ปัญหารหัสผ่าน LinkedIn ที่ถูกแฮ็กในปี 2012 ออกสู่สาธารณะ ไม่ได้ส่งผลกระทบแค่การแฮ็กบัญชี Twitter ของคนดัง Mark Zuckerberg เท่านั้น แต่มันจะส่งผลให้การถอดค่าแฮชรหัสผ่านมีประสิทธิภาพขึ้นอีกมาก

Jeremi M Gosney นักแกะรหัสผ่านชื่อดัง เขียนบทความลงเว็บ Ars Technica ว่าในปี 2012 เขาและทีมงานได้แกะค่าแฮชของรหัสผ่าน LinkedIn ที่ถูกเผยแพร่จำนวน 6.4 ล้านรหัส และสามารถถอดแฮชได้ถึง 90% ของทั้งหมดในเวลาเพียง 1 สัปดาห์ รอบนี้รหัสผ่านที่เผยแพร่ออกมามีขนาดใหญ่กว่ากันมาก (177.5 ล้านรหัสผ่าน) ซึ่งแทบจะเป็นข้อมูลของผู้ใช้ LinkedIn ทุกราย ในช่วงปี 2012 เลยทีเดียว

Gosney บอกว่าข้อมูลก้อนนี้ของ LinkedIn ถือเป็นฐานข้อมูลรหัสผ่านที่ใหญ่ที่สุดที่เคยหลุดออกสู่สาธารณะ และกระบวนการแคร็กรหัสผ่านแบบมืออาชีพนั้นเป็น feedback loop คือยิ่งมีข้อมูลเยอะ ยิ่งแกะได้ง่ายขึ้นเพราะรู้โครงสร้างของฟังก์ชันแฮช รวมถึงเรียนรู้พฤติกรรมการตั้งรหัสผ่านของผู้ใช้ ในระยะยาวแล้ว นักแกะรหัสผ่านทั้งหลายจะใช้ฐานข้อมูลหลุดก้อนนี้เป็นฐานสำหรับการเดารหัสผ่านในอนาคตได้ง่ายขึ้นมาก

Gosney วิจารณ์ LinkedIn ในตอนนั้นว่าชักช้าไม่ยอมแจ้งให้ผู้ใช้รีเซ็ตรหัสผ่าน และสุดท้ายก็แจ้งผู้ใช้เพียงบางกลุ่ม แทนที่จะแจ้งผู้ใช้ทั้งหมด เขายังแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่าน LinkedIn ทันที และเปลี่ยนรหัสผ่านของบริการออนไลน์อื่นๆ ที่ใช้รหัสซ้ำกับ LinkedIn รวมถึงเปิดใช้งาน two-step verification ด้วย

ที่มา - Ars Technica, อ่านเพิ่มเรื่องการแฮชรหัสผ่านได้จากหนังสือ "ความปลอดภัยคอมพิวเตอร์พื้นฐาน"