นักวิจัยด้านความปลอดภัยได้ทำการศึกษาโดยป้อนพาสเวิร์ดมากกว่า 15.6 ล้านพาสเวิร์ดในโปรแกรมถอดรหัสที่ใช้ AI ในการทำงานชื่อ “PassGAN” พบว่าความเป็นไปได้ที่จะถอดพาสเวิร์ดได้ในเวลา 1 นาทีของ Password ทั่วไปมีถึง 51% แต่ก็ยังพอมีข่าวดีอยู่บ้างว่าสำหรับพาสเวิร์ดที่มีความยาว 18 อักขระโดยมีเฉพาะตัวเลขอย่างเดียวจะใช้เวลาราว 10 เดือน และถ้าเป็น พาสเวิร์ดที่มีความยาว 18 อักขระเท่ากัน แต่ประกอบไปด้วยตัวเลข ตัวอักษรพิมพ์ใหญ่ พิมพ์เล็ก และอักขระพิเศษจะใช้เวลาถึงหกล้านปีในการถอดรหัส โปรแกรม AI ตัวนี้ใช้เทคนิคที่คล้ายกับการทำ Rainbow Table Attack และใช้อัลกอริธึม Hash เช่น MD5 และ SHA-1 ในการทำงาน
Rainbow Table Attack คืออะไร
Rainbow Table Attack คือ เทคนิคในการ crack พาสเวิร์ด ด้วยการค้นหาพาสเวิร์ดเทียบกับค่า “Hash” ที่เคยมีข้อมูลมาก่อน ปัจจุบันเมื่อเราสร้างพาสเวิร์ดสำหรับบัญชีออนไลน์ต่างๆ ผู้ให้บริการบัญชีออนไลน์เหล่านั้นจะทำให้พาสเวิร์ดของเรา ผ่านกระบวนการที่เรียกว่า “การแฮช” โดยการแฮชจะแปลงพาสเวิร์ดของเราเป็นตัวอักษรและตัวเลขตามลำดับที่ไม่ซ้ำกัน กระบวนการนี้ทำให้มั่นใจได้ว่าพาสเวิร์ดของเราจะไม่ได้ถูกจัดเก็บเป็นข้อความตรงๆบนเซิร์ฟเวอร์ ซึ่งเป็นการเพิ่มความปลอดภัยขึ้นอีกชั้นหนึ่งนั่นเอง
แต่อย่างไรก็ตาม Hacker จะใช้วิธีที่เรียกว่า “Rainbow table Attack” โดยพยายามหาพาสเวิร์ดจาก Hash แทนที่จะพยายามเดาพาสเวิร์ดของเราโดยตรง แฮกเกอร์จะใช้ตารางสำเร็จรูปที่เรียกว่า “Rainbow Table” ซึ่งตารางนี้ประกอบด้วยรายการพาสเวิร์ดที่เป็นไปได้และค่าแฮชที่เกี่ยวข้องจำนวนมากในตาราง
ผู้โจมตีจะเปรียบเทียบค่าแฮชของพาสเวิร์ดที่ถูกขโมยกับรายการที่อยู่ในตาราง Rainbow Table นี้ ซึ่งหากตรงกันก็จะทำให้แฮกเกอร์สามารถย้อนกลับเพื่อคาดการณ์ Password เดิมได้
ปัจจุบันเพื่อป้องกันการโจมตีจากเรนโบว์เทเบิล จึงมีการเสริมอีกหลายเทคนิคเข้าไป เช่นการเพิ่มค่าสุ่มที่เรียกว่า “salt” ให้กับพาสเวิร์ดแต่ละอันก่อนที่จะทำการแฮช นั่นจะทำให้ค่าแฮชไม่ซ้ำกันแม้ว่าจะใช้พาสเวิร์ดเดียวกันก็ตาม เป็นการเพิ่มความยากในการแฮกบนพาสเวิร์ดของเรา ดังนั้นแม้ว่าแฮกเกอร์จะมีตารางแฮชที่คำนวณไว้ล่วงหน้าแล้ว ก็จะแสดงผลไม่ตรงกับ Hash ของเรานั่นเอง
4 เคล็ดลับสำหรับแนวคิดในการคิด Password/Passphrase ที่แข็งแรง
จะเห็นได้ว่าการเลือกใช้งานพาสเวิร์ดที่ซับซ้อนมีความสำคัญ ฉะนั้นเคล็ดลับพื้นฐาน 4 ข้อเกี่ยวกับวิธีสร้างพาสเวิร์ดที่ปลอดภัย และควรคำนึงถึงทุกครั้งคือ
- คำนึงถึงความยาว (จำนวนอักขระที่ใช้) : ความยาวพาสเวิร์ดเป็นสิ่งสำคัญมากเมื่อสร้างพาสเวิร์ดที่ปลอดภัยจริงๆ สัญลักษณ์อักขระและสัญลักษณ์เพิ่มเติมแต่ละตัวในพาสเวิร์ดจะเพิ่มจำนวนชุดค่าผสมที่เป็นไปได้แบบทวีคูณ แนะนำว่าพาสเวิร์ดควรมีความยาวอย่างน้อย 12 ตัวอักขระ
- สร้างพาสเวิร์ดที่มีความเฉพาะ : หลีกเลี่ยงการใช้คำทั่วไป เช่น “qwerty” ตามแป้นพิมพ์, “password” หรือ “123456” พาสเวิร์ดเหล่านี้เป็นหนึ่งในพาสเวิร์ดที่มีคนใช้มากที่สุดในโลก ดังนั้นจึงเป็นพาสเวิร์ดที่มีประโยชน์น้อยที่สุด ในคำแนะนำเพิ่มเติมอีกประการคือ ควรสร้างพาสเวิร์ดที่แตกต่างกันสำหรับแต่ละบัญชี เนื่องจากการใช้พาสเวิร์ดซ้ำ แม้ว่าพาสเวิร์ดจะปลอดภัย ก็จะทำให้ไม่ปลอดภัยอีกต่อไป
| Password | คาดการณ์จำนวนคนใช้ | เวลาที่ hacker ใช้แฮก |
| “password” | 4.9 ล้านคน | < 1 วินาที |
| “123456” | 1.5 ล้านคน | < 1 วินาที |
| “123456789” | 413,000 คน | < 1 วินาที |
| “guest” | 376,000 คน | < 1 วินาที |
| “qwerty” | 309,000 คน | < 1 วินาที |
- อย่าใช้ข้อมูลส่วนบุคคลเป็นรหัสผ่าน : การใช้ข้อมูลส่วนบุคคล เช่น ชื่อเล่น วันเกิด หรือชื่อสัตว์เลี้ยงเป็นพาสเวิร์ด ทำให้แฮกเกอร์สามารถถอดรหัสได้ง่ายขึ้นเพียงแค่ส่องจากโซเชียลมีเดีย Facebook, IG เป็นต้น
- พยายามสร้างพาสเวิร์ดให้มีตัวอักษรพิมพ์ใหญ่ พิมพ์เล็ก ตัวเลข และอักขระพิเศษ: การรวมอักขระประเภทต่างๆ ในพาสเวิร์ดเดียวกันจะเพิ่มจำนวนชุดค่าผสมที่เป็นไปได้อย่างมากในการคาดเดา
MFA (Multi Factor Authentication): การป้องกันเพิ่มเติมสำหรับความปลอดภัยขั้นสุด
การใช้พาสเวิร์ดที่แข็งแรง ซับซ้อนคาดเดาได้ยาก สามารถเป็นกุญแจสำคัญในการหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีแม้ผ่าน Rainbow Table Attack เนื่องจากพาสเวิร์ดเหล่านี้จะไม่ปรากฏในตารางการโจมตีเรนโบว์ และแฮกเกอร์หรือ AI ก็ไม่สามารถถอดรหัสได้ง่ายด้วยวิธีนี้
อย่างไรก็ตาม เพื่อให้แน่ใจว่าข้อมูลประจำตัวของเราได้รับการปกป้อง รวมถึงปัจจุบันการใช้มือถือหรือ Device ต่างๆ ไม่ได้มีแค่การใช้งานส่วนตัวเท่านั้น การใช้งานร่วมกับ App ต่างๆ ของออฟฟิส ก็มีมากขึ้นตั้งแต่ช่วง Covid ที่ผ่านมา มีการ Work form Anywhere มากขึ้น ซึ่งการเข้าถึงระบบของที่ออฟฟิสนั้นเราสามารถนำเสนอการยืนยันตัวตนแบบหลายปัจจัย MFA(Multi Factor Authentication) เพื่อตรวจสอบและทำให้มั่นใจได้ว่าคำขอการเข้าถึง app ต่างๆ นั้นมาจากผู้ใช้ที่ถูกต้องนั่นเอง
ออพติมุสนำเสนอ Solution จาก WatchGuard ที่มีการออกแบบและพัฒนาโซลูชั่น Multi-factor Authentication ชื่อว่า AuthPoint โดยเปลี่ยนอุปกรณ์พกพาให้กลายเป็นเครื่องมือสำหรับใช้พิสูจน์ตัวตนแทน ซึ่งโซลูชันดังกล่าวมาในรูปของแอปพลิเคชันที่รองรับการใช้งานทั้งบน Apple iOS และ Android สามารถบริหารจัดการได้อย่างง่ายดายโดยผ่านระบบ Cloud ส่งผลให้สามารถติดตั้งระบบพิสูจน์ตัวตนบนอุปกรณ์ของพนักงานได้ทั่วโลก (Work From Anywhere) รองรับการใช้งานร่วมกับอุปกรณ์บนเครือข่าย บริการออนไลน์ และ Cloud Applications หลากหลาย ที่สำคัญคือราคาย่อมเยา เนื่องจากไม่ต้องลงทุนซื้อ Hardware Tokens หรือเซิร์ฟเวอร์สำหรับบริหารจัดการเพิ่มเติม
AuthPoint ยังมี Agent สำหรับติดตั้งบน PC/Laptop ทั้ง Windows, Mac และ Linux เพื่อให้การล็อกอินเข้าเครื่อง (ไม่ว่าจะเป็นการล็อกอินผ่านหน้าเครื่องโดยตรงหรือ Remote Desktop) เป็นแบบ Multi-factor Authentication ได้อีกด้วย โดยหลังจากผู้ใช้ล็อกอินสำเร็จแล้วจะแสดงหน้าพิสูจน์ตัวตนขั้นที่สองของ AuthPoint ซึ่งรองรับการพิสูจน์ตัวตนทั้งแบบ Push Messages, One-time Password และ QR Code มั่นใจความปลอดภัยได้ขนาดนี้ สนใจหรือต้องการสอบถามข้อมูลเพิ่มเติม ติดต่อติดต่อได้ที่แผนก Marketing
Tel : 02-2479898 ต่อ 87
Email : [email protected]
เรียบเรียงเป็นภาษาไทยโดย : คุณ วุฒิชัย ปริญญานุสรณ์