ข่าวเว็บ Adobe ถูกแฮ็กเมื่อเดือนที่แล้วมีปัญหามากกว่าที่รายงานออกมาในตอนแรก เพราะฐานข้อมูลรหัสผ่านที่รั่วออกมากลับมีกระบวนการเข้ารหัสที่ไม่ได้มาตรฐาน โดยฐานข้อมูลรหัสผ่านนั้นไม่ได้เป็นค่าแฮชของรหัสผ่านเอาไว้ แต่กลับเข้ารหัสแบบกุญแจสมมาตร และใช้กระบวนการเข้ารหัสแบบ Electronic Code Book (ECB) ทำให้นักวิจัยสามารถเข้าหารหัสผ่านที่ซ้ำกัน และวิเคราะห์ย้อนกลับหารหัสผ่านที่แท้จริงได้

หลังจากได้รับเสียงวิพากษ์วิจารณ์รุนแรงเรื่องความหละหลวมในการเก็บรักษารหัสผ่านเว็บไซต์และบริการต่างๆ บนตัวเว็บเบราว์เซอร์ ดูเหมือน Chrome เตรียมจะเพิ่มระบบยืนยันตัวตนของผู้ใช้เพื่อป้องกันการเข้าถึงบรรดารหัสผ่านทั้งหลายโดยง่ายแล้ว

Francois Beaufort จอมขุดคุ้ยข้อมูลเชิงลึกของโครงการ Chromium ที่ปัจจุบันเป็นพนักงานของ Google ได้เปิดเผยว่า Chromium สำหรับ Mac เวอร์ชันล่าสุดมีการสอบถามผู้ใช้ให้กรอกชื่อบัญชีและรหัสผ่านของผู้ใช้ Mac เพื่อยืนยันตัวตนก่อนเข้าสู่หน้าแสดงรายการรหัสผ่านของเว็บต่างๆ ที่ Chrome ได้เก็บบันทึกไว้ (เป็นฟีเจอร์แบบเดียวกับเว็บเบราว์เซอร์ของ Apple อย่าง Safari)

โทรศัพท์ของเรากลายเป็นของสำคัญขึ้นเรื่อยๆ เมื่อเราเก็บข้อมูลส่วนตัวไว้ในโทรศัพท์จำนวนมาก คำแนะนำทั่วไปคือให้ล็อกโทรศัพท์ไว้เสมอด้วยรหัสจะได้ป้องกันได้ในกรณีที่โทรศัพท์หายไป แต่การทดลองล่าสุดแสดงให้เห็นว่าระบบการล็อกนี้ใช้ไม่ได้กับแอนดรอยด์

ระบบล็อกด้วย PIN เพียงสี่หลักไม่สามารถป้องกันการไล่เดาทีละหมายเลขได้คงไม่ใช่เรื่องแปลก แอนดรอยด์และ iOS ต่างแก้ปัญหาด้วยการเพิ่มเวลาดีเลย์เมื่อกดรหัสผิดพลาด แต่ในกรณี iOS นั้นเวลาจะเพิ่มขึ้นเรื่อยๆ ทุกครั้งที่กดผิด จนกระทั่งอาจจะต้องรอหลายชั่วโมงต่อการกดแต่ละครั้ง แต่แอนดรอยด์กลับมีรูปแบบการรอเพียง 30 วินาทีทุกๆ รอบที่กดผิด 5 ครั้ง เมื่อรูปแบบของรหัสผ่านมีได้เพียง 10,000 รูปแบบ การกดรหัสทั้งหมดก็ทำได้ในเวลาเพียง 19 ชั่วโมง 24 นาทีเท่านั้น

ทีมนักวิจัยจากมหาวิทยาลัยเออร์ลานเกน ประเทศเยอรมนีเผยผลการวิจัยเกี่ยวกับความปลอดภัยในการตั้งรหัสผ่าน พบว่าสามารถเดารหัสผ่านของ Mobile Hotspot ใน iOS ได้ภายในเวลาสั้นๆ

โดยทีมนักวิจัยดังกล่าวได้อธิบายถึงระบบเดารหัสผ่าน Mobile Hotspot ใน iOS ด้วยคำศัพท์จากเกม Scrabble จำนวนกว่า 52,500 รูปแบบ จากการโจมตีด้วยโดยใช้คำดังกล่าว สามารถเดารหัสผ่านของ Mobile Hotspot ใน iOS ได้อย่างสมบูรณ์ และพบว่าแอปเปิลเลือกใช้ชุดคำมาตั้งเป็นรหัสผ่านเพียง 1,842 รูปแบบเท่านั้น

สำหรับระยะเวลาในความพยายามเดารหัสผ่านนั้น ทีมนักวิจัยได้ทดลองโดยใช้การ์ดจอ AMD Radeon HD 7970s สี่ตัว พบว่าสามารถเดารหัสผ่านได้ภายใน 50 วินาที

หลายเว็บทุกวันนี้จะมีมิเตอร์วัดความแข็งแรงของรหัสผ่านเพื่อจูงใจให้ผู้ใช้ตั้งรหัสผ่านให้ยากขึ้นกว่าเดิม แม้มิเตอร์นี้จะเตือนคนที่ระวังตัวได้ว่าให้ตั้งรหัสผ่านที่คาดเดาได้ยาก แต่ไม่เคยมีการศึกษาในวงกว้างว่ากับคนทั่วไปแล้วรหัสผ่านนั้นเดายากง่ายเพียงใดเทียบกับรหัสผ่านที่ไม่มีมิเตอร์บอกระดับความแข็งแรง

ทีมวิจัยร่วมระหว่างมหาวิทยาลัยแคลิฟอร์เนียเบิร์กลีย์, มหาวิทยาลัยบริติชโคลัมเบีย, และไมโครซอฟท์ ร่วมกันทำวิจัยวัดผลของการใส่มิเตอร์วัดความแข็งแรงเช่นนี้ลงในหน้าตั้งรหัสผ่าน โดยการทำหน้าเว็บพอร์ทัลสำหรับนักศึกษาของมหาวิทยาลัยบริติชโคลัมเบียให้แจ้งนักศึกษาให้เปลี่ยนรหัสผ่าน

Michael Barrett ประธานเจ้าหน้าที่ฝ่ายความปลอดภัยข้อมูล (information security) ของ PayPal และประธานของกลุ่ม FIDO Alliance (Fast Identity Online - ข่าวเก่า) ไปพูดที่งานสัมมนาด้านความปลอดภัย Interop

Barrett อธิบายเป้าหมายของกลุ่ม FIDO ว่าต้องการกำจัดระบบล็อกอินด้วยรหัสผ่านและ PIN ออกไปจากโลกนี้ รหัสผ่านเป็นวิธีการที่คิดขึ้นตั้งแต่ปี 1961 แต่ปัจจุบันเรามีเว็บไซต์ที่ต้องใช้รหัสผ่านจำนวนมหาศาล ทำให้ผู้ใช้มักตั้งรหัสผ่านเหมือนๆ กัน แถมการจดจำรหัสผ่านทำให้ผู้ใช้ตั้งรหัสผ่านง่ายๆ ทำให้รหัสผ่านถูกเจาะได้ง่ายมาก

ช่วงหลังๆ เราได้เห็นรายการการเจาะฐานข้อมูลเว็บไซต์จำนวนมาก และรหัสผ่านมักหลุดออกมาสู่สาธารณะ แม้รหัสผ่านเหล่านี้จะแฮชเอาไว้แล้วก็ตามแต่ก็มักจะถูกแกะออกมาได้ในภายหลังด้วยการไล่ค่าที่เป็นไปได้ทั้งหมด ข้อเสนอใหม่จาก Ari Juels และ Ronald L. Rivest (ตัว R ใน RSA) เสนอแนวทางการตรวจจับการใช้รหัสผ่านที่หลุดออกไปในชื่อว่า "Honeywords"

Honeywords เสนอให้เก็บค่าแฮชของรหัสผ่านพร้อมๆ กันหลายๆ รหัส โดยเก็บกระบวนการเลือกว่ารหัสผ่านไหนเป็นรหัสจริงไว้อีกชั้นหนึ่งแยกออกไป ภายใต้กระบวนการนี้หากแฮกเกอร์ได้ค่าแฮชของรหัสผ่านไปแล้วพยายามล็อกอินเข้าระบบด้วยรหัสผ่านที่ย้อนกลับค่าแฮชมาได้ โอกาสที่จะใช้รหัสผ่านที่ผิดจะมีสสูงและผู้ให้บริการจะสามารถล็อกบัญชีผู้ใช้ที่ถูกโจมตีได้ทันท่วงที

รายงานจากทีม Hashcat รายงานระบบการเข้ารหัสผ่าน พบว่ารหัสผ่านหลัก (master password) ของ 1Password ที่เข้ารหัสแบบทางเดียวด้วย PBKDF2-HMAC-SHA1 จากเดิมที่ต้องคำนวณ SHA1 ถึงกว่า 8,000 รอบซึ่งเปลืองรอบการคำนวณอย่างมาก แต่หลังจากวิเคราะห์ระบบการเข้ารหัสของ 1Password แล้วกลับพบว่าการคำนวณจริงๆ ต้องการการคำนวณเพียง 4000 รอบก็เพียงพอแล้ว

สวัสดีครับเพื่อนๆชาวเว็บ Blognone ทุกๆท่านครับ ผมเป็นนิสิตสาขาวิชาวิทยาการคอมพิวเตอร์ คณะวิทยาศาสตร์ มหาวิทยาลัยศรีนครินทรวิโรฒครับ ได้จัดทำโครงงานจบการศึกษาที่มีชื่อว่า การยืนยันตัวตนด้วยรหัสผ่านหลายมิติ(Multidimensional Password Scheme) โดยจะเป็นการยืนยันตัวตน มองง่ายๆว่าเป็นการล๊อกอินในสภาพแวดล้อมสามมิติ โดยระบบพัฒนาด้วยภาษา PHP, HTML5, jQuery และ WebGL โดยระบบจะมีขอบเขตสี่ส่วน ได้แก่

• การสมัครสมาชิก
• การเปลี่ยนรหัสผ่าน
• การยืนยันตัวตน(การล๊อกอิน)
• การเก็บพฤิตกรรมของผู้ใช้งาน เพื่อนำมาวิเคราะห์

วิดีโอด้านล่าง คือ วิดีโอการนำเสนอวิดีโอ และตัวอย่างการใช้งานคร่าวๆครับ

สำหรับข่าวนี้ค่อนข้างจะเป็นข่าวร้ายสำหรับพวกที่ชอบใช้บริการหรือโปรแกรมที่ช่วยจำรหัสผ่าน เช่น Lastpass หรือให้เว็บเบราว์เซอร์ช่วยจำรหัสผ่านให้ ซึ่งโดยปกติแล้วในช่องใส่รหัสจะคอยมีสัญลักษณ์ปกปิดรหัสผ่านอยู่ แต่มีผู้ค้นพบวิธีการเปิดเผยแบบง่ายมากๆๆ

ก่อนอื่นสำหรับผู้ใช้ Google Chrome ถ้าใช้ Lastpass มันจะช่วยใส่รหัสผ่านให้อัตโนมัติ จากนั้นให้คลิกขวาที่ช่องใส่รหัสผ่าน เลือก "Inspect Element" จากนั้นจะเป็นการเรียก Developer Console ขึ้นมา ให้หาบรรทัดที่มีคำว่า "input type=password" แล้วให้เปลี่ยนคำว่า password เป็น text เท่านี้ก็จะเห็นรหัสผ่านได้ทันที

(วิธีทำแบบละเอียดจะอยู่ในวิดีโอหลังเบรคนะครับ)

ในงานเปิดตัว iOS 6 แอปเปิลบอกไว้ว่าจะมีการยกเครื่อง App Store ใหม่ ซึ่งคนที่ใช้รุ่น beta จะเริ่มเห็นความแตกต่างกับรุ่นเก่าบ้างแล้ว ล่าสุดมีผู้ใช้ชื่อว่า varmanj ไปโพสต์ใน Reddit ว่า iOS 6 beta 3 ที่เพิ่งปล่อยมาจะไม่ถามรหัสผ่านเวลาดาวน์โหลดแอพฟรีแล้ว

นอกจากแอพฟรีที่ไม่ถามรหัสผ่าน การอัพเดตแอพก็เลิกถามรหัสผ่านเช่นกัน จากเดิมที่ถามแทบทุกครั้ง (และรหัสผ่านก็ไม่ได้ให้ตั้งกันง่ายๆ)

ต่อไปก็ไม่ต้องใช้ PasswordPilot กันแล้ว...

Yahoo! Voices ซึ่งเป็นระบบจัดการงานเขียนออนไลน์ ที่ใช้ส่งงานเขียนไปยังบริการต่างๆ ของยาฮู อาทิเช่น Yahoo! News ได้ถูกแฮกเกอร์ผู้ไม่ประสงค์ออกนามเจาะระบบและเปิดเผยรหัสผ่านมากกว่า 450,000 บัญชีผู้ใช้บนเว็บไซต์แห่งหนึ่ง จุดประสงค์เพื่อเป็นการเตือนยาฮูให้ปิดช่องโหว่ที่เกิดขึ้น แถมยังทิ้งท้ายว่ายังมีช่องโหว่อีกจำนวนมากบนเว็บเซิร์ฟเวอร์ของยาฮู ที่สามารถสร้างความเสียหายได้รุนแรงกว่านี้

รายการรหัสผ่านที่ถูกเปิดเผยนั้น ไม่ได้มีแต่บัญชีรายชื่อของยาฮูเพียงอย่างเดียวเท่านั้น แต่มีของผู้ให้บริการอีเมลเจ้าอื่นๆ อีกด้วย อาทิเช่น Gmail ของกูเกิล และ Hotmail ของไมโครซอฟท์ เนื่องจากยาฮูได้อนุญาตให้ผู้ใช้ล็อกอินเข้าสู่ระบบโดยใช้บัญชีรายชื่อและรหัสผ่านของผู้ให้บริการอีเมลเจ้าอื่นๆ ได้

แม้ว่าวัยรุ่นในยุคนี้จะมีความเชี่ยวชาญในการใช้เครื่องมือจากโลกดิจิทัลมากกว่าคนสมัยก่อนอย่างไม่ต้องสงสัย แต่ก็มีบางเรื่องที่ถูกละเลยไปเช่นกัน หนึ่งในนั้นคือการตั้งรหัสผ่าน

การวิจัยครั้งใหญ่ที่สุดเกี่ยวกับการตั้งรหัสผ่านของนาย Joseph Bonneau จากมหาวิทยาลัยเคมบริดจ์ ที่วิเคราะห์ข้อมูลรหัสผ่านจากผู้ใช้งาน Yahoo! กว่า 70 ล้านบัญชี ผลคือผู้ใช้ที่อายุมากกว่า 55 ปีมักจะตั้งรหัสผ่านที่มีความปลอดภัยสูงกว่าผู้ใช้ที่อายุต่ำกว่า 25 ปีถึงสองเท่าตัว