By: mk 
on 5 May 2011 - 22:54
Tags:
Topics:
หมายเหตุ: ข่าวนี้มีศัพท์เทคนิคด้านการเข้ารหัสค่อนข้างมาก อ่านรายละเอียดกันเองตามลิงก์ Wikipedia ที่ให้ไว้นะครับ
LastPass ซอฟต์แวร์ช่วยจัดการรหัสผ่านแบบข้ามแพลตฟอร์ม รายงานว่ามีทราฟฟิกไม่ปกติเข้ามายังเซิร์ฟเวอร์ของตัวเอง และแปลว่าข้อมูลของผู้ใช้ซึ่งได้แก่ อีเมล, salt ของเซิร์ฟเวอร์ และ hash ของรหัสผ่านที่ถูก salt แล้ว อาจจะถูกเจาะไปด้วย (ยังพิสูจน์ไม่ได้ว่าถูกเจาะไปจริง)
LastPass บอกว่าตามหลักแล้วถ้ารหัสผ่านหลัก (master password) ของเราแข็งแรงพอ ก็ไม่มีปัญหาอะไร แต่ถ้าใช้รหัสผ่านง่ายๆ ก็อาจโดนเจาะด้วยวิธี brute force ได้ในกรณีที่เลวร้ายที่สุดที่อาจเกิดขึ้นได้
เพื่อป้องกันไว้ก่อน LastPass จึงบังคับให้ผู้ใช้ทุกคนเปลี่ยน master password โดยทันที และถือโอกาสเพิ่มความแข็งแรงให้เซิร์ฟเวอร์โดยเพิ่มวิธีเข้ารหัสแบบ PBKDF2 เข้ามาด้วย
ที่มา - LastPass Blog
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
ฤดูวิกฤติงวการ security
ปัญหาของ sony คือไปท้า hacker ก่อน,พอโดนขู้แล้วก็ไม่ป้องกัน,สุดท้ายรู้แล้วแต่เอาไปดองไว้ 7 วันค่อยมาบอก
samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo
-Sony ไม่เคยท้าหนิครับ ที่จริงก็แค่ไปเล่นงานคนที่เผยแพร่วิธีการที่ทำให้เครื่องทั้งหมดเล่นเกมส์เถื่อน PS3 ได้ทั่วโลก
-เชื่อว่าคงวางระบบป้องกันไว้อยู่ตามปกติ แต่อย่าลืมว่า "ไม่มีที่ใดในโลกที่ปลอดภัยจริงๆ"
ประเด็นคือ เค้าไม่ได้เผยแพร่ วิธี เล่นเกมส์เถื่อน น่ะสิครับ
เค้าเจาะ เอา ROOT Key เพื่อ ลง Linux ที่ทาง SONY เคยคุยว่า ทำได้ และเป็นเหตุผลที่คนส่วนหนึ่งซื้อ PS3 แล้ว SONY มา BLOCK Linux ทีหลัง
คนที่นำ ROOT KEY ไปหา วิธี ทำให้ PS3 เล่นเถื่อนได้ เป็นอีก คนนึง
ประเด็นนี้ ถ้าฟ้องกันจริง ผมว่า GEOHOT รอด
ไม่แน่ว่าจะรอดครับ ต้องดูจุดประสงค์ด้วย
ต้องมีเหตุผลดีๆมาแก้ต่างในชั้นศาลว่า คุณเผยแพร่ Root Key เพื่ออะไร ถ้าหวังดีจริงๆ ทำไมไม่ติดต่อ Sony เพื่อช่วยป้องกัน
ฤดูวิกฤติวงการผู้ใช้ด้วยเช่นกัน = =
(ต่อไปเว็บอะไรมันจะโดนอีก..)
จริง การทำ password service นี่เป็นการสปอยล์ผู้ใช้
แนะนำแก้คำครับ...
brute force = การโจมตีด้วยการเดารหัสแบบสุ่ม(brute force)
worst case = กรณีที่เลวร้ายที่สุด
+1
ทับศัพท์เข้าใจง่ายกว่าครับ
อนึ่ง brute force ไม่ใช่การเดาสุ่มซะทั้งหมดนะครับ อย่างน้อยก็มีคลังรหัสผ่านให้เราเริ่มจากตรงนี้ได้
worst case แก้ตามนั้นครับ
ส่วน brute force ผมว่าความหมายมันไม่เกี่ยวกับสุ่มหรือไม่ น่าจะต้องใช้คำประมาณว่า "ถล่มไปเรื่อย" อะไรแนวนั้นมากกว่าครับ
ผมก็เห็นด้วย brute force ต้องมีมีคำว่าสุ่ม (random) เพราะมันไม่สุ่มน่ะ มีส่วนใหญ่จะพก dictionary หรือรายชื่อน่าลอง มาด้วยแถมยิงไปตามลิสต์ อาจจะมี prefix, suffix นิดหน่อย แต่ไม่สุ่มนะ
ผืดคนน
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
การนับเพิ่มทีละ 1 ไปเรื่อยๆไม่น่าจะใช้คำว่าสุ่มได้นะครับ
สุ่มน่าจะเป็นแบบ 2 4 7 8 13 แบบนี้มากกว่า
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
โหดร้ายมาก..เพิ่งย้ายมาใช้บริการไม่นานก็โดนซะแล้ว
ใช้ premium อยู่ รหัส bank/credit/paypal อยู่ในนั้นเพียบเลย -0-
edit: ไปอ่านดูมันแค่ "อาจจะโดน brute force" ไม่ใช่ "อาจจะโดน hack" ใช่รึเปล่าครับ ถ้าตั้งรหัสไว้ดีก็ไม่น่าจะมีผล รอด T^T ว่าแต่รหัสที่เอามา brute force นี่ที่ขโมยมาจาก SONY รึเปล่าหว่า :X
Oop! ใส่ทุกอย่างเลย เรื่องเงินๆ ทองๆ ผมจำเองหมดเลยครับ
โฮะๆๆๆ ออกข่าวแบบนี้ก็เหมือน DDoS ตัวเองนะ
ใช้ Xmarks (ยังไม่ได้เปลี่ยนเป็น LastPass เลย) จะโดนด้วยไหม?
Jusci - Google Plus - Twitter
Xmarks เหมือนกัน...
Happiness only real when shared.
งานเข้าแล้ว รหัสทุกสรรพสิ่งอยู่ในนั้น
เวรแล้ว
[edited] กลับมาอ่านเนื้อหาอีกที อ่อ ยังไม่ได้โดนแฮก
แต่อาจโดน brute force รู้สึกดีขึ้นในระดับหนึ่ง
ผมใส่คำว่า "อาจ" ไว้ในหัวข่าว และเน้นตัวหนาที่เนื้อข่าวแล้วนะครับ
ถ้า brute force รหัสผมยังไม่น่าจะเป็นอะไร
ตามหลักการแล้ว ไม่ควรเอา Password ไว้ที่เดียวกันหมดหรือเปล่าฮ๊าฟฟ
สำหรับคนที่ชอบลืมพาสเวิส การเอาพาสเวิสไปไว้หลายๆที่ทำให้เค้าลำบากมากกว่าเดิมครับ
ตอนนี้ยัง Login เข้า Lastpass ไม่ได้เลย จะเปลี่ยน Password เฮ้อ ...
ผมว่าชาว blognone ส่วนใหญ่คงไม่ต้องห่วงเรื่องเปลี่ยน password นะครับ จากที่ PCW สัมภาษณ์ CEO ของ lastpass วันนี้
PCW: If someone had what you'd consider a strong master password, then, would they have any reason to be worried at this point?
Siegrist: No. None.
http://www.pcworld.com/article/227268/exclusive_lastpass_ceo_explains_possible_hack.html
คือ password ผมมันกิ๊กก็อกมากอะครับ ก็ไม่ใช่ศัพท์ใน dic แต่ก็ไม่มีอักขระพิเศษอะไรเลย เสียวมาก
ผมก็ใช้บริการเก็บพาสอยู่นะของ 1Password แล้วซิงค์ข้อมูลระหว่างกันด้วย Dropbox
เนื่องจาก master password มันสำคัญมากเลยตั้งยาว 12 ตัวเป็นตัวเลขตัวอักษรสุ่ม แล้วก็ไม่ได้จด ไม่ได้เขียนไว้ที่ไหนเลย จำรหัสไม้ตายนี้อย่างเดียว
แต่ใช้ไปซักพักคงต้องเปลี่ยนรหัส