จากข้อมูลของสำนักข่าว CNBC ได้อ้างอิงข้อมูลของ NordPass ซึ่งเป็นบริษัทบริหารจัดการ Password ได้เปิดเผย 200 ชุด Password อันดับ password ยอดแย่ประจำปี 2022 ออกมาตาม link most common passwords in 2022 ซึ่งเป็น password ที่ถูกคาดเดาได้ง่าย ทางเราเลยนำ 10 อันดับแรกมาให้ดูกันครับว่าเราเคยใช้งาน password พวกนี้ทั้งในองค์กรของเราหรือใน account ส่วนตัวบ้างหรือไม่
1. password
2. 123456
3. 123456789
4. guest
5. qwerty
6. 12345678
7. 111111
8. 12345
9. col123456
10. 123123
จาก 10 อันดับตามรายละเอียดเป็น password ที่บางครั้งคนในองค์กรเรามักจะตั้ง หรือรวมไปถึง admin บางที่ใช้เป็น Default password ก่อนบังคับให้ End user เปลี่ยนซึ่งในบางที่ อาจไม่ได้ตั้ง Password Policy ให้มีความ Complex โดยตั้งผสมอักขระพิเศษเพื่อให้คาดเดาได้ยาก อันเนื่องมาจากบางครั้งความจำเป็นที่ถูก Force มาจากทีมบริหารบ้าง หรือ End user บ้างว่า Password จำยาก
ทีนี้เรามาดูความง่ายในการที่ Hacker สุ่ม password ของเราหากใช้ Password ง่ายๆดูว่าจะใช้เวลาประมาณเท่าไหร่ โดยเราจะใช้จาก Web Bitwarden ซึ่งเป็น password manager ที่เป็น Open-Source และค่อนข้างมีความน่าเชื่อถือ โดยผมจะลอง generate password ให้ดูแล้วให้คำนวณว่าจะใช้เวลาที่ password จะถูกสุ่มโดย script หรือเทคนิคต่างของ Hacker เพื่อให้ได้มาซึ่ง Password อย่างไรบ้าง
ตามตัวอย่างแรกเราจะใช้ Password ที่มีจำนวนตัวอักษร รวมอักขระและตัวเลขพิเศษที่ 8 ตัวกันก่อน
จะเห็นว่า Password ที่มีความยาว 8 ตัว ใช้เวลาในการสุ่มเพียง 3 ชั่วโมงเท่านั้น
เราลองมาเพิ่มจำนวน password ให้มากขึ้นเป็น 10 ตัวกัน
จะเห็นว่าเวลาที่ hacker ต้องใช้มีมากขึ้น โดยอาจจะต้องใช้เวลาไม่ต่ำกว่า 12 วันในการได้มาซึ่ง Password ที่ต้องการได้ ตัวอย่างสุดท้ายเราลองมาเพิ่มความยาว Password เป็นประมาณ 14 ตัวกันบ้าง
จะเห็นว่าเมื่อเราใช้ Password จำนวน 14 ตัวขึ้นไป Hacker ต้องใช้เวลาเป็นร้อยปี ถึงจะสามารถ Crack Password ออกไปได้ จะเห็นว่า Password ในปัจจุบันที่ควรใช้งานและให้ยากต่อความเสี่ยงที่จะเกิดการ crack password นั้นควรจะเป็น 14 ตัวขั้นต่ำ ทีนี้เราคงต้องมาดูว่าด้วยความเป็นจริงเราคงไม่สามารถจำ Password ได้ยาวขนาดนั้นหรือมีวิธีไหนที่สามารถนำมาใช้งานได้เพื่อให้เรามีความปลอดภัยสูงสุด
1. 2Factor Authentication
เป็นระบบที่ใช้ยินยันตัวตนอีกชั้น ก่อนจะมีการ login เข้าสู่ระบบตัวจริงหลังจากผ่านการใส่ Password มาแล้วโดยจะมีการแบ่งรูปแบบการใช้งานออกเป็น
SMS หรือ Text message ต่างๆซึ่งเป็นลักษณะของ one-time code
Authenticator App อย่างเช่น Duo , FortiToken, google Authenticator หรืออื่นๆ ซึ่งเป็นลักษณะของการ Authen แบบ TOTP หรือ Time-based one-time password
Hardware Token อย่างเช่น Yubikey ซึ่งช่วงหลังเริ่มมีการใช้งานอย่างแพร่หลาย และเริ่มได้รับความนิยมอย่างมาก
Email Verification เป็นการใช้งาน Email ในการรับ Code ก่อนที่จะเข้าสู่ตัวระบบ
2. Password Manager
เป็นการใช้งาน Password Manager ที่ได้รับความนิยมเพื่อให้ง่ายต่อการใช้งาน Password ยาวๆ รวมไปถึงในระดับองค์กรที่บางครั้งจำเป็นต้องใช้งาน Password บางอย่างร่วมกัน ก็สามารถใช้ Solution นี้ในการ Share กันได้อย่างปลอดภัย โดย Software หรือบริการที่ได้รับความนิยมอย่างมากก็เช่น 1Password, Bitwarden หรืออื่นๆ
3. Passwordless Solution
Passwordless ถ้าแปลตามตัวเลยก็คือการไม่มีรหัสผ่าน อ้าวแล้วเราจะเข้าระบบของเราได้อย่างไรล่ะ ในความเป็นจริงแล้ว Password เป็นอะไรที่มีโอกาสรั่วไหลและจะว่าไป password นี่แหละคือสิ่งที่อันตรายที่สุด เพราะฉะนั้นก็เลยกำจัดมันไปซะเลย แต่เราก็ต้องมีอะไรที่มาทดแทนการเข้าถึงระบบของเราแทน password ซึ่งในปัจจุบัน ก็มีตัวอย่างที่ใช้งานไปแล้วเช่น Product จากทางฝั่ง Microsoft เช่นเมล์เป็นต้น เป็นการเข้าถึงระบบแทนที่จะใช้ Password แต่ปรับเปลี่ยนมาเป็นการเข้าถึงโดยใช้อย่างเช่น Windows Hello , Authenticator app เช่น App Microsoft Authenticator บนมือถือ หรือการใช้ FIDO2 Security key อย่างเช่น YuBikey เป็นต้น เดี๋ยวผู้เขียนจะเขียนแยก Passwordless ออกเป็นอีก 1 บทความเพื่อขยายเนื้อหาใน EP หน้านะครับ
อ่านมาถึงตรงนี้แล้วหากต้องการปรึกษา Solution หรือเข้าไปช่วยเหลือการแก้ไขปัญหาต่างๆ ขององค์กรท่าน สามารถติดต่อเข้ามาทาง Email : Sales@tkl.co.th หรือ เบอร์โทรศัพท์ของเราที่ 02-513-9415-6 เราพร้อมทีมงานยินดีบริการในทุกๆ Solution ที่ท่านต้องการ ไม่ว่าจะเป็น Cyber Security , System, Network หรืออื่นๆ จนกว่าจะพบกันใหม่ใน EP. หน้าครับ
Reference link
https://www.microsoft.com/en-us/security/business/solutions/passwordless-authentication
Comments