หลักจาก Paypal มีปัญหากับแฮกเกอร์อายุ 17 ปีที่ชื่อว่า Robert Kugler ตอนนี้ Paypal ก็ออกมาชี้แจงปัญหาว่าบั๊กนี้มีการค้นพบมาก่อนแล้วโดยนักวิจัยอื่นทำให้ไม่สามารถจ่ายรางวัลให้กับ Kugler ได้เพราะจะจ่ายให้กับผู้พบคนแรกเท่านั้น

Paypal ระบุว่ากรณีนี้ทำให้บริษัทได้เรียนรู้ว่าต้องมีกระบวนการรองรับในกรณีที่ผู้พบปัญหาเป็นผู้มีอายุน้อยกว่าในเงื่อนไข และกำลังส่งจดหมายอย่างเป็นทางการไปยัง Kugler เพื่อแสดงการยอมรับว่าเขาเป็นผู้หนึ่งที่แสดงปัญหาให้ Paypal ได้รับรู้

เว็บไซต์ Drupal.org ที่เป็นชุมชนนักพัฒนา Drupal ถูกแฮกเกอร์เจาะเข้าไปอ่านฐานข้อมูลชื่อผู้ใช้, อีเมล, ประเทศ, และรหัสผ่านที่แฮชแล้วออกมาทั้งหมด ทีมงานกำลังสอบสวนว่ามีข้อมูลอื่นหลุดไปหรือไม่ แต่ขณะนี้ผู้ใช้ทุกคนจะต้องรีเซ็ตรหัสผ่านใหม่ทันทีที่ล็อกอิน

รหัสผ่านบน Drupal.org ทั้งหมดเข้ารหัสแบบแฮชและมีการเติมค่า salt เพื่อป้องกันการย้อนกลับรหัสผ่าน แต่มีรหัสผ่านในบัญชีเก่าอาจจะไม่มีค่า salt ผู้ใช้ที่ใช้รหัสซ้ำกับบริการอื่นจึงควรเปลี่ยนรหัสบนบริการอื่นด้วยเพื่อความปลอดภัย (และควรฝึกเลิกใช้รหัสซ้ำกันไปพร้อมกัน)

Paypal มีโครงการให้จ่ายเงินรางวัลสำหรับการค้นพบช่องโหว่ความปลอดภัยมาเกือบหนึ่งปี มีการค้นพบบั๊กและจ่ายเงินไปบ้าง แต่บั๊กล่าสุดกลับมีปัญหาเพราะเงื่อนไขอายุของผู้พบบั๊กไม่ถึงเกณฑ์

Robert Kugler นักเรียนอายุ 17 ปีเป็นผู้พบบั๊กในช่องค้นหาของ Paypal ที่สามารถใส่อินพุตเป็นจาวาสคริปต์เพื่อให้รันสคริปต์ได้ตามกำหนด แต่ข้อกำหนดของทาง Paypal ระบุให้ผู้รับรางวัลได้จะต้องมีอายุอย่างต่ำ 18 ปีขึ้นไป ความรำคาญระเบียบข้อนี้ทำให้ Kugler นำบั๊กนี้ออกประกาศสู่สาธารณะ

ในบรรดากระบวนการเข้ารหัสนั้น เราอาจจะบอกได้ว่าการเข้ารหัสแบบกุญแจสมมาตร (symmetric key) ที่เป็นกระบวนการการเข้ารหัสที่ทั้งสองฝ่าย มี “ความลับ” ร่วมกันอยู่ก่อน เมื่อส่งข้อมูลจริงแล้วจึงใช้ความลับนั้นถอดรหัสผ่านออกมาได้จึงได้ข้อความที่อ่านออกมาได้

กระบวนการป้องกันข้อความที่เป็นความลับนั้นมีมานานนับย้อนไปได้ถึงสมัยจูเลียส ซีซาร์ ที่อาศัยการสลับตัวอักษรด้วยตารางที่เป็นความลับ โดยทุกตัวในตารางจะมีตัวแทนของตัวเองทั้งหมด


Thai Netizen Network (TNN - @thainetizen) ออกหนังสือ คู่มือพลเมืองเน็ต: เข้าใจเน็ต และใช้เน็ตให้ปลอดภัย เป็นหนังสือคู่มือที่ผมและคุณสฤณี อาชวานันทกุล (@Fringer) เขียนร่วมกันเพื่อเผยแพร่ความรู้ให้ผู้ใช้ทั่วไปนะครับ ภายในจะอธิบายถึงกระบวนการเข้ารหัส การสังเกตเว็บเข้ารหัส การรักษารหัสผ่าน และความรู้อื่นๆ ที่จำเป็นเพื่อการใช้อินเทอร์เน็ตอย่างปลอดภัย

หลายเว็บทุกวันนี้จะมีมิเตอร์วัดความแข็งแรงของรหัสผ่านเพื่อจูงใจให้ผู้ใช้ตั้งรหัสผ่านให้ยากขึ้นกว่าเดิม แม้มิเตอร์นี้จะเตือนคนที่ระวังตัวได้ว่าให้ตั้งรหัสผ่านที่คาดเดาได้ยาก แต่ไม่เคยมีการศึกษาในวงกว้างว่ากับคนทั่วไปแล้วรหัสผ่านนั้นเดายากง่ายเพียงใดเทียบกับรหัสผ่านที่ไม่มีมิเตอร์บอกระดับความแข็งแรง

ทีมวิจัยร่วมระหว่างมหาวิทยาลัยแคลิฟอร์เนียเบิร์กลีย์, มหาวิทยาลัยบริติชโคลัมเบีย, และไมโครซอฟท์ ร่วมกันทำวิจัยวัดผลของการใส่มิเตอร์วัดความแข็งแรงเช่นนี้ลงในหน้าตั้งรหัสผ่าน โดยการทำหน้าเว็บพอร์ทัลสำหรับนักศึกษาของมหาวิทยาลัยบริติชโคลัมเบียให้แจ้งนักศึกษาให้เปลี่ยนรหัสผ่าน

ช่วงหลังๆ เราได้เห็นรายการการเจาะฐานข้อมูลเว็บไซต์จำนวนมาก และรหัสผ่านมักหลุดออกมาสู่สาธารณะ แม้รหัสผ่านเหล่านี้จะแฮชเอาไว้แล้วก็ตามแต่ก็มักจะถูกแกะออกมาได้ในภายหลังด้วยการไล่ค่าที่เป็นไปได้ทั้งหมด ข้อเสนอใหม่จาก Ari Juels และ Ronald L. Rivest (ตัว R ใน RSA) เสนอแนวทางการตรวจจับการใช้รหัสผ่านที่หลุดออกไปในชื่อว่า "Honeywords"

ความสามารถสำคัญของคอมพิวเตอร์คือการทำตามคำสั่งที่ชัดเจนได้อย่างแม่นยำและคาดเดาผลลัพธ์ได้เป็นอย่างดี แต่ในโลกความเป็นจริง กระบวนการอย่างหนึ่งที่สำคัญมากคือการ "มั่ว" ที่ในแม้แต่มนุษย์เราเองก็ยังทำได้ลำบาก เราอาจจะขอให้ใครสักคนมั่วตัวเลขอะไรก็ได้สักสี่หลักให้เรา แต่เราอาจจะพบว่าเมื่อเราขอให้คนจำนวนมากๆ สุ่มเลข เราอาจจะพบว่าเลขที่เราได้มักเป็นเลขที่เราใช้งานบ่อยๆ เช่น "1234", "0000", หรือ "1111"