By: mk 
on 6 June 2016 - 08:29
Tags:
เมื่อคืนนี้ บัญชี Twitter และ Pinterest ของคนดังอย่าง Mark Zuckerberg โดนแฮ็ก แต่หลังจากเป็นข่าว ทั้งสองบริการก็แก้ปัญหาและนำข้อมูลกลับคืนมาปกติแล้ว
กลุ่มแฮ็กเกอร์ OurMine โพสต์ข้อความลงบัญชีของ Zuckerberg ระบุว่าได้รหัสผ่านของเขามาจากบัญชี LinkedIn ที่ถูกเจาะในปี 2012 และเพิ่งถูกเผยแพร่ต่อสาธารณะ เหตุการณ์นี้แสดงให้เห็นปัญหาของการใช้รหัสผ่านซ้ำกันระหว่างบริการหลายตัว (ซึ่งหลายคนก็ทราบเรื่องนี้ดี แต่ความสะดวกในการจดจำก็เป็นปัจจัยหนึ่ง)
Zuckerberg เคยโพสต์ข้อความลง Twitter เพียง 19 ทวีต (ครั้งสุดท้ายเมื่อปี 2012) และปักหมุดใน Pinterest เพียง 4 ครั้งเท่านั้น
ที่มา - VentureBeat
Ouch. Mark Zuckerberg's social media accounts have been hacked pic.twitter.com/KvVmXOIg5s
— Ben Hall (@Ben_Hall) June 5, 2016
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
เป็นการตลาดของเฟซบุคที่สื่อให้เห็นว่าแม้จะเซียนโซเชี่ยวเนตเวิร์คขนาดมาร์คก็สามารถถูกแฮ็กได้ถ้าใช้เจ้าอื่นที่ไม่ใช่เฟซบุค ผ่างง!!!!
อีกมุมนึง อาจจะคิดว่า ...ขนาดเจ้าของ/คนทำ Facebook เอง ยังสับเพร่า ตั้งรหัสง่าย ตั้งรหัสซ้ำกับบริการอื่น ไม่รู้จักป้องกันความปลอดภัยของบัญชีตัวเอง แล้วงี้ Facebook จะไว้ใจได้มั้ย :p
อันนี้น่าคิดนะ
Get ready to work from now on.
แปลว่า ถึงตั้งรหัสง่ายๆเหมือนกันทุกเวบ ก็แฮก facebook ไม่ได้ เพราะมีระบบ 2 factor authenication ครับ
อันนี้จริงคับ
Twitter ก็มีครับ แต่ Mark เลิกเล่นไปก่อนจะมีแล้วไม่ได้เปิดไว้ (ตอนนั้น FB ก็ยังไม่มีมั้ง)
บางคนไม่ใช้ฟังชั่นนี้ ผมเองก็ไม่ใช้ครับ ต้องมากดเข้าซ้ำๆ บ่อยๆ ผมก็รำคาญ การทำแบบนั้นจะช่วยได้มากขึ้นกรณีที่เครื่องที่เราใช้อาจมีระบบตรวจจับแป้นพิมพ์
ผมเลยใช้วิธี กำหนดสูตรการตั้งรหัสผ่าน แทนการจำรหัสผ่าน ผมจำแค่สูตร แล้วแทนค่าเวลาเจอเว็บที่เราใช้เอาครับ สูตรมีหลักการเดียว แต่จะทำให้รหัสผ่านได้ไม่ซ้ำเพราะมีตัวแปรเกิดขึ้น
ถ้าใส่เกินสามครั้งเข้าไม่ได้ ก็จะกดลืมหรัสผ่าน
เว็บที่เข้าบ่อยๆ ในเครื่องเดิมมันจำไว้นะครับ ไม่ต้อง log in ซ้ำ ถ้าเราไปใช้คอมเครื่องอื่น ต้องยุ่งยากหน่อย แล้ว อย่าลืม Log out ด้วย
น่าคิดครับ แต่ มันเอาแน่นอนกับ "คน" ไม่ได้หลอกครับ ตำรวจบางคนก็ทำผิดกฏหมาย ผู้พิภากษาก็โดนฟ้องได้ หมอก็เป็นหวัดไม่สบายได้เหมือนกัน ฉันใดฉันนั้น
ปัญหาระดับโลก ใช้รหัสเดียวกันแทบทุกเวบ ... และหลายต่อหลายครั้งก็จำไม่ได้ว่า ตูสมัครเวบไหนไปบ้าง 555+ จะตามไปแก้ก็นึกไม่ออก
ระบบ Facebook เองจริงๆ ถ้ามี Login จากที่อื่นหรือเครื่องใหม่ มันเตือนนะ แต่ไม่รู้พวก Twitter งี้คงไม่มี ระบบ Facebook ยังดีกว่านิดหนึง
ส่วนตัวแบ่งความยากง่ายของรหัสผ่านไว้ 3 ระดับ
ระดับยากสุด คือใช้กับการเงิน Internet Banking, paypal, Airpay
ระดับกลาง คือใช้กับ Social Media ทั่วไปที่แสดงตัวตนจริงๆ
ระดับง่ายสุด คือใช้กับ Website, Webboard ที่ซ่อนตัวตน
ถ้าไม่แบ่งแบบนี้คงจำรหัส 20-30 อันไม่ไหวแน่ๆ ยิ่ง 2 ระดับล่างนี่ใช้ Chrome จำไว้ให้ตลอด
ตั้งคล้ายผมเลย แต่ผมมี 4 ระดับ บวกกับบางระบบ ตัวเลขล้วน ก็จะตั้ง ความยาวละ 2 อัน
ใช่แล้วครับ แต่ก่อนผมใช้การตั้งรหัสไว้สามชุด ไม่ใช่อันนี้ก็อันนี้ ใส่สามทีถ้าไม่ใช่ กดลืมรหัสผ่าน
ตอนนี้ผมเปลี่ยนมาเป็น "ใช้สูตรในการตั้งรหัส" แทนครับ ผมจำแค่สูตรว่าจะต้องตั้งยังไง แต่ละเว็บก็จะไม่ซ้ำกันเลย ผมไม่ต้องมานั่งจำรหัสสามชุดนั่นอีก เพราะจะเปลี่ยนทีก็ต้องมาจำใหม่ที
แต่ถึงยังไงก็ไม่เหมาะกับคนที่ชอบเปลี่ยนรหัสผ่านบ่อยๆ เพราะ ถ้าสูตรเปลี่ยนแล้วเราไม่ได้ไปไล่เปลี่ยนทุกเว็บจะยิ่งลำบากว่า เว็บนี้ใช้สูตรไหน
ผมก็แยกแบบนี้นะ
ใช้ lastpass ช่วยจำรหัส
รวมถึงใช้สุ่มรหัสจำนวน 16 หลัก แถมไม่มีซ้ำเลยซักเวป
จะตั้งรหัสง่ายๆเฉพาะเวปที่ใช้ two step verification เท่านั้น
ส่วน masterpassword อย่างยาว 20 หลัก
ส่วนตัวคิดว่าในปัจจุบันการใช้ password เดียวกันใน social network นั้นไม่เป็นปัจจัยเสี่ยงเท่าไหร่ตราบใดที่ยังใช้แยกกับบัญชีอื่นๆที่สำคัญ(เช่น e-mail/ธนาคาร/paypal/blognone!) เพราะมีระบบพวก 2 step verification/authentication เข้ามาช่วยแล้ว
แต่อย่างกรณี Mark นี่ไม่ได้ใช้ 2 step ทำให้โดนง่ายๆเลย คืออย่างน้อยเอา salt มาต่อท้ายหน่อยก็ดีอย่าง Twitter=wt Pinterest=nr ไรแบบนี้
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
ชอบไอเดียต่อท้าย เดี๋ยวไปทำบ้าง ^^
ผมใช้มุกต่อท้ายนี่มา14ปีแล้วครับ จำง่ายด้วยแค่จำพาสหลัก จะต่อท้ายมากน้อยขึ้นอยุ่กับระดับความสำคัญ 20-30เว็บนี่จำได้เกือบหมด
The Last Wizard Of Century.
ผมก็ใช้แบบต่อท้ายอยู่เหมือนกันหมดปัญหาการจำ แต่มีปัญหากับบางเว็บอยู่เหมือนกัน ให้จำนวนอักษรสูงสุดน้อยเกิน
เราก็ใช้มุกนี้แหละ 555555 พาสต้นแบบยากนะ แต่มีแบบเดียว ที่เหลือก็เพิ่มต่อท้ายตามประเภทบริการ
The Dream hacker..
ทำเหมือนกัน แต่ถ้ารู้แพทเทินก็อาจหลุดได้หลายตัวเลย
จริงๆ MarkZuck ก็ดูไม่ให้ความสำคัญกับ 2 บัญชีนั้นเท่าไหร่นะครับ ดูจากรหัสที่ตั้งและความถี่การใช้งาน
แต่น่าสนใจว่ามีบัญชีไหนบ้างที่ใส่รหัสนี้
ใช้วิธีเข้าสูตร ทำให้รหัสผ่านไม่เหมือนกันเลย
Twitter ควรทำการยืนยันตัว 2 ชั้น
ผมใช้วิธีกำหนดสูตรรหัสผ่านพื้นฐานไว้สามชุดครับ แล้วจะตามด้วยตัวเลข
เช่น WebXX-0000 ตัวเลขจะเหมือนกันหมด แต่ด้านหน้า ตัวแรกตัวใหญ่ แล้วก็เป็นประเภทเว็บ ลดปัญหาของการจดจำรหัสผ่านไปได้ เพราะบางที่บังคับ ใส่ตัวเลข ตัวใหญ่ อักขระ หากใส่ผิด ก็ มีให้ลองประมาณสามถึงห้าแบบ
ปล. ถ้าอันไหนไม่ค่อยได้ใช้ผมจะเก็บใน mSecure แต่เป็นอะไรที่ไม่สำคัญแบบเงินทอง เมล์ เฟซ ไรงี้ครับ
ยกตัวอย่าง
facebook = Sbook-1234
twiter = Stwtr-1234
mail = Mgmail-1234
S = social
M = mail
อะไรแบบนี้ครับแต่ไม่ได้ใช้แบบนี้เลยนะครับ แค่ยกตัวอย่างสำหรับคนที่จำรหัสผ่านไม่ค่อยได้ แต่ เปลี่ยนมาเป็นจำสูตรสำหรับการครีเอทรหัสผ่านเป็นของตัวเองเท่านั้นครับ
อย่างบล็อกนัน เนี่ย ตะกี้ผมต้องลองใส่สี่รอบเลยถว่าจะเข้าได้ เพราะเป็นรหัสผ่านแบบเก่าก่อนจะใช้สูตร
เหมือนจะไม่จริงนะ เพราะทาง fb ออกมาปฎิเสธ