ปัญหาการตั้งรหัสผ่านไม่ดี ทำให้แฮกเกอร์ถอดรหัสผ่านออกมาได้ง่ายเป็นปัญหาที่ยังแก้ไม่ตกของระบบรักษาความปลอดภัยคอมพิวเตอร์ แม้ที่ผ่านมาจะมีกระบวนการ "วัด" ความแข็งแรงของรหัสผ่านกันออกมาหลายรูปแบบ ตอนนี้ Microsoft Research เสนอแนวทางใหม่ในการแนะนำผู้ใช้ให้สร้างรหัสผ่านให้ปลอดภัย ด้วยการแนะนำผู้ใช้ทีละตัวอักษรว่าไม่ควรใช้ตัวอักษรใดต่อไป ในชื่อว่า Telepathwords
ด้วยวิธีการนี้ ทุกครั้งที่ผู้ใช้พิมพ์รหัสผ่านเพื่อตั้งรหัสผ่านครั้งแรก ซอฟต์แวร์จะแนะนำว่าไม่ควรใช้ตัวอักษรใดเป็นตัวต่อไป เพราะคาดเดาได้ง่ายเกินไป เช่น เมื่อพิมพ์ตัว "t" จะแนะนำว่าไม่ควรใช้ตัว "h", "o", และ "v" ต่อ เพราะพบบ่อยในภาษาอังกฤษ
ผมอ่านแนวคิดของงานวิจัยนี้แล้ว มันคือการกลับข้างของ "คีย์บอร์ดแม่นแม่น" ที่พยายามแนะนำว่าคนทั่วไปมักพิมพ์ตัวอักษรใดเป็นตัวต่อไปนั่นเอง
Telepathwords เป็นงานวิจัยร่วมระหว่างนักวิจัยของไมโครซอฟท์และนักศึกษาปริญญาเอกจากมหาวิทยาลัย Carnegie Mellon (รายชื่ออยู่ในที่มา)
ที่มา - Telepathwords, Schneier on Security
Comments
เป็นปัญหาที่ยังแก้ไม่ตกของ ?
พิพม์ => พิมพ์
คุณลิ่วเปรียบเทียบได้ชัดเจนมาก มันเป็นด้านตรงข้ามกันเลยที่เดียว
คนถอดรหัสก็เก่งนี่แหละ ปัญหา ^^'
..: เรื่อยไป
GPU ก็ถอด dictionary เก่งขึ้นทุกๆวันครับ นี่ผมสามารถใช้เงิน 15000 เช่า Tesla8core จาก AWS ได้ทั้งเดือนแล้ว คิดดูว่าถ้ารหัส 10 อักษร ผมถอดได้ใน 3 ชั่วโมงโดย AWS 1 เดือนผมจะถอดรหัส username กสิกรได้กี่ hash
คำแนะนำจากผม สำหรับ ID ที่มความสำคัญมากๆ เช่นเรื่องการเงิน แนะนำว่าให้ไช้ศัพท์ eng ธรรมดา 4 ถึง 5 คำ (เฉลี่ยคำละ 5-6 ตัวอักษร 4 คำก็ 20 ตัวอักษรเข้าไปแล้ว) ขั้นด้วยเครื่องหมาย 1 อย่าง และให้ตัวแรกเป็นตัวใหญ่ครับ แล้วดัดแปลงนิดหน่อยก็ใด้
ตัวอย่าง
- Spark:On:The:Roof:Top
- whO=leT=thE=doG=ouT (เอาตัวพิมพ์ใหญ่ไว้ข้างหลัง)
- ☆Send☆from☆my☆BlackBerry☆ (อันนี้ไช้ Ascii ด้วย)
จำง่าย dict ไม่เจอ และ หิน
samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo
เมื่อมีคนใช้วิธีนี้เยอะ ๆ Hacker ก็จะได้แนวทางในการแกะรหัสต่อไป ^^
ปัญหาคือ ถ้าเชื่อคำแนะนำ แล้วได้รหัสผ่านที่จำไม่ได้ จำยาก ๆ ก็ไม่มีประโยชน์อยู่ดี หรือเปล่า
ใช่ครับ ปัญหาสำหรับผมก็คือถ้าโดนข้อจำกัดโน่นข้อจำกัดนี่มากเกินไป สุดท้ายก็ได้รหัสผ่านที่จำไม่ได้อีก...
ผมว่าใช้วิธีใสพาสเวิร์ดเป็นภาษาท้องถิ่นดีกว่า อย่างใช้ภาษาไทยรวมกับจีนซะเลย :3 ปัญหาเหลือแค่บางเว็บไม่ยอมให้ใช้ภาษาอื่นนอกจากภาษาอังกฤษ
A smooth sea never made a skillful sailor.
คีย์บอร์ดผมไม่มีภาษาจีนอะดิ :P
ตราบเท่าที่มีเน็ต กูเกิลช่วยท่านได้ครับ
ไปต่างประเทศก็ได้กูเกิลนี่แหละครับช่วยพิมพ์ไทย (- -)d
อ่านแล้วหลอน เดี๋ยวนี้รหัส 10 ตัวถอดได้ภายใน 3hr แล้วเหรอเนี่ย... ต่อไปขั้นต่ำต้องเป็น 20 ตัวแล้วมั้งเนี่ย :O
@ Virusfowl
I'm not a dev. not yet a user.