รหัสผ่านถูกขโมยได้อย่างไร (และ 10 ขั้นตอนง่าย ๆ ในการรักษาความปลอดภัย)
เผยแพร่แล้ว: 2022-03-15
“RockYou2021: การรวบรวมรหัสผ่านที่ใหญ่ที่สุดตลอดกาลรั่วไหลทางออนไลน์ด้วย 8.4 พันล้านรายการ”
“ตำรวจพบรหัสผ่านที่ถูกขโมย 225 ล้านรหัสที่ซ่อนอยู่ในเซิร์ฟเวอร์คลาวด์ที่ถูกแฮ็ก”
น่าเสียดายที่หัวข้อข่าวเหล่านี้ไม่มีอะไรใหม่ อันตรายของการมีรหัสผ่านรั่วไหล/ถูกขโมยนั้นเป็นที่ทราบกันดีอยู่แล้ว วิซาร์ดด้านเทคนิคได้พัฒนาและทดสอบเครื่องมือต่างๆ ที่จะมาแทนที่การใช้รหัสผ่านในที่สุด แต่การเปลี่ยนแปลงนี้ไม่คาดว่าจะมีการดำเนินการอย่างสมบูรณ์ในเร็วๆ นี้
เว็บไซต์และแอปส่วนใหญ่ไม่อนุญาตการตรวจสอบสิทธิ์ผ่านข้อมูลไบโอเมตริก ซึ่งหมายความว่าผู้ใช้ของเรายังคงถูกจำกัดให้ใช้รหัสผ่านที่ต่ำต้อย ความจริงก็คือ หลายคนยังไม่ใช้เครื่องมือจัดการรหัสผ่าน และใช้รหัสผ่านเดียวกันซ้ำในเว็บไซต์และแอปพลิเคชันต่างๆ มากมาย รวมถึงรหัสผ่านที่สำคัญ เช่น ธนาคารออนไลน์
ซึ่งหมายความว่าการใช้มาตรการป้องกันเพื่อปกป้องรหัสผ่านของคุณ (อีกครั้ง เว้นแต่คุณจะใช้เครื่องมือจัดการรหัสผ่าน) มีความจำเป็นไม่น้อยไปกว่าความจำเป็นหากคุณต้องการปกป้องทรัพย์สินของคุณ
ก่อนที่เราจะไปที่นั่น อาจเป็นการดีที่สุดที่จะดูว่าข้อมูลรั่วไหล/ถูกขโมยได้อย่างไร เนื่องจากการทำความเข้าใจกระบวนการนี้อาจมีบทบาทสำคัญในการป้องกัน
รหัสผ่านถูกแฮ็กและขโมยอย่างไร
พวกเขาอาจอ้างว่าเป็นตัวแทนของบริษัทที่เป้าหมายทำธุรกิจด้วย พวกเขามักจะแอบอ้างเป็นเจ้าหน้าที่ของรัฐ รวมถึงเจ้าหน้าที่บังคับใช้กฎหมาย ตัวแทนภาษี และพนักงานประกันสังคม บางครั้งพวกเขาอ้างว่าโทรในนามของสมาชิกในครอบครัวหรือเพื่อนของเป้าหมาย
อาชญากรเหล่านี้จะพยายามถ่ายทอดความรู้สึกเร่งด่วน หรือแม้กระทั่งคุกคามเป้าหมายด้วยการจับกุมหรือสูญเสียการเข้าถึงผลประโยชน์ หากพวกเขาล้มเหลวในการดำเนินการทันทีโดยการให้ข้อมูลที่พวกเขาร้องขอ
ข้อมูลประจำตัวเหล่านี้ถูกโหลดลงในแอปพลิเคชันที่ทดสอบอย่างรวดเร็วกับไซต์จำนวนมากที่หวังจะพบรายการที่ตรงกันและเข้าถึงได้ มีการบันทึกการโจมตีประเภทนี้หลายร้อยล้านรายการทุกปี
แอปและฟังก์ชันที่ขโมยข้อมูลประจำตัวอาจเป็นคีย์ล็อกเกอร์ แพ็คเกจมัลแวร์ที่บันทึกไม่เพียงแต่รหัสผ่านของคุณ แต่ยังรวมถึงการกดแป้นพิมพ์ทั้งหมดของคุณ แล้วส่งต่อไปยังผู้ไม่ประสงค์ดี
มัลแวร์ที่ขโมยข้อมูลประจำตัวยังสามารถสร้างขึ้นในไซต์ที่ออกแบบมาให้ดูเหมือนของหน่วยงานที่มีชื่อเสียง ตัวอย่างเช่น ผู้โจมตีอาจส่งข้อความฟิชชิ่งโดยอ้างว่ามีการตรวจพบกิจกรรมที่น่าสงสัยในบัญชีธนาคารของเป้าหมาย และเป้าหมายต้องลงชื่อเข้าใช้บัญชีของตนเพื่อเปลี่ยนรหัสผ่านทันที
เหยื่อคลิกลิงก์ในข้อความและถูกนำไปยังเว็บไซต์ธนาคารที่ดูถูกกฎหมาย ซึ่งเขาหรือเธอได้รับคำสั่งให้ป้อนข้อมูลรับรองการเข้าสู่ระบบเพื่อเริ่มกระบวนการรีเซ็ตรหัสผ่าน การทำเช่นนี้จะทำให้ผู้โจมตีได้รับข้อมูลบัญชีธนาคารของเหยื่อ
ไซต์ที่ดูเหมือนเป็นอันตรายบางแห่งถูกสร้างขึ้นด้วยความหวังว่าบุคคลทั่วไปจะเข้ามาโจมตีพวกเขาโดยไม่ได้ตั้งใจและถูกหลอกลวงจากชื่อผู้ใช้และรหัสผ่านของพวกเขา
เวอร์ชันไฮเทคนี้เป็นการโจมตีแบบคนกลาง เครือข่าย Wi-Fi สาธารณะมักถูกโจมตีโดยผู้โจมตีที่ใช้เครื่องมือที่พร้อมใช้งานเพื่อตรวจสอบการรับส่งข้อมูลเครือข่ายและขโมยข้อมูลที่ละเอียดอ่อน ซึ่งรวมถึงข้อมูลรับรองการเข้าสู่ระบบบัญชี จากผู้ที่ใช้เครือข่าย
บางครั้งอาชญากรไซเบอร์จะสร้างเครือข่าย Wi-Fi สาธารณะของตนเองซึ่งออกแบบมาเพื่อให้ดูเหมือนเป็นเครือข่ายของธุรกิจที่ถูกกฎหมาย โดยมีจุดประสงค์เพียงเพื่อขโมยข้อมูลผู้ใช้ เครือข่าย Wi-Fi สาธารณะนั้นไม่ปลอดภัยโดยเนื้อแท้
อันที่จริง จำนวนรหัสผ่านที่ใช้ยังคงเพิ่มขึ้น เช่นเดียวกับจำนวนผู้โจมตีที่พยายามขโมยรหัสผ่าน การป้องกันด้วยรหัสผ่านควรได้รับการพิจารณาอย่างจริงจัง ดังนั้น ดำเนินการตามคำแนะนำเหล่านี้ให้มากที่สุดเท่าที่คุณจะทำได้
“ตำรวจพบรหัสผ่านที่ถูกขโมย 225 ล้านรหัสที่ซ่อนอยู่ในเซิร์ฟเวอร์คลาวด์ที่ถูกแฮ็ก”
น่าเสียดายที่หัวข้อข่าวเหล่านี้ไม่มีอะไรใหม่ อันตรายของการมีรหัสผ่านรั่วไหล/ถูกขโมยนั้นเป็นที่ทราบกันดีอยู่แล้ว วิซาร์ดด้านเทคนิคได้พัฒนาและทดสอบเครื่องมือต่างๆ ที่จะมาแทนที่การใช้รหัสผ่านในที่สุด แต่การเปลี่ยนแปลงนี้ไม่คาดว่าจะมีการดำเนินการอย่างสมบูรณ์ในเร็วๆ นี้
เว็บไซต์และแอปส่วนใหญ่ไม่อนุญาตการตรวจสอบสิทธิ์ผ่านข้อมูลไบโอเมตริก ซึ่งหมายความว่าผู้ใช้ของเรายังคงถูกจำกัดให้ใช้รหัสผ่านที่ต่ำต้อย ความจริงก็คือ หลายคนยังไม่ใช้เครื่องมือจัดการรหัสผ่าน และใช้รหัสผ่านเดียวกันซ้ำในเว็บไซต์และแอปพลิเคชันต่างๆ มากมาย รวมถึงรหัสผ่านที่สำคัญ เช่น ธนาคารออนไลน์
ซึ่งหมายความว่าการใช้มาตรการป้องกันเพื่อปกป้องรหัสผ่านของคุณ (อีกครั้ง เว้นแต่คุณจะใช้เครื่องมือจัดการรหัสผ่าน) มีความจำเป็นไม่น้อยไปกว่าความจำเป็นหากคุณต้องการปกป้องทรัพย์สินของคุณ
ก่อนที่เราจะไปที่นั่น อาจเป็นการดีที่สุดที่จะดูว่าข้อมูลรั่วไหล/ถูกขโมยได้อย่างไร เนื่องจากการทำความเข้าใจกระบวนการนี้อาจมีบทบาทสำคัญในการป้องกัน
รหัสผ่านถูกแฮ็กและขโมยอย่างไร 
การเดา - วิธีที่ง่ายที่สุด
ในปี 2020 รหัสผ่านที่ใช้กันมากที่สุด 3 รหัสคือ "123456" "123456789" และ "password" เมื่อค้นหาโดยใช้เครื่องมือที่มีอยู่ใน HaveIBeenPwned (คุ้มค่าแก่การเยี่ยมชม) พบว่ารหัสผ่านเหล่านี้ปรากฏขึ้นหลายสิบล้านครั้งระหว่างการสแกนข้อมูลที่ละเมิด นี่คือผลการรายงาน ณ มกราคม 2022:- 123456 - 37,359,195 นัด
- 123456789 - 16,629,796 นัด
- รหัสผ่าน - 9,545,824 ปรากฏตัว
ฟิชชิ่งและรูปแบบการโจมตีวิศวกรรมสังคมอื่นๆ
อาชญากรไซเบอร์มักจะติดต่อเป้าหมายโดยตรงทางโทรศัพท์ (วิชชิง) อีเมล (ฟิชชิง) ข้อความ (การยิ้ม) หรือผ่านบัญชีโซเชียลมีเดีย ในการโจมตีเหล่านี้ นักต้มตุ๋นมักจะแอบอ้างบุคคลอื่นเพื่อโน้มน้าวให้เหยื่อของตนให้ข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองการเข้าสู่ระบบพวกเขาอาจอ้างว่าเป็นตัวแทนของบริษัทที่เป้าหมายทำธุรกิจด้วย พวกเขามักจะแอบอ้างเป็นเจ้าหน้าที่ของรัฐ รวมถึงเจ้าหน้าที่บังคับใช้กฎหมาย ตัวแทนภาษี และพนักงานประกันสังคม บางครั้งพวกเขาอ้างว่าโทรในนามของสมาชิกในครอบครัวหรือเพื่อนของเป้าหมาย
อาชญากรเหล่านี้จะพยายามถ่ายทอดความรู้สึกเร่งด่วน หรือแม้กระทั่งคุกคามเป้าหมายด้วยการจับกุมหรือสูญเสียการเข้าถึงผลประโยชน์ หากพวกเขาล้มเหลวในการดำเนินการทันทีโดยการให้ข้อมูลที่พวกเขาร้องขอ
กำลังดุร้ายและการบรรจุการโจมตี
ดังที่กล่าวไว้ แฮ็กเกอร์มีเครื่องมือที่สามารถสร้างรหัสผ่านแบบสุ่มได้อย่างรวดเร็วและทดสอบเพื่อตรวจสอบว่าพวกเขาจะให้การเข้าถึงบัญชีเป้าหมายหรือไม่ Stuffing ซึ่งเป็นรูปแบบหนึ่งของการใช้กำลังดุร้าย เกี่ยวข้องกับการใช้ข้อมูลประจำตัวที่ขโมยมาก่อนหน้านี้ซึ่งถูกเปิดเผยในการละเมิดและพร้อมสำหรับอาชญากรผ่าน Dark Webข้อมูลประจำตัวเหล่านี้ถูกโหลดลงในแอปพลิเคชันที่ทดสอบอย่างรวดเร็วกับไซต์จำนวนมากที่หวังจะพบรายการที่ตรงกันและเข้าถึงได้ มีการบันทึกการโจมตีประเภทนี้หลายร้อยล้านรายการทุกปี
มัลแวร์ขโมยข้อมูลประจำตัว
อุปกรณ์ของคุณอาจติดมัลแวร์ที่ขโมยข้อมูลรับรองเมื่อคุณคลิกลิงก์ที่เป็นอันตรายในอีเมลฟิชชิง เปิดไฟล์แนบอีเมลที่ติดไวรัส เยี่ยมชมเว็บไซต์ของผู้โจมตีโดยไม่ได้ตั้งใจ หรือติดตั้งแอปที่ไม่ได้มาจากแหล่งที่เชื่อถือได้แอปและฟังก์ชันที่ขโมยข้อมูลประจำตัวอาจเป็นคีย์ล็อกเกอร์ แพ็คเกจมัลแวร์ที่บันทึกไม่เพียงแต่รหัสผ่านของคุณ แต่ยังรวมถึงการกดแป้นพิมพ์ทั้งหมดของคุณ แล้วส่งต่อไปยังผู้ไม่ประสงค์ดี
มัลแวร์ที่ขโมยข้อมูลประจำตัวยังสามารถสร้างขึ้นในไซต์ที่ออกแบบมาให้ดูเหมือนของหน่วยงานที่มีชื่อเสียง ตัวอย่างเช่น ผู้โจมตีอาจส่งข้อความฟิชชิ่งโดยอ้างว่ามีการตรวจพบกิจกรรมที่น่าสงสัยในบัญชีธนาคารของเป้าหมาย และเป้าหมายต้องลงชื่อเข้าใช้บัญชีของตนเพื่อเปลี่ยนรหัสผ่านทันที
เหยื่อคลิกลิงก์ในข้อความและถูกนำไปยังเว็บไซต์ธนาคารที่ดูถูกกฎหมาย ซึ่งเขาหรือเธอได้รับคำสั่งให้ป้อนข้อมูลรับรองการเข้าสู่ระบบเพื่อเริ่มกระบวนการรีเซ็ตรหัสผ่าน การทำเช่นนี้จะทำให้ผู้โจมตีได้รับข้อมูลบัญชีธนาคารของเหยื่อ
ไซต์ที่ดูเหมือนเป็นอันตรายบางแห่งถูกสร้างขึ้นด้วยความหวังว่าบุคคลทั่วไปจะเข้ามาโจมตีพวกเขาโดยไม่ได้ตั้งใจและถูกหลอกลวงจากชื่อผู้ใช้และรหัสผ่านของพวกเขา
ท่องไหล่และการโจมตีแบบคนกลาง
คำว่า "การท่องไหล่" อธิบายกลวิธีในการมองข้ามไหล่ของใครบางคนเพื่อดูว่ามีอะไรอยู่บนหน้าจอคอมพิวเตอร์หรืออุปกรณ์ของพวกเขา และพยายามค้นหารหัสผ่านหรือข้อมูลที่ละเอียดอ่อนอื่นๆเวอร์ชันไฮเทคนี้เป็นการโจมตีแบบคนกลาง เครือข่าย Wi-Fi สาธารณะมักถูกโจมตีโดยผู้โจมตีที่ใช้เครื่องมือที่พร้อมใช้งานเพื่อตรวจสอบการรับส่งข้อมูลเครือข่ายและขโมยข้อมูลที่ละเอียดอ่อน ซึ่งรวมถึงข้อมูลรับรองการเข้าสู่ระบบบัญชี จากผู้ที่ใช้เครือข่าย
บางครั้งอาชญากรไซเบอร์จะสร้างเครือข่าย Wi-Fi สาธารณะของตนเองซึ่งออกแบบมาเพื่อให้ดูเหมือนเป็นเครือข่ายของธุรกิจที่ถูกกฎหมาย โดยมีจุดประสงค์เพียงเพื่อขโมยข้อมูลผู้ใช้ เครือข่าย Wi-Fi สาธารณะนั้นไม่ปลอดภัยโดยเนื้อแท้
วิธีป้องกันรหัสผ่านของฉันจากการแฮ็กใน 10 ขั้นตอนง่ายๆ
ต่อไปนี้เป็นกลยุทธ์ที่คุณสามารถนำไปใช้เพื่อปกป้องรหัสผ่าน บัญชี และข้อมูลที่สำคัญของคุณได้อย่างง่ายดาย:- หลักการทั่วไป: รับตัวจัดการรหัสผ่าน/ห้องนิรภัย แอปพลิเคชันเหล่านี้เป็นแอปพลิเคชันที่ออกแบบมาเป็นพิเศษเพื่อให้รหัสผ่านของคุณปลอดภัย สิ่งที่คุณต้องทำคือจำรหัสผ่านหลักเพียงรหัสผ่านเดียว (ยังคงทำตามกฎด้านล่าง!)
- ไม่รวมคำจริง ถ้าเป็นไปได้ ให้สร้างคำของคุณเองที่ไม่น่าจะ "คาดเดา" (เช่น "Radamabla")
- อย่าใช้วันเกิดและข้อมูลอื่น ๆ ที่ระบุตัวตนได้ง่ายเกี่ยวกับตัวคุณ (เช่น นามสกุล)
- อย่าใช้รหัสผ่านที่ไม่รัดกุม (แบบง่าย) รหัสผ่านของคุณควรยาว ซับซ้อน และประกอบด้วยอักษรตัวพิมพ์เล็กและตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษ
- ใช้รหัสผ่านที่แตกต่างกันสำหรับแต่ละบัญชีของคุณ หากบัญชีหนึ่งถูกบุกรุก บัญชีอื่นจะไม่ตกอยู่ในอันตรายเนื่องจากการใช้ข้อมูลประจำตัวเดียวกัน (โดยเฉพาะอย่าใช้รหัสผ่านซ้ำในบัญชีอีเมลและบัญชีการเงิน)
- ใช้ 2FA (การตรวจสอบสิทธิ์สองปัจจัย) ทุกที่ที่มี ซึ่งเป็นการเพิ่มองค์ประกอบอื่นให้กับกระบวนการเข้าสู่ระบบ ในกรณีส่วนใหญ่ จะเป็น PIN ที่ส่งไปยังอุปกรณ์ของคุณทางข้อความหรืออีเมล หากผู้โจมตีสามารถขโมยข้อมูลรับรองการเข้าสู่ระบบของคุณ พวกเขาจะยังสามารถเข้าสู่ระบบให้เสร็จสมบูรณ์ได้หากไม่มีปัจจัยเพิ่มเติมนี้
- เว้นแต่คุณจะแน่ใจว่าคุณสามารถเชื่อถือแหล่งที่มาของอีเมล ข้อความ หรือข้อความโซเชียลมีเดีย และโดยเฉพาะอย่างยิ่งหากมีสิ่งผิดปกติหรือน่าสงสัยเกี่ยวกับข้อความ คุณควรหลีกเลี่ยงการเปิดไฟล์แนบหรือคลิกลิงก์ที่รวมอยู่
- เมื่อคุณเยี่ยมชมเว็บไซต์ ตรวจสอบให้แน่ใจว่าพวกเขาใช้ HTTPS แม่กุญแจที่ล็อคไว้ควรแสดงที่ด้านซ้ายของ URL ของเว็บไซต์ที่ด้านบนของเบราว์เซอร์เพื่อระบุการใช้โปรโตคอลความปลอดภัยนี้ อาชญากรบางคนได้เริ่มใช้ HTTPS บนเว็บไซต์ของตนแล้ว ดังนั้นวิธีนี้จึงไม่มีประสิทธิภาพในการปกป้องข้อมูลของคุณจากนักต้มตุ๋น 100% แต่การปฏิบัติตามคำแนะนำนี้จะช่วยให้คุณหลีกเลี่ยงเว็บไซต์ที่เป็นอันตรายได้
- ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการบนอุปกรณ์ของคุณเป็นเวอร์ชันล่าสุด และตั้งค่าให้ดาวน์โหลดและติดตั้งการอัปเดตโดยอัตโนมัติ นอกจากนี้ ตรวจสอบให้แน่ใจว่าอุปกรณ์ทั้งหมดของคุณใช้งานแอปพลิเคชันป้องกันมัลแวร์/ป้องกันไวรัส
- หลีกเลี่ยงการใช้ Wi-Fi สาธารณะ เว้นแต่อุปกรณ์ของคุณจะมีแอปเครือข่ายส่วนตัวเสมือน (VPN) และแอปนั้นกำลังใช้งานอยู่ VPNs เข้ารหัสข้อมูลที่เดินทางไปและกลับจากอุปกรณ์ของคุณ แม้ว่าข้อมูลจะถูกดักโดยผู้ไม่หวังดี แต่ก็ไม่สามารถถอดรหัสและอ่านข้อมูลได้ หากคุณไม่มี VPN และต้องใช้ Wi-Fi สาธารณะ ให้หลีกเลี่ยงการลงชื่อเข้าใช้บัญชีใดๆ หรือส่งข้อมูลที่ละเอียดอ่อนผ่านบริการส่งข้อความ
ความคิดสุดท้าย
กว่าสิบปีที่สิ่งพิมพ์ด้านเทคโนโลยีคาดการณ์ถึงจุดสิ้นสุดของรหัสผ่าน แต่ก็ยังอยู่ที่นี่อันที่จริง จำนวนรหัสผ่านที่ใช้ยังคงเพิ่มขึ้น เช่นเดียวกับจำนวนผู้โจมตีที่พยายามขโมยรหัสผ่าน การป้องกันด้วยรหัสผ่านควรได้รับการพิจารณาอย่างจริงจัง ดังนั้น ดำเนินการตามคำแนะนำเหล่านี้ให้มากที่สุดเท่าที่คุณจะทำได้