วิธีแสนง่ายในการ Hack Password ที่เรามักมองข้าม

วันที่: 17 มกราคม 2012
หมวดหมู่: Facebook, บทความไอที 24 ชั่วโมง, รายการไอที 24 ชั่วโมง
ป้ายคำ: facebook, hack, hacker, hi5, password, security ความปลอดภัย, social network, แฮกเกอร์, แฮค, แฮคเกอร์

ขอขอบคุณเนื้อหาจาก บทความเรื่อง “กาฝากกับศาสตร์มืด แฮกเกอร์เขาเจาะรหัสผ่านของเรากันได้อย่างไร (ตอนที่ 3)”  โดย คุณคงเดช กี่สุขพันธ์ (@kafaak) จากบล๊อก นานาสาระกับนายกาฝาก ค่ะ

เอารหัสผ่านของเราไปได้ เพราะรหัสผ่านของเราก็อยู่รอบตัวเรานั่นแหละ

รู้หรือไม่ว่ารหัสผ่านที่เดาง่ายอีกอย่างก็คือข้อมูลรอบตัวเรานั่นแหละครับ รหัสผ่านเป็นอะไรที่เรารู้สึกว่าจำยาก เลยมักจะลงเอยด้วยการใช้อะไรที่เราคุ้นเคยเป็นหลัก อาจจะเป็นชื่อคนรู้จัก วันเดือนปีเกิด เบอร์โทรศัพท์ ฯลฯ โดยเข้าใจว่าแบบนี้ไม่น่าจะโดนเดาได้ง่าย ไม่น่าจะไปอยู่ใน Hacker Dictionary

แต่อย่าลืมว่าหลังๆ เราเองก็เริ่มมีพฤติกรรมเปิดเผยข้อมูลส่วนตัวบนโซเชียลเน็ตเวิร์คกิ้งมากขึ้น ข้อมูลอย่างเบอร์โทรศัพท์ วันเดือนปีเกิด หรือชื่อคนสนิท (เช่น พี่น้อง พ่อแม่ หรือแฟน) ก็สามารถค้นหาได้ง่ายๆ บนอินเทอร์เน็ตแล้ว แถมนับวันพวกเว็บไซต์โซเชียลเน็ตเวิร์กต่างๆ ก็พยายามปรับ User Interface ให้ดูง่ายขึ้นสำหรับผู้ใช้งาน และแน่นอนว่ามันย่อมง่ายขึ้นสำหรับแฮกเกอร์ที่จะเข้ามาเอาข้อมูลด้วย ซึ่งตรงนี้พวกนักวิจัยต่างๆ ก็แสดงความกังวลออกมาแล้ว เช่น ตอนที่พูดถึงเรื่องของอินเทอร์เฟซแบบ Timeline ของ Facebook ซึ่งตอนนี้เริ่มทยอยเปลี่ยนแปลงหน้าเว็บของผู้ใช้งานไปเรื่อยๆ แล้ว และคาดว่าจะแล้วเสร็จทั้งหมดในวันที่ 23 ธันวาคมนี้

ผู้เชี่ยวชาญจาก Sophos ถึงกับกล่าวถึง Timeline นี้เอาไว้แบบนี้ครับ (ที่มา: Computerworld)

“Timeline makes it a heck of a lot easier [for attackers] to collect information on people,” said Chet Wisniewski, a Sophos security researcher. “It’s not that the data isn’t already there on Facebook, but it’s currently not in an easy-to-use format.”

หน้าตาของ Timeline นั้นจะทำให้ผู้ไม่หวังดีสามารถเก็บข้อมูลเกี่ยวกับผู้คนไปได้ง่ายขึ้น … มันไม่ใช่ว่าข้อมูลพวกนี้ไม่ได้มีอยู่บน Facebook มาก่อนนะ แต่ว่ามันยังไม่ได้อยู่ในรูปแบบที่ใช้งานได้

ทางป้องกันในกรณีนี้มีทางเดียวที่ชัดเจนครับ คือ อย่าไปตั้งรหัสผ่านโดยใช้ข้อมูลส่วนตัว … เว้นเสียแต่คุณจะมั่นใจว่า ข้อมูลส่วนตัวนี้มันส่วนตั๊วส่วนตัวสุดๆ จริงๆ และไม่มีใครรู้แน่นอน

ไม่ต้องเดารหัสผ่านก็ได้ เดาคำถามในกรณีลืมรหัสผ่านดีกว่า

บางคนตั้งรหัสผ่านเดายากโคตร จำก็ยากด้วย เลยทำให้เกิดความกลัวที่จะลืม … เรื่องมันก็ไปเดือดร้อนผู้ดูแลระบบตลอด ต้องมารีเซ็ตรหัสผ่านให้เป็นประจำ ดังนั้นเว็บไซต์ที่มีสมาชิกเยอะๆ เลยพัฒนาระบบกู้คือรหัสผ่านเอาไว้ขึ้นมา ใครลืมรหัสผ่าน ไม่สามารถล็อกอินเข้าระบบได้ ก็คลิกเลย จากนั้นก็แค่ตอบคำถามซักข้อ (ซึ่งเราสามารถเลือกตั้งคำถามได้ตอนที่สมัครใช้บริการ)

ปัญหาก็คือ คำถามพวกนี้มักจะเลือกได้จำกัด (แม้ว่าจะมีบางบริการที่ให้เรากำหนดคำถามเองได้) อีกทั้งเวลาเรานึกถึงคำถามทีไร เราก็นึกถึงเรื่องใกล้ตัวเข้าไว้ เพื่อให้เราสามารถจำคำตอบได้ง่าย (กลับไปอ่านหัวข้อก่อนหน้า ว่ามันจะเกิดอะไรขึ้น) ผลก็คือ มันจึงมักเป็นเรื่องใกล้ตัว และสามารถถูกเดาได้ง่ายๆ โดยการค้นหาด้วย Google หรือไม่ก็ไปไล่ดูข้อมูลจากโซเชียลเน็ตเวิร์คกิ้งไซต์ต่างๆ

กรณีศึกษาที่ชัดเจนมาก (และโด่งดังด้วย) คือกรณีที่อีเมล์ Yahoo! ของ Sara Palin ถูกแฮกไปเมื่อปี ค.ศ. 2008 โดยที่คนแฮกไม่ได้ใช้ความรู้ด้านการแฮกใดๆ เลย เขาใช้แค่วันเดือนปีเกิด รหัสไปรษณีย์ และข้อมูลที่ว่า Sara Palin ไปพบกับสามีของเธอที่ไหนเป็นครั้งแรก แค่นี้เขาก็สามารถรีเซ็ตรหัสผ่านได้แล้ว

เบิ้องต้นนั้น ทางป้องกันเทคนิคนี้ก็เหมือนกับเทคนิคก่อนหน้าครับ อย่าไปใช้ข้อมูลส่วนตัว … แต่นอกจากนี้@darkmasterxxx เพื่อนของผมบอกว่า วิธีง่ายๆ ก็คือ ไม่ต้องสนใจว่าคำถามจะเป็นอะไร แต่จำคำตอบไว้ในใจเสมอก็พอ เช่น ชื่อแฟน … ส่วนคำถามจะเลือกอะไรก็ได้ “Q: อาชีพของปู่ A: ชื่อแฟน”, “Q: คุณครูที่ชื่นชอบ A: ชื่อแฟน” หรือแม้แต่ “Q: ชื่อของสัตว์เลี้ยงตัวแรก A: ชื่อแฟน” ฮาฮา