ฝาก - ถอน

haveibeenpwned

haveibeenpwned

haveibeenpwned วิธีอ่านผลลัพธ์จาก “ฉันได้รับ pwned” และ แก้ไขอย่างไร ?

haveibeenpwned วันนี้ผมเห็นข่าวมากมายจากหลาย ๆ เว็บไซต์ว่ามี Password หายจำนวนมากซึ่งมีทั้งหลุดให้คนโหลดและยังคงรอคอยที่จะออกมาเป็นระลอกใหญ่หลายคนอาจจะยังไม่รู้ว่าเราสามารถทำพื้นฐานได้หรือไม่ ตรวจสอบว่ารหัสผ่านของเราตกอยู่ในโลกแห่งความมืดหรือไม่ซึ่งตรวจสอบได้จากเว็บไซต์ https://haveibeenpwned.com/ ซึ่งเป็นผลงานของ Troy Hunt ถูกสร้างขึ้นเพื่อใช้เป็นฐานข้อมูลในการตรวจสอบว่าข้อมูลประจำตัวของเราที่ใช้กับบริการถูกบุกรุกและถูกปล่อยออกไป

haveibeenpwned

อธิบายว่า“ ฉันถูก pwned” และข้อมูลรับรองทำงานอย่างไรในบริการหลัก

โดยปกติแล้ว “ข้อมูลรับรอง” หรือ “ข้อมูลประจำตัว” ที่เราใช้ในบริการต่างๆจะมีชื่อผู้ใช้และรหัสผ่านโดยบอกว่าบริการต่างๆนั้นรวมถึงอีเมลด้วยเช่นกัน แต่บริการอื่น ๆ ที่ไม่ใช่อีเมลมักจะขออีเมลเป็นข้อมูลรับรอง / บุคคล ตัวเองที่ใช้อ้างอิงและพิสูจน์การมีอยู่ของเราเช่นเมื่อเราไปสมัคร Facebook หรือเว็บไซต์อื่น ๆ เราจะขออีเมลของเราในขั้นตอนการสมัคร พร้อมกับรหัสผ่านของแต่ละบริการ

หนังสือรับรอง = ชื่อผู้ใช้ (อีเมล) + รหัสผ่าน (สำหรับแต่ละบริการ)
HIBP ไม่ได้บอกว่ารหัสผ่านอีเมลของเราไม่ปลอดภัย แต่บอกว่าข้อมูลรับรองที่เราใช้สำหรับบริการอาจไม่ปลอดภัยอีกต่อไป เนื่องจากบริการที่เราใช้อาจถูกบุกรุก และแฮ็คระบบเพื่อลบรหัสผ่านและเผยแพร่ซึ่งในเช็คจะบอกว่าคู่ชื่อผู้ใช้ – รหัสผ่านที่เราเคยใช้ในบริการใดบ้างที่เคยมีมา

สิ่งที่ต้องกังวลคือโดยทั่วไปคนปกติมักจะใช้คู่ชื่อผู้ใช้ – รหัสผ่านเดียวกันซ้ำแล้วซ้ำเล่าเพราะขี้เกียจจำ และภัยพิบัติจะเกิดขึ้นเมื่อปิดบริการเดียวและใช้ได้กับทุกบริการ ทีนี้มาดูกันว่าเราจะตรวจสอบได้อย่างไร

ขั้นตอนการตรวจสอบตนเอง

ให้เรากรอกอีเมลที่เราใช้เป็นข้อมูลประจำตัวที่เราใช้บริการต่างๆลงในช่อง pwned ? ตัวอย่างเช่น

haveibeenpwned

หลังจากนั้นเราจะเห็นผลลัพธ์จากฐานข้อมูล HIBP ซึ่งหากใครโชคดีได้เห็นแบบนี้ก็สบายใจได้เนื่องจากข้อมูลประจำตัวของเราไม่ได้อยู่ในรายการและมีอยู่บนอินเทอร์เน็ตเพื่อให้โจมตีได้ง่าย

ควรทำอย่างไรต่อไป วิธีอ่านเว็บไซต์ – ฉันได้รับ pwned ?

เมื่อคืนมีข่าวรั่ว 773 ล้านอาจทำให้หลายคนตกใจ คำแนะนำเบื้องต้นคือหากคุณพบที่อยู่อีเมลของคุณบนเว็บ – ฉันได้รับ pwned? (HIBP) เปลี่ยนรหัสผ่านของคุณอีกครั้ง ในระยะยาวควรพบตัวเลือกสำหรับการพิสูจน์ตัวตนแบบหลายปัจจัยเพื่อลดความเสี่ยง

อย่างไรก็ตามข้อมูลที่รั่วไหลแต่ละครั้งไม่ได้ร้ายแรงมาก เพื่อบอกระดับความรุนแรงในบทความนี้เราจะแนะนำจุดสังเกตที่สำคัญบางประการ:

haveibeenpwned

ข้อมูลอะไรหลุดไปบ้าง

ข้อมูลที่สำคัญที่สุดคือรายการ “ข้อมูลที่ถูกบุกรุก” ที่บอกให้คุณทราบว่าข้อมูลใดถูกปล่อยออกมาพร้อมกับข้อมูลนั้น บางครั้งข้อมูลหลุดแค่อีเมล และชื่อผู้ใช้ซึ่งรหัสผ่านหรือข้อมูลอื่น ๆ ก็ไม่หลุดออกไปเช่นกันแม้ว่าจะไม่ร้ายแรงมากนัก แต่ก็มีผลกับผู้ที่ต้องการให้ชื่อผู้ใช้ของตนไม่เชื่อมโยงกับอีเมล

ชื่อผู้ใช้
อีเมล์
รหัสผ่าน
คำถามรีเซ็ตรหัสผ่านมันถูกใช้ในเว็บไซต์เก่ามากมาย
คำแนะนำรหัสผ่าน
ข้อมูลการใช้งานบางครั้งอาจหมายถึงการบันทึกทุกเพจโพสต์หรือไลค์หมายเลข IP หรือข้อมูลอื่น ๆ บนไซต์

ข้อมูลหลุดเมื่อไหร่

ในกรณีที่อีเมลเราใช้งานมานานแล้ว ก็มักจะมีโอกาสพบข้อมูลหลุดสูงขึ้นเรื่อยๆ หลายเว็บอาจจะแทบไม่มีคนใช้งานแล้ว ในเว็บ HIBP บอกช่วงเวลาที่ข้อมูลหลุดออกมา ถ้าเราจำได้ว่าเปลี่ยนรหัสผ่านไปหลังจากที่ข้อมูลนั้นหลุดออกมาแล้วก็ลดความกังวลไปได้

ข้อมูลหลุดในรูปแบบใด

ข้อมูลที่สำคัญที่สุดคือรหัสผ่าน ทาง HIBP จะรายงานตัวรูปแบบของข้อมูลที่หลุดออกมาไว้อย่างละเอียด โดยทั่วไปจะมีรูปแบบดังนี้

Non-encryption (Plain text) is the worst form of password retention. When password information is published, criminals often try to quickly test these passwords and e-mails on other websites, so quickly change them for all services that use the same password.
Encrypted but weak, the web is encrypted by a terrible process. And so weak that hackers can unencrypt the data. In general, this kind of storage is better than unencrypted. Because it is often difficult for hackers. But couldn’t help much


เข้ารหัสด้วยมาตรฐานการพัฒนาเว็บแฮชในช่วงหลายทศวรรษที่ผ่านมามันมักจะช่วยให้นักพัฒนาสามารถจัดเก็บข้อมูลแฮชรหัสผ่าน ทำให้คนร้ายได้ข้อมูลไม่รู้ว่ารหัสผ่านที่แท้จริงคืออะไร แต่มีกระบวนการแฮชมาตรฐานที่เป็นที่นิยมอยู่สองสามขั้นตอนเช่น MD5, SHA1, SHA2, bcrypt นี่คือรหัสผ่านยอดนิยม รวมถึงรหัสผ่านที่หลุดออกไปโดยไม่ได้เข้ารหัสแฮ็กเกอร์อาจแฮ็ชรหัสผ่านที่เตรียมไว้แล้ว เพื่อเปรียบเทียบว่ามีผู้อื่น

ใช้รหัสผ่านเหล่านั้นหรือไม่ เข้ารหัสโดยการแฮชข้อมูลเกลือซึ่งเป็นกระบวนการจัดเก็บรหัสผ่านที่ดีที่สุดในขณะนี้ ผู้พัฒนาจะนำข้อมูลอื่น มันเชื่อมต่อกับรหัสผ่านของผู้ใช้แล้วแฮชเช่น SHA1 (“Weak Password” + “@dkralrp”) โดยที่ “@dkralrp” คือเกลือที่มักจะสุ่ม กระบวนการนี้ทำให้สามารถทิ้งค่าแฮชได้ แต่จะไม่ซ้ำกับฐานข้อมูลอื่น ๆ หากไม่ได้สกัดค่าเกลือด้วยรหัสผ่านจะเป็นเรื่องยากมาก หรือถ้าหลุดออกมาก็จะซื้อเหยื่อสักระยะก่อนที่แฮกเกอร์จะเปรียบเทียบได้ว่ารหัสผ่านนั้นน่าจะใช้ไซต์อื่นหรือไม่

Outro: เปลี่ยนนิสัยลดความเสี่ยง

ปัญหาการขาดการเชื่อมต่อข้อมูลคงเป็นปัญหาที่เราจะต้องพบเจอตราบเท่าที่โลกนี้ยังมีคอมพิวเตอร์ และแฮกเกอร์ แต่เราสามารถลดความเสี่ยงได้เอง. ด้วยแนวทางดังต่อไปนี้

อย่าใช้รหัสผ่านเดียวกันในหลายเว็บไซต์ การเลือกใช้รหัสผ่านเดียวกันซ้ำแล้วซ้ำอีกหลายบริการก่อให้เกิดความเสี่ยงมหาศาล ขอให้ข้อมูลบริการใด ๆ ออกมาแฮกเกอร์สามารถนำข้อมูลไปใช้ที่อื่นได้ทันที หากมีบริการและรหัสผ่านมากเกินไปใช้ซอฟต์แวร์จัดการรหัสผ่านที่มีอยู่ในขณะนี้ นอกจากนี้ยังมีซอฟต์แวร์ฟรีและโอเพ่นซอร์สเช่น KeePass เป็นต้นแม้แต่ซอฟต์แวร์แบบชำระเงินจำนวนมากก็มีแพ็คเกจฟรี เช่น LastPass
ใช้รหัสผ่านที่รัดกุมการตั้งรหัสผ่านเป็นเรื่องยากสำหรับทุกคน เรามักจะติดนิสัยในการสร้างรหัสผ่านง่ายๆ ทำให้บางครั้งแม้จะไม่ได้ใช้รหัสผ่านเดียวกัน แต่บังเอิญมีอยู่ในฐานข้อมูล การสร้างรหัสผ่านที่ยาวพอสมควร (มากกว่า 8 อักขระ) และการสุ่มอย่างเป็นธรรมถือเป็นแนวทางปฏิบัติที่สำคัญ แอปจัดการรหัสผ่านมักมีบริการสร้างรหัสผ่าน หรือคำสั่ง Linux มีคำสั่ง pwgen เป็นต้น
เปิดใช้งานการเข้าสู่ระบบหลายขั้นตอนเว็บไซต์ที่มีโปรไฟล์สูงมักจะมีหลายขั้นตอนให้เลือก ควรเปิดใช้งานอยู่เสมอระดับความปลอดภัยแตกต่างกันไป ไซต์หลัก ๆ เช่น Facebook, Gmail และ Twitter รองรับคีย์ FIDO ทั้งหมด อาจมีตัวเลือก SMS หรือแอปจะบอกรหัสเวลา สามารถเลือกใช้ได้เช่นกัน

ฉันได้รับ Pwned มาเป็นผู้ดูแลการละเมิดข้อมูลครั้งใหญ่ที่สุดของอินเทอร์เน็ตได้อย่างไร

hen Troy Hunt เปิดตัว Have I Been Pwned ในปลายปี 2013 เขาต้องการให้ตอบคำถามง่ายๆ: คุณตกเป็นเหยื่อของการละเมิดข้อมูลหรือไม่ ?

เจ็ดปีต่อมาบริการแจ้งเตือนการละเมิดข้อมูลประมวลผลคำขอหลายพันรายการในแต่ละวันจากผู้ใช้ที่ตรวจสอบเพื่อดูว่าข้อมูลของพวกเขาถูกบุกรุกหรือถูกควบคุมด้วย “p” อย่างหนักจากการละเมิดข้อมูลหลายร้อยรายการในฐานข้อมูลรวมถึงบางส่วน การละเมิดที่ใหญ่ที่สุดในประวัติศาสตร์ เมื่อเติบโตขึ้นตอนนี้นั่งอยู่ต่ำกว่าเครื่องหมายการละเมิด 10 พันล้านครั้งคำตอบสำหรับคำถามเดิมของ Hunt ก็ชัดเจนยิ่งขึ้น

“ ในเชิงประจักษ์มีโอกาสมาก” ฮันต์บอกฉันจากบ้านของเขาที่โกลด์โคสต์ของออสเตรเลีย “ สำหรับพวกเราที่อยู่บนอินเทอร์เน็ตมาระยะหนึ่งก็เกือบจะมั่นใจได้แล้ว”

สิ่งที่เริ่มต้นจากโครงการสัตว์เลี้ยงของ Hunt เพื่อเรียนรู้พื้นฐานของระบบคลาวด์ของ Microsoft

ฉันได้รับความนิยมอย่างรวดเร็วหรือไม่โดยส่วนหนึ่งมาจากความเรียบง่ายในการใช้งาน แต่ส่วนใหญ่มาจากความอยากรู้อยากเห็นของแต่ละคน

เมื่อบริการเติบโตขึ้น Have I Been Pwned เข้ามามีบทบาทด้านความปลอดภัยเชิงรุกมากขึ้นโดยอนุญาตให้เบราว์เซอร์และผู้จัดการรหัสผ่านเข้าสู่ช่องด้านหลังเพื่อให้ฉันได้รับ Pwned เพื่อเตือนไม่ให้ใช้รหัสผ่านที่ละเมิดก่อนหน้านี้ในฐานข้อมูล เป็นการย้ายที่ทำหน้าที่เป็นแหล่งรายได้ที่สำคัญเพื่อลดต้นทุนการทำงานของไซต์

แต่ความสำเร็จของ Have I Been Pwned ควรเกิดจาก Hunt เกือบทั้งหมดทั้งในฐานะผู้ก่อตั้งและพนักงานเพียงคนเดียวซึ่งเป็นวงดนตรีชายเดี่ยวที่ดำเนินธุรกิจสตาร์ทอัพที่ไม่เป็นทางการซึ่งแม้จะมีขนาดและทรัพยากรที่ จำกัด แต่ก็สามารถทำกำไรได้

เนื่องจากภาระงานที่จำเป็นในการสนับสนุน Have I Been Pwned บอลลูน Hunt กล่าวว่าความตึงเครียดในการให้บริการโดยปราศจากความช่วยเหลือจากภายนอกเริ่มส่งผลกระทบ มีแผนหลบหนี: ฮันท์วางไซต์ขาย แต่หลังจากปีที่วุ่นวายเขากลับมาที่จุดเริ่มต้น

ก่อนที่จะเกิดเหตุการณ์สำคัญอีก 10 พันล้านเหรียญ Have I Been Pwned ไม่แสดงอาการชะลอตัว

‘Mother of all breaches

แม้จะนานมาแล้วก็ตาม แต่ Hunt ก็ไม่ใช่คนแปลกหน้าสำหรับการละเมิดข้อมูล

ภายในปี 2554 เขาได้สร้างชื่อเสียงในการรวบรวมและชำแหละข้อมูลเล็ก ๆ น้อย ๆ ในช่วงเวลานั้น – การละเมิดข้อมูลและการเขียนบล็อกเกี่ยวกับสิ่งที่เขาค้นพบ การวิเคราะห์อย่างละเอียดและเป็นระบบของเขาแสดงให้เห็นครั้งแล้วครั้งเล่าว่าผู้ใช้อินเทอร์เน็ตใช้รหัสผ่านเดียวกันจากไซต์หนึ่งไปยังอีกไซต์หนึ่ง ดังนั้นเมื่อไซต์หนึ่งถูกละเมิดแฮกเกอร์จึงมีรหัสผ่านเดียวกันกับบัญชีออนไลน์อื่น ๆ ของผู้ใช้

จากนั้นการละเมิดของ Adobe ก็มาถึง“ แม่ของการละเมิดทั้งหมด” ตามที่ Hunt อธิบายไว้ในเวลานั้น: บัญชีผู้ใช้มากกว่า 150 ล้านบัญชีถูกขโมยไปและลอยอยู่บนเว็บ

Hunt ได้รับสำเนาของข้อมูลและด้วยการละเมิดอื่น ๆ จำนวนหนึ่งที่เขารวบรวมไว้แล้วจึงโหลดลงในฐานข้อมูลที่ค้นหาได้ด้วยที่อยู่อีเมลของบุคคลซึ่ง Hunt เห็นว่าเป็นตัวหารที่พบบ่อยที่สุดในชุดข้อมูลที่ละเมิดทั้งหมด

และฉันได้รับ Pwned เกิดมา

ใช้เวลาไม่นานในการขยายฐานข้อมูล ข้อมูลที่ถูกละเมิดจาก Sony, Snapchat และ Yahoo ตามมาในไม่ช้าทำให้มีการบันทึกข้อมูลเพิ่มเติมอีกหลายล้านรายการในฐานข้อมูล ในไม่ช้าฉันได้รับ Pwned ก็กลายเป็นเว็บไซต์ไปเพื่อตรวจสอบว่าคุณถูกละเมิดหรือไม่ รายการข่าวตอนเช้าจะระเบิดที่อยู่เว็บส่งผลให้มีผู้ใช้เพิ่มขึ้นอย่างมาก – ในบางครั้งอาจทำให้ไซต์ออฟไลน์สั้น ๆ นับตั้งแต่นั้นมา Hunt ได้เพิ่มช่องโหว่ที่ใหญ่ที่สุดในประวัติศาสตร์อินเทอร์เน็ต: Myspace, Zynga, Adult Friend Finder และรายชื่อสแปมจำนวนมาก

ในขณะที่ฉันได้รับ Pwned มีขนาดและการยอมรับเพิ่มขึ้น Hunt ยังคงเป็นเจ้าของ แต่เพียงผู้เดียวโดยรับผิดชอบทุกอย่างตั้งแต่การจัดระเบียบและโหลดข้อมูลลงในฐานข้อมูลไปจนถึงการตัดสินใจว่าไซต์ควรดำเนินการอย่างไรรวมถึงจริยธรรมของไซต์

Hunt ใช้วิธี “สิ่งที่ฉันคิดว่าสมเหตุสมผล” ในการจัดการข้อมูลส่วนบุคคลที่ละเมิดข้อมูลส่วนตัวของผู้อื่น ไม่มีอะไรจะเปรียบเทียบได้ว่าฉันเคยเป็น Pwned กับฮันต์ต้องเขียนกฎสำหรับวิธีที่เขาจัดการและประมวลผลข้อมูลการละเมิดจำนวนมากซึ่งส่วนใหญ่มีความอ่อนไหวสูง เขาไม่ได้อ้างว่ามีคำตอบทั้งหมด แต่อาศัยความโปร่งใสในการอธิบายเหตุผลของเขาโดยให้รายละเอียดการตัดสินใจของเขาในบล็อกโพสต์ที่มีความยาว

การตัดสินใจของเขาที่จะให้ผู้ใช้ค้นหาที่อยู่อีเมลของตนเท่านั้นที่สมเหตุสมผลซึ่งขับเคลื่อนโดยภารกิจเดียวของไซต์ในเวลานั้นที่จะบอกผู้ใช้ว่าพวกเขาถูกละเมิดหรือไม่ แต่ยังเป็นการตัดสินใจที่เน้นความเป็นส่วนตัวของผู้ใช้ซึ่งช่วยในการพิสูจน์บริการในอนาคตจากข้อมูลที่ละเอียดอ่อนและเป็นอันตรายที่สุดที่เขาจะได้รับต่อไป

ในปี 2015 Hunt ได้รับการละเมิดของ Ashley Madison ผู้คนหลายล้านคนมีบัญชีบนไซต์ซึ่งกระตุ้นให้ผู้ใช้มีความสัมพันธ์ การละเมิดดังกล่าวสร้างหัวข้อข่าวขึ้นเป็นอันดับแรกสำหรับการละเมิดและอีกครั้งเมื่อผู้ใช้หลายรายเสียชีวิตจากการฆ่าตัวตายหลังจากตื่นขึ้นมา ติดต่อเรา

บทความต่อไป

Recent Posts

ฝาก - ถอน
เมนู