ข้อมูลหลุดแล้วต้องทำอย่างไรต่อ วิธีตรวจอ่านเว็บ ';--have i been pwned?

by lew
19 January 2019 - 08:31

เมื่อคืนที่ผ่านมาข่าวข้อมูลหลุด 773 ล้านรายการคงทำให้หลายคนตกใจ คำแนะนำเบื้องต้นคือหากพบอีเมลตัวเองในเว็บ ';--have i been pwned? (HIBP) ก็ให้เปลี่ยนรหัสผ่านเสียใหม่ นอกจากนี้ในระยะยาวควรหาทางเลือกใช้การล็อกอินหลายขั้นตอน (multifactor authentication) เพื่อลดความเสี่ยงเสีย

อย่างไรก็ดี ข้อมูลหลุดแต่ละครั้งมีความร้ายแรงไม่เท่ากัน ตัวเว็บ HIBP เองแสดงข้อมูลสั้นๆ เพื่อบอกว่าระดับความร้ายแรงอยู่ระดับใด ในบทความนี้เราจะแนะนำจุดสังเกตสำคัญ ดังนี้

ข้อมูลอะไรหลุดไปบ้าง

ข้อมูลที่สำคัญที่สุดคือรายการ "Compromised data" ที่บอกว่ามูลอะไรที่หลุดมากับข้อมูลชุดนั้นบ้าง บางครั้งข้อมูลหลุดแค่เพียงอีเมล และชื่อผู้ใช้ โดยที่รหัสผ่านหรือข้อมูลอื่นไม่ได้หลุดตามออกมาด้วย แม้จะไม่ร้ายแรงมากแต่ก็มีผลกับคนที่ต้องการปิดบังชื่อผู้ใช้ไม่ให้เชื่อมโยงกับอีเมล ข้อมูลหลักๆ ที่มักหลุดออกมา เช่น

  • ชื่อผู้ใช้
  • อีเมล
  • รหัสผ่าน
  • คำถามรีเซ็ตรหัสผ่าน มีใช้งานในเว็บเก่าๆ จำนวนมาก
  • คำใบ้รหัสผ่าน
  • ข้อมูลการใช้งาน บางครั้งอาจจะหมายถึงล็อกการเข้าเว็บทุกหน้า, รายการที่ไปโพสหรือกดไลค์ไว้, หมายเลขไอพีที่เข้าใช้งาน, หรือข้อมูลอื่นในเว็บ

ข้อมูลหลุดเมื่อไหร่

ในกรณีที่อีเมลเราใช้งานมานานแล้ว ก็มักจะมีโอกาสพบข้อมูลหลุดสูงขึ้นเรื่อยๆ หลายเว็บอาจจะแทบไม่มีคนใช้งานแล้ว ในเว็บ HIBP บอกช่วงเวลาที่ข้อมูลหลุดออกมา ถ้าเราจำได้ว่าเปลี่ยนรหัสผ่านไปหลังจากที่ข้อมูลนั้นหลุดออกมาแล้วก็ลดความกังวลไปได้

ข้อมูลหลุดในรูปแบบใด

ข้อมูลที่สำคัญที่สุดคือรหัสผ่าน ทาง HIBP จะรายงานตัวรูปแบบของข้อมูลที่หลุดออกมาไว้อย่างละเอียด โดยทั่วไปจะมีรูปแบบดังนี้

  • ไม่เข้ารหัสเลย (plaintext) เป็นรูปแบบการเก็บรหัสผ่านที่แย่ที่สุด เมื่อข้อมูลรหัสผ่านหลุดออกมา มักมีคนร้ายพยายามนำรหัสผ่านและอีเมลเหล่านี้ไปทดสอบล็อกอินเว็บอื่นๆ อย่างรวดเร็ว ควรเร่งเปลี่ยนรหัสทุกบริการที่ใช้รหัสผ่านซ้ำกัน
  • เข้ารหัสแต่อ่อนแอ เว็บมีการเข้ารหัสด้วยกระบวนการที่ไม่มาตรฐานนัก และอ่อนแอจนกระทั่งแฮกเกอร์สามารถแกะข้อมูลกลับมาเป็นข้อมูลไม่เข้ารหัสได้อยู่ดี โดยทั่วไปแล้วการเก็บข้อมูลแบบนี้ ก็ยังดีกว่าการไม่เข้ารหัสบ้าง เพราะมักสร้างความลำบากให้แฮกเกอร์ แต่ก็ช่วยอะไรไม่ได้มากนัก
  • เข้ารหัสด้วยการแฮช มาตรฐานการพัฒนาเว็บในช่วงหลายสิบปีที่ผ่านมา มักให้นักพัฒนาเก็บข้อมูลแฮชรหัสผ่านเอาไว้ ทำให้คนร้ายแม้ได้ข้อมูลไปก็ไม่รู้ว่ารหัสผ่านที่จริงแล้วเป็นอะไร แต่การแฮชนั้นมีกระบวนการมาตรฐานที่เป็นที่นิยมไม่กี่กระบกวนการ เช่น MD5, SHA1, SHA2, bcrypt หากรหัสผ่านเราอ่อนแอ เป็นรหัสผ่านที่เป็นที่นิยม รวมถึงเป็นรหัสผ่านที่เคยหลุดมาแบบไม่เข้ารหัส แฮกเกอร์ก็อาจจะนำรหัสผ่านเหล่านั้นมาแฮชเตรียมไว้แล้ว เพื่อเทียบหาว่ามีคนใช้รหัสผ่านเหล่านั้นที่อื่นอีกหรือไม่
  • เข้ารหัสด้วยการแฮชพร้อมข้อมูล salt นับเป็นกระบวนการเก็บรหัสผ่านที่ดีที่สุดในตอนนี้ โดยนักพัฒนาจะนำข้อมูลอื่น มาเชื่อมต่อกับรหัสผ่านของผู้ใช้แล้วจึงแฮช เช่น SHA1("Weak Password" + "@dkralrp") โดยที่ "@dkralrp" เป็นค่า salt ที่มักเป็นข้อมูลสุ่มขึ้นมา กระบวนการเช่นนี้ทำให้แม้ค่าแฮชหลุดออกไปก็จะไม่ซ้ำกับฐานข้อมูลอื่นเลย หากค่า salt ไม่ได้หลุดออกมาด้วยการเทียบหารหัสผ่านก็จะยากมาก หรือหากหลุดออกมาด้วยก็จะซื้อเวลาให้เหยื่อได้ช่วงเวลาหนึ่งกว่าที่แฮกเกอร์จะสามารถเทียบได้ว่ารหัสผ่านนี้น่าจะใช้เว็บอื่นหรือไม่

ส่งท้าย: เปลี่ยนนิสัย ลดความเสี่ยง

ปัญหาข้อมูลหลุดคงเป็นปัญหาที่เราจะเจอกันไปอีกตราบเท่าที่โลกนี้ยังมีคอมพิวเตอร์และยังมีแฮกเกอร์ แต่เราสามารถลดความเสี่ยงตัวเองได้ ด้วยแนวทางดังนี้

  • ไม่ใช้รหัสผ่านซ้ำกันหลายเว็บ การเลือกใช้รหัสผ่านซ้ำกันไปมาหลายบริการสร้างความเสี่ยงให้ตัวเองได้มากมหาศาล ขอเพียงข้อมูลบริการใดหลุดออกมาแฮกเกอร์ก็สามารถนำข้อมูลไปใช้ที่อื่นได้ทันที หากมีบริการจำนวนมากและรหัสผ่านเยอะเกินจำไหว ให้ใช้ซอฟต์แวร์จัดการรหัสผ่านที่มีอยู่มากมายตอนนี้ ซอฟต์แวร์ฟรีและโอเพนซอร์ส ก็ยังมีเช่น KeePass เป็นต้น แม้แต่ซอฟต์แวร์เสียเงินจำนวนมากก็มักมีแพ็กเกจฟรี เช่น LastPass
  • ใช้รหัสผ่านที่แข็งแกร่ง การตั้งรหัสผ่านเป็นความยากสำหรับทุกคน เรามักติดนิสัยสร้างรหัสผ่านง่ายๆ ทำให้บางครั้งแม้จะไม่ได้ใช้รหัสผ่านซ้ำกัน แต่รหัสผ่านเหล่านั้นก็มีอยู่บนฐานข้อมูลโดยบังเอิญ การสร้างรหัสผ่านที่ยาวพอสมควร (เกิน 8 ตัวอักษร) และสุ่มค่อนข้างสมบูรณ์เป็นแนวทางสำคัญ แอปจัดการรหัสผ่านมักมีบริการสร้างรหัสผ่านให้ หรือคำสั่งในลินุกซ์เองก็มีคำสั่ง pwgen เป็นต้น
  • เปิดใช้การล็อกอินหลายขั้นตอน เว็บที่ข้อมูลส่วนตัวสูงๆ มักมีการเลือกล็อกอินหลายขั้นตอนให้ใช้งาน ควรเปิดใช้เสมอ โดยระดับความปลอดภัยต่างกันไป เว็บสำคัญๆ เช่น เฟซบุ๊ก, Gmail, และทวิตเตอร์ ล้วนรองรับกุญแจ FIDO ส่วนเว็บอื่นๆ อาจจะมีตัวเลือก SMS หรือแอปบอกโค้ดตามเวลา ก็เลือกใช้งานได้เช่นกัน
Blognone Jobs Premium