• Special Report 10.07.2014

    Blog นี้เขียนโดยความชอบส่วนตัวครับ และ เป็นเรื่องที่น่าจะเอามาแบ่งปันกัน เพราะ เราๆ ก็เป็นคนที่อยู่ในยุค Internet และซึ่งทุกคนก็ต้องมี User/Password อย่างน้อย 2-3 ตัว เช่น email หรือ Facebook เป็นต้น แต่เราดูแล Password ของเราดีรึยัง ปลอดภัยแล้วหรือไม่ ลองมาดูกันครับ Smile

    คุณ Lorrie Faith Cranor เป็นศาสตราจารย์ด้าน Computer Science of Engineering และ Public Policy แห่งมหาวิทยาลับ Carnegie Mellon (CMU  – Pittsburgh, PA) ได้นำงานวิจัยเรื่องของ Password มาพูดให้ฟังใน Ted ผมคงไม่ลงในรายละเอียดทั้งหมด แต่ขอเอาบางส่วนมาสรุปให้นะครับ (แปลผิดแปลถูกบ้างก็บอกกันได้นะ ฮาาา)

    TED: Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

    เรื่องของ Password Policy

    การบังคับใช้ Password Policy เป็นสิ่งที่น่ารำคาญ แต่มันก็ทำให้ผู้ใช้งานรู้สึกปลอดภัย…จากงานวิจัยผานจากการ Surveys 470 ราย พบว่า

    • 13 % จะเขียน Password เก็บไว้ในกระดาษ
    • 80 % จะมีการ Reuse Password เดิม ซึ่งมีความเสี่ยงที่จะถูกสุ่มเจอมากขึ้น
      ความเห็นส่วนตัว: เนื่องจากว่า เราไม่รู้ว่า Password เคยถูกขโมยไปบ้างหรือเปล่า การ Reuse Password จึงมีความเสี่ยงที่จะกลับไปใช้ Password ที่ถูกขโมยไปได้ค่อนข้างสูง
    • คุณ Lorrie แนะนำว่า แม้ว่าการเขียนลงกระดาษจะมีความเสี่ยง แต่ก็ยังปลอดภัยกว่าการ Reuse Password
      ความเห็นส่วนตัว: ผมมองว่าการเขียน Password ลงกระดาษจะสามารถทำให้ผู้ใช้สามารถตั้ง Password ที่ยากได้มากกว่า ก็พยายามบังคับให้ผู้ใช้งานพยายามที่จะ จดจำ Password

    จากนั้นก็มีการวิจัยโดยหา(จ้าง)อาสาสมัครมาพิมพ์ Password โดยบังคับ Pattern โดย Pattern ที่นำมาทดลอง มีตั้งแต่
    Basic8 -8 ตัวอะไรก็ได้,
    Basic16 -16 ตัวอะไรก็ได้ และ
    Comprehensive8 – No Dictionary Word, 8 ตัวอักษร ต้องมีทั้งตัวเล็ก, ตัวใหญ่, ตัวเลข และ สัญลักษณ์ (Password ในองค์กรส่วนใหญ่จะใช้ตัวนี้)

    • จากการวิจัยพบว่า สัญลักษณ์ใน Password ตัว ! และ @ เป็นสัญลักษณ์ที่ถูกใช้มากที่สุด
      (คุ้นๆ มั๊ย Shift+1 กับ Shift+2)

    image

    • ผู้ใช้งานรู้สึกยินดีที่จะพิมพ์ Password ยาวๆ แต่ง่ายมากกว่า Password ที่ complex แต่สั้น
    • มีการใช้ Password แบบ Basic8 x 2 ซึ่งมันก็ยังง่ายต่อการเดาอยู่ดี
      (เช่น passwordpassword หรือ 0123456789876543 เป็นต้น)

    การวิจัย Password Meter

    • Password Meter มีความหลากหลายตั้งแต่การบอกระดับในรูปแบบของ Text, สี, Level ซึ่งทำงานได้ค่อนข้างดี และ มีหลายแบบ
    • แต่ Password Meter ในปัจจุบัน ยังไม่ดีพอ เพราะ เป็นการตรวจสอบแค่จำนวนตามเงื่อนไขเท่านั้น
    • ทาง Lorrie มองว่า ระบบ Password Meter ที่ดีควรจะให้เราพิมพ์ Password ให้เสร็จก่อน แล้วค่อยตัดสิน Password ทั้งชุดว่ามันดีหรือไม่

    image

    ในการวิจัยมีการพูดถึง การใช้ Password แบบ Passphase  (ง่ายๆ ก็คือ Password ในรุปแบบของประโยค) แทนการใช้ Complex Password (Compehensive8) ซึ่งจะช่วยให้จำได้ง่าย และ การ Crack Password ก็ยากขึ้น  (Password ยิ่งยาว การ Crack Password ก็ยิ่งใช้เวลานาน)

    image
    ภาพจาก http://xkcd.com/936/

    ส่วนการนำไปใช้ได้มีการทดสอบด้วยการ Generate Password ออกมาให้ผู้ใช้ลองนำไปใช้ดู แต่ไม่ค่อย effective สำหรับ User เพราะ อาจจะจำผิดจำถูกไม่หมดทุกคำ ยิ่งมีการผสม Symbol ยิ่งยากขึ้นไปอีก และมีการพยายามสร้างคำที่ออกเสียงได้ง่าย (แต่ไม่ใช่คำที่อยู่ใน Dictionary) ก็ยังค่อยได้ผลเช่นกัน เพราะ ถ้าออกเสียงผิด ก็ทำให้ Password ผิดเช่นกัน สำหรับการสร้าง Passphase จะแนะนำให้ลงตัวที่การใช้รูปแบบประโยคจำง่ายที่สุด ซึ่งจะประกอบด้วย คำนาม + กริยา + คำขยาย + กรรม (Noun+Verb+Adjective+Object/Noun) เป็นต้น

    แต่ทั้งนี้การวิจัยกลับระบุว่า Passphase ก็ยังไม่ใช่ทางออกทีดี่ที่สุด เพราะ สุดท้ายชุดประโยคที่ยาว จะทำให้เพิ่มโอกาสที่จะ จำผิด และ พิมพ์ผิด เพิ่มมากขึ้นด้วยเช่นกัน

    จากนั้นก็การทำวิจัยร่วมกับทางหน่อยงานด้าน Security ของทาง CMU เกี่ยวกับการเอา Password จริงของกลุ่มผู้ใช้งาน ส่งเข้า Password Analyser Server ที่ตั้งอยู่ในระบบปิด (No Network) และ อยู่ในกรง (Cage)


    ห้องกรงจริงๆ นะครับ…ไม่ใช่ฮ่องกง

    และ การทำงานทั้งหมด ดำเนินงานโดยเจ้าหน้าที่ Security เอง (Password ติด Hashing ไม่ต้องกลัวว่าจะโดนเปิดดูกันได้ง่ายๆ) และ เข้าใจว่าทางเจ้าหน้าที่ Security ได้ทำการ Review Report ก่อนจะส่งออกมาให้ทางคุณ Lorrie ด้วย ดังนั้นไม่มี Password หลุดออกมาแน่นอน (ความเห็นส่วนตัว)

    PS. งานของ security officer เป็นงานที่มีความเป็น Prefessional สูงนะครับ คนกลุ่มนี้ได้รับการอบรมเพื่อเป็น Specialist ดังนั้นพวก Password Leak ที่เกิดขึ้นจากคนกลุ่มนี้จะมีความเป็นไปได้ต่ำมาก

    สำหรับ Report ที่ออกมานั้นได้มีการวิเคราะห์ตั้งแต่นักศึกษาสายวิทย์ (เช่น Science & Tech หรือ Engineer) จะมีความปลอดภัยในการตั้ง Password สูงกว่าสาย Art (เช่น Business หรือ Arts) ถึง 1.8 เท่า (โอ้เย้ !! 555+)

    image

    มาถึงหัวข้อสุดท้ายคุณ Lorrie ได้แสดงภาพภาพหนึ่ง เธอเรียกว่า Security Blanket (นิยามจะประมาณว่า อะไรก็ตามที่มีไว้แล้วอุ่นใจ) ในนี้ประกอบด้วย Password 1000 แบบที่ถูกขโมยมาจาก RockYou Website (Website เกม Online แห่งหนึ่ง) ขนาดของมันปรับเปลี่ยนไปตามความจำนวนของมัน (แปลว่า ถ้า Password ไหนมี User ใช้เยอะก็จะยิ่งใหญ่ และ ชัดขึ้น เช่น 123456789 หรือ password เป็นต้น) นอกจากนี้ยังมีการทำสีเพื่อจำแนกประเภทของ Password ด้วย เช่น สีน้ำเงิน แทน ตัวเลข หรือ สีชมพู แทน ชื่อคนทั่วไป เป้นต้น (นับว่า กวนใช้ได้เลยครับท่านศาสตราจารย์ 555+)

    image

    Security Blanket

    จากการศึกษายังพบอีกว่า Password ที่ออกมาส่วนใหญ่จะเป็น Password ที่มีความ “รัก” อยู่ในนั้น เช่น ชื่อคนที่รัก, สัตว์เลี้ยง (ตลกดีที่ต่างประเทศใช้คำว่า Monkey เยอะจนติด Top Chart เลยทีเดียว)

    สุดท้าย Password Pattern ที่เราควรจะต้องระวังประกอบด้วยอะไรบ้าง

    • Sequence password เช่น 123465… หรือ qwerty
    • Duplicate password เช่น 12121212
    • Common/Well-known password ต่างๆ เช่น คำว่า password หรือ การใช้ Username เป็น Password ด้วย
      (เช่น User: admin/Password: admin เป็นต้น)
    • Feelgood password เช่น hellokitty (สำหรับคนชอบ Kitty) หรือ liverpool (สำหรับคนที่ชอบ Liverpool เป็นต้น) Password ลักษณะนี้จริงๆ เดาไม่ง่าย แต่ก็เดาไม่ยาก ถ้าคนที่ต้องการจะ Hack รู้จักคุณเป็นการส่วนตัว…คุณ Lorrie ได้บอกว่า หัดคิดอย่างอื่นบ้างก็ได้นะ (ฮา)

    [สุดท้าย]

    เอาจริงๆ แล้วคุณ Lorrie ไม่ได้ให้ข้อสรุปว่า Password เราควรจะตั้งแบบไหนถึงดี แต่อย่างน้อยเธอได้ให้ผลจากการวิจัยออกมาให้แล้วว่า อะไรที่ไม่ดี ที่เหลือก็อยู่ที่เราแล้วแหละครับที่จะเป็นคนตั้ง Password ให้ปลอดภัย และ เหมาะสมกับตัวคุณเอง (อย่างน้อยก็ขอให้อย่าลืมมันง่ายๆ ละกันครับ…ฮา)

    Comments

    comments

    Posted by yuttanah @ 7:14 pm

    Tags: , ,

  • Leave a Reply

    Your email address will not be published. Required fields are marked *

    Time limit is exhausted. Please reload CAPTCHA.