S3 Ep139: กฎของรหัสผ่านเหมือนวิ่งฝ่าสายฝนหรือเปล่า?

S3 Ep139: กฎของรหัสผ่านเหมือนวิ่งฝ่าสายฝนหรือเปล่า?

Time Stamp: 15 มิถุนายน 2023 12:43 น.
S3 Ep139: กฎรหัสผ่านเหมือนกับการวิ่งฝ่าสายฝนหรือไม่ PlatoBlockchain ข้อมูลอัจฉริยะ ค้นหาแนวตั้ง AI.
by พอล ดั๊กลิน

อย่ามีนิสัยที่ไม่ดี

หน่วยความจำแกนแม่เหล็ก แพทช์อังคาร และเรื่องขำขันของ SketchUp มากกว่า การบรรเทาผลกระทบ MOVEit. ภูเขาก็อกซ์ กลับ ในข่าว. โกซี่ อาชญากรมัลแวร์ ถูกจำคุกในที่สุด มีกฎรหัสผ่านเช่น วิ่งฝ่าสายฝน?

ไม่มีเครื่องเล่นเสียงด้านล่าง? ฟัง โดยตรง บนซาวด์คลาวด์

ดั๊ก เอมอธ และพอล ดักคลิน เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.

สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify, Stitcher และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ

อ่านข้อความถอดเสียง

ดั๊ก.  แพตช์ Tuesday อาชญากรรมในโลกไซเบอร์ และความสนุกด้วยรหัสผ่าน

ทั้งหมดนั้นและอีกมากมายในพอดแคสต์ Naked Security

[โมเด็มดนตรี]

ยินดีต้อนรับสู่พอดคาสต์ทุกคน

ฉัน Doug Aamoth; เขาคือพอล ดักคลิน

พอล วันนี้คุณเป็นอย่างไรบ้าง

เป็ด.  ดั๊ก ฉันไม่ควรพูดแบบนี้... แต่เพราะฉันรู้ว่าจะเกิดอะไรขึ้น สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยีเพราะคุณให้ฉันดูตัวอย่าง ฉันจึงตื่นเต้นมาก!

ดั๊ก.  เอาล่ะ มาเริ่มกันเลยดีกว่า!

สัปดาห์นี้ ในวันที่ 15 มิถุนายน ย้อนกลับไปในปี 1949 Jay Forrester ซึ่งเป็นศาสตราจารย์ที่ Massachusetts Institute of Technology หรือ MIT ได้เขียน...

เป็ด.  [ละครจำลอง] อย่าพูดแบบนั้นเหมือนคุณมาจากบอสตันและคุณก็พอใจในเรื่องนี้ดั๊กเหรอ? [หัวเราะ]

ดั๊ก.  เฮ้ มันเป็นวิทยาเขตที่สวยงาม ฉันเคยไปที่นั่นหลายครั้ง

เป็ด.  มันเป็นโรงเรียนวิศวกรรมศาสตร์ที่มีชื่อเสียงเหมือนกันใช่ไหม? [หัวเราะ]

ดั๊ก.  แน่ใจ!

Jay Forrester เขียนข้อเสนอสำหรับ "หน่วยความจำหลัก" ลงในสมุดบันทึกของเขา และจะติดตั้งหน่วยความจำหลักแม่เหล็กบนคอมพิวเตอร์ Whirlwind ของ MIT ในภายหลัง

สิ่งประดิษฐ์นี้ทำให้คอมพิวเตอร์มีความน่าเชื่อถือและรวดเร็วยิ่งขึ้น

หน่วยความจำหลักยังคงเป็นตัวเลือกยอดนิยมสำหรับการจัดเก็บข้อมูลคอมพิวเตอร์จนกระทั่งมีการพัฒนาเซมิคอนดักเตอร์ในทศวรรษ 1970

เป็ด.  เป็นแนวคิดที่เรียบง่ายน่าอัศจรรย์เมื่อคุณรู้วิธีการทำงานแล้ว

แกนแม่เหล็กเฟอร์ไรต์เล็กๆ เหมือนกับที่ศูนย์กลางของหม้อแปลง… เหมือนแหวนรองขนาดจิ๋วพิเศษ

พวกมันถูกทำให้เป็นแม่เหล็ก ตามเข็มนาฬิกาหรือทวนเข็มนาฬิกา เพื่อหมายถึงศูนย์หรือหนึ่ง

แท้จริงแล้วมันคือที่เก็บแม่เหล็ก

และมันมีคุณสมบัติขี้ขลาดอย่างดักลาส เพราะว่าเฟอร์ไรท์ก่อตัวเป็นแม่เหล็กถาวร...

...คุณสามารถทำให้เป็นแม่เหล็กใหม่ได้ แต่เมื่อคุณปิดเครื่อง มันจะยังคงเป็นแม่เหล็กอยู่

ดังนั้นมันจึงไม่ผันผวน!

หากคุณมีไฟฟ้าขัดข้อง คุณสามารถรีสตาร์ทคอมพิวเตอร์และดำเนินการต่อจากจุดที่คุณค้างไว้ได้

น่าทึ่ง!

ดั๊ก.  โดดเด่น ใช่… มันเจ๋งจริงๆ

เป็ด.  เห็นได้ชัดว่าแผนเดิมของ MIT คือการเรียกเก็บค่าลิขสิทธิ์ 0.02 เหรียญสหรัฐต่อบิตสำหรับแนวคิดนี้

คุณนึกภาพออกไหมว่าหน่วยความจำ iPhone ขนาด 64 กิกะไบต์จะมีราคาแพงแค่ไหน?

มันจะเป็นพันล้านดอลลาร์! [หัวเราะ]

ดั๊ก.  ไม่จริง

มีประวัติศาสตร์ที่น่าสนใจบ้าง แต่ขอนำมันมาสู่ยุคปัจจุบันกันดีกว่า

ไม่นานมานี้… Microsoft Patch วันอังคาร

ไม่มีวันเป็นศูนย์ แต่ยังคงอยู่ การแก้ไขมากมาย, พอล:

Patch Tuesday แก้ไขข้อผิดพลาด RCE ที่สำคัญ 4 รายการและช่องโหว่ Office จำนวนมาก

เป็ด.  ในเดือนนี้ไม่มีวันเป็นศูนย์หากคุณเพิกเฉยต่อช่องโหว่การเรียกใช้โค้ดระยะไกลของ Edge ที่เราพูดถึงเมื่อสัปดาห์ที่แล้ว

ดั๊ก.  อืมมมม

เป็ด.  ในทางเทคนิคแล้ว นั่นไม่ได้เป็นส่วนหนึ่งของ Patch Tuesday...

…แต่มีข้อบกพร่องการเรียกใช้โค้ดจากระยะไกล [RCE] ทั้งหมด 26 รายการ และข้อบกพร่องการยกระดับสิทธิ์ [EoP] 17 รายการ

นั่นคือจุดที่พวกมิจฉาชีพเข้ามามีบทบาทอยู่แล้ว แต่พวกเขายังทำอะไรไม่ได้มาก ดังนั้นพวกเขาจึงใช้จุดบกพร่อง EoP เพื่อรับพลังพิเศษบนเครือข่ายของคุณ และทำสิ่งที่ขี้ขลาดตาขาวอีกมากมาย

ข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกลสี่รายการได้รับการขนานนามโดย Microsoft ว่า "สำคัญ" ซึ่งหมายความว่าหากคุณเป็นหนึ่งในคนที่ยังคงชอบที่จะแก้ไขตามลำดับที่เฉพาะเจาะจง สิ่งเหล่านั้นคือข้อบกพร่องที่เราแนะนำให้คุณเริ่มต้น

ข่าวดีเกี่ยวกับแพตช์สำคัญทั้งสี่แพตช์คือแพตช์ทั้งสามเกี่ยวข้องกับส่วนประกอบ Windows เดียวกัน

เท่าที่ฉันสามารถทราบได้ มันเป็นข้อบกพร่องที่เกี่ยวข้องมากมาย ซึ่งน่าจะพบในระหว่างการตรวจสอบโค้ดบางประเภทของส่วนประกอบนั้น

ซึ่งเกี่ยวข้องกับ Windows Messaging Service หากคุณบังเอิญใช้บริการดังกล่าวในเครือข่ายของคุณ

ดั๊ก.  และเราทุกคนรู้สึกขอบคุณร่วมกันสำหรับความอดทนของเรากับความล้มเหลวของ SketchUp ซึ่งฉันไม่รู้ว่ามีอยู่จริงจนกระทั่งตอนนี้

เป็ด.  เช่นเดียวกับคุณ Doug ฉันไม่เคยใช้โปรแกรมนี้ชื่อ SketchUp ซึ่งฉันเชื่อว่าเป็นโปรแกรมกราฟิก 3D ของบุคคลที่สาม

ใครจะรู้ว่าการใส่ภาพ SketchUp 3D ลงในเอกสาร Word, Excel, PowerPoint ของคุณได้จะเป็นเรื่องดีจริงๆ

อย่างที่คุณสามารถจินตนาการได้ ด้วยรูปแบบไฟล์ใหม่ล่าสุดที่จะแยกวิเคราะห์ ตีความ ประมวลผล และแสดงผลภายใน Office...

…Microsoft นำเสนอจุดบกพร่องที่ได้รับการแก้ไขเป็น CVE-2023-33146

แต่เรื่องราวเบื้องหลังเรื่องราวที่ซ่อนอยู่ หากคุณต้องการก็คือในวันที่ 01 มิถุนายน 2023 Microsoft ประกาศว่า:

ความสามารถในการแทรกกราฟิก SketchUp ถูกปิดใช้งานชั่วคราวใน Word, Excel, PowerPoint และ Outlook สำหรับ Windows และ Mac

เราขอขอบคุณที่อดทนรอในขณะที่เราดำเนินการเพื่อให้มั่นใจถึงความปลอดภัยและฟังก์ชันการทำงานของฟีเจอร์นี้

ฉันดีใจที่ Microsoft ชื่นชมความอดทนของฉัน แต่ฉันหวังว่า Microsoft เองจะอดทนกว่านี้อีกสักหน่อยก่อนที่จะแนะนำฟีเจอร์นี้ใน Office ตั้งแต่แรก

ฉันหวังว่าพวกเขาจะใส่มันเข้าไปในนั้น *หลังจาก* มันปลอดภัย แทนที่จะใส่เข้าไปเพื่อดูว่ามันปลอดภัยหรือไม่และพบว่ามันไม่เป็นเช่นนั้น (เซอร์ไพรส์! เซอร์ไพรส์!)

ดั๊ก.  ที่ดี

มาดูเรื่องของความอดทนกันดีกว่า

ฉันบอกว่าเราจะ "จับตาดูสิ่งนี้" และฉันหวังว่าเราจะไม่จำเป็นต้องจับตาดูสิ่งนี้

แต่เราต้องพูดพยัญชนะสักหน่อย เหมือนที่คุณทำในพาดหัวข่าว

การลดผลกระทบของ MOVEit เพิ่มเติม: แพตช์ใหม่ที่เผยแพร่เพื่อการป้องกันเพิ่มเติม, พอล.

การลดผลกระทบของ MOVEit เพิ่มเติม: แพตช์ใหม่ที่เผยแพร่เพื่อการป้องกันเพิ่มเติม

เป็ด.  มันเป็นปัญหา MOVEit แบบเก่าที่ดีอีกครั้ง: ข้อผิดพลาดในการฉีด SQL.

นั่นหมายความว่าหากคุณใช้โปรแกรม MOVEit Transfer และไม่ได้แพตช์มัน มิจฉาชีพที่สามารถเข้าถึงส่วนหน้าบนเว็บสามารถหลอกเซิร์ฟเวอร์ของคุณให้ทำสิ่งที่ไม่ดีได้...

…จนถึงและรวมถึงการฝัง webshell ที่จะให้พวกเขาเข้าไปข้างในในภายหลังและทำทุกอย่างที่พวกเขาต้องการ

อย่างที่คุณทราบ มีการออก CVE และ Progress Software ซึ่งเป็นผู้สร้าง MOVEit ได้ออกแพตช์เพื่อจัดการกับช่องโหว่ที่รู้จักในป่า

ตอนนี้พวกเขามีแพตช์ใหม่เพื่อจัดการกับจุดบกพร่องที่คล้ายกัน ซึ่งเท่าที่พวกเขาทราบ ยังไม่พบพวกมิจฉาชีพ (แต่ถ้าพวกเขาพิจารณาให้ดีพอ พวกเขาก็อาจจะพบ)

และฟังดูแปลก เมื่อคุณพบว่าส่วนใดส่วนหนึ่งของซอฟต์แวร์ของคุณมีข้อบกพร่องในลักษณะใดประเภทหนึ่ง คุณไม่ควรแปลกใจหากเมื่อคุณเจาะลึกลงไป...

…คุณพบว่าโปรแกรมเมอร์ (หรือทีมเขียนโปรแกรมที่ทำงานเกี่ยวกับข้อผิดพลาดนั้นในเวลาที่ตรวจพบข้อบกพร่องที่คุณทราบอยู่แล้ว) ได้ทำข้อผิดพลาดที่คล้ายกันในช่วงเวลาเดียวกัน

ในกรณีนี้ ฉันอยากจะบอกว่าทำได้ดีมากสำหรับ Progress Software ที่พยายามจัดการกับเรื่องนี้ในเชิงรุก

Progress Software เพิ่งกล่าวว่า “ลูกค้า Move It ทุกคนจะต้องใช้แพตช์ใหม่ที่เผยแพร่เมื่อวันที่ 09 มิถุนายน 2023

ดั๊ก.  โอเค ฉันเดาว่าเราจะ... จับตาดูให้ดี!

พอล ช่วยฉันหน่อยสิ

ฉันอยู่ปี 2023 กำลังอ่านอยู่ในก พาดหัวเรื่องความปลอดภัยเปลือยเปล่า บางอย่างเกี่ยวกับ ก็อกซ์”

เกิดอะไรขึ้นกับฉัน

ย้อนรอยประวัติศาสตร์: US DOJ เปิดโปงข้อหาอาชญากรไซเบอร์ Mt. Gox

เป็ด.  ภูเขาก็อกซ์!

“Magic The Gathering Online Exchange” ดั๊กเหมือนเดิม...

ดั๊ก.  [หัวเราะ] แน่นอน!

เป็ด.  …ที่ซึ่งคุณสามารถแลกเปลี่ยนการ์ด Magic The Gathering ได้

โดเมนนั้นถูกขายออกไป และผู้ที่มีความทรงจำอันยาวนานจะรู้ว่าโดเมนดังกล่าวกลายเป็นโดเมนที่ได้รับความนิยมมากที่สุดและเป็นการแลกเปลี่ยน Bitcoin ที่ใหญ่ที่สุดในโลก

ดำเนินการโดย Mark Karpelès ชาวต่างชาติชาวฝรั่งเศส ออกจากญี่ปุ่น

เห็นได้ชัดว่าทุกอย่างกำลังว่ายน้ำจนกระทั่งระเบิดฝุ่นสกุลเงินดิจิทัลในปี 2014 เมื่อพวกเขาตระหนักว่า Bitcoins ทั้งหมดของพวกเขาหายไปแล้ว

ดั๊ก.  [หัวเราะ] ฉันไม่ควรหัวเราะ!

เป็ด.  647,000 คนหรืออะไรบางอย่าง

และแม้กระทั่งตอนนั้น พวกเขามีมูลค่าประมาณ 800 ดอลลาร์ต่อป๊อป ดังนั้นนั่นจึงเท่ากับ "พัฟ" มูลค่าครึ่งพันล้านดอลลาร์สหรัฐ

ในเวลานั้น หลายคนชี้ไปที่ทีม Mt. Gox อย่างน่าทึ่ง โดยพูดว่า “โอ้ นี่ต้องเป็นงานวงในแน่ๆ”

และในความเป็นจริง ในวันปีใหม่ ฉันคิดว่าในปี 2015 หนังสือพิมพ์ญี่ปุ่นชื่อ Yomiuri Shimbun ตีพิมพ์บทความจริง ๆ ว่า "เราได้ตรวจสอบเรื่องนี้แล้ว และ 1% ของการสูญเสียสามารถอธิบายได้ด้วยข้อแก้ตัวที่พวกเขา ได้เกิดขึ้นกับ; สำหรับส่วนที่เหลือ เราจะบันทึกไว้ว่ามันเป็นงานวงใน”

ตอนนี้บทความที่พวกเขาตีพิมพ์ซึ่งก่อให้เกิดดราม่ามากมายเนื่องจากเป็นการกล่าวหาที่ค่อนข้างดราม่า ตอนนี้ให้ข้อผิดพลาด 404 [ไม่พบหน้า HTTP] เมื่อคุณเยี่ยมชมวันนี้

ดั๊ก.  น่าสนใจมาก!

เป็ด.  ดังนั้นฉันไม่คิดว่าพวกเขาจะยืนเคียงข้างมันอีกต่อไป

และแท้จริงแล้ว กระทรวงยุติธรรม [DOJ] ในสหรัฐอเมริกา ในที่สุด ตลอดหลายปีต่อมา ก็ได้ตั้งข้อหาชาวรัสเซียสองคนโดยพื้นฐานแล้วขโมย Bitcoins ทั้งหมด

ดูเหมือนว่า Mark Karpelès ได้รับการปลดเปลื้องบางส่วนเป็นอย่างน้อย โดยได้รับความอนุเคราะห์จากกระทรวงยุติธรรมของสหรัฐอเมริกา เพราะพวกเขาได้วางชายชาวรัสเซียสองคนนี้ไว้ในกรอบของอาชญากรรมนี้ตลอดหลายปีที่ผ่านมา

ดั๊ก.  เป็นการอ่านที่น่าสนใจ

ดังนั้นลองดูที่ Naked Security

สิ่งที่คุณต้องทำคือค้นหา คุณเดาได้เลยว่า ก็อกซ์”.

เรามาพูดถึงเรื่องของอาชญากรรมในโลกไซเบอร์กันเถอะ เนื่องจากหนึ่งในผู้กระทำผิดหลักที่อยู่เบื้องหลังมัลแวร์ธนาคาร Gozi มี ลงจอดในคุก หลังจากผ่านไปสิบปีเปาโล:

มัลแวร์ธนาคาร Gozi ในที่สุด “หัวหน้าฝ่ายไอที” ก็ถูกจำคุกในที่สุดหลังจากผ่านไปกว่า 10 ปี

เป็ด.  ใช่… มันก็เหมือนกับการรอรถบัสนิดหน่อย

เรื่องน่าประหลาดใจสองเรื่อง “ว้าว เรื่องนี้เกิดขึ้นเมื่อสิบปีก่อน แต่เราจะเข้าใจเขาในที่สุด” เรื่องราวมาถึงทันที [หัวเราะ]

ฉันคิดว่าอันนี้สำคัญที่ต้องเขียนใหม่อีกครั้ง เพียงเพื่อพูดว่า "นี่คือกระทรวงยุติธรรม พวกเขาไม่ลืมเขา”

จริงๆ แล้ว. เขาถูกจับกุมในโคลอมเบีย

ฉันเชื่อว่าเขามาเยี่ยม และเขาอยู่ที่สนามบินโบโกตา และฉันคิดว่าเจ้าหน้าที่ชายแดนคงคิดว่า "โอ้ ชื่อนั้นอยู่ในรายชื่อที่ต้องจับตามอง"!

และเห็นได้ชัดว่าเจ้าหน้าที่โคลอมเบียคิดว่า "มาติดต่อฝ่ายการทูตสหรัฐฯ กันเถอะ"

พวกเขากล่าวว่า "เฮ้ เรากำลังพูดคุยกันในชื่อ (ฉันจะไม่เอ่ยชื่อของเขาในบทความ) คุณเคยสนใจเขาเกี่ยวกับอาชญากรรมมัลแวร์ที่ร้ายแรงมูลค่าหลายล้านดอลลาร์ . คุณยังสนใจอยู่หรือเปล่า?”

และน่าประหลาดใจจริงๆ ดั๊ก สหรัฐฯ สนใจอย่างมากจริงๆ

ดังนั้นเขาจึงถูกส่งตัวข้ามแดน ถูกขึ้นศาล รับสารภาพ และตอนนี้เขาถูกพิพากษาแล้ว

เขาจะได้รับโทษจำคุกเพียงสามปี ซึ่งอาจดูเหมือนเป็นโทษจำคุกเล็กน้อย และเขาต้องคืนเงินมากกว่า 3,000,000 ดอลลาร์

ฉันไม่รู้ว่าจะเกิดอะไรขึ้นถ้าเขาไม่ทำ แต่ฉันเดาว่ามันเป็นเพียงเครื่องเตือนใจว่าการเรียกใช้และซ่อนตัวจากอาชญากรรมที่เกี่ยวข้องกับมัลแวร์...

…ถ้ามีข้อกล่าวหากับคุณและสหรัฐฯ กำลังตามหาคุณ พวกเขาไม่เพียงแค่พูดว่า “อ่า สิบปีแล้ว เราก็อาจจะปล่อยไว้เช่นกัน”

และความผิดทางอาญาของชายคนนี้กำลังดำเนินคดีที่เรียกกันในศัพท์แสงว่า “เจ้าภาพกันกระสุน” ดั๊ก

โดยพื้นฐานแล้วคุณจะเป็นเหมือน ISP แต่ไม่เหมือนกับ ISP ทั่วไป คุณจะพยายามเป็นเป้าหมายที่ขับเคลื่อนไปยังหน่วยงานบังคับใช้กฎหมาย ไปยังรายการบล็อก และในการแจ้งลบเนื้อหาจาก ISP ทั่วไป

ดังนั้น คุณให้บริการ แต่คุณเก็บบริการเหล่านั้นไว้ หากคุณต้องการ เคลื่อนย้ายไปมาบนอินเทอร์เน็ต เพื่อที่มิจฉาชีพจะจ่ายค่าธรรมเนียมให้คุณ และพวกเขารู้ว่าโดเมนที่คุณโฮสต์ให้พวกเขาจะยังคงดำเนินต่อไป ทำงาน แม้ว่าหน่วยงานบังคับใช้กฎหมายจะตามล่าคุณก็ตาม

ดั๊ก.  เอาล่ะ ข่าวดีอีกแล้ว

พอล ขณะที่เราสรุปเรื่องราวของเราในวันนั้น คุณต้องเผชิญกับความยากลำบาก ละเอียดอ่อน แต่ทว่า คำถามสำคัญ เกี่ยวกับรหัสผ่าน

กล่าวคือ เราควรเปลี่ยนสิ่งเหล่านี้หมุนเวียนไปเรื่อยๆ หรืออาจจะเดือนละครั้งหรือไม่?

หรือล็อคสิ่งที่ซับซ้อนจริงๆ เพื่อเริ่มต้นแล้วปล่อยให้อยู่คนเดียวได้ดีพอ?

ความคิดเกี่ยวกับการเปลี่ยนแปลงรหัสผ่านตามกำหนดเวลา (อย่าเรียกว่าการหมุนเวียน!)

เป็ด.  แม้จะฟังดูเหมือนเรื่องเก่าๆ และจริงๆ แล้วเป็นเรื่องที่เราเคยไปมาหลายครั้งแล้ว แต่เหตุผลที่ผมเขียนเรื่องนี้ขึ้นมาก็คือมีผู้อ่านติดต่อมาเพื่อสอบถามเกี่ยวกับเรื่องนี้นั่นเอง

เขากล่าวว่า “ผมไม่ต้องการที่จะลงเล่นใน 2FA; ฉันไม่อยากยุ่งกับผู้จัดการรหัสผ่าน นั่นเป็นประเด็นที่แยกจากกัน ฉันแค่อยากจะรู้ว่าจะจัดการกับสงครามสนามหญ้าระหว่างสองฝ่ายในบริษัทของฉันได้อย่างไร ซึ่งบางคนบอกว่าเราต้องใช้รหัสผ่านอย่างถูกต้อง และคนอื่นๆ ก็บอกว่า 'เรือลำนั้นแล่นไปแล้ว มันยากเกินไป' เราแค่บังคับให้ผู้คนเปลี่ยนพวกเขาและนั่นก็จะดีเพียงพอ'”

ดังนั้นฉันคิดว่ามันคุ้มค่าที่จะเขียนเกี่ยวกับเรื่องนี้จริงๆ

เมื่อพิจารณาจากจำนวนความคิดเห็นเกี่ยวกับ Naked Security และบนโซเชียลมีเดีย ทีมไอทีจำนวนมากยังคงต่อสู้กับเรื่องนี้

หากคุณเพียงแค่บังคับให้ผู้คนเปลี่ยนรหัสผ่านทุกๆ 30 วันหรือ 60 วัน จะสำคัญหรือไม่หากพวกเขาเลือกรหัสผ่านที่สามารถถอดรหัสได้ชัดเจนหากแฮชของพวกเขาถูกขโมย

ตราบใดที่พวกเขาไม่ได้เลือก password or secret หรือหนึ่งในสิบชื่อแมวที่ดีที่สุดในโลก บางทีมันอาจจะโอเคถ้าเราบังคับให้พวกเขาเปลี่ยนรหัสผ่านเป็นรหัสผ่านอื่นที่ไม่ค่อยดีนักก่อนที่มิจฉาชีพจะสามารถถอดรหัสมันได้

บางทีนั่นอาจจะดีพอแล้วเหรอ?

แต่ฉันมีเหตุผลสามประการที่ทำให้คุณไม่สามารถแก้ไขนิสัยที่ไม่ดีด้วยการทำตามนิสัยที่ไม่ดีอีกอย่างหนึ่งได้

ดั๊ก.  คนแรกที่ออกจากประตู: การเปลี่ยนรหัสผ่านเป็นประจำไม่ใช่ทางเลือกในการเลือกและใช้รหัสผ่านที่รัดกุม พอล

เป็ด.  ไม่มี!

คุณอาจเลือกที่จะทำทั้งสองอย่าง (และฉันจะให้เหตุผลสองข้อในนาทีนี้ว่าทำไมฉันคิดว่าการบังคับให้ผู้คนเปลี่ยนแปลงพวกเขาเป็นประจำจะมีปัญหาอีกชุดหนึ่ง)

แต่ข้อสังเกตง่ายๆ ก็คือการเปลี่ยนรหัสผ่านที่ไม่ถูกต้องเป็นประจำไม่ได้ทำให้รหัสผ่านดีขึ้น

หากคุณต้องการรหัสผ่านที่ดีกว่า ให้เลือกรหัสผ่านที่ดีกว่าเพื่อเริ่มต้น!

ดั๊ก.  และคุณพูดว่า: การบังคับให้ผู้คนเปลี่ยนรหัสผ่านเป็นประจำอาจทำให้พวกเขากลายเป็นนิสัยที่ไม่ดี

เป็ด.  ดูจากความคิดเห็นแล้ว นี่เป็นปัญหาที่ทีมไอทีจำนวนมากประสบอย่างแน่นอน

หากคุณบอกคนอื่นว่า “เฮ้ คุณต้องเปลี่ยนรหัสผ่านทุกๆ 30 วัน และคุณควรเลือกรหัสผ่านที่ดี” สิ่งที่พวกเขาจะทำคือ...

…พวกเขาจะเลือกอันที่ดี

พวกเขาจะใช้เวลาหนึ่งสัปดาห์เพื่อจดจำมันไปตลอดชีวิต

แล้วจะมาเพิ่มทุกเดือน -01, -02, และอื่น ๆ

ดังนั้น หากมิจฉาชีพถอดรหัสหรือประนีประนอมรหัสผ่านตัวใดตัวหนึ่ง และพวกเขาเห็นรูปแบบเช่นนั้น พวกเขาสามารถรู้ได้ว่ารหัสผ่านของคุณในวันนี้คืออะไร หากพวกเขารู้รหัสผ่านของคุณเมื่อหกเดือนที่แล้ว

นั่นคือจุดที่การบังคับให้เปลี่ยนแปลงโดยไม่จำเป็นสามารถนำพาผู้คนไปใช้ทางลัดด้านความปลอดภัยทางไซเบอร์ที่คุณไม่ต้องการให้พวกเขาทำ

ดั๊ก.  และนี่คือสิ่งที่น่าสนใจ

เราเคยพูดถึงเรื่องนี้มาก่อนแล้ว แต่เป็นสิ่งที่บางคนอาจนึกไม่ถึง: การกำหนดการเปลี่ยนรหัสผ่านอาจทำให้การตอบสนองฉุกเฉินล่าช้า

คุณหมายถึงอะไร?

เป็ด.  ประเด็นก็คือ ถ้าคุณมีกำหนดเวลาการเปลี่ยนรหัสผ่านอย่างเป็นทางการและแน่นอน เพื่อให้ทุกคนรู้ว่าเมื่อถึงวันสุดท้ายของเดือนนี้ พวกเขาจะถูกบังคับให้เปลี่ยนรหัสผ่านอยู่ดี...

…แล้วพวกเขาก็คิดว่า “คุณรู้อะไรไหม? คือวันที่ 12 ของเดือน และฉันไปที่เว็บไซต์ที่ฉันไม่แน่ใจว่าอาจเป็นไซต์ฟิชชิ่ง ยังไงซะ ฉันจะเปลี่ยนรหัสผ่านในอีกสองสัปดาห์ข้างหน้า ดังนั้นฉันจะไม่ไปเปลี่ยนตอนนี้”

ดังนั้น การเปลี่ยนรหัสผ่าน *เป็นประจำ* อาจทำให้ติดนิสัยที่บางครั้ง เมื่อเป็นเรื่องสำคัญจริงๆ คุณจะไม่เปลี่ยนรหัสผ่าน *บ่อย* เพียงพอ

หากคุณคิดว่ามีเหตุผลที่ดีในการเปลี่ยนรหัสผ่าน ให้ทำทันที!

ดั๊ก.  ฉันรักมัน!

เอาล่ะ มาฟังจากผู้อ่านคนหนึ่งของเราเกี่ยวกับรหัสผ่านกัน

ผู้อ่าน Naked Security Philip เขียนในบางส่วน:

การเปลี่ยนรหัสผ่านบ่อยๆ เพื่อไม่ให้ถูกบุกรุกก็เหมือนกับการคิดว่าถ้าคุณวิ่งเร็วพอ คุณจะสามารถหลบหยาดฝนทั้งหมดได้

ตกลง คุณจะหลบหยาดฝนที่ตกลงมาข้างหลังคุณ แต่จะมีจำนวนมากพอๆ กับที่ที่คุณไป

และด้วยการบังคับให้เปลี่ยนรหัสผ่านเป็นประจำ ผู้คนจำนวนมากก็จะเพิ่มจำนวนที่สามารถเพิ่มได้ตามต้องการ

อย่างที่คุณพูดพอล!

เป็ด.  เพื่อนของคุณและของฉัน Chester [Wisniewski] กล่าวเมื่อไม่กี่ปีก่อนตอนที่เรากำลังพูดถึง ตำนานรหัสผ่าน, “สิ่งที่พวกเขาต้องทำ [หัวเราะ] เพื่อหาว่าตัวเลขต่อท้ายคืออะไร ก็แค่ไปที่หน้าเพจ LinkedIn ของคุณ 'เริ่มที่บริษัทนี้เมื่อเดือนสิงหาคม 2017'...นับจำนวนเดือนนับแต่นั้นมา”

นั่นคือหมายเลขที่คุณต้องการในตอนท้าย

Sophos Techknow – การทำลายความเชื่อผิดๆ เกี่ยวกับรหัสผ่าน

ดั๊ก.  อย่างแน่นอน! [หัวเราะ]

เป็ด.  และปัญหาก็มาว่าเมื่อคุณลองจัดตารางเวลาหรืออัลกอริทึม... นั่นเป็นคำๆ หนึ่งหรือเปล่า?

(มันอาจจะไม่ควรเป็นแต่ฉันก็จะใช้มันต่อไป)

เมื่อคุณพยายามนำแนวคิดเรื่องการสุ่ม เอนโทรปี และความไม่แน่นอน มารวมไว้ในอัลกอริธึมที่เข้มงวดเป็นพิเศษ เช่น อัลกอริธึมที่อธิบายวิธีการวางอักขระและตัวเลขบนแท็กยานพาหนะ เป็นต้น

…แล้วคุณจะพบว่า *น้อยลง* แบบสุ่ม ไม่ใช่ *มากขึ้น* และคุณต้องระวังเรื่องนั้น

ดังนั้น การบังคับให้ผู้คนทำอะไรก็ตามที่ทำให้พวกเขาตกอยู่ในรูปแบบนั้น ดังที่เชสเตอร์กล่าวไว้ในตอนนั้น เพียงทำให้พวกเขาติดนิสัยที่ไม่ดีเท่านั้น

และฉันชอบวิธีการวางมันแบบนั้น

ดั๊ก.  เอาล่ะ ขอบคุณมากที่ส่งมานะฟิลิป

และหากคุณมีเรื่องราว ความคิดเห็น หรือคำถามที่น่าสนใจที่ต้องการส่ง เรายินดีอย่างยิ่งที่จะอ่านผ่านพอดแคสต์

คุณสามารถส่งอีเมล tips@sophos.com แสดงความคิดเห็นเกี่ยวกับบทความใดๆ ของเรา หรือติดต่อเราทางโซเชียล: @nakedsecurity

นั่นคือการแสดงของเราในวันนี้

ขอบคุณมากสำหรับการฟัง

สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณจนถึงครั้งต่อไป ให้...

ทั้งสอง  รักษาความปลอดภัย!

[โมเด็มดนตรี]

ประทับเวลา:

เพิ่มเติมจาก ความปลอดภัยเปล่า