Joshua Davis และ Richard Boyd นักวิจัยจาก Georgia Tech Research Institute รายงานว่ารหัสผ่านความยาว 8 ตัวอักษรที่ใช้กันโดยทั่วไปนั้นไม่ปลอดภัยเพียงพอแล้ว เพราะพวกเค้าสามารถแกะรหัสผ่านได้ภายในเวลาไม่ถึง 2 ชั่วโมง โดยใช้เพียง GPU หลายตัวๆ มาร่วมกันถอดรหัสลองทุกรูปแบบ (brute force) ส่วนการถอดรหัสผ่าน 12 ตัวอักษรด้วยพลังการประมวลผลขนาดเท่ากันนี้ จะต้องใช้เวลาถึง 17,134 ปี แต่หากลดลงมาเหลือ 11 ตัวอักษรจะใช้เวลาเพียงแค่ 180 ปีเท่านั้น ดังนั้นความยาว 12 ตัวอักษรจึงเป็นความยาวที่ไม่มากไม่น้อยเกินไป
การตั้งรหัสผ่านที่ดีไม่ควรใช้คำที่มีอยู่ในพจนานุกรม และถ้าเป็นไปได้ควรใช้อักขระพิเศษ
ที่มา - CNN
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Urgent Jobs
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
ผมไม่เห็นด้วยนะครับ คนทั่วไปคงไม่รู้จัก brute force การอธิบายบ้างก็เป็นเรื่องสมเหตุสมผลดี
lewcpe.com, @wasonliw
brute force มันเป็นคำปกตินี่ครับ ความหมายประมาณว่า ใช้กำลังแก้ปัญหา(ใช้สมองน้อยหน่อย)..
มันใช้ได้ทั่วไปเลยนะครับ.. เหมือนถ้าไขกุญแจเข้าประตูบ้านไม่ได้ ก็บิดกลอนประตูให้หักไปเลย..
แต่ถ้าจะแปลว่า ใช้กำลังในการแก้พาสเวิร์ด ก็คงจะงงแน่นอน..
ภาษาเมืองบ้านผมเรียก "กั๊น" ครับ.. ศัพท์แปลในกลุ่มเพื่อน ผมใช้คำว่า "บ้าพลัง" ครับ..
ผมเรียก ถึกเอา
+1 เห็นภาพดี
ผมไม่คิดว่าแปลเรื่องกุญแจได้ตรงนะครับ กรอบของการใช้กุญแจยังคงอยู่ครับโดยเปลี่ยนไปทุกรูบแบบ ด้วยการไขเท่านั้น ไม่ใช่การหักลูกบิด
การแปลของผู้เขียนข่าวก็ไม่ถึงกับแย่นะ เพียงแต่ดูแปลกไปหน่อยเท่านั้น คำนี้ไม่ได้ทั่วไปสำหรับคนทั่วไปแน่นอนครับ
นั่นมันกี๊คอย่างเราครับ ที่นี่คนที่ยังไม่กี๊คก็มาอ่านนะ
ถึงเป็นคำปกติมันก็คนละความหมาย เขาจะเข้าใจรึเปล่าว่าในทางคอมเราใช้คำนี้ในแง่ไหน?
ตามนั้นครับ
I'm agree with khun Lew na krub.
Brute force is quite jargon for CS.
+1 ผมก็ไม่รู้จักเหมือนกันครับ
+1 ครับ อ้างอิงเว็บไซด์ Cambridge ให้ความหมายของคำว่า brute force ว่า "great physical force or strength" ซึ่งถ้าคนไม่รู้จริงๆ ก็จะแปลผิดเพี้ยนไปจากความหมายเฉพาะของศัพท์คำนี้ กอปรกับคำที่ผู้เขียนใช้ก็สามารถอธิบายได้อย่างกระชับ และสมบูรณ์ดีครับ
สนับสนุนให้เจ้าของบทความใช้คำแปลเหมือนเดิมครับ
+1 ครับ การใช้พลัง กับ การลองทุกรูปแบบ มันไม่ได้ imply กันแบบที่คนทั่วไปเข้าใจได้
ผมเห็นด้วยกับคุณลิ่วครับ
ขออภัยทุกท่านครับ
ผมไม่คิดว่าการแสดงความเห็นว่าคำนี้ควร/ไม่ควรแปล เป็นความผิดหรือไม่เหมาะสมแต่อย่างใดนะครับ
ผมเพียงแต่แสดงความเห็นซึ่งควรถูกถกกันไปเรื่อยๆ เมื่อเราเจอคำใหม่ๆ หรือมีการแปลใหม่ๆ
แต่หลักการเอาข่าวขึ้น/ลง ยังคงเดิมคืออาจจะมีบางคนเห็นตรงกันกับจุดบกพร่องต่างๆ หรือบางคนเห็นว่า่ข่าวนั้นผิดพลาดน้อยพอ (แม้จะไม่แก้หรือแก้ไม่ครบตามที่มีการให้ความเห็นไว้) ก็จะสามารถเอาข่าวขึ้นได้ทันที
lewcpe.com, @wasonliw
ผมคนนึงแล้วละ ที่ไม่รู้จัก brute force
+1
+1
+1
+1 ไม่รู้เหมือนกันครับ ไม่ต้องอธิบายภาษาไทยก็ได้ครับแต่ทำเป็นลิ้งค์ให้ไปอ่านเอาเองดีกว่า
ตอนอ่านก็งงว่าคืออะไร -*- มารู้ก็ตอนอ่านคอมเม้นต์นี่แหละครับ
+1
ถ้าผมไม่ได้อ่านนิยายของแดน บราวน์ ก็คงนึกภาพ brute force ไม่ออกเหมือนกัน
"With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably."
ผมไม่รู้ครับ
น่าทำเป็นหมายเหตุ แล้วอาจทำลิงค์ไปวิกิพีเดียเพิ่ม
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
ไม่อธิบาย คนไม่รู้เรื่อง อาจเข้าใจว่าเป็น บรู๊ซ ลี...อิอิ
มาจากไหนเนี่ย 555
พาสผมใช้เวลาไม่ถึงวัน ฮะ ฮะ ฮะ
เวปไซด์ธนาคารบางแห่งกำหนดให้รหัสผ่านแค่ 8 ตัวอักษรเอง
แต่นั่น...เค้าใช้ One Time Password ร่วมด้วย
และ Account Lock เมื่อใส่ผิดเกินกี่ครั้งขึ้นไป
ทำให้ปลอดภัยยิ่งขึ้นครับ
ปัญหาคือ ผมไม่ได้ใช้บริการ e-banking บ่อยเท่าไหร่ การใช้รหัสผ่านที่ unique ทำให้ผมลืม
เคยต้องโทรไปหา call center แถมรอรหัสใหม่จากสำนักงานอีก 5 วัน เพราะลืม PIN2 มาแล้ว
+1 ผมอยากจะใส่เยอะๆ แต่โดน limit ซะนี่
ATM มี 4 ตัวเลขเองครับ แต่คุณป้อนผิด 3 ครั้งก็โดยยึดบัตรแล้ว
จริงๆ brute force ไม่ได้ใช้ได้ทุกกรณีนะครับ ถ้าผมกำหนดระบบว่าหาก Access Denied ครั้งเดียวให้ทำลายตัวเอง ถึง password ใช้แค่อักขระเดียวใน Ascii ก็ยากแล้วครับ
+1
แต่ถึงแม้การกำหนดให้ password มันใช้ไม่ได้เลยในกรณีที่ใส่ผิด มันก็มีข้อจำกัดที่ผู้สามารถใส่ password ได้ต้องเป็นผู้ที่ถูกเลือกเท่านั้น (เช่น มีบัตร ATM ติดตัว)
ถ้าเป็นอย่างหน้าเว็บ facebook, gmail นั้น ใส่ผิดครั้งเดียวแล้ว reject password เลยคงทำไม่ได้
เพราะจะทำให้เกิดการกลั่นแกล้งกันขึ้น คือผู้ไม่หวังดีสามารถไปทำลาย password ของผู้ใช้ตัวจริงได้ครับ
ดีนะที่รหัส login เครื่องผมยาว ๕๘ ตัว - -"
ว่าแต่เค้าคำนวณจากรหัสแบบไหนครับ ตัวเลข, ตัวอักษร, ตัวเลข + อักษร, ตัวเลข + อักษรเล็กใหญ่ หรือว่ามีสัญลักษณ์ด้วย??
จากที่อ่านมาเค้าคำนวณจาก 95 ตัวบนแป้นพิมพ์ปกติ(ของอเมริกา)นะครับ ถ้านับก็คือ ตัวพิมพ์เล็กตัวพิมพ์ใหญ่ 52 ตัวแล้ว ตัวเลขอีก 10 ตัว ตัวที่อยู่บนตัวเลขอีก 10 ตัว ปุ่มที่เหลืออีก 11 ปุ่ม ปุ่มละสองตัว 22 ตัว แล้วก็ช่องว่าง 52+10+10+22+1 = 95 ตัวพอดีครับ
ผมใช้พาสเวิร์ด 33 ตัว สลับกลุ่มตัวอักษรภายในเรื่อยๆ ทุกๆ 6 เดือน
เวลาล็อกอินผ่าน iPhone, BB นี่เหนื่อยใช่เล่น - -"
ผมจำได้ว่าเคยล็อกอิน VNC รหัส ๕๘ ตัวผ่านจอสัมผัส Windows Mobile แล้วหลังจากนั้นรหัสอะไรที่เกี่ยวกับโทรศัพท์ผมก็สั้นลงมาทันที
พลังแห่ง GPU สินะ น่ากลัวจริงๆ
ถ้ามีชุดคัวเลขหรือตัวหนังสือที่เรียงกัน เช่น 0-9, a-z แล้วเพิ่ม password ปกติต่อเข้าไป ผมว่าน่าจะใช้เวลาแกะนานอยู่เหมือนกัน (เวลาใส่ password ก็ด้วย)
หรือมีจำกัดครั้งการใส่หน่อยก็ดี 100 ครั้งเป็นไง เผื่อคนปกติจะลองได้เยอะขึ้นหน่อย... นอกนั้นก็คงเพิ่ม CAPTCHA ช่วยอีกแรง...
12ตัว ใช้เวลา 17134 ปี แต่เดี๋ยวคอมแรงขึ้น เวลามันก็ลดลงอยู่ดี
อีกหน่อยถ้าเราไม่ไปใช้การกรอกรหัสวิธีอื่นเราคงต้องใข้ถึงพันตัวกันเลยทีเดียว
อีกไม่นานคงต้องเปลี่ยนวิธีแหละครับ ตอนนี้ก็มีงานวิจัยจำนวนมากในเรื่องของการยืนยันตัวบุคคล
Algorithm มันก็จะซับซ้อนขึ้นให้ถอดยากขึ้นอีกเป็นอัตโนมัติครับ
เยอะกว่า 12 ก็สัก 13 หลักก็บัตรประชาชนพอดี ฮ่าฮ่า
brute force ไม่น่ากลัวอย่างที่คิดหรอกครับ brute force สามารถป้องกันได้ง่ายๆแค่จำกัดการ login กี่ครั้งก็ว่ากันไปก็เหลือเฟือแล้ว
@kittipat (ด้านล่างนี้) คือการถอดรหัสตามวิธีในข่าวเค้าหมายถึงในกรณีที่ได้มาแต่ hash ของรหัส แล้วมาลองสร้าง hash ให้ได้เหมือนกับที่ได้มา ไม่ใช่ไปลองใส่เข้าไปในระบบโดยตรงครับ
การได้ hash มาไม่สามารถป้องกันโดยการจำกัดการ login ได้ครับ เหมือนกับใช้โปรแกรมดึง hash รหัสผ่าน windows มาเราลองกี่รหัสก็ได้ไม่โดนล็อกครับ
จะเพิ่มในข่าว หรือตรงนีดี ตรงนี้ไปก่อนแล้วกัน
คือการถอดรหัสตามวิธีในข่าวเค้าหมายถึงในกรณีที่ได้มาแต่ hash ของรหัส แล้วมาลองสร้าง hash ให้ได้เหมือนกับที่ได้มา ไม่ใช่ไปลองใส่เข้าไปในระบบโดยตรงครับ
แล้ว salt ล่ะ ช่วยไม่ได้เลยเหรอ
onedd.net
อะไรคือ salt? ยาสีฟัน?
ใส่ให้ Hash Brown มีรสชาติครับ
ไม่ใช่ละ
รู้สึกจะเป็นอะไรที่คล้ายๆกับ Seed Random น่ะึครับ เป็นคล้ายๆค่าประจำ Server ใส่เพิ่มเข้าไปก่อน Hash
Salt on Wikipedia
onedd.net
จริงๆ แล้วเป็นสายลับรัสเซียปลอมตัวมา
แปลว่ารัสเซียจะถอด hash ของเราได้หมดเลยสินะครับ
เพิ่มในส่วนเนื้อหาข่าวเลยดีกว่าครับ
CPU: Intel Core i5 750 @ 2.67GHz (4 cores)
GPU: NVIDIA GeForce GTX 470 (Fermi)
ผมเห็นเว็บขายโปรแกรมถอดรหัสมันโฆษณาอย่างนี้ชักหวั่นใจแล้วซิ
ถ้าเกิดเป็น Core i7 980 +Geforce 480 GTX SLI มันจะเกิดอะไรขึ้น?
"Those who make peaceful revolution impossible will make violent revolution inevitable." JFK.
สมมุติว่า
ให้ใช้รหัสผ่านได้แค่ A-Z a-z 0-9 ความเป็นไปได้เท่ากับ 62 ตัว
ความเป็นไปได้ทั้งหมด 62^12 = 3,226,266,762,397,899,821,056
เอาตัวที่เร็วที่สุดในภาพข้างบน 10000 passwords/sec (ปัดเศษขึ้นให้ด้วย)
สมมุติว่า brute force เจอภายในครึ่งนึงของการมั่ว
322,626,676,239,789,982 / 10000 / 2
= 161,313,338,119,894,991 วินาที
วันนึงมี 86400 วินาที แปลว่าต้องใช้เวลา 1,867,052,524,535 วัน
ก็แค่ 5,115,212,395 ปีเองครับ
เวลาโปรแกรมหารหัสส่วนมากจะไม่รู้ความยาวรหัสด้วยครับ ส่วนมากก็ตั้งให้เริ่มจากรหัสประมาณ ๔ ตัวขึ้นไป + จำนวนเพิ่มขึ้นไปอีกเกือบเท่าตัวด้วย
ข่าวร้ายคือ
password ยาวๆ มักมีสระ เพิ่มขึ้นตามความยาวของ password และสระที่ว่ามักมีตัว e บ่อยกว่าตัวอื่นๆ
ถ้าดูรูปแบบการยิง password โดยดูความน่าจะเป็นของ password มันจะต่ำกว่านี้มากๆ ครับ
lewcpe.com, @wasonliw
ฮ่าๆ หลักนี้คงใช้กับผมไม่ได้
เพาะรหัสผ่านของผม Gen เอาจากชุดตัวเลขที่เกี่ยวกับตัวผม (เช่น วันเกิด/เลขที่บ้าน)
แล้วแปลงชุดเลขที่ได้มานั้นเป็นเลขฐาน 64 (ตัวเลข/ตัวพิมพ์เล็ก-ใหญ่ และอักขระที่ชอบอีก 2 ตัว)
หลังจากนั้นดูว่ารหัสที่ได้สวยหรือยัง ถ้ามีตัวอักษรไหนซ้ำก็อาจเปลี่ยนตัวนั้นเป็นอักขระพิเศษ
โห กว่าจะท่อง password ที่ตั้งมาได้นี้ก็เป็นสัปดาห์ครับ
แต่ถ้าลืมเมื่อไหร่ วิธีสร้างใหม่นั้นไม่ยากเลย เพราะจำขั้นตอนได้หมดทุกอย่างครับ ^^
การโพสบรรยายแบบนี้ทำให้เดาง่ายขึ้นเยอะเลยครับ :P
555+ จริงอยู่ แต่ไม่เป็นไรครับ เปลี่ยนรหัสผ่านทุุก 2 เดือน :D
จะน่ากลัวกว่านี้ถ้าใช้ cloud computing ครับ โดยเฉพาะพวกทำดัชนีที่ช่วยกันทำ ทำครั้งเดียวที่เหลือหาอย่างเดียว
แล้วถ้าให้ใส่รหัสผ่าน 2 ชุดล่ะ