พอล แฮสเคลล์-ดาวแลนด์, ผู้เขียนให้ไว้
รหัสผ่านถูกใช้มาเป็นเวลาหลายพันปีเพื่อระบุตัวตนของเรากับผู้อื่นและในครั้งล่าสุดนี้กับคอมพิวเตอร์ เป็นแนวคิดที่เรียบง่าย เป็นข้อมูลที่ใช้ร่วมกัน เก็บเป็นความลับระหว่างบุคคล และใช้เพื่อ "พิสูจน์" ตัวตน
รหัสผ่านในบริบทไอที เกิดขึ้นในปี 1960 กับ เมนเฟรม คอมพิวเตอร์ – คอมพิวเตอร์ที่ทำงานจากส่วนกลางขนาดใหญ่พร้อม "เทอร์มินัล" ระยะไกลสำหรับการเข้าถึงของผู้ใช้ ตอนนี้ใช้สำหรับทุกอย่างตั้งแต่ PIN ที่เราป้อนที่ ATM ไปจนถึงการเข้าสู่ระบบคอมพิวเตอร์และเว็บไซต์ต่างๆ ของเรา
แต่ทำไมเราต้อง "พิสูจน์" ตัวตนของเราต่อระบบที่เราเข้าถึง? และทำไมรหัสผ่านจึงยากที่จะถูกต้อง?
อะไรทำให้รหัสผ่านที่ดี?
จนกระทั่งเมื่อไม่นานมานี้ รหัสผ่านที่ดีอาจเป็นคำหรือวลีที่มีอักขระเพียงหกถึงแปดตัว แต่ตอนนี้เรามีแนวทางความยาวขั้นต่ำแล้ว เป็นเพราะ "เอนโทรปี"
เมื่อพูดถึงรหัสผ่าน เอนโทรปีคือ ตัววัดความคาดหมาย. คณิตศาสตร์ที่อยู่เบื้องหลังสิ่งนี้ไม่ซับซ้อน แต่ให้ตรวจสอบด้วยการวัดที่ง่ายกว่านั้น: จำนวนของรหัสผ่านที่เป็นไปได้ ซึ่งบางครั้งเรียกว่า "ช่องว่างรหัสผ่าน"
หากรหัสผ่านหนึ่งอักขระมีอักษรตัวพิมพ์เล็กเพียงตัวเดียว รหัสผ่านที่เป็นไปได้มีเพียง 26 ตัว ("a" ถึง "z") การรวมตัวพิมพ์ใหญ่ทำให้เราเพิ่มพื้นที่รหัสผ่านเป็น 52 รหัสผ่านที่เป็นไปได้
พื้นที่รหัสผ่านยังคงขยายต่อไปเมื่อความยาวเพิ่มขึ้นและมีการเพิ่มประเภทอักขระอื่นๆ
การทำรหัสผ่านให้ยาวขึ้นหรือซับซ้อนมากขึ้นจะเพิ่ม 'พื้นที่รหัสผ่าน' ที่เป็นไปได้อย่างมาก พื้นที่รหัสผ่านมากขึ้นหมายถึงรหัสผ่านที่ปลอดภัยยิ่งขึ้น
เมื่อพิจารณาจากตัวเลขข้างต้น จะเข้าใจได้ง่ายว่าทำไมเราจึงแนะนำให้ใส่รหัสผ่านแบบยาวที่มีตัวอักษรพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์ ยิ่งรหัสผ่านซับซ้อน ยิ่งต้องพยายามเดามากขึ้น
อย่างไรก็ตาม ปัญหาของการขึ้นอยู่กับความซับซ้อนของรหัสผ่านคือคอมพิวเตอร์ทำงานซ้ำได้อย่างมีประสิทธิภาพสูง รวมถึงการเดารหัสผ่านด้วย
เมื่อปีที่แล้ว บันทึกถูกตั้งค่า สำหรับคอมพิวเตอร์ที่พยายามสร้างทุกรหัสผ่านที่เป็นไปได้ มันบรรลุอัตราเร็วกว่า 100,000,000,000 เดาต่อวินาที
ด้วยการใช้ประโยชน์จากพลังการคำนวณนี้ อาชญากรไซเบอร์สามารถแฮ็คเข้าสู่ระบบได้โดยการทิ้งระเบิดด้วยรหัสผ่านให้มากที่สุดเท่าที่เป็นไปได้ ในกระบวนการที่เรียกว่า การโจมตีที่ดุร้าย.
และด้วยเทคโนโลยีบนคลาวด์ การเดารหัสผ่านแปดอักขระสามารถทำได้ภายในเวลาเพียง 12 นาทีและมีราคาเพียง 25 เหรียญสหรัฐ
ฉันทำคณิตศาสตร์
— TechByTom (@techbytom) กุมภาพันธ์ 14, 2019
การใช้อินสแตนซ์ AWS p.3 เพื่อคำนวณต้นทุน และสมมติว่าผู้โจมตีมีเงิน 25 ดอลลาร์:
รหัสผ่าน 8 ตัวอักษรของคุณอาจจะถูกถอดรหัสภายใน 12 นาทีหรือน้อยกว่า
นอกจากนี้ เนื่องจากรหัสผ่านมักใช้เพื่อให้เข้าถึงข้อมูลที่ละเอียดอ่อนหรือระบบที่สำคัญได้ วิธีนี้จึงกระตุ้นให้อาชญากรไซเบอร์ค้นหาพวกเขาอย่างจริงจัง นอกจากนี้ยังขับเคลื่อนตลาดออนไลน์ที่ร่ำรวยด้วยการขายรหัสผ่าน ซึ่งบางส่วนมาพร้อมกับที่อยู่อีเมลและ/หรือชื่อผู้ใช้
คุณสามารถซื้อรหัสผ่านออนไลน์ได้เกือบ 600 ล้านรหัสในราคาเพียง 14 ดอลลาร์ออสเตรเลีย!
รหัสผ่านถูกจัดเก็บบนเว็บไซต์อย่างไร?
รหัสผ่านของเว็บไซต์มักจะถูกจัดเก็บในลักษณะที่มีการป้องกันโดยใช้อัลกอริทึมทางคณิตศาสตร์ที่เรียกว่า hashing. รหัสผ่านที่แฮชไม่รู้จักและไม่สามารถเปลี่ยนกลับเป็นรหัสผ่านได้ (กระบวนการที่ไม่สามารถย้อนกลับได้)
เมื่อคุณพยายามเข้าสู่ระบบ รหัสผ่านที่คุณป้อนจะถูกแฮชโดยใช้กระบวนการเดียวกันและเปรียบเทียบกับเวอร์ชันที่จัดเก็บไว้ในไซต์ กระบวนการนี้จะทำซ้ำทุกครั้งที่คุณเข้าสู่ระบบ
ตัวอย่างเช่น รหัสผ่าน “Pa$$w0rd” จะได้รับค่า “02726d40f378e716981c4321d60ba3a325ed6a4c” เมื่อคำนวณโดยใช้อัลกอริทึมการแฮช SHA1 ลองมัน ด้วยตัวคุณเอง.
เมื่อต้องเผชิญกับไฟล์ที่เต็มไปด้วยรหัสผ่านที่แฮช คุณสามารถใช้การโจมตีแบบเดรัจฉาน โดยลองใช้อักขระทุกตัวรวมกันเพื่อมีความยาวรหัสผ่านหลายช่วง สิ่งนี้กลายเป็นวิธีปฏิบัติทั่วไปที่มีเว็บไซต์ที่แสดงรหัสผ่านทั่วไปควบคู่ไปกับค่าที่แฮช (คำนวณ) ของเว็บไซต์เหล่านั้น คุณสามารถค้นหาแฮชเพื่อเปิดเผยรหัสผ่านที่เกี่ยวข้อง
การโจรกรรมและการขายรายการรหัสผ่านกลายเป็นเรื่องปกติไปแล้ว a เว็บไซต์เฉพาะ - haveibeenpwned.com — มีให้เพื่อช่วยให้ผู้ใช้ตรวจสอบว่าบัญชีของพวกเขา "อยู่ในป่า" หรือไม่ ซึ่งได้เติบโตขึ้นจนมีรายละเอียดบัญชีมากกว่า 10 พันล้านรายการ
หากที่อยู่อีเมลของคุณแสดงอยู่ในไซต์นี้ คุณควรเปลี่ยนรหัสผ่านที่ตรวจพบ รวมทั้งไซต์อื่นๆ ที่คุณใช้ข้อมูลประจำตัวเดียวกัน
ความซับซ้อนมากขึ้นเป็นวิธีแก้ปัญหาหรือไม่?
คุณอาจคิดว่ามีการละเมิดรหัสผ่านจำนวนมากเกิดขึ้นทุกวัน เราจะปรับปรุงแนวทางปฏิบัติในการเลือกรหัสผ่านของเราให้ดียิ่งขึ้น เสียดายปีที่แล้ว แบบสำรวจรหัสผ่าน SplashData ได้แสดงให้เห็นการเปลี่ยนแปลงเพียงเล็กน้อยในช่วงห้าปีที่ผ่านมา
แบบสำรวจรหัสผ่าน SplashData ประจำปี 2019 เปิดเผยรหัสผ่านที่พบบ่อยที่สุดตั้งแต่ปี 2015 ถึง 2019
เมื่อความสามารถในการคำนวณเพิ่มขึ้น โซลูชันก็ดูเหมือนจะมีความซับซ้อนเพิ่มขึ้น แต่ในฐานะมนุษย์ เราไม่ชำนาญ (หรือไม่มีแรงจูงใจที่จะ) จดจำรหัสผ่านที่มีความซับซ้อนสูง
เรายังผ่านจุดที่เราใช้เพียงสองหรือสามระบบที่ต้องการรหัสผ่าน ปัจจุบันการเข้าถึงไซต์จำนวนมากเป็นเรื่องปกติ โดยแต่ละไซต์ต้องการรหัสผ่าน (มักมีความยาวและความซับซ้อนต่างกัน) การสำรวจเมื่อเร็ว ๆ นี้ชี้ให้เห็นว่ามีโดยเฉลี่ย รหัสผ่าน 70-80 ต่อคน.
ข่าวดีก็คือมีเครื่องมือในการแก้ไขปัญหาเหล่านี้ ขณะนี้คอมพิวเตอร์ส่วนใหญ่รองรับการจัดเก็บรหัสผ่านในระบบปฏิบัติการหรือเว็บเบราว์เซอร์ โดยปกติแล้วจะมีตัวเลือกในการแบ่งปันข้อมูลที่จัดเก็บไว้บนอุปกรณ์หลายเครื่อง
ตัวอย่าง ได้แก่ Apple's พวงกุญแจ iCloud และความสามารถในการบันทึกรหัสผ่านใน Internet Explorer, Chrome และ Firefox (แม้ว่า น่าเชื่อถือน้อยลง).
ผู้จัดการรหัสผ่าน เช่น KeePassXC สามารถช่วยให้ผู้ใช้สร้างรหัสผ่านที่ยาวและซับซ้อน และเก็บไว้ในตำแหน่งที่ปลอดภัยเมื่อจำเป็น
แม้ว่าสถานที่นี้ยังคงต้องได้รับการปกป้อง (โดยปกติจะมี "รหัสผ่านหลัก" แบบยาว) การใช้ตัวจัดการรหัสผ่านจะช่วยให้คุณมีรหัสผ่านที่ไม่ซ้ำกันและซับซ้อนสำหรับทุกเว็บไซต์ที่คุณเยี่ยมชม
วิธีนี้จะไม่ป้องกันรหัสผ่านจากการถูกขโมยจากเว็บไซต์ที่มีช่องโหว่ แต่ถ้ามันถูกขโมยไป คุณจะไม่ต้องกังวลกับการเปลี่ยนรหัสผ่านเดิมบนไซต์อื่นๆ ทั้งหมดของคุณ
แน่นอนว่ายังมีช่องโหว่ในโซลูชันเหล่านี้ด้วย แต่นั่นอาจเป็นเรื่องสำหรับอีกวันหนึ่ง
เกี่ยวกับผู้เขียน
Paul Haskell-Dowland รองคณบดี (คอมพิวเตอร์และความปลอดภัย) มหาวิทยาลัย Edith Cowan และ Brianna O'Shea อาจารย์ การแฮ็กและการป้องกันอย่างมีจริยธรรม มหาวิทยาลัย Edith Cowan
บทความนี้ตีพิมพ์ซ้ำจาก สนทนา ภายใต้ใบอนุญาตครีเอทีฟคอมมอนส์ อ่าน บทความต้นฉบับ.
