เคยมั้ยครับ ..
บริษัทออกนโยบายบังคับให้เราตั้ง Password ใหม่ทุก ๆ 6 เดือน แล้วยังมาบังคับอีกว่า Password จะต้องมีตัวเล็ก ตัวใหญ่ ตัวเลข เครื่องหมาย รวมกันไม่น้อยกว่า 8 ตัว และห้ามซ้ำกับของเดิม เฮ้อ…..
นโยบายแบบนี้ เพื่อหวังว่า ผู้ใช้หรือลูกค้า จะให้ความร่วมมือ ตั้ง Password ที่อยู่นอก Dictionary แต่นโยบายแบบนี้ก็ถูกผู้ใช้ตลบหลังด้วย P@ssw0rd1, P@ssw0rd2, P@ssw0rd3 ไล่ไปเรื่อย ๆ โจรก็เดา Password ได้ในที่สุด แล้วข้อมูลก็ถูกขโมย ธุรกิจก็เสียหาย
ไม่ต้องพูดถึงองค์กรที่ไม่มีนโยบายบังคับเรื่อง Password และปล่อยให้ผู้ใช้ตั้ง Password กันตามใจชอบ โอกาสโจรแอบ Logon เข้าระบบด้วยการเดา Password เป็นไปได้สูงมาก
ทีนี้จะตั้ง Password อย่างไร ให้ปลอดภัย "จริง ๆ "
หลักคิดคือ จะติดกล้องที่ไหน อย่าถามตำรวจ ให้ถามโจร ดังนั้น จะตั้ง Password อย่างไรให้ปลอดภัยจากโจร ก็ต้องรู้ว่า โจรเดา Password ของเราถูกได้อย่างไร
วิธีการเดา Password แบบ Dictionary Attack แบบใช้คำในพจนานุกรมนั้น เก่าแล้วครับ ตอนนี้ใน Dictionary ของโจร มี Password ใช้บ่อยด้วย เช่น P@ssw0rd หรือ 1q2w3e4r หรือ 1234567890 พวกนี้ไม่อยู่ในพจนานุกรม แต่มาจาก Password ของจริงที่รั่วไหลมาจากผู้ให้บริการหลายแห่งครับ
ลองค้นคำว่า Google password leak หรือ Facebook password leak หรือ Hotmail password leak แล้วลองอ่านข่าวกันดู จะเห็นว่า Password รั่วกันปีละเป็นพันล้าน คนบนโลกนี้ตั้ง Password อะไรกันบ้าง โจรเดาทางออกได้หมดโดยศึกษาจากฐานข้อมูลที่รั่วไหลพวกนี้
ก้าวหน้าไปกว่านั้น คำที่ใช้บ่อยใน Search Engine ก็เป็นอีกฐานข้อมูลที่โจรเอามาประกอบใน Dictionary เช่นกัน เช่นคำว่า isylzjko ที่มาจากการพิมพ์คำว่า รหัสผ่าน บนแป้นพิมพ์อังกฤษ คำนี้ก็อยู่ใน Dictionary ที่โจรใช้เหมือนกัน
ใครสนใจงานวิจัยเรื่องนี้ ไปอ่านต่อกันที่นี่ ครับ
อันนี้ขำ ๆ ลองโหลด Password Dictionary (10 ล้าน Password) จากที่นี่ โหลดมาแล้วลองค้นดูว่า Password ที่คุณใช้อยู่นั้น อยู่ใน Dictionary หรือไม่
สรุปว่า Password Dictionary ของโจร ก็คือ คำภาษา + Password ใช้บ่อย + คำ Search บ่อย
ดังนั้น ลองมาพิสูจน์ว่า รหัสผ่านของเราปลอดภัยหรือไม่ ก็ลองนำรหัสผ่านของเรา ไปค้นจาก Google แล้วดูเนื้อหาว่า Search Result ตรงกับคำที่เราพิมพ์หรือไม่ เช่น พิมพ์ว่า isylzjko (รหัสผ่าน บนแป้นอังกฤษ) แล้วได้ผลการค้นหาเป็นหน้า web ที่เกี่ยวกับรหัสผ่าน คำนี้ถือว่าใช้ไม่ได้
ลองค้นคำว่า dkig,nv’ (การเมือง บนแป้นอังกฤษ) แล้ว Google แสดงผลการค้นหาเป็นหน้า web การเมือง คำนี้ไม่ใช่รหัสผ่านที่ดีเช่นกัน
ลองค้นคำว่า 8iy;ginvo (ครัวเรือน บนแป้นอังกฤษ) ปรากฎว่า Google ไม่ได้พบอะไรที่ตรงกับคำว่า “ครัวเรือน” ที่พิมพ์บนแป้นอังกฤษ รหัสผ่านแบบนี้ใช้ได้ครับ
คำไทย-พิมพ์แป้นอังกฤษ ก็พอจะสร้างรหัสผ่านยาก ๆ แบบจำง่าย เอาไว้ใช้ทุก ๆ 6 เดือนได้ อาจจะเติมตัวเลขหรือเครื่องหมายให้มันครบเงื่อนไขอีกนิดหน่อย แต่ก็มีหลายคำที่ Google สามารถเดาความหมายออกได้ ซึ่งถ้า Google หาเจอ โจรก็หาเจอเช่นกัน
แต่ผมมีวิธีผลิต Password ที่ได้ผลดีกว่า Google Search ไม่ค่อยเจอครับ ลองวิธีนี้ครับ คำอังกฤษ-อ่านไทย-พิมพ์แป้นอังกฤษ
ลองค้นคำว่า rklg;biNf ซึ่งมาจาก password -> พาสเวิร์ด -> rklg;biNf ผลการค้นหาจะไม่มีอะไรเกี่ยวกับ password หรือ รหัสผ่าน
ลองค้นคำว่า Fr]b9bd ซึ่งมาจาก Politic -> โพลิติก -> Fr]b9bd ผลที่ได้ ไม่มีอะไรเกี่ยวกับการเมือง
แนวคิดคือ ถ้าคุณทำ Google งงได้ โจรไล่คุณไม่ทันแน่นอน !!!
หากท่านต้องการปรึกษาเพื่อให้ทางออพติมุสแนะนำอุปกรณ์/โซลูชั่นด้านความปลอดภัยให้เหมาะสมกับองค์กรของท่าน เราพร้อมยินดีให้คำปรึกษาติดต่อแผนก Marketing
02-2479898 ต่อ 87
