Clear
Lead Graphic Papers

Password1 สัญญาณอันตรายที่มากับรหัสผ่าน

ผู้เขียน: พรพรหม ประภากิตติกุล
วันที่เผยแพร่: 23 มี.ค. 2555
ปรับปรุงล่าสุดวันที่: 23 มี.ค. 2555

Share on Facebook Share on Twitter Share on Google+

เมื่อตั้งคำถามถึงการรักษาความมั่นคงปลอดภัยบนระบบคอมพิวเตอร์ ผู้ใช้งานหลายท่านอาจให้คำนิยามด้วยภาพของการเข้าสู่ระบบปฎิบัติการหรือการเข้าสู่หน้าเว็บไซต์ด้วยชื่อผู้ใช้ (Username) และรหัสผ่าน (Password) เป็นอย่างแรก เนื่องจากเป็นวิธีการรักษาความมั่นคงปลอดภัยของระบบคอมพิวเตอร์แบบหนึ่งที่พบได้บ่อยครั้งเมื่อมีความต้องการเข้าใช้งานข้อมูลที่เป็นส่วนบุคคลหรือเป็นความลับ แต่ระบบคอมพิวเตอร์ที่ให้ล็อกอินโดยการใช้งานชื่อผู้ใช้และรหัสผ่าน ก็มีความเสี่ยงสูงต่อการถูกโจมตี เนื่องจากปัจจัยที่จะทำให้การถูกโจมตีสำเร็จนั้น มักขึ้นอยู่กับการตั้งค่ารหัสผ่านของผู้ใช้งานเป็นหลัก หากรหัสผ่านที่ใช้งานไม่มีความมั่นคงปลอดภัยแล้วนั้น ก็เท่ากับเปิดโอกาสให้ผู้โจมตีสามารถคาดเดารหัสผ่านเพื่อเข้าถึงระบบคอมพิวเตอร์ได้โดยง่าย

ตามรายงานข่าวจาก CNN มีการระบุว่าบริษัทวิจัยและพัฒนาด้านการรักษาความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ที่ชื่อว่า Trustwave ได้เปิดเผยรายงานที่เกี่ยวข้องกับสถิติการใช้งานรหัสผ่านในเอกสาร “Trustwave 2012 Global Security Report” [1] โดยมีเนื้อหาที่เกี่ยวข้องว่าองค์กรทางด้านธุรกิจทั่วโลกมีการใช้รหัสผ่าน “Password1” อย่างแพร่หลายและอาจเป็นสาเหตุส่วนใหญ่ที่ทำให้ระบบคอมพิวเตอร์ขององค์กรต่างๆ ถูกเข้าควบคุมได้สำเร็จจากการโจมตีผ่านการล็อกอินด้วยรหัสผ่านดังกล่าว และจากข้อมูลเพิ่มเติมพบว่ารหัสผ่านดังกล่าวเป็นค่าที่ได้จากการกำหนดค่า Default Password ที่ได้จากบริการของ Microsoft Active Directory [2] [3] ที่เป็นบริการที่ใช้สำหรับบริหารจัดการสิทธิผู้ใช้งานบนเครือข่ายโดเมนของระบบปฎิบัติการวินโดวส์ ซึ่งอาจทำให้ผู้ใช้งานบางคนอาจเข้าใจว่ารหัสผ่านดังกล่าวมีความซับซ้อนอยู่แล้วจึงไม่ดำเนินการเปลี่ยนรหัสผ่าน

จากรายงานข้างต้นแสดงให้เห็นถึงสภาพปัญหาสำคัญของการใช้งานระบบคอมพิวเตอร์จากทั่วโลกว่ายังคงขาดความใส่ใจในเรื่องความมั่นคงปลอดภัยที่เกี่ยวข้องกับการใช้งานรหัสผ่านและการขาดกระบวนการตรวจสอบที่ดี ซึ่งในกรณีที่เป็นระบบขององค์กรที่มีความสำคัญและถูกขโมยบัญชีผู้ใช้งานไปได้ อาจส่งผลกระทบร้ายแรงทำให้องค์กรนั้นหมดความน่าเชื่อถือจากลูกค้า และไม่สามารถประเมินค่าความเสียหายที่จะเกิดขึ้นในอนาคตหากยังเปิดโอกาสให้ผู้โจมตีเข้ามายังระบบได้ง่ายดายเช่นนี้ บทความนี้จะรวบรวมข้อมูลแนวทางการใช้งานรหัสผ่าน เพื่อให้ผู้อ่านสามารถนำไปปรับใช้งานกับการใช้งานในระบบหรือบริการต่างๆที่ต้องการได้ โดยมีรายละเอียดดังนี้

1.ไม่ใช้ Default Password

Default Password หรือค่ารหัสผ่านเริ่มต้นของอุปกรณ์หรือซอฟต์แวร์ หมายถึง รหัสผ่านที่ถูกตั้งค่ามาจากผู้พัฒนาอุปกรณ์หรือซอฟต์แวร์ตั้งแต่ครั้งแรก เช่น รหัสผ่านสำหรับล็อกอินระบบบริหารจัดการของอุปกรณ์ Router ที่มีการตั้งค่ามาจากผู้พัฒนา หรือกรณีที่ใช้เทมเพลตของรหัสผ่านที่ออกแบบโดยระบบ Active Directory ดังเช่นในตัวอย่างรายงานที่ได้กล่าวไป โดยมีจุดประสงค์หลักเพื่อป้องกันการเข้าถึงจากผู้ที่ไม่เกี่ยวข้อง แต่ช่องโหว่ของการใช้งานรหัสผ่านแบบ Default Password คือ รหัสผ่านมักจะเป็นค่าเดียวกันทั้งผลิตภัณฑ์หรือรุ่นนั้นๆ และเมื่อผู้ใช้งานไม่เปลี่ยนแปลงค่ารหัสผ่านเริ่มต้น ก็สามารถทำให้รหัสผ่านเหล่านี้ถูกคาดเดาเพื่อใช้ในการโจมตีได้ไม่ยาก เพราะปัจจุบันข้อมูลรหัสผ่านเหล่านี้สามารถค้นหาได้ทั่วไปบนเว็บไซต์อินเทอร์เน็ต ดังเช่นเว็บไซต์ในรูปที่ 1 ซึ่งเป็นแหล่งรวบรวมข้อมูล Default Password จากผู้ให้บริการเกี่ยวกับระบบคอมพิวเตอร์ทั่วโลก

Pp2012no0005-1.png

รูปที่ 1 ตัวอย่างเว็บไซต์ที่รวบรวม Default Password จากผู้ให้บริการ

2. ตั้งค่ารหัสผ่านที่มีความซับซ้อน

ผู้ใช้งานหลายท่านคงเคยได้ยินคำเตือนจากผู้เกี่ยวข้องด้านความมั่นคงปลอดภัยให้เปลี่ยนรหัสผ่านส่วนตัวให้เป็นรหัสผ่านที่มีความซับซ้อน หรือบางท่านอาจพบเห็นด้วยตัวเองจากการใช้งานหน้าเว็บไซต์ต่างๆ ที่มีการแจ้งเตือนให้ตั้งค่ารหัสผ่านที่มีความมั่นคงหรือที่เรียกว่า Password Strength ดังเช่นตัวอย่างในรูปที่ 2 ซึ่งทั้งหมดที่กล่าวมาถือเป็นคำนิยามเดียวกัน โดยมีจุดประสงค์เพื่อลดโอกาสที่ผู้โจมตีจะสามารถคาดเดารหัสผ่านของผู้ใช้งานได้โดยง่าย เนื่องจากคำว่ารหัสผ่านที่มีความซับซ้อนจะหมายถึง รหัสผ่านที่คาดเดายาก ซึ่งประกอบไปด้วย ตัวเลข อักษรภาษาอังกฤษตัวพิมพ์ใหญ่ อักษรภาษาอังกฤษตัวพิมพ์เล็ก และอักขระพิเศษ โดยอาจจะมีหลักเกณฑ์เพิ่มเติม เช่น ต้องกำหนดความยาวของรหัสผ่านมากกว่า 8 ตัวอักษร ผู้ใช้งานควรปรับทัศนคติว่ารหัสผ่านที่ซับซ้อนจะทำให้จำได้ยาก และปรับทัศนะคติที่ว่าการตั้งค่ารหัสผ่านโดยการเลือกใช้ข้อมูลเฉพาะกลุ่ม เช่น ใช้เฉพาะข้อมูลกลุ่มที่เป็นตัวเลข มีโอกาสเสี่ยงต่อการถูกโจมตีสำเร็จสูง เนื่องจากความน่าจะเป็นมีขอบเขตน้อย ยกตัวอย่างเช่น หากมีการตั้งค่ารหัสผ่าน 5 หลักเป็นตัวเลขทั้งหมด จะเทียบเท่ากับมีโอกาสที่จะสุ่มรหัสผ่านถูกต้องไม่เกิน 500 ครั้ง โดยอาศัยการผสมของอักขระพิเศษและพยัญชนะรูปแบบต่างๆ เช่น ตัวเลข พยัญชนะภาษาอังกฤษตัวเล็ก พยัญชนะภาษาอังกฤษตัวใหญ่ เป็นต้น

Pp2012no0005-2.png

รูปที่ 2 แสดงการตั้งรหัสผ่านที่มีความซับซ้อนคาดเดายากจากเว็บไซต์ hotmail.com

3. ไม่ตั้งค่ารหัสผ่านใหม่ซ้ำกับรหัสผ่านก่อนหน้า

ผู้ใช้งานหลายท่านคงเคยเห็นอีเมลแจ้งเตือนให้เปลี่ยนรหัสผ่าน ตามช่วงเวลาที่องค์กรหรือระบบที่ให้บริการต่างๆได้กำหนดไว้ ส่วนใหญ่มักจะเป็นไปตามนโยบายขององค์กรที่ต้องการให้ผู้ใช้งานเปลี่ยนรหัสผ่านใหม่เพื่อความมั่นคงปลอดภัย แต่ก็ยังพบว่าผู้ใช้งานอีกหลายคนที่มีแนวคิดตรงกันข้ามคือต้องการใช้รหัสผ่านเดิมไปตลอด เพราะฉะนั้นเมื่อถึงรอบเปลี่ยนรหัสผ่าน ผู้ใช้งานกลุ่มนี้ก็จะทำการเพื่อเปลี่ยนรหัสผ่านแต่การเปลี่ยนรหัสผ่านที่ว่าคือการเปลี่ยนไปเป็นรหัสผ่านตัวเดิม หรือในกรณีที่ระบบออกแบบมาให้มีตรวจสอบว่าการเปลี่ยนรหัสผ่านจะต้องไม่ซ้ำเดิมเป็นจำนวน 3 ครั้ง ผู้ใช้งานก็จะทำการเปลี่ยนรหัสผ่านเป็นจำนวนทั้งหมด 4 ครั้ง โดยครั้งสุดท้ายก็จะยังคงเปลี่ยนเป็นรหัสผ่านเดิม เพื่อหลีกเลี่ยงกระบวนการตรวจสอบนี้ ซึ่งเป็นสิ่งที่ไม่ควรทำอย่างยิ่งเพราะนอกจากจะผิดจุดประสงค์ของการเปลี่ยนรหัสผ่านแล้ว ยังเท่ากับเพิ่มโอกาสที่จะทำให้ผู้โจมตีสามารถเจาะรหัสผ่านได้ เพราะฉะนั้นทางเลือกที่ดีที่สุดคือการเปลี่ยนรหัสผ่านที่ไม่ซ้ำกับค่าเดิม รวมถึงระบบที่ให้บริการก็ต้องมีกระบวนการที่ไม่ยอมให้ผู้ใช้งานสามารถตั้งค่ารหัสผ่านซ้ำเดิมด้วย โดยอาจจะดำเนินการพัฒนากระบวนการตรวจสอบเพิ่มเติมเช่น ระบบที่ให้บริการเปลี่ยนรหัสผ่านต้องมีกระบวนการตรวจสอบรหัสผ่านที่จะตั้งค่าใหม่กับรหัสผ่านเดิมทุกครั้ง หรือให้มีกระบวนการทำ Minimum password age [4] เพื่อกำหนดช่วงเวลาที่อนุญาตให้ผู้ใช้งานสามารถเข้ามาเปลี่ยนรหัสผ่านได้อีกครั้ง

4. ไม่ตั้งค่ารหัสผ่านที่เหมือนกันทุกระบบ

การตั้งค่ารหัสผ่านให้เหมือนกันในทุกระบบไม่ว่าจะเป็น อีเมล ระบบงาน ระบบปฏิบัติการ หรือระบบใดก็ตามล้วนแล้วแต่เป็นการเพิ่มช่องทางที่จะทำให้ความเสียหายขยายตัวได้ง่ายมากยิ่งขึ้น ยกตัวอย่างเช่น กรณีของผู้ใช้งานที่มีบัญชีผู้ใช้งานเว็บไซต์เฟซบุ๊ค (Facebook) ที่ใช้รหัสผ่านเดียวกับบัญชีผู้ใช้งานจีเมล (Gmail) โดยเมื่อพบว่ารหัสผ่านของผู้ใช้งานถูกขโมยจากระบบใดระบบหนึ่งแล้ว เท่ากับผู้ใช้งานคนนั้นมีความเสี่ยงสูงที่จะถูกเข้าถึงอีกระบบหนึ่งที่ใช้รหัสผ่านเดียวกันได้โดยง่าย ซึ่งแสดงให้เห็นว่าการเลือกใช้รหัสผ่านเดียวกันในทุกระบบย่อมส่งผลเสียได้เร็วและง่ายขึ้น แต่ในปัจจุบันจะพบว่าในองค์กรใหญ่ๆที่มีผู้ใช้งานมากมักจะมีการประยุกต์ใช้ระบบการเก็บรหัสผ่านที่เดียวเพื่อรองรับการเข้าถึงข้อมูลบัญชีการล็อกอินที่เหมือนกันในทุกระบบหรือที่เรียกว่า Centralize Authentication [5] เพื่อให้ผู้ใช้งานมีความสะดวกมากยิ่งขึ้นและลดความซับซ้อนของการเก็บข้อมูลบัญชีผู้ใช้งานรวมถึงรหัสผ่าน เพราะฉะนั้นรหัสผ่านที่ใช้ในกรณีนี้จำเป็นจะต้องมีการรักษาความมั่นคงปลอดภัยที่ดีมาก ซึ่งอาจสามารถทำตามคำแนะนำทั้งหมดในบทความนี้ เพื่อลดโอกาศที่จะถูกผู้บุกรุกสามารถเข้าถึงข้อมูลสำคัญได้ทั้งหมด

5. ไม่ตั้งค่ารหัสผ่านที่เป็นคำในพจนานุกรมหรือคำทั่วไปที่คาดเดาได้โดยง่าย

ในทางการรักษาความมั่นคงปลอดภัยบนระบบคอมพิวเตอร์ได้มีการ พบการโจมตีรหัสผ่านรูปแบบหนึ่งที่ชื่อว่า Dictionary Attack [6] ซึ่งเป็นการโจมตีโดยการนำเอาคำในไฟล์ข้อความ (Text File) หรือในอีกความหมายหนึ่งคือพจนานุกรม (Dictionary) ที่จัดทำขึ้นส่วนตัวหรืออาจจะหาซื้อได้จากแหล่งต่างๆ มาใช้ในการโจมตีระบบคอมพิวเตอร์ โดยนำค่าในไฟล์ดังกล่าวไปประมวลผลล็อกอินลงในระบบคอมพิวเตอร์ ซึ่งการโจมตีในรูปแบบนี้มักได้ผลกับผู้ใช้งานที่ตั้งค่ารหัสผ่านที่ไม่ซับซ้อนและส่วนมากเป็นคำทั่วไปที่ผู้ใช้งานมักจะตั้งกัน เช่น คำว่า password , secret เป็นต้น

6. ไม่ตั้งค่ารหัสผ่านจากข้อมูลส่วนบุคคล

สิ่งแรกที่สร้างแรงจูงใจให้เกิดการขโมยบัญชีผู้ใช้งานในระบบหรือบริการต่างๆนั่นคือ ผู้ใช้งานมักมีการตั้งค่ารหัสผ่านโดยใช้ข้อมูลส่วนบุคคล เพื่อให้ผู้ใช้งานเองสามารถจดจำได้ง่าย ซึ่งข้อมูลส่วนบุคคลที่กล่าวมาคงปฎิเสธไม่ได้ว่าจะเป็นข้อมูลซึ่งรู้เฉพาะผู้ใช้งานคนเดียว และมักเป็นข้อมูลที่เปิดเผยและคาดเดาได้ไม่ยาก เช่น เบอร์โทรศัพท์ หมายเลขทะเบียนรถ หรือวันเดือนปีเกิด เป็นต้น ในบางกรณีที่ผู้ใช้งานตั้งค่ารหัสผ่านจากข้อมูลส่วนบุคคลและคิดว่าตนเองถูกขโมยรหัสผ่านจากคนใกล้ตัวที่รู้ข้อมูลส่วนบุคคล แต่จริงๆแล้วผู้ใช้งานลืมคิดไปว่าข้อมูลดังกล่าว ไม่ได้เป็นความลับหรือรู้เฉพาะคนใกล้ตัวเท่านั้น ปัจจุบันข้อมูลส่วนบุคคลบางอย่างได้ถูกเผยแพร่อยู่บนหน้าเว็บไซต์เครือข่ายสังคมออนไลน์ที่ตนเองสมัครใช้บริการอยู่ ฉะนั้นจึงไม่แปลกที่การตั้งค่ารหัสผ่านจากข้อมูลส่วนบุคคลจะไม่มีความมั่นคงปลอดภัยพอ

Pp2012no0005-3.png

รูปที่ 3 การเปิดเผยข้อมูลผ่านเว็บไซต์เครือข่ายสังคมออนไลน์

7. ใช้งาน Two Factor Authentication

Two Factor Authentication เป็นวิธีการล็อกอินเพื่อเข้าถึงระบบหรือบริการต่างๆโดยอาศัยปัจจัยสองอย่างที่นำมายืนยันร่วมกัน ซึ่งจะต้องไม่มีความสัมพันธ์เหมือนกัน เพื่อจุดประสงค์ในการสร้างความมั่นคงปลอดภัยให้มีประสิทธิภาพมากยิ่งขึ้น โดยในทางด้านความมั่นคงปลอดภัยระบบคอมพิวเตอร์ได้มีการจำแนกปัจจัยดังกล่าวออกเป็น 3 ส่วน [7] คือ
7.1 การยืนยันตัวตนด้วยสิ่งที่รู้ (Something you know) เช่น รหัสผ่าน
7.2 การยืนยันตัวตนด้วยสิ่งที่มี (Something you have) เช่น รหัสบัตรเติมเงิน รหัสผ่านแบบครั้งเดียวที่ส่งผ่านข้อความสั้นเข้าโทรศัพท์มือถือ (SMS OTP)
7.3 การยืนยันตัวตนด้วยข้อมูลทางชีวภาพ (Something you are) เช่น การสแกนลายนิ้วมือ
ซึ่งในปัจจุบันพบว่าระบบหรือบริการต่างๆมีแนวโน้มในการปรับเปลี่ยนให้สามารถรองรับการทำงานร่วมกับ Two Factor Authentication ดังจะเห็นได้จากเว็บไซต์ใหญ่ๆที่มีการเปิดให้ใช้งานแล้ว เช่น Google หรือ Amazon

Pp2012no0005-4.png

รูปที่ 4

8. เปลี่ยนรหัสผ่านอย่างสม่ำเสมอและตรวจสอบข้อมูลช่องทางการเปลี่ยนรหัสผ่าน

การเปลี่ยนรหัสผ่านอย่างสม่ำเสมอช่วยให้ผู้ใช้งานมั่นใจว่ารหัสผ่านส่วนตัวจะยังคงเป็นความลับอยู่เสมอ และในระหว่างนั้นผู้ใช้งานควรมีการตรวจสอบข้อมูลอื่นๆที่ใช้ร่วมกับการล็อกอินด้วย เช่น ข้อมูลอีเมลสำรองที่ใช้ในการเปลี่ยนรหัสผ่าน ข้อมูลคำถามสำหรับการเปลี่ยนรหัสผ่าน เป็นต้น เพื่อลดโอกาสที่ผู้ไม่หวังดีจะแฝงตัวอยู่กับบัญชีผู้ใช้งาน ซึ่งโดยทั่วไป มักเกิดกับการโจมตีที่ผู้โจมตีได้บัญชีการใช้งานและรหัสผ่านมาแล้วและทำการลักลอบอยู่ในระบบโดยไม่แสดงพฤติกรรมใดๆ ในบางกรณีผู้ใช้งานเองอาจไม่เคยทราบเลยก็เป็นได้ว่ามีการขโมยรหัสผ่านสำเร็จแล้ว และผู้โจมตีกำลังแฝงตัวเพื่อลักลอบขโมยข้อมูลส่วนบุคคลจากการใช้งาน เช่น ผู้โจมตีจะเฝ้าดูการใช้งานอีเมล เป็นต้น และเมื่อผู้โจมตีได้ข้อมูลตามที่ต้องการแล้วจึงจะแสดงตัวออกมาต่อไปหรือในบางรายอาจไม่แสดงตัวเลยก็เป็นได้

9. อย่าหลงกลเชื่ออีเมลที่แจ้งให้เปลี่ยนรหัสผ่าน

ก่อนที่จะตกลงปลงใจเชื่อข้อมูลในอีเมล โดยเฉพาะอย่างยิ่ง ข้อมูลที่มีผลกระทบกับการใช้งานรหัสผ่าน ควรพิจารณาให้รอบคอบว่าเป็นอีเมลที่มาจากระบบหรือจากผู้เกี่ยวข้องจริงๆหรือไม่ แนวทางที่ใช้ในการวิเคราะห์ข้อมูลเบื้องต้นคือการตรวจสอบสถานะการเปลี่ยนรหัสผ่านจากผู้ดูแลระบบหรือจากการเช็คจากข้อมูลที่บริการนั้นๆจัดเตรียมไว้ให้ แต่หากไม่สามารถติดต่อหรือตรวจสอบข้อมูลใดๆได้เลย ก็อาจจะใช้วิธีการทั่วไปที่ค่อนข้างปลอดภัยคือเข้าไปเปลี่ยนรหัสผ่านยังเว็บไซต์หรือบริการที่แจ้งเตือนมาด้วยตนเอง เพื่อป้องกันโอกาสในการหลอกลวงด้วยเทคนิค Phishing [8] โดยผู้ใช้งานจะต้องไม่คลิกลิ้งก์ที่แนบมากับอีเมลเป็นอันขาด หากต้องการเปลี่ยนรหัสผ่่านบนเว็บไซต์ ให้ผู้ใช้งานเข้าไปยังหน้าเว็บไซต์โดยตรงและทำการเปลี่ยนรหัสผ่าน

Pp2012no0005-5.jpg

รูปที่ 5 แสดงตัวอย่างอีเมลหลอกลวง

แนวทางการใช้งานรหัสผ่านดังที่ได้กล่าวมาทั้งหมดเป็นเพียงแนวคิดเบื้องต้นที่จะช่วยสร้างลักษณะนิสัยและความตระหนักถึงความมั่นคงปลอดภัยในการใช้งานรหัสผ่านและการเข้าถึงระบบหรือบริการต่างๆ โดยสิ่งที่ชี้ให้เห็นอย่างหนึ่งคือนอกเหนือจากจะให้ความรู้ผู้ใช้งานแล้ว ผู้ดูแลระบบควรมีการสนับสนุนช่องทางหรือกลไกในการเพิ่มประสิทธิภาพด้านความมั่นคงปลอดภัยในการเข้าถึงระบบต่างๆเพิ่มเติมด้วย เช่น การพัฒนาฟังก์ชั่นการตรวจสอบการเปลี่ยนรหัสผ่านให้สอดคล้องกับนโยบายขององค์กร การพัฒนาระบบการทำ Two Factor Authentication เพื่อเพิ่มระดับในการเข้าถึงระบบให้ระบบมีความมั่นคงปลอดภัยมากยิ่งขึ้น เป็นต้น

อ้างอิง

  1. https://www.trustwave.com/global-security-report
  2. http://money.cnn.com/2012/03/01/technology/password_security/?source=cnn_bin
  3. http://en.wikipedia.org/wiki/Active_Directory
  4. http://netsecurity.about.com/od/secureyourwindowspc/qt/pwminage.htm
  5. http://www.windowsitpro.com/article/ldap/sso-vs-centralized-authentication
  6. http://en.wikipedia.org/wiki/Dictionary_attack
  7. http://www.cs.cornell.edu/courses/cs513/2005fa/nnlauthpeople.html
  8. https://www.etda.or.th/main/contents/display/233

Clear