การเก็บ Password สำคัญฉไหน

การเก็บ Password สาคัญไฉนโดยนายสเุ มธ จติ ภักดบี ดนิ ทร,์ Senior Security Researcher, บรษิ ัท I-SECURE ชว่ งทผ่ี า่ นมามคี นตงั้ คาถามมากมายเกย่ี วกบั การเก็บรหสั ผา่ น(Password) ของเว็บไซดต์ า่ งๆทั่วโลกรวมถงึประเทศไทยดว้ ย วา่ การเก็บเป็ นแบบขอ้ ความโดยไมม่ กี ารเขา้ รหสั (plain text) สมควรหรอื ไม่ บางคนก็วา่ เว็บไซด์ไมไ่ ดม้ กี ารทาธรุ กรรมออนไลนใ์ ดๆ ไม่จาเป็ นตอ้ งเก็บแบบเขา้ รหัสหรอก ไมต่ อ้ งใหค้ วามสาคญั หรอื จรงิ จังอะไร แตห่ ารู ้ไมว่ า่ การเก็บขอ้ มลู password แบบไมเ่ ขา้ รหสั นัน้ แฝงไปดว้ ยภยั อนั ตรายมากมายเว็บไซดก์ บั รปู แบบการเก็บ Password ไมว่ า่ จะเป็ นเว็บไซดข์ องบรษิ ัทชอ่ื ดงั หรอื ไมก่ ็ตาม ก็ยังพบเห็นไดท้ วั่ ไปกบั พฤตกิ รรมการเก็บ Password แบบทไี่ มเ่ ขา้ รหัส โดยถงึ แมว้ า่ เว็บไซดเ์ หลา่ นัน้ จะไมม่ กี ารทาธรุ กรรมออนไลนแ์ ตอ่ ยา่ งใด แตก่ ลบั มกี ารระบใุ หผ้ ใู ้ ชง้ านทวั่ ไปทตี่ อ้ งการสมคั รสมาชกิ ของเว็บไซดเ์ หลา่ นัน้ กรอกขอ้ มลู สาคญั ของตนเองในแบบฟอรม์ การสมัครสมาชกิ ดว้ ยเชน่ กนั น่ันหมายความวา่ เว็บไซดเ์ หลา่ นัน้ ก็จะเก็บขอ้ มลู สาคญั ของผใู ้ ชง้ านไวพ้ รอ้ มกบั การเกบ็ password แบบไม่เขา้ รหัสไวน้ ่ันเอง รปู ภาพตัวอยา่ งเว็บไซดท์ เ่ี ก็บ password แบบไมเ่ ขา้ รหัส โดยปกตเิ ว็บไซดท์ ่วั ไปจะมกี ารเก็บ Password เป็ น 3 แบบดว้ ยกนั คอื 1. การเก็บขอ้ มลู แบบ plain text คอื การเกบ็ password แบบไม่มกี ารเขา้ รหสั แตอ่ ยา่ งใด 2. การเก็บขอ้ มูลแบบเขา้ รหสั แตส่ ามารถถอดรหัสได ้ 3. การเก็บโดยใชเ้ ป็ นแบบ one-way hashing คอื การเขา้ รหัสแบบทางเดยี ว กลา่ วคอื เมอ่ื ทาการเขา้ รหสั ไปแลว้ จะไมส่ ามารถทากระบวนการยอ้ นกลบั หรอื ถอดรหสั (decryption) ไดอ้ กี

รปู ภาพตวั อยา่ งการใชง้ าน Hash function น่ันหมายความวา่ หากเราทดสอบดว้ ยการ “ลมื password (forgot password)” กบั เว็บไซดใ์ ดๆ แลว้ เว็บไซด์สง่ email กลับมายงั ฝ่ังผใู ้ ชง้ านพรอ้ มกบั password ของผใู ้ ช ้ น่ันหมายความวา่ เวบ็ ไซดเ์ หลา่ นัน้ มกี ารเกบ็ passwordเป็ นแบบ 1,2 แน่นอน (และโดยปกตมิ ักจะเป็ นแบบไมม่ กี ารเขา้ รหัสอกี ดว้ ย)ภยั จากการเก็บ Password แบบไมเ่ ขา้ รหสั ถา้ มองแบบผวิ เผญิ การเก็บ Password แบบไมเ่ ขา้ รหัสก็น่าจะไมม่ พี ษิ มภี ัยอะไร แตจ่ รงิ ๆแลว้ มนั ทาใหเ้ กดิ ภยัอนั ตรายตา่ งๆไดม้ ากมายเชน่1. การปลอมแปลงตวั ตน(Impersonate Person) ในปัจจุบนั การใชง้ านเว็บไซดใ์ ดๆ จะมี usernameเปรยี บเสมอื นตวั แทนของเรา ไมว่ า่ เราจะกระทาสงิ่ ใดก็แลว้ แตใ่ นเวบ็ ไซดน์ ัน้ ๆ เชน่ การเขยี นขอ้ ความลงในกระทภู ้ ายในเวบ็ ไซด์ การสง่ ขอ้ ความใหก้ บั ผใู ้ ชง้ านอนื่ เป็ นตน้ เปรยี บเสมอื นเป็ นการกระทาของตวั เราเองโดยทางเว็บไซดจ์ ะเก็บการกระทาตา่ งๆจากผใู ชง้ านลง log file หากมกี ารเก็บ password เ แบบ plain textจะทาใหผ้ ดู ้ แู ลเว็บไซดห์ รอื ใครกแ็ ลว้ แตท่ สี่ ามารถเขา้ ถงึ database ทเ่ี กบ็ password นัน้ ๆได ้ สามารถปลอมแปลงเป็ นผใู ้ ชง้ านใดๆก็ได ้ ซงึ่ อาจนาไปสกู่ าสรา้ งสถานการณ์และโยนความผดิ กบั ผใู ้ ชง้ านใดๆก็เป็ นได ้2. การไดม้ าซง่ึ ขอ้ มลู สาคญั ของบุคคลเหลา่ นน้ั (Internal Threat & Information Leak) จากทก่ี ลา่ วไปกอ่ นหนา้ นวี้ า่ ยังมเี วบ็ ไซดห์ ลายเว็บไซดท์ ใี่ หผ้ สู ้ มัครสมาชกิ จาเป็ นตอ้ งกรอกขอ้ มลู สาคัญของผใู ้ ชง้ านเชน่เลขประจาตวั ประชาชน, ทอี่ ยู่, เบอรโ์ ทรศพั ท,์ วนั /เดอื น/ปีเกดิ เป็ นตน้ หากผดู ้ แู ลสามารถทราบถงึpassword ไมไ่ ดเ้ ขา้ รหสั ของผใู ้ ชง้ านได ้ กอ็ าจจะเขา้ ถงึ ขอ้ มลู สาคญั เหลา่ น้ไี ด ้ และอาจนาขอ้ มลู สาคัญเหลา่ นไ้ี ปใชใ้ นทางทผ่ี ดิ ตอ่ ไปได ้3. การเขา้ ถงึ account (Using same password in multiple account) มหี ลายทา่ นทมี่ กี ารใชง้ าน username, password เ เ บ email account เบ เ password ทไี่ มไ่ ดเ้ ขา้ รหสั ไว ้ เกดิแ ผดู ้ แู ลระบบเขา้ ถงึ ขอ้ มลู ดงั กลา่ วเองก็ตามที ผทู ้ ไ่ี ด ้ password นัน้ ไปก็จะสามารถเขา้ ถงึaccount เ บ ได ้ password แ password4. การหลอกลอ่ มาเพอื่ ใหไ้ ด้ password (Phishing with genuine website) หากมี Hackerเเ เบ เ แ บเ บ password เ แบบ plain text Hacker อาจพยายามหลอกลอ่ ใหผ้ ูอ้ น่ื เขา้ มาสมัครเว็บไซดช์ อ่ื ดงั ดงั กลา่ ว เพอื่ หวงั ผลทางดา้ นโปรโมชนั่ หรอื รับขา่ วสารใดๆก็แลว้ แต่ เมอื่ มเี หยอื่ ตดิ กบั Hacker password บเ บ , เ ****** อา้ งองิ แนวคดิ นจ้ี าก http://pantip.com/topic/31730010 ความคดิ เห็นท่ี 22 ของคณุ windows98SE ครับ

ควรทาอยา่ งไรเมอื่ ผใู้ ชล้ มื Password จากขอ้ มลู ขา้ งตน้ จะพบวา่ ภยั แฝงทม่ี าจากการเก็บ Password แบบไมเ่ ขา้ รหัสมมี ากมายเหลอื เกนิ ดงั นัน้ เว็บไซดต์ า่ งๆควรจะเกบ็ Password โดยเขา้ รหสั แบบทางเดยี วกอ่ นครับ ทนี ถ้ี า้ ผใู ้ ชง้ านลมื password จะทาอยา่ งไรละ่ ในเมอื่ ผใู ้ ชง้ านก็ไมส่ ามารถจา Password ไดอ้ ยแู่ ลว้ และเราก็ไมส่ ามารถทราบถงึ Password เกา่ ของผใู ้ ชง้ านไดก้ ารให ้user ทาการเปลยี่ น password หรอื สรา้ ง password ใหมไ่ ปเลยก็น่าจะเป็ นทางออกทดี่ ที สี่ ดุ โดยยกตวั อยา่ งทางออกให ้ 2 แบบคอื1. การใช้ Token เพอื่ เขา้ ไปแกไ้ ข Password เป็ นการสรา้ งชดุ รหสั สาหรับ reset password เฉพาะผใู ้ ชง้ านทตี่ อ้ งการ reset password อกี ทงั้ token มกี ารกาหนดเวลาทห่ี มดอายใุ นการใชง้ านอกี ดว้ ย รปู ภาพตวั อยา่ งการ reset password โดยใช้ Token ของ Twitter2. การใช้ OTP แ Password เป็ นการสรา้ ง One-Time-Password(OTP) ซงึ่ ถอื วา่ เป็ นPassword ชว่ั คราว แลว้ สง่ OTP นัน้ ไปกบั email ของผใู ้ ชง้ าน เมอื่ ผใู ้ ชง้ านไดร้ ับและใช ้ OTP นใี้ นหนา้ ของการ reset password เรยี บรอ้ ยแลว้ ก็ใหผ้ ใู ้ ชง้ านแกไ้ ข password เป็ นไปดงั ทต่ี อ้ งการอกี ทหี นง่ึ จรงิ ๆแลว้ ยงั มวี ธิ กี ารจดั การเกย่ี วกับ “การลมื Password” อกี มากมาย ในเอกสารนเ้ี ป็ นการยกตวั อยา่ งแค่บางสว่ นทมี่ กี ารใชง้ านกนั อย่างแพร่หลายเทา่ นัน้ ครับลกั ษณะการจดั การ Password โดยมาตรฐาน ISO27001ถา้ มองในรูปแบบของมาตรฐาน มาตรฐานทค่ี อ่ นขา้ งตรงและมกี ารใชง้ านกนั อยา่ งแพร่หลายตัวหนงึ่ คอืISO27001 จดั การ Password (Password Management) ไวด้ งั น้ี1. ผใู ้ ชง้ านควรมกี ารถกู บงั คับใหเ้ ปลยี่ น password แ ในกรณีที่ password เ defaultpassword(password มาตรฐานของอปุ กรณ์หรอื ระบบนัน้ ๆ)2. Password ควรมคี วามยาวไม่ตา่ กวา่ 8 ษ3. Password ควรถกู บงั คบั ใหเ้ ปลยี่ นทกุ ๆ 30/60 วนั4. Password ใหมท่ ม่ี กี ารแกไ้ ข ไมค่ วรซ้ากบั Password เกา่ ทเ่ี คยตงั้ ยอ้ นหลงั ไป 5 Password5. หากผใู ้ ชง้ านไมส่ ามารถ login เ บบ เ 3 lock user เ เ bruteforce (การเดาสมุ่ )6. Password แ เ เ (plain text) ในขณะทพี่ มิ พอ์ ยู่

7. Password ตอ้ งมกี ารผสมกนั อยา่ งนอ้ ยหนง่ึ ตวั อกั ษรระหวา่ งตัวอกั ษรตวั เล็ก(a-z), ตวั อักษรตวั ใหญ่(A-Z), ตวั อกั ขระพเิ ศษ(@ # $ & / +) และตวั เลข(0-9) 8. ทกุ ครัง้ ทมี่ กี ารพยายาม login เขา้ สรู่ ะบบควรมกี ารเกบ็ log ไวท้ งั้ ขอ้ มลู เวลาที่ login, วนั ท่ี login, IP Address, ชอ่ื เครอ่ื งทใ่ี ช,้ application, username ไมว่ า่ จะเป็ นการ login ทส่ี าเร็จหรอื ไมส่ าเร็จก็ตามบทสรปุ จากขอ้ มลู ทงั้ หมดจะเห็นวา่ การเกบ็ Password ทไ่ี มเ่ ขา้ รหัสมภี ยั หลายๆอย่างแอบแฝงอยู่ ซง่ึ ทางทดี่ ี ผใู ้ ชง้ านควรจะป้องกนั ตวั เองดว้ ยการพยายามไมใ่ ชง้ าน password ทซี่ ้ากนั ในแตล่ ะเว็บไซด์ เพอื่ ป้ องกนั ตนเองเมอ่ื passwordนัน้ หลดุ ออกมาครับ