Posted inNote

ถอดรหัสรหัสผ่าน: เจาะลึกกลไกและวิธีป้องกันตัว

Posted inNote

ถอดรหัสรหัสผ่าน: เจาะลึกกลไกและวิธีป้องกันตัว

ในโลกดิจิทัลที่เราพึ่งพารหัสผ่านในการเข้าถึงแทบทุกอย่าง เคยสงสัยไหมว่ารหัสผ่านที่ดูซับซ้อนของเรานั้นปลอดภัยแค่ไหน และมีผู้ไม่หวังดีพยายามจะ “เจาะ” หรือ “ถอดรหัส” มันได้อย่างไรบ้าง บทความนี้จะพาไปทำความเข้าใจถึงเบื้องหลังของกระบวนการนี้ โดยเฉพาะอย่างยิ่งการเจาะรหัสผ่านแบบออฟไลน์ พร้อมแนะแนวทางป้องกันตัวที่สำคัญ

ทำความเข้าใจการเจาะรหัสผ่านแบบออฟไลน์

การเจาะรหัสผ่านคือกระบวนการพยายามค้นหารหัสผ่านที่ถูกต้อง โดยอาจมีวัตถุประสงค์หลายอย่าง ตั้งแต่การทดสอบความปลอดภัยของระบบ การกู้คืนรหัสผ่านที่ลืม ไปจนถึงการเข้าถึงข้อมูลอย่างผิดกฎหมาย ซึ่งการเจาะแบบ ออฟไลน์ แตกต่างจากการเจาะแบบออนไลน์อย่างสิ้นเชิง

การเจาะแบบออฟไลน์หมายถึงการที่ผู้โจมตีสามารถเข้าถึง แฮชรหัสผ่าน (hashed password) ที่ถูกเก็บไว้ในระบบได้โดยตรง โดยไม่ต้องพยายามล็อกอินผ่านหน้าเว็บหรือแอปพลิเคชัน ข้อดีของการเจาะแบบนี้คือ ผู้โจมตีสามารถลองรหัสผ่านได้จำนวนมหาศาลในเวลาอันสั้น โดยไม่มีข้อจำกัดเรื่องการบล็อกบัญชี หรือการถูกตรวจจับจากระบบ และความเร็วในการประมวลผลขึ้นอยู่กับประสิทธิภาพของคอมพิวเตอร์ที่ใช้เท่านั้น

แต่ข้อเสียคือ ต้องมีการเข้าถึงไฟล์แฮชรหัสผ่านเหล่านั้นก่อน ซึ่งมักได้มาจากการแฮกฐานข้อมูล การขโมยไฟล์ระบบ หรือการโจมตีทางวิศวกรรมสังคม

การเก็บรหัสผ่าน: ทำไมถึงเป็นแฮช

หัวใจของการรักษาความปลอดภัยรหัสผ่านคือ การที่ระบบไม่ควรเก็บรหัสผ่านในรูปแบบ ข้อความธรรมดา (Plaintext) แต่จะแปลงมันให้อยู่ในรูปของ แฮช (Hash) ซึ่งเป็นค่าที่ได้จากฟังก์ชันทางคณิตศาสตร์แบบทางเดียว (one-way function)

จำง่ายๆ เลยว่า ฟังก์ชันแฮชจะเปลี่ยนข้อมูลอินพุต (รหัสผ่าน) ให้กลายเป็นสตริงของตัวอักษรและตัวเลขที่มีความยาวคงที่ (แฮช) ซึ่งไม่สามารถย้อนกลับเพื่อหารหัสผ่านต้นฉบับได้ แม้รหัสผ่านเดียวกันก็จะให้แฮชเดียวกันเสมอ การเจาะรหัสผ่านจึงไม่ใช่การหาข้อความธรรมดาตรงๆ แต่เป็นการหาข้อความที่เมื่อนำไปแฮชแล้ว ได้ค่าตรงกับแฮชที่ขโมยมา

ความสำคัญของ Salt

เพื่อเพิ่มความแข็งแกร่งให้กับแฮช และทำให้การเจาะรหัสผ่านยากขึ้น ระบบส่วนใหญ่จึงใช้เทคนิคที่เรียกว่า Salt

Salt คือค่าสุ่มที่ไม่ซ้ำกัน ซึ่งจะถูกเพิ่มเข้าไปในรหัสผ่านก่อนที่จะนำไปแฮช ทำให้แม้ผู้ใช้สองคนจะมีรหัสผ่านเหมือนกัน แต่แฮชที่ได้ก็จะต่างกัน เพราะมี Salt ที่ต่างกัน การใช้ Salt ช่วยป้องกันการใช้ Rainbow Table ซึ่งจะอธิบายต่อไปได้เป็นอย่างดี

เทคนิคการเจาะรหัสผ่านยอดนิยม

เมื่อมีแฮชรหัสผ่านอยู่ในมือ ผู้โจมตีจะใช้เทคนิคต่างๆ เพื่อพยายามค้นหารหัสผ่านต้นฉบับ

Brute Force: พลังแห่งการลองผิดลองถูก

เป็นวิธีที่ตรงไปตรงมาที่สุดและรับประกันผลสำเร็จ 100% หากมีเวลามากพอ Brute Force คือการลองรหัสผ่านทุกชุดที่เป็นไปได้ เริ่มตั้งแต่ตัวอักษรตัวเดียว ไปจนถึงการเพิ่มความยาวและเพิ่มความซับซ้อนของอักขระ ตัวเลข และสัญลักษณ์ทั้งหมด

วิธีนี้ต้องใช้พลังประมวลผลมหาศาล และกินเวลานานมาก โดยเฉพาะกับรหัสผ่านที่ยาวและซับซ้อน แต่ด้วยความก้าวหน้าของฮาร์ดแวร์อย่าง GPU ทำให้การโจมตีแบบ Brute Force ทำได้เร็วขึ้นมาก

Dictionary Attack: พจนานุกรมช่วยได้จริงหรือ

Dictionary Attack ใช้ประโยชน์จากการที่ผู้คนมักตั้งรหัสผ่านที่คาดเดาได้ง่าย เช่น คำศัพท์ทั่วไป ชื่อคน วันเกิด หรือลำดับตัวเลขที่พบบ่อย ผู้โจมตีจะใช้รายการคำศัพท์ (พจนานุกรม) ที่รวบรวมไว้ ซึ่งอาจเป็นคำในภาษาต่างๆ ชื่อเฉพาะ หรือแม้แต่รหัสผ่านที่หลุดออกมาก่อนหน้านี้ แล้วนำคำเหล่านั้นไปแฮชเพื่อเปรียบเทียบกับแฮชเป้าหมาย

วิธีนี้เร็วกว่า Brute Force มาก แต่มีโอกาสสำเร็จต่ำกว่า หากรหัสผ่านไม่ได้อยู่ในลิสต์

Hybrid Attack: ผสมผสานเพื่อประสิทธิภาพ

Hybrid Attack เป็นการรวมจุดเด่นของ Dictionary Attack และ Brute Force เข้าด้วยกัน เช่น การนำคำศัพท์จากพจนานุกรมมาผสมกับตัวเลขหรือสัญลักษณ์ (เช่น password123, passw0rd!) หรือการเปลี่ยนแปลงตัวอักษรเล็กน้อย (เช่น P@ssw0rd)

วิธีนี้เพิ่มโอกาสสำเร็จให้สูงขึ้นอย่างมีนัยสำคัญ โดยยังคงความเร็วไว้ได้ดีกว่า Brute Force ล้วนๆ

Rainbow Table: ตารางสีรุ้งแห่งการถอดรหัส

Rainbow Table คือตารางขนาดใหญ่ที่เก็บค่าแฮชของรหัสผ่านที่ถูกคำนวณไว้ล่วงหน้า ทำให้การค้นหารหัสผ่านจากแฮชทำได้รวดเร็วมาก โดยไม่ต้องเสียเวลาประมวลผลซ้ำแล้วซ้ำเล่า

อย่างไรก็ตาม เทคนิคนี้มีข้อจำกัด หากระบบใช้ Salt ที่แตกต่างกันสำหรับรหัสผ่านแต่ละอัน Rainbow Table จะใช้ไม่ได้ผล เพราะแฮชที่คำนวณไว้ล่วงหน้าจะไม่ตรงกับแฮชที่มี Salt เพิ่มเข้ามา

การป้องกันตัวเองให้ปลอดภัย

การป้องกันที่ดีที่สุดคือการเข้าใจและหลีกเลี่ยงความเสี่ยงเหล่านี้

ควรตั้ง รหัสผ่านที่แข็งแกร่ง ซึ่งมีความยาวอย่างน้อย 12-16 ตัวอักษร ผสมผสานทั้งตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ ตัวเลข และสัญลักษณ์ และที่สำคัญที่สุดคือ ไม่ใช้รหัสผ่านซ้ำ ในหลายๆ บัญชี การใช้ โปรแกรมจัดการรหัสผ่าน (Password Manager) ช่วยจัดการรหัสผ่านที่ซับซ้อนและไม่ซ้ำกันได้อย่างมีประสิทธิภาพ

เปิดใช้งาน การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication – MFA) เสมอ เพราะแม้รหัสผ่านจะถูกเจาะไปได้ ผู้โจมตีก็ยังไม่สามารถเข้าถึงบัญชีได้หากไม่มีปัจจัยที่สอง การเลือกใช้บริการที่ใช้ อัลกอริทึมแฮชที่แข็งแกร่ง และมีการใช้ Salt ก็เป็นสิ่งสำคัญที่ผู้ให้บริการควรพิจารณา การตรวจสอบความปลอดภัยของบัญชีเป็นประจำก็ช่วยลดความเสี่ยงได้เช่นกัน

Tags: