้งมาให้ยากกว่า password อยู่แล้ว ซึ่งถ้าใช้คีย์ถอดรหัสคนละตัวกับ password มันก็ยิ่งปลอดภัยมากขึ้นไปอีก
พาสเวิร์ดรูดมันทำได้หลายแบบนิ
1234567890-=
asdfghjkl;'
zxcvbnm,./
qwertyuiop[]\
';lkjhgfdsa
/.,mnbvcxz
][poiuytrewq
=-0987654321
อันไหนถ้ารู้ก็แงะง่ายทั้งนั้น -_-"
งั้นเปลี่ยนเป็นกดสลับฟันปลา
ตอนนี้หันมาตั้งรหัสแบบ Main+service แบบ รหัสสำหรับอีเมลก็ 1234eml รหัสเฟสก็ 1234fcbk อย่างน้อยก็ไม่ต้องจำรหัสมากไป
ปัญหาของผมคือถึงจะมีการตั้งกฎที่คิดว่ารัดกุมสำหรับตัวผมเองแล้ว แต่พอเอามาใช้จริงๆ ก็จำเป็นต้องปรับเปลี่ยนไปตามเงื่อนไขการตั้งพาสเวิร์ดของเว็บที่เข้าใช้งานทำให้สุดท้ายก็ต้องมีพาสเวิร์ดที่เละเทะหลายๆ รูปแบบ =_=
จริงเลยครับ
อคติทำให้คนรับเหตุผลด้านเดียว
แบบนี้ถ้าผมทราบรหัสอีเมลก็มีโอกาสเดาของเฟซถูกนะครับ จริงๆ ต้องเป็น 1234fcbk สำหรับ Blognone, 1234bn สำหรับเมล, 1234twtr สำหรับเฟซบุ๊ค
แล้วก็ลืมเอง :p
:okayface: ได้เวลาพึ่ง LastPass แบบเต็มตัวแล้วสินะ เหลือตั้งเองและจำเองแค่รหัส LastPass & Email ก็พอ...
การจัดเก็บรหัสที่ดีที่สุดคือ ในหัวสมอง แต่เราจะจำได้หมดเหรอ -_-" ใช้บริการเยอะมาก บางคนก็เอาง่ายๆ รหัส 1 ชุดใช้มันยันทุกบริการ อย่างผมนี่แหละ สงสัยต้องเปลี่ยนใหม่ล่ะ ถ้าใช้โปรแกรมพวกช่วย gen รหัสแล้วจัดเก็บรหัสก็ช่วยได้นะ แต่เอาจริงๆ ก็ไม่สะดวกอยู่ดี
สะดวก แต่ปลอดภัย
สะดวก กับไม่ปลอดภัย
ก็ต้องเลือกเอาสินะ นะ นะ
เพิ่งอ่าน xkcd เลย 555
"รหัสผ่านที่อ่อนแอ" เป็นรหัสผ่านที่ป่วยง่ายเหรอครับ
หรือจะใช้คำว่า รหัสผ่านที่มีความปลอดภัยต่ำ ?
อ่อนแอ ไม่ได้แปลว่าป่วยง่ายนิครับ คนอ่อนแอไม่จำเป็นต้องเป็นคนขี้โรค แค่อ่อนแอ โดนรังแกโดนโจมตีง่าย ไม่สามารถสู้หรือเอาตัวรอดได้ ก็เท่ากับ (ตัวมันเอง)ไม่ปลอดภัย
รหัสผ่านที่'อ่อนแอ' มันจบในตัวมันเอง
แต่ถ้าไปแปลว่า รหัสผ่านที่ปลอดภัยต่ำ มันอาจจะหมายถึง ผู้ดูแลระบบเก็บรักษารหัสผ่านไม่ดีก็ได้ครับ
มีเหตุผลครับ ผมว่าการอธิบายอะไรที่เข้าใจยากให้เข้าใจง่ายๆ มันเป็นศิลป และยังหมายถึงคนที่พูดเข้าใจมันอย่างถ่องแท้ด้วย