รีบเปลี่ยนรหัสผ่านก่อนที่จะสายไป! Specops เผย TOP 10 รหัสผ่านที่ถูกเจาะง่ายที่สุด
ท่านทราบหรือไม่ว่าในช่วง 1-2 ปีที่ผ่านมาที่ COVID-19 ระบาดอย่างหนัก มี Password ของผู้ใช้งานถูกเจาะไปแล้วกว่า 34 ล้านรหัส!
ในช่วงสถานการณ์โรคระบาดที่เกิดขึ้น ระบบคำสั่งโปรโตคอลเดสก์ท็อประยะไกล (Remote Desktop Protocol : RDP) ได้มีการใช้งานอย่างแพร่หลายเนื่องจากเป็นวิธีที่สะดวกที่สุดที่ทีม IT Support สามารถให้การสนับสนุนการทำงานรูปแบบ Remote Working ในขณะที่พนักงานไม่ได้ทำงานในออฟฟิศ ซึ่งนั่นเองก็เป็นอีกช่องโหว่ที่เหล่าแฮคเกอร์สวมรอยโจมตีองค์กรมากที่สุดเช่นกัน โดยใช้วิธีการคาดเดารหัสผ่านของพนักงาน (Brute Force Attack) ซึ่งปริมาณการถูกโจมตีดังกล่าวสูงถึง 41% เมื่อเทียบกับการโจมตีทางไซเบอร์ทั้งหมด
Specops ผู้ให้บริการ Password Security Software ได้ทำการศึกษาวิเคราะห์ Password ที่ถูกเจาะระบบ จากจำนวน 4.6 ล้านรหัสผ่านในช่วงเดือนตุลาคม 2022 และได้พบรูปแบบรหัสผ่านที่ถูกโจมตีมากที่สุดดังนี้
- 1.Password
- 2.p@ssw0rd
- 3.Welcome
- 4.admin
- 5.Passw0rd
- 6.p@ssword
- 7.pa$$w0rd
- 8.qwerty
- 9.User
- 10.test
นอกเหนือจากรหัสผ่านข้างต้น ผู้ให้บริการซอฟต์แวร์ความปลอดภัยดังกล่าว ได้เผยรูปแบบรหัสผ่านที่คาดเดาได้ง่ายนั้นพบว่า รหัสผ่านกว่า 88% มีความจุน้อยกว่า 12 ตัวอักษร, กว่า 24% มีจำนวนรหัสผ่านเพียงแค่ 8 ตัว และใน 19% ของรหัสผ่านที่ถูกเจาะอย่างง่ายดายนั้นบรรจุด้วยตัวอักษรพิมพ์เล็กทั้งหมด
รหัสผ่านที่คาดเดาง่ายจะเป็นช่องทางให้ RDP ขององค์กรอ่อนแอต่อการจู่โจมทางไซเบอร์
Darren James, , ผู้บริหารฝ่าย Internal IT บริษัท Specops Software
องค์กรจำเป็นต้องมีนโยบายการตั้งรหัสผ่านของ User ในองค์กรให้มีความแข็งแรง อาทิ การกำหนดความยาวขั้นต่ำของรหัสผ่าน, การกำหนดอายุขัยของการตั้งรหัสผ่าน รวมไปถึงการมี Solution เพื่อป้องกันการถูกโจมตีจากการเจาะรหัสผ่าน ”
ความเห็นจาก BAYCOMS :
ตามหลักการ โดยทั่วไปของการตั้งรหัสผ่าน มีความจำเป็นที่ต้องทำครบเงื่อนไข 4 แบบ คือ ต้องมีตัวอักษรพิมพ์เล็กและพิมพ์ใหญ่ มีอักขระพิเศษ และตัวเลข อีกทั้งต้องมีอย่างน้อย 8-12 ตัวอักษร (ยิ่งมากยิ่งดี ถ้าสามารถจำได้)
อย่างไรก็ตาม ถึงแม้ว่าเราจะตั้งรหัสผ่านได้ซับซ้อนแค่ไหน ก็ยังสามารถรั่วไหลไปใน Internet ได้อยู่ดี โดยผ่านทางช่องทางอื่นๆ ขององค์กร ที่เราทำงานอยู่ หรือผู้ให้บริการ Application ต่างๆที่เราใช้งานอยู่ เพราะฉะนั้นการเปลี่ยนรหัสผ่านปีละสองครั้งอาจจะเป็นทางเลือกที่ดี หรือการเปิดใช้งาน Multifactor Authentication ก็สามารถช่วยเพิ่มความปลอดภัยมากยิ่งขึ้น ถึงแม้ว่ารหัสผ่านจะหลุดออกไปแล้วก็ตาม
อีกเรื่องที่สำคัญสำหรับผู้ใช้งานทั่วไปคือมักจะ Reuse รหัสผ่านในแต่ละ Service นั้นหมายความว่า ถ้ารหัสเราหลุดออกไป Hacker สามารถเข้าถึง Service อื่นๆ ของเราได้ด้วยซึ่งอันตรายอย่างมาก เพราะฉะนั้นเราควรจะใช้รหัสผ่านในแต่ละ Service ให้เป็นคนละตัวกัน หรือ Reuse ให้น้อยลงนั่นเอง ปัญหาที่ตามมาคือเราอาจจะจำรหัสผ่านของเราไม่ได้ใช่มั้ยครับ ซึ่งการจดเอาไว้ยิ่งทำให้มีความอันตรายมากขึ้น
ผมจึงมีเทคนิคดีๆ มานำเสนอ เพื่อให้มีความปลอดภัยในการตั้งรหัสและสามารถจำได้ง่ายมากขึ้น คือเราจะแบ่งรหัสเป็นสองส่วน ส่วนที่เป็น Static และส่วนที่เป็น Dynamic
เช่นส่วนที่เป็น Static จะคงที่เอาไว้เช่น ผมใช้คำที่จำง่าย อย่าง B@yc0m$ เป็นต้น แล้วเติมในส่วนที่เป็น Dynamic ต่อท้ายในแต่ละ Service เช่น Password ของ Hotmail จะกลายเป็น B@yc0m$@h0tm@il หรือ Facebook ก็อาจจะเป็น B@yc0m$@F@c3b00k แบบนี้เป็นต้นครับ ซึ่งเราจะได้รหัสที่ยากต่อการเดา หรือ Brute Force แต่ง่ายต่อการจดจำครับ ลองไปปรับใช้ให้เหมาะสมกับตัวเองดูนะครับ
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
