วิธีการแรกที่เหล่าแฮคเกอร์ใช้เจาะเข้ามาในระบบที่มีการป้องกันก็คือ การเดารหัสผ่าน และที่ไม่น่าเชื่อก็คือรหัสผ่านที่ระบบธุรกิจส่วนใหญ่นิยมใช้กันก็คือ”Password1″
ด้วยเหตุผลทางเทคนิคจึงทำให้รหัสผ่าน Password1เป็นที่นิยมเพราะรหัสนี้ประกอบตัวอักษร,ตัวเลข และมีความยาวถึง 9 ตัวอักษรซึ่งตรงกับความต้องการของระบบการรักษาความปลอดภัยส่วนใหญ่ ซึ่งรวมถึง default settings ของ Microsoft ที่ใช้กันแพร่หลายในซอฟท์แวร์ Active Directory identity management
Trustwave บริษัทผู้ให้บริการด้านระบบรักษาความปลอดภัยได้ชี้ให้เห็นถึงปัญหาของรหัสผ่าน “Password1” ในรายงานที่ชื่อว่า “2012 Global Security Report” ซึ่งสรุปผลมาจากการสแกน 2 ล้านเครือข่ายและการสืบสวนเคสการเจาะระบบรักษาความปลอดภัยอีก 300 เคสที่เพิ่งเกิดขึ้นไม่นานมานี้ จากการสำรวจพบว่า รหัสผ่านประมาณ 5% จะเป็นรหัสผ่านที่ใช้คำว่า “password” รวมอยู่ในนั้นด้วย ส่วนอันดับสองก็คือ “welcome” ที่มีการใช้ประมาณ 1%.
การใช้รหัสผ่านที่สามารถเดาได้ง่ายหรือการใช้ blank password ถือเป็นความเสี่ยงอย่างมาก ทาง SpiderLabs ของ Trustwave พบว่า เมื่อปีที่แล้วพวกเค้าได้ทดสอบเจาะระบบของลูกค้า ด้วยการใช้เครื่องมือ password-cracking หลายๆตัวที่หารหัสผ่านได้กว่า 2.5 ล้านรหัส ซึ่งพวกเค้าก็สามารถเจาะระบบลูกค้าได้มากกว่า 200,000 รหัสผ่าน
ทางด้านของบริษัท Verizon ก็ได้ผลการสำรวจที่คล้ายกันในการศึกษาประจำปีที่ชื่อว่า “2012 Data Breach Investigations” ซึ่งจะกำลังเผยแพร่ออกมาในอีกไม่กี่เดือนข้างหน้า ถ้าใครสนใจทาง Verizon ได้นำผลการสำรวจบางส่วนไปโชว์ในงาน RSA conference ที่กำลังจะจัดขึ้นที่ซานฟรานซิสโกในสัปดาห์นี้
การใช้รหัสผ่านแบบง่ายๆหรือเดาได้ง่ายเป็นสาเหตุที่ทำให้แฮคเกอร์เจาะเข้ามาในระบบได้สูงสุดป็นอันดับแรกในปีที่ผ่านมา จากการสำรวจของ Verizon พบว่ามีสัดส่วนคิดเป็น 29% ของการเจาะระบบทั้งหมด แต่สิ่งที่น่ากลัวก็คือเหล่าแฮคเกอร์เหล่านี้เจาะเข้ามาได้เป็นเดือนหรือเป็นปีแล้ว กว่าที่บริษัทถึงจะรู้ตัวว่าระบบโดนเจาะ มีบริษัทน้อยกว่า 20% ที่รู้ตัวว่าระบบโดนเจาะภายในไม่กี่วัน ส่วนที่รู้ตัวภายในกี่ชั่วโมงก็ไม่ต้องพูดถึงน้อยกว่านั้นมาก
ที่น่ากลัวไปกว่านั้น มีเพียงไม่กี่บริษัทที่ค้นพบการเจาะด้วยตัวเอง บริษัทจำนวน 2 ใน 3 ต้องพึ่งบริษัท external party อย่าง law-enforcement agency ถึงจะรู้ตัว ซึ่งผลการสำรวจนี้ก็ใกล้เคียงกับผลสำรวจของ Trustwave ที่มีบริษัทจำนวน 16% ที่ค้นพบการถูกเจาะระบบด้วยตัวเอง
ถ้ารหัสผ่านของคุณเดาได้ง่าย งั้นจะทำยังไงให้มันปลอดภัยขึ้นล่ะ? ตั้งรหัสผ่านให้ยาวขึ้นเหรอ? ก็แค่ทำให้รหัสผ่านซับซ้อนขึ้นสิ เช่นเปลี่ยนจาก “password” ให้กลายเป็น “p@S$w0rd” เพื่อป้องกันการเจาะระบบโดยเดาคำศัพท์ซึ่งสามารถเช็คได้ง่ายมาก
แต่เหล่าแฮคเกอร์เองก็เพิ่มการใช้งาน brute-force tools ที่ช่วยคำนวณหาการสับเปลี่ยนตัวอักษรที่เรียงเป็นคำขึ้นมา การเจาะระบบโดยการเดารหัสผ่านไม่ใช่เรื่องที่ยากอะไร แค่เครื่องคอมพิวเตอร์ธรรมดาๆก็สามารถเจาะรหัส 200,000 รหัสภายใน 10 ชั่วโมงเอง การตั้งรหัสผ่านให้ยาวขึ้นก็เป็นการป้องกันได้อย่างมีประสิทธิภาพมากยิ่งขึ้น เช่น การใช้รหัสผ่านความยาว 7 ตัวอักษร ทำให้รหัสผ่านที่เป็นไปได้มีมากถึง 70 ล้านล้านรหัสผ่าน ยิ่งความยาวเพิ่มขึ้นจำนวนรหัสที่เป็นไปได้ก็ยิ่งเพิ่มจำนวนมากขึ้นตามไปด้วย
VIA CNN
