Tags:
Node Thumbnail

งานวิจัยร่วมระหว่างนักวิจัยจาก Cornell, MIT, และ Dropbox เสนอแนวทางการช่วยเหลือผู้ใช้ในการพิมพ์รหัสผ่านด้วยการแก้ไขรหัสผ่านอย่างง่ายๆ ในรูปแบบที่มักพิมพ์ผิดให้กับผู้ใช้

งานวิจัยเก็บข้อมูลบน Amazon Mechanical Turk ด้วยการให้ผู้ร่วมทดลองพิมพ์รหัสผ่านที่กำหนดแล้วเก็บข้อมูลว่ามีความผิดพลาดรูปแบบใดบ้าง พบว่าความผิดพลาดเกือบครึ่งหนึ่งมาจากการพิมพ์ผิดเพียง 7 แบบ ได้แก่ สลับตัวใหญ่/เล็กทั้งหมด, สลับตัวใหญ่/เล็กเฉพาะตัวแรก, มีตัวอักษรเกินมาตอนท้าย, มีตัวอักษรเกินมาตอนต้น, ลืมพิมพ์ shift เพื่อพิมพ์สัญลักษณ์ในตอนท้าย, พิมพ์ผิดไปปุ่มข้างเคียง, และสับสนระหว่างตัวอักษรที่คล้ายกัน

ทีมวิจัยสร้างตัวแก้ไขเฉพาะความผิดพลาด 5 แบบแรกที่แก้ได้ง่าย (เพราะความผิดพลาดชัดเจน) และนำไปทดสอบบน Dropbox อยู่ 24 ชั่วโมง พบว่าผู้ใช้ที่พิมพ์รหัสผ่านผิดสามารถล็อกอินได้สำเร็จเพิ่มขึ้นถึง 9.3%

ทีมวิจัยระบุว่าแนวทางนี้ ตัวตรวจรหัสผ่านจะทดสอบค่าแฮชเพิ่มเพียงไม่กี่กรณีหากรหัสผ่านผิด ค่าแฮชที่เก็บไว้ในฐานข้อมูลยังคงมีค่าเดียวเช่นเดิม

แนวทางนี้อาจจะช่วยให้ผู้ใช้ยอมตั้งรหัสผ่านที่ซับซ้อนขึ้นเพราะไม่ต้องทนแก้รหัสผ่านเวลาผิดพลาดเล็กๆ น้อยๆ และรหัสผ่านที่แข็งแกร่งมากๆ ก็ทำให้แฮกเกอร์หารหัสผ่านได้ยากกว่ารหัสง่ายๆ เช่น "password" หรือ "123456"

ที่มา - ThreatPost, IEEE Security

alt="upic.me"

Get latest news from Blognone

Comments

By: icez
ContributoriPhoneAndroidRed Hat
on 9 June 2016 - 00:33 #918212

ถ้าเป็นแถวนี้ก็ต้องเพิ่มลืมเปลี่ยนภาษามาอีกกรณีนึง

By: Pingz
ContributoriPhone
on 9 June 2016 - 00:58 #918222

หมายถึงว่าจะยอมให้พิมพ์รหัสผิดนิดหน่อยก็สามารถ login ได้ใช่มั้ยครับ

By: mr.k on 9 June 2016 - 01:50 #918225

ผมกลัวมันจะผิดตั้งแต่ตอนตั้งนะซิ

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 9 June 2016 - 05:46 #918231

งั้นอาชญากรจะลดเวลาเดาด้วยสินะครับ...

By: darkfaty
AndroidWindows
on 9 June 2016 - 09:36 #918265 Reply to:918231
darkfaty's picture

เค้าน่าจะทำมาให้ NSA ของทุกชาติประหยัดไฟไม่ต้องใช้เวลานาน มากกว่าช่วยอาชญากรครับ

By: Holy
ContributorAndroidWindowsIn Love
on 9 June 2016 - 09:47 #918274 Reply to:918265
Holy's picture

บางประเทศมองการณ์ไกล ลดปัญหาพลังงานโดยการเอา Gateway มาตั้งขวางดักเลยครับ จะได้ไม่ต้องเดา

ปล. ผมหมายถึงเกาหลีเหนือ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 9 June 2016 - 10:16 #918288 Reply to:918231
lew's picture

มันเป็นแนวคิดลดความปลอดภัยลงในระดับที่น้อยมากๆ (กรณีใน paper คือช่วยแก้ไขแค่ 5 รูปแบบ) โดยเชื่อว่าจะทำให้คนยอมตั้งรหัสผ่านที่ดีขึ้น (ซึ่งตั้งดีขึ้นเพียงเล็กน้อย เช่นเพิ่มตัวอักษรเดียวก็ปลอดภัยกว่ามากๆ) ได้ครับ

เป็นแนวคิดเดียวกันกับ sudo บนลินุกซ์ที่ยอมให้ไม่ต้องใส่รหัสผ่านซ้ำๆ บ่อย, Android ยอมให้ตั้ง trusted device เพื่อปลดล็อกจอ, หรือกระทั่งแนวทางใหม่ๆ อย่าง GCHQ ระบุว่าไม่ต้องบังคับเปลี่ยนรหัสผ่าน

แนวคิดใหม่ๆ เริ่มตระหนักการอ้างว่า "เพื่อความปลอดภัย" จนกระทั่งการใช้งานจริงสำหรับคนทั่วไปทำได้ลำบาก สุดท้ายคนทั่วไปกลับปลอดภัยน้อยลง


lewcpe.com, @public_lewcpe

By: HMage
AndroidWindows
on 9 June 2016 - 10:27 #918294 Reply to:918288

แต่ผมก็ไม่เข้าใจว่าการช่วยแก้การพิมพ์ผิด จะช่วยให้ผู้ใช้ตั้งรหัสผ่านที่ยากขึ้นยังไงครับ

เพราะผมไม่คิดว่าผู้ใช้ตั้งรหัสง่ายๆ เพราะจะได้ "ไม่ต้องทนแก้รหัสผ่านเวลาผิดพลาดเล็กๆ น้อยๆ"
แต่ไม่ตั้งยากเพราะ "เดี๋ยวจำไม่ได้" ซึ่งก็คือจำไม่ได้ทั้งหมดเลย ไม่ใช่จำไม่ได้แค่ไม่กี่ตัว ซึ่งระบบก็ช่วยแก้ให้ไม่ได้

By: lew
FounderJusci's WriterMEconomicsAndroid
on 9 June 2016 - 10:41 #918298 Reply to:918294
lew's picture

เรื่องพฤติกรรมของผู้ใช้ว่าจะเปลี่ยนไปในระยะยาวไหมก็ต้องหาข้อมูลมาเสนอต่อไปว่าจริงไหมครับ กรณีนี้ผู้วิจัยทำแค่ 24 ชั่วโมงบนเว็บจริง เช่นเดียวกับแนวคิดการอำนวยความสะดวกอื่นๆ ที่ผมพูดถึง

อย่างกรณีในงานวิจัยชิ้นนี้ ช่วยแก้เพียง 5 กรณี มันน้อยมากๆ เทียบกับความเป็นไปได้ของรหัสผ่านทั้งหมด (แม้จะคิดที่รหัสผ่านจำกัดความยาว) แต่ช่วยทำให้ผู้ใช้ที่รู้รหัสผ่านจริงล็อกอินล้มเหลวน้อยลงได้ 9.3% มันก็พอจะบอกได้ว่าความเสี่ยงที่เพิ่มขึ้นมันจำกัดมากเทียบกับคุณค่าที่ได้มา


lewcpe.com, @public_lewcpe

By: nrml
ContributorIn Love
on 9 June 2016 - 10:41 #918299 Reply to:918294
nrml's picture

น่าจะเป็นกรณีที่ว่าแต่ละคนจะมีแพทเทิร์นการตั้งรหัสของตัวเองนะครับ ซึ่งหลายครั้งที่แพทเทิร์นนี้ต้องถูกปรับเปลี่ยนไปเล็กน้อยตามเงื่อนไขของแต่ละ service ที่เข้าใช้งาน ถ้าเป็นแบบนี้ก็น่าจะพอช่วยได้บ้างนิดนึงตาม % ที่แจ้งไว้ในบทความ

By: karyonix on 9 June 2016 - 17:44 #918360

ผมยอมพิมพ์รหัสผ่านใหม่เวลาพิมพ์ผิด ดีกว่าไปเพิ่มโอกาสให้คนอื่นเข้าถึงบัญชี
ถ้าจะช่วย แค่เตือน Caps Lock ON, Num Lock OFF และคีย์บอร์ดเป็นภาษาอะไรอยู่ แค่นั้นก็พอ
สำหรับบริการ online นะ

ในกรณีการเข้ารหัสข้อมูลที่ offline ที่ผู้เจาะมีข้อมูลที่เข้ารหัสไว้ และใช้โปรแกรมช่วยแกะรหัสผ่าน brute force อยู่แล้ว การที่โปรแกรมถอดรหัสปกติจะช่วยถอดรหัสที่ผิดเล็กน้อย ไม่ได้ช่วยให้โปรแกรมแกะรหัสทำงานเร็วขึ้น พอจะเห็นประโยชน์มากกว่าโทษ

แต่ในกรณีการเข้าบริการออนไลน์ หรือเข้าบัญชีผู้ใช้ในเครื่องคอมพิวเตอร์ โดยมีการหน่วงเวลาระหว่างการรับรหัสแต่ละครั้ง การที่รับรหัส 1 ครั้ง แล้วไปทดสอบ 5 รหัสที่ใกล้เคียง ทำให้ผู้เจาะระบบประหยัดเวลาขึ้น เป็นข้อเสีย