บทความจาก @WonJuJub ในโลก Internet หรือระบบคอมพิวเตอร์ต่างๆ มักจะใช้ password เป็นสิ่งที่ยืนยันตัวตนของผู้ใช้งาน ดังนั้น เจ้าของ password จะเป็นผู้เดียวที่สามารถเข้าไปใช้งานข้อมูลและบริการต่างๆ ของระบบได้ตามสิทธิที่ได้รับและจะต้องรับผิดชอบในทุกๆ การกระทำที่เกิดขึ้น การรักษา password ให้เป็นความลับและไม่บอกต่อให้ใครรู้เป็นสิ่งที่ต้องทำ แต่ก็ยังไม่เพียงพอเพราะผู้ไม่ประสงค์ดียังคงสามารถสวมรอยเข้าใช้งานระบบแทนตัวคุณได้ ซึ่งคุณจะอาจถูกปรับหรือติดคุกได้ตาม พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2550 โดยที่คุณอาจไม่ได้เป็นคนกระทำผิดเอง แต่ต้องกลายเป็นแพะรับบาป! โดยใช้เทคนิค“Password Attack” เพื่อค้นหา password ที่ถูกต้องของคุณได้ หากท่านตั้ง password ที่ง่ายต่อการคาดเดา
“Password Attack” มีด้วยกัน 2 รูปแบบ คือ
1. Dictionary Attack
เป็นการสุ่มเดา password จากไฟล์ที่มีการรวบรวมคำศัพท์ต่างๆ ที่อยู่ใน Dictionary และคำศัพท์ที่พบบ่อยๆ อีกมากมายซึ่งเรียกว่า “Word list” ดังแสดงในรูปประกอบ โดยโปรแกรมเหล่านี้มีความถี่ในการเดา password อย่างน้อย 1 ล้านคำต่อวินาที ดังนั้น หากตั้ง password แบบง่ายๆ ที่มีอยู่ใน Word list นี้ ก็มีสิทธิถูกเดา password ได้อย่างง่ายดายและรวดเร็ว บางครั้งอาจจะพบ password ภายในไม่เกิน 5 วินาที
2. Brute force Attack
เป็นการเดา password ทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก
ตัวอย่าง ATM Pin code มีจำนวน 4 หลัก แต่ละหลักสามารถตั้งค่าตัวเลข 0 – 9 ดังนั้น ในแต่ละหลักมีความเป็นไปได้ 10 วิธี เพราะฉะนั้น 4 หลักจึงมีความเป็นไปได้ทั้งหมด 10,000 วิธี….โปรแกรมจะทำการไล่ตัวเลขจาก 0000 ไปจนถึง9999 ครบทั้งหมื่นวิธี ซึ่งแสดงให้เห็นว่า ในที่สุดจะได้ password ที่ถูกต้อง
ดังนั้น Brute force attack จึงเป็นวิธีที่จะสามารถหา password ที่ถูกต้องได้อย่างแน่นอน เพียงแต่ขึ้นอยู่กับระยะของเวลาของการสุ่มหา จะมากหรือน้อยขึ้นอยู่กับความซับซ้อนของการตั้ง password
เพื่อป้องกันภัย “Password Attack” ทั้ง 2 รูปแบบข้างต้น ดังนั้น คุณควรตั้ง password ให้มีความซับซ้อนเพิ่มมากยิ่งขึ้น โดย password ที่ดีไม่ควรเป็นคำศัพท์อยู่ใน dictionary และควรมีความยาวอย่างน้อย 8 ตัวอักษร, ผสม 3 ใน 4 แบบ และเปลี่ยนเป็นประจำอย่างน้อยทุกๆ 90 วัน (เพื่อป้องกัน Brute force Attack)
การตั้ง Password ที่ดีควรประกอบด้วย
Lowercase Alphabet หรือตัวอักษรภาษาอังกฤษตัวเล็ก
เช่น a b c d …
- Uppercase Alphabet หรือตัวอักษรภาษาอังกฤษตัวใหญ่
เช่น A B C D … - Numeric หรือ ตัวเลข
เช่น 1 2 3 4 … - Special Character หรือ อักขระพิเศษ
เช่น ! @ # $ % ^ & * ( ) [ ] – _ +
การตั้ง Password ที่มีความซับซ้อนมากยิ่งขึ้นเป็นสิ่งที่ดี แต่หลายคนคิดว่าการผสม 3 ใน 4 แบบและต้องยาว 8 ตัวเป็นเรื่องที่ยากต่อการจดจำ ดังนั้น เพื่อเพิ่มความสะดวกต่อผู้ใช้งานมากยิ่งขึ้น
เทคนิคการตั้ง Password คือ ตั้งให้ยากแต่จำง่าย
1. การตั้งแบบ Passphrase เนื้อเพลงโปรด, ประโยคเด็ด
ตัวอย่าง love me love my dogs 1986
ผลลัพธ์ LoveMeLoveMyDogs1986
2. การแทนที่ตัวอักษร (Replacement)
ตัวอย่าง LoveMeLoveMyDogs1986
ผลลัพธ์ L0veMeL0veMyDog$1986
หมายเหตุ ตัวอักษรสีแดงเป็นตัวอักษรที่ถูกแทนที่ “โอ” ด้วย “ศูนย์ ” และ “เอส ” ด้วย “$”
3. การกด Shift ขณะพิมพ์
ตัวอย่าง LoveMeLoveMyDogs1986
ผลลัพธ์ LovEMeLovEMyDogS!(*^
หมายเหตุ ตัวอักษรสีน้ำเงิน แสดงตัวอักษรภาษาอังกฤษตัวเล็กเป็นตัวใหญ่
และตัวเลขเป็นอักขระพิเศษ
ตัวอย่าง LoveMeLoveMyDogs1986
ผลลัพธ์ LovEMeLovEMyDogS!(*^
หมายเหตุ ตัวอักษรสีน้ำเงิน แสดงตัวอักษรภาษาอังกฤษตัวเล็กเป็นตัวใหญ่
และตัวเลขเป็นอักขระพิเศษ
4. การดูแป้นไทยในขณะที่ keyboard เป็นภาษาอังกฤษ
ตัวอย่าง จะพิมพ์คำว่า “รักนะเด็กโง่จุ๊บส์ๆ”
ผลลัพธ์ iydotgfHdF’j06U[lNq
ตัวอย่าง จะพิมพ์คำว่า “รักนะเด็กโง่จุ๊บส์ๆ”
ผลลัพธ์ iydotgfHdF’j06U[lNq
หมายเหตุ ตัวอักษรสีแดงซึ่งเป็นการผสมอักษรที่ยากต่อการคาดเดา แต่สามารถจำได้ง่ายเพียงแค่จำภาษาไทย
ข้อควรระมัดระวัง! ท่านอาจจะไม่สะดวกในกรณีที่ Keyboard ไม่มีแป้นไทยและไม่สามารถพิมพ์สัมผัส เช่น อุปกรณ์โทรศัพท์ PDA, Smartphone
ทดสอบความแข็งแรงของ Password ได้ที่: https://www.microsoft.com/protect/fraud/passwords/checker.aspx
แนะนำว่าอย่างน้อยควรต้องได้ระดับ Strong ขึ้นไป
ไม่มีความคิดเห็น:
แสดงความคิดเห็น