รหัสผ่านที่ถูกขโมย จุดอ่อนที่สุดในแนวทางการรักษาความปลอดภัยรหัสผ่านองค์กรของคุณอาจเป็นเพียงจำนวนเว็บไซต์ส่วนตัวที่พนักงานของคุณใช้ ทำไม? ยิ่งมนุษย์ต้องใช้รหัสผ่านจำนวนมากเท่าไหร่ก็มีโอกาสมากขึ้นที่พวกเขาจะหยุดสร้างรหัสผ่านใหม่และเริ่มนำรหัสผ่านเก่ากลับมาใช้ใหม่
ด้วยข้อกำหนดด้านความปลอดภัยของรหัสผ่านทั้งหมดในเว็บไซต์ต่างๆรหัสผ่านใดที่จะนำมาใช้ใหม่ได้ดีไปกว่ารหัสผ่านที่ผู้ใช้สร้างขึ้นเพื่อการทำงาน “ ไม่ใช่พนักงานของฉัน” คุณอาจจะคิด แต่สถิติแสดงเป็นอย่างอื่น รหัสผ่านที่ถูกขโมย
ผู้คนจำนวนมากถึง 65% ใช้รหัสผ่านเดียวกันซ้ำสำหรับหลายบัญชีหรือทั้งหมดตามการสำรวจความปลอดภัยปี 2019 ที่จัดทำโดย Google และเป็นเรื่องที่เข้าใจได้ จำนวนรหัสผ่านโดยเฉลี่ยที่คน ๆ หนึ่งต้องจำได้คือมากกว่า 90 จากการศึกษาของ Dashlane ในปี 2015
การวิจัยของทีมของเราเกี่ยวกับพฤติกรรมของผู้ใช้สนับสนุนการค้นพบเหล่านี้ ในการสำรวจของเราเมื่อเดือนเมษายน 2020 เราพบว่าจากผู้ตอบแบบสอบถาม 1353 คน:
45% ไม่คิดว่าการใช้รหัสผ่านซ้ำเป็นเรื่องร้ายแรง
52% แบ่งปันรหัสผ่านเว็บไซต์สตรีมมิง
31% ใช้รหัสผ่านเดียวกันสำหรับเว็บไซต์สตรีมมิงเช่นเดียวกับบัญชีที่ ‘อ่อนไหวกว่า’ อื่น ๆ เช่นธนาคารออนไลน์
21% ไม่รู้ว่าผู้ที่แชร์รหัสผ่านด้วยจะแชร์กับคนอื่นด้วยหรือไม่
ครั้งแล้วครั้งเล่าเราพบว่ามีอันตรายจากการใช้รหัสผ่านซ้ำเมื่อเว็บไซต์ที่ใช้งานส่วนบุคคลปรากฏขึ้นในการละเมิดข้อมูลเนื่องจากเครือข่ายองค์กรของคุณมีผู้ใช้นำรหัสผ่านที่ละเมิดเหล่านี้มาใช้ซ้ำจากไซต์การใช้งานส่วนตัว
การละเมิด Dropbox ในปี 2012 เป็นผลมาจากการใช้รหัสผ่านซ้ำ – บัญชีองค์กรของพนักงาน Dropbox ถูกนำกลับมาใช้บน LinkedIn (ซึ่งได้มาจากการละเมิดอื่น)
เว็บไซต์การใช้งานส่วนบุคคลชั้นนำบางแห่งที่พบในฐานข้อมูลที่รั่วไหล ได้แก่ :
MySpace (359 ล้าน): ในปี 2559 แฮกเกอร์สามารถเข้าถึงชื่อผู้ใช้รหัสผ่านและที่อยู่อีเมลจากแพลตฟอร์มโซเชียลมีเดียก่อนวันที่ 11 มิถุนายน 2013 เมื่อมีการใช้โปรโตคอลความปลอดภัยที่ดีขึ้น สิ่งนี้อาจฟังดูไม่เกี่ยวข้องจนกว่าคุณจะพิจารณาจำนวนพนักงานที่อาจยังคงใช้รหัสผ่านเดิมที่พยายามและเชื่อถือได้
LinkedIn (164 ล้านคน): ในเดือนพฤษภาคม 2559 ที่อยู่อีเมลและแฮชที่ไม่ได้ใส่เกลือจากไซต์โซเชียลมีเดียนี้ถูกเปิดเผยจากการโจมตีในปี 2555 แฮ็กเกอร์ใช้ข้อมูลประจำตัวที่ได้รับจากการโจมตีนี้เพื่อละเมิด Dropbox ในปี 2012 เนื่องจากมีการใช้รหัสผ่านซ้ำ
Dubsmash (162 ล้าน): ในเดือนธันวาคม 2018 แอปส่งข้อความวิดีโอนี้ถูกละเมิด แฮกเกอร์ได้รับข้อมูลส่วนบุคคลมากมายเช่นตำแหน่งของผู้ใช้ชื่อผู้ใช้รหัสผ่านหมายเลขโทรศัพท์ชื่อและอื่น ๆ
Dropbox (68 ล้านคน): ในปี 2012 แฮกเกอร์ใช้รหัสผ่านซ้ำจากการละเมิดของ LinkedIn เพื่อเข้าถึงข้อมูลผู้ใช้รวมถึงที่อยู่อีเมลและแฮชที่เค็มจากบริการจัดเก็บไฟล์บนคลาวด์นี้
Adult Friend Finder (3.8 ล้านคน): ในเดือนพฤษภาคม 2018 เว็บไซต์หาคู่สำหรับผู้ใหญ่แห่งนี้มีการเปิดเผยที่อยู่อีเมลของบัญชีที่ใช้งานอยู่และถูกลบและแฮชรหัสผ่าน
แล้วผู้ดูแลระบบไอทีต้องทำอะไร?
เนื่องจากคุณไม่สามารถ (และไม่ควร) มองข้ามไหล่พนักงานของคุณเมื่อพวกเขาสร้างรหัสผ่านสำหรับเว็บไซต์ใช้งานส่วนตัวสิ่งที่ดีที่สุดถัดไปคือการป้องกันไม่ให้มีการใช้งานที่ละเมิดในเครือข่ายของคุณเอง
ใช้ตัวกรองรหัสผ่านบน Active Directory ของคุณซึ่งจะตรวจสอบรหัสผ่านของพนักงานกับรายการรหัสผ่านที่มีการละเมิดซึ่งเป็นที่รู้จักซึ่งกลุ่มต่างๆเช่น National Cyber Security Center (NCSC) และ National Institute of Standards and Technology (NIST) .
คุณสามารถทำได้ด้วยตัวเองโดยใช้วิธี DIY เช่นนี้หรือคุณอาจใช้เครื่องมือเช่นSpecops Password Policyเพื่อบล็อกรหัสผ่านที่มีการละเมิดซึ่งเป็นที่รู้จักมากกว่าสองพันล้านรหัส
เหตุการณ์รายสัปดาห์ของการละเมิดข้อมูลยังคงม้วน แต่ Facebook เป็นความพยายามที่จะดำเนินการเพื่อป้องกันผู้บริโภคจากพฤติกรรมที่ไม่ปลอดภัยของพวกเขาเองโดยการกำจัดสิ่งสกปรกบนเว็บสำหรับข้อมูลบัญชีที่ถูกบุกรุก
เมื่อแฮกเกอร์เจาะเข้าและขโมยชื่อผู้ใช้ที่อยู่อีเมลและรหัสผ่านการแบ่งส่วนต่างๆมักจะขยายไปไกลกว่าการละเมิดครั้งแรกเนื่องจากผู้คนมักใช้รหัสผ่านเดียวกันในหลายเว็บไซต์ และผู้โจมตีมีแนวโน้มที่จะขายข้อมูลบัญชีสำหรับการโจมตีแบบดุร้ายบนเว็บไซต์ของบุคคลที่สามหรือเพียงแค่เผยแพร่ต่อสาธารณะเพื่อสร้างปัญหาเปิดสถานการณ์ฟรีสำหรับทุกประเภทโดยมีผู้ไม่ประสงค์ดีพยายามใช้อีเมล / รหัสผ่านร่วมกัน บนความหลากหลายของเว็บไซต์ที่มีข้อมูลที่สำคัญอาจถูกเก็บไว้เหมือนธนาคารออนไลน์หรือบริการแบ่งปันไฟล์
“แต่น่าเสียดายที่เป็นเรื่องปกติที่ผู้โจมตีจะเปิดเผยต่อสาธารณชนโพสต์ที่อยู่อีเมลและรหัสผ่านที่พวกเขาขโมยประชาชน ‘วาง’ เว็บไซต์” คริสยาว, วิศวกรการรักษาความปลอดภัยที่ Facebook กล่าวว่ากล่าวว่าใน บริษัทโพสต์ “ ชื่อ บริษัท ในครัวเรือนจำนวนมากประสบกับปรากฏการณ์ที่ไม่พึงประสงค์ในการเห็นข้อมูลบัญชีสำหรับไซต์ของตนปรากฏในรายการสาธารณะเหล่านี้และการตอบสนองต่อสถานการณ์เหล่านี้ใช้เวลานานและท้าทาย”
Facebook ได้สร้างระบบเฉพาะเพื่อรักษาความปลอดภัยบัญชี Facebook ของผู้อื่นโดยการมองหารหัสผ่านที่ถูกบุกรุกในโพสต์สาธารณะเหล่านี้วิเคราะห์และแจ้งให้ผู้อื่นทราบว่าข้อมูลประจำตัวของพวกเขาปรากฏในที่อื่นบนอินเทอร์เน็ต
“ ในการทำเช่นนี้เราจะตรวจสอบเว็บไซต์ที่ ‘วาง’ เพื่อหาข้อมูลรับรองที่ถูกขโมยและเฝ้าดูรายงานการละเมิดข้อมูลขนาดใหญ่” Long กล่าว “ เรารวบรวมข้อมูลรับรองที่ถูกขโมยซึ่งถูกโพสต์ต่อสาธารณะและตรวจสอบเพื่อดูว่าอีเมลและรหัสผ่านที่ถูกขโมยนั้นตรงกับอีเมลและรหัสผ่านเดียวกันกับที่ใช้บน Facebook หรือไม่”
เกรงว่าผู้บริโภคจะกังวลเขาตั้งข้อสังเกตว่ากระบวนการนี้เป็นไปโดยอัตโนมัติทั้งหมดและไม่ต้องการให้ Facebook รู้หรือเก็บรหัสผ่าน Facebook จริงของสมาชิกในรูปแบบที่ไม่ได้แฮช
“ กล่าวอีกนัยหนึ่งก็คือไม่มีใครมีรหัสผ่านแบบข้อความธรรมดาของคุณ” เขาอธิบาย “ ในการตรวจสอบการจับคู่เราใช้ที่อยู่อีเมลและรหัสผ่านและเรียกใช้โดยใช้รหัสเดียวกับที่เราใช้ตรวจสอบรหัสผ่านของคุณเมื่อเข้าสู่ระบบ หากเราพบข้อมูลที่ตรงกันเราจะแจ้งให้คุณทราบในครั้งถัดไปที่คุณเข้าสู่ระบบและแนะนำคุณตลอดขั้นตอนการเปลี่ยนรหัสผ่าน”
เขายังเพิ่มเคล็ดลับสำหรับผู้บริโภค
“ หากคุณใช้รหัสผ่านเดียวกันในเว็บไซต์จำนวนมากผู้โจมตีจะต้องได้รับรหัสผ่านของคุณเพียงครั้งเดียวจึงจะสามารถเข้าถึงบัญชีเหล่านั้นทั้งหมดได้” เขากล่าว “ การจัดการรหัสผ่านที่แตกต่างกันอาจเป็นเรื่องที่น่ากลัว แต่การเลือกตัวจัดการรหัสผ่านที่ดีที่คุณไว้วางใจจะทำให้กระบวนการง่ายขึ้น
แน่นอนว่าการเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยเป็นอีกหนึ่งกลยุทธ์ด้านความปลอดภัย
THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th
