Microsoft Research เสนอแนวทางสร้างรหัสผ่านให้ปลอดภัยด้วยการวิเคราะห์ลำดับอักษร

By: lew

on 7 December 2013 - 00:47 Tags:

Topics:

Security

Research

Microsoft

ปัญหาการตั้งรหัสผ่านไม่ดี ทำให้แฮกเกอร์ถอดรหัสผ่านออกมาได้ง่ายเป็นปัญหาที่ยังแก้ไม่ตกของระบบรักษาความปลอดภัยคอมพิวเตอร์ แม้ที่ผ่านมาจะมีกระบวนการ "วัด" ความแข็งแรงของรหัสผ่านกันออกมาหลายรูปแบบ ตอนนี้ Microsoft Research เสนอแนวทางใหม่ในการแนะนำผู้ใช้ให้สร้างรหัสผ่านให้ปลอดภัย ด้วยการแนะนำผู้ใช้ทีละตัวอักษรว่าไม่ควรใช้ตัวอักษรใดต่อไป ในชื่อว่า Telepathwords

ด้วยวิธีการนี้ ทุกครั้งที่ผู้ใช้พิมพ์รหัสผ่านเพื่อตั้งรหัสผ่านครั้งแรก ซอฟต์แวร์จะแนะนำว่าไม่ควรใช้ตัวอักษรใดเป็นตัวต่อไป เพราะคาดเดาได้ง่ายเกินไป เช่น เมื่อพิมพ์ตัว "t" จะแนะนำว่าไม่ควรใช้ตัว "h", "o", และ "v" ต่อ เพราะพบบ่อยในภาษาอังกฤษ

ผมอ่านแนวคิดของงานวิจัยนี้แล้ว มันคือการกลับข้างของ "คีย์บอร์ดแม่นแม่น" ที่พยายามแนะนำว่าคนทั่วไปมักพิมพ์ตัวอักษรใดเป็นตัวต่อไปนั่นเอง

Telepathwords เป็นงานวิจัยร่วมระหว่างนักวิจัยของไมโครซอฟท์และนักศึกษาปริญญาเอกจากมหาวิทยาลัย Carnegie Mellon (รายชื่ออยู่ในที่มา)

ที่มา - Telepathwords, Schneier on Security

Hiring! บริษัทที่น่าสนใจ

Bangkok Payment Solutions Co., Ltd.

Our primary focus is in e-payment and card technologies.

Arise by INFINITAS

A joint venture between Thai financial technology company, INFINITAS by Krungthai, and Accenture

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

Comments

By: panurat2000

on 7 December 2013 - 00:55 #663007

เป็นปัญหาที่ยังแก้ไม่ตกของ แม้ที่ผ่านมาจะมีกระบวนการ "วัด" ความแข็งแรงของรหัสผ่าน

เป็นปัญหาที่ยังแก้ไม่ตกของ ?

เช่น เมื่อพิพม์ตัว "t" จะแนะนำว่าไม่ควรใช้ตัว "h", "o", และ "v" ต่อ

พิพม์ => พิมพ์

By: gab

on 7 December 2013 - 02:53 #663020

คุณลิ่วเปรียบเทียบได้ชัดเจนมาก มันเป็นด้านตรงข้ามกันเลยที่เดียว

By: btoy

on 7 December 2013 - 07:22 #663026

คนถอดรหัสก็เก่งนี่แหละ ปัญหา ^^'

..: เรื่อยไป

By: LazarusSP1

on 7 December 2013 - 20:56 #663181 Reply to:663026

GPU ก็ถอด dictionary เก่งขึ้นทุกๆวันครับ นี่ผมสามารถใช้เงิน 15000 เช่า Tesla8core จาก AWS ได้ทั้งเดือนแล้ว คิดดูว่าถ้ารหัส 10 อักษร ผมถอดได้ใน 3 ชั่วโมงโดย AWS 1 เดือนผมจะถอดรหัส username กสิกรได้กี่ hash

By: put4558350

on 7 December 2013 - 23:47 #663227 Reply to:663181

คำแนะนำจากผม สำหรับ ID ที่มความสำคัญมากๆ เช่นเรื่องการเงิน แนะนำว่าให้ไช้ศัพท์ eng ธรรมดา 4 ถึง 5 คำ (เฉลี่ยคำละ 5-6 ตัวอักษร 4 คำก็ 20 ตัวอักษรเข้าไปแล้ว) ขั้นด้วยเครื่องหมาย 1 อย่าง และให้ตัวแรกเป็นตัวใหญ่ครับ แล้วดัดแปลงนิดหน่อยก็ใด้

ตัวอย่าง
- Spark:On:The:Roof:Top
- whO=leT=thE=doG=ouT (เอาตัวพิมพ์ใหญ่ไว้ข้างหลัง)
- ☆Send☆from☆my☆BlackBerry☆ (อันนี้ไช้ Ascii ด้วย)

จำง่าย dict ไม่เจอ และ หิน

samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: 100dej

on 7 December 2013 - 11:37 #663070

เมื่อมีคนใช้วิธีนี้เยอะ ๆ Hacker ก็จะได้แนวทางในการแกะรหัสต่อไป ^^

By: saknarak

on 7 December 2013 - 11:59 #663077

ปัญหาคือ ถ้าเชื่อคำแนะนำ แล้วได้รหัสผ่านที่จำไม่ได้ จำยาก ๆ ก็ไม่มีประโยชน์อยู่ดี หรือเปล่า

By: paween_a

on 8 December 2013 - 23:15 #663443 Reply to:663077

ใช่ครับ ปัญหาสำหรับผมก็คือถ้าโดนข้อจำกัดโน่นข้อจำกัดนี่มากเกินไป สุดท้ายก็ได้รหัสผ่านที่จำไม่ได้อีก...

By: Golflaw

on 7 December 2013 - 12:41 #663085

ผมว่าใช้วิธีใสพาสเวิร์ดเป็นภาษาท้องถิ่นดีกว่า อย่างใช้ภาษาไทยรวมกับจีนซะเลย :3 ปัญหาเหลือแค่บางเว็บไม่ยอมให้ใช้ภาษาอื่นนอกจากภาษาอังกฤษ

A smooth sea never made a skillful sailor.

By: pasuth73

on 7 December 2013 - 20:10 #663161 Reply to:663085

คีย์บอร์ดผมไม่มีภาษาจีนอะดิ :P

By: hisoft

on 7 December 2013 - 23:24 #663217 Reply to:663161

ตราบเท่าที่มีเน็ต กูเกิลช่วยท่านได้ครับ

ไปต่างประเทศก็ได้กูเกิลนี่แหละครับช่วยพิมพ์ไทย (- -)d

By: Virusfowl

on 11 December 2013 - 17:55 #664153

อ่านแล้วหลอน เดี๋ยวนี้รหัส 10 ตัวถอดได้ภายใน 3hr แล้วเหรอเนี่ย... ต่อไปขั้นต่ำต้องเป็น 20 ตัวแล้วมั้งเนี่ย :O

@ Virusfowl

I'm not a dev. not yet a user.

Main menu