หลังจัดรายการ Daily IT ที่ออนทาง YouTube และ FM168 ตอนล่าสุด ว่าด้วยเรื่องของแฮคเกอร์ ซีก็เริ่มแอบกังวลนิดๆ เพราะดูเหมือนเรามีความเสี่ยงที่จะโดนแฮคได้อย่างง่ายดาย ทั้งสาเหตุมาจากความอ่อนแอของระบบ และความสะเพร่าของเราเอง – -”

type-password-in-username-box-risk-to-hack

เมื่อวานมีน้องคนหนึ่งถามซีว่า สองวันก่อนเขารีบมากไปหน่อย ตอนที่พยายามล็อกอินเข้าไปใช้บริการออนไลน์ เผลอพิมพ์ผิด ดันพิมพ์ password เข้าไปในช่อง username แล้วคลิกปุ่ม Sign in ก่อนที่จะทันได้เห็น มันก็ไปแล้ว (บริการออนไลน์จะมีการจำชื่อ username แล้วให้ป้อน password อย่างเดียว แต่ถ้าไม่ใช่เครื่องคอมพ์ตัวเองที่เคยใช้มันจะให้ป้อนใหม่ทั้งชื่อ และพาสเวิร์ด) ตอนแรกก็ไม่ได้คิดมากอะไร ก็แค่ sign in ไม่สำเร็จ แต่หลังจากได้ชมรายการ Daily IT ตอนล่าสุด ก็เริ่มเกิดอาการนอยด์เล็กๆ ว่า การที่เขาพิมพ์ password เข้าไปในช่อง username ที่ไม่ได้มีการเข้ารหัส แบบว่า เห็นพาสเวิร์ดตัวเองชัดเจนมากตอนที่คลิกปุ่ม Sign in บนหน้าจอ คำถามคือ มันมีความเป็นไปได้ไหมว่า รหัสผ่าน ที่เห็นเป็นตัวหนังสือชัดเจนในช่องยูสเซอร์เนมของเขา จะถูกบันทึกไว้ที่ไหนสักแห่งเรียบร้อยแล้ว และมีใครสักคนได้เห็นมัน :O

type-password-in-username-box-risk-to-hack-2

จากการสอบถามบรรดาผู้รู้ทั้งหลายจับประเด็นได้ว่า การที่ password ของน้องคนนี้จะเสี่ยงต่อการถูกมองเห็น และนำไปใช้โดยคนอื่น หรือไม่นั้น ขึ้นอยู่กับระบบการรับรองตัวตน (authentication system) ของเว็บไซต์ ถ้าเซิร์ฟเวอร์ได้รับการกำหนดให้มีการบันทึก (log) ข้อมูล ทุกความพยายามในการ sign in สิ่งที่เกิดขึ้นคือ ไฟล์บันทึกการใช้งาน หรือ log file ของระบบเซิร์ฟเวอร์ จะแสดงข้อความประมาณว่า

17-Feb-2014 10:50:00 AM: Unsuccessful login attempt user (password ของน้องคนนี้) from 203.148.xxx.xxx);

จริงอยู่ที่ password ของน้องจะไม่ถูกเข้าถึงได้โดยผู้ใช้ทั่วไป แต่ใครที่สามารถเข้าถึงไฟล์บันทึกการใช้งาน (log file) บนเซิร์ฟเวอร์ที่น้องเขา sign in ผิดพลาดในลักษณะนี้ เขาย่อมมองเห็น password ได้ ประเด็นที่น่าเป็นห่วงคือ หากเซิร์ฟเวอร์ที่ใช้ถูกแฮคอยู่แล้ว แฮคเกอร์ก็สามารถเข้าไปดุ log file เป้าหมายสำคัญ  ก็จะเห็น password นี้แน่นอน แต่หากเซิร์ฟเวอร์ปลอดภัย แข็งแรง แฮคเกอร์เจาะไม่ได้ ก็ยังมีอีกคนนั่นคือ System admin ที่จะมีหน้าที่สแกนไฟล์บันทึกการใช้ระบบ เพื่อดูว่า มีความผิดปกติอะไร หรือไม่ เช่น ใครพยายามแฮคระบบ หรือเปล่า? เป็นต้น เขาก็มีโอกาสเห็น password และที่มาโดยดูจาก IP ที่ปรากฎในไฟล์บันทึกได้ ซึ่งในทางทฤษฎี แอดมินคนนี้น่าจะสามารถเข้าไปดูยูสเซอร์เนม และอีเมล์ได้ เพราะได้รับสิทธิ์ในการเข้าไปดูฐานข้อมูลดังกล่าวด้วย นั่นหมายความว่า password ของน้องคนนี้ก็ไม่รอดสายตาไปได้อยู่ดี ปัญหาไม่จบแค่นี้น่ะสิ ถ้าคุณเป็นคนที่รักเดียวใจเดียว ก็เลยใช้ password เดียวกันกับทุกบริการออนไลน์ งานนี้เสี่ยงหนักเข้าไปอีก

คำตอบที่ซีตอบน้องเขาไปได้ทันที โดยไม่ต้องคิดเลย แม้จะยังไม่รู้เบื้องลึกเบื้องหลังเกี่ยวกับ log file นั่นก็คือ เปลี่ยน password ซะนะ ถ้าไม่อยากโดนแฮค และถ้าใช้ password เดียวกันนี้กับเว็บไซต์ หรืออีแบงกิ้งใดก็ตาม ก็ไปเปลี่ยนซะด้วย เพื่อความปลอดภัย ไม่น่าเชื่อนะคะ แค่เรื่องของการพิมพ์ password ผิดเข้าไปในช่อง username มันอาจจะสร้างปัญหาให้เราได้ ในขณะที่หลายคนที่เคยมีประสบการณ์เช่นนี้ อาจจะแค่สบถกับตัวเองเบาๆ ว่า “เรานี่แย่จุง พิมพ์ password ผิดช่อง” แล้วก็ผ่านมันไป โดยไม่รู้เลยว่า อาจโดนแฮคได้ในอนาคต หวังว่า กรณีนี้คงจะเป็นประโยชน์กับเพื่อนๆ นะคะ ยังไงก็ฝากติชมรายการ Daily IT ของซีด้วยค่ะ 😀

via  Daily IT