บางคนเวลาตั้งพาสเวิร์ดแล้วคิดไม่ออกก็เอาง่ายเข้าว่า เห็นตัวเลขหรืออะไรง่ายๆ ใกล้ตัวก็จับมาตั้งเสียอย่างนั้น จึงเป็นที่มาของการจัดอันดับพาสเวิร์ดยอดแย่ประจำปีจาก SplashData บริษัทพัฒนาซอฟต์แวร์เกี่ยวกับระบบรักษาความปลอดภัย ได้ออกมาเปิดเผยจำนวนพาสเวิร์ดที่ถูกแฮ๊คมากที่สุดในรอบปี ซึ่งมีมากกว่า 2 ล้านรหัสผ่าน
25 อันดับพาสเวิร์ดยอดแย่ประจำปี 2015
การจัดอันดับนั้นจะเรียงตามลำดับความนิยมในการตั้งพาสเวิร์ดของแต่ละปี ซึ่งอันดับหนึ่งในปี 2015 ได้แก่ 123456 ซึ่งยังคงเป็นพาสเวิร์ดยอดนิยมไม่เปลี่ยนแปลง อันดับสองอย่าง password ก็เช่นเดียวกัน แต่ที่น่าสนใจคือ 5 อันดับสุดท้ายที่โผล่เข้ามาในโพลอย่าง solo, starwars เรียกได้ว่ากระแสของภาพยนตร์อมตะนิรันดร์กาลอย่าง Star Wars นั้นฟีเวอร์จนทำให้คนตั้งพาสเวิร์ดกันเลยทีเดียว
อย่างไรก็ตามการจัดอันดับเช่นนี้ก็เพื่อให้ผู้คนตื่นตัวและหันมาสนใจเรื่องความปลอดภัยในการตั้งพาสเวิร์ดกันมากขึ้น เพราะปัจจุบันเราจัดเก็บข้อมูลต่างๆ ไว้บนอุปกรณ์อิเล็คทรอนิกส์ หรือพวก Cloud Storage กันมากขึ้น รวมถึงบางคนก็มีการทำธุรกรรมการเงินผ่านสมาร์ทโฟน ดังนั้นพาสเวิร์ดก็เปรียบเสมือนประตูบ้านที่ต้องล๊อคไว้ให้แน่หนา ไม่อย่างนั้นอาจจะถูกโจรขโมยของสำคัญไปได้ค่ะ 😀
Source: gizmodo
starwars แรงจริง ตบ trustno1 ตกอันดับไปเลย
สมงสมอง
น่าคิดตรง ไปเอาฐานข้อมูลมาจากไหน เอามาได้อย่างไร
ยิ่งเป็น บริษัทรักษาความปลอดภัย ยิ่งน่าคิด ว่า ไม่ปลอดภัย เพราะดึงมาทำวิจัยตีแผ่ได้
แล้วใครจะรับประกันได้ว่า ไม่เอาไปทำอย่างอื่น
ทำโพลหรือทำเซอร์เวย์มาก็ได้แล้วมั๊ง
หรือขอให้เจ้าของบริการต่างๆที่ต้องใช้พาสเวิร์ดqueryข้อมูลมาแต่password แล้วเอามานับตัวซ้ำก็น่าจะได้อยู่แล้ว ไม่ถือเป็นการให้ข้อมูลลูกค้าด้วยเพราะให้ไปแต่passwordอย่างเดียว ไม่ได้ระบุข้อมูลอื่น
1. Password ไม่ได้ถูกเก็บไว้แบบ plain text ครับ
มันถูกเข้ารหัส ก่อนที่จะเก็บลงฐานข้อมูล เอามาเช็คซ้ำไม่ได้
หรือถ้าใช้การเข้ารหัสห่วย ๆ ที่ทำให้เซ็คซ้ำได้ ก็ไม่รู้อยู่ดีว่าที่ซ้ำนะ ข้อความจริงมันคืออะไร
2. การให้มาแต่รหัสผ่านอย่างเดียว ก็สามารถ hack ได้ครับ
เช่น เว็บ droidsans บอกว่า มีสมาชิกท่านนึงใช้ password "ilovaiPhone6s"
เราก็แค่ลองล็อกอิน รหัสผ่านนี้ กับ user ทั้งหมด ก็แค่นั้นเอง (Username ไม่ถือว่าเป็นความลับ)
ส่วนวิธีการนั้น ก็ขึ้นอยู่กับ Hacker ว่าจะกดด้วยมือทีละคน หรือเขียนโปรแกรมมา hack
3. ถึง password จะถูกเข้ารหัสไว้ก็ตาม ก็ไม่ควรให้ฐานข้อมูลที่เก็บ password กับผู้อื่นอยู่ดี
ทำโพล หรือ เซอร์เวย์ เอาง่ายง่าย มีใครมาถาม พาสคุณ คุณจะบอกไหม เขาอ้างว่าเอาไปทำวิจัย ไม่ได้ ขอ user nameด้วย คุณเองจะบอกไหมครับ
ส่วน database ที่เข้า รหัส แม้แต่ผู้ดูแลเอง ยังไม่ควรรู้ของ ผู้อื่นเลย เวลา ลืมพาส การทำได้คือ reset ใหม่ ส่งไปทางเมล์ ไม่มีการ เมล์ไปบอกพาสเก่า ถ้าแบบนั้น ระบบ น่ากลัว
ผมคิดแบบนี้นะ เราๆ ก็รู้อยู่แล้วว่าพาสอะไร ง่าย คนใช้เยอะ ไม่ต้องออกมาแจงหรอก การที่ออกมาแบบนี้ ทำให้ บริษัทเขา โดนลดความเชื่อถือเสียมากกว่า นอกจากเขาจะมีเหตุผล อธิบายถึงที่มาที่ไป ที่สมเหตุผล นะ ผมคิดแบบนี้
แบบง่าย ๆ….อ่านเป็นความรู้นะ อย่างเอาไปใช้
วิธีการจริง ๆ อาจจะเป็นแบบอื่นที่มีประสิทธิภาพมากกว่านี้
ลองใช้ password "123456" กับ username ทุกอันที่มีในระบบดูสิ
แล้วนับจำนวนว่า hack (login) สำเร็จกี่ ID
จากนั้น ก็ลองกับ รหัสผ่านอื่น ๆ ไปเรื่อย ๆ
ก็จะได้สถิติแล้ว่า เว็บนั้น หรือระบบนั้น มีรหัสผ่านกาก ๆ แต่ละตัวอยู่เท่าไร
พาสก็ง่ายๆ แต่ชื่อยูเซอร์นี้สิ 555+ พาสจำได้หมด แต่ชื่อยูเซอรืล๊อคอิน ไม่เคยจำเลย