เมื่อวานนั่งหาหนังสือ กะว่าจะสั่งหนังสือสัก 2-3 เล่ม แต่ลืมรหัสผ่าน se-ed.com เลยเข้า https://www.se-ed.com/forgot-password.aspx เพื่อขอขั้นตอนการปลดล็อคผ่านทางอีเมลเพื่อเข้าระบบ
แต่สิ่งที่ได้กลับมาทำให้ตกใจไม่น้อยเพราะ….
ก็ไม่รู้จะว่ายังไงดี ความอยากได้หนังสือหายไปในทันที เลิกสั่งตั้งรหัสผ่านใหม่ที่ยาวกว่าเดิม แล้วลาก่อนเว็บนี้
ส่วนเหตุผลว่าทำไมอ่านจากของเก่าได้ที่ อย่าไว้ใจเว็บแบรนด์ระดับโลกให้เก็บรหัสผ่านที่สำคัญของคุณ
Related Posts
ต่อไปรหัสผ่านอาจจะไม่จำเป็นสำหรับทุกๆ เว็บเรื่องรหัสผ่านนั้น มาในระยะหลังๆ ก็พบว่า บ้างเว็บก็เก็บรักษารหัสผ่านเราอย่างดี บ้างก็เก็บไว้ห่วยๆ นั้นยังไม่เท่าไหร่ (โดยเฉพาะเว็บของคนไทยหลายๆ เว็บ) แต่จากปัญหา Hearbleed ถึงแม้เว็บจะเก็บรหัสผ่านเราดีเพียงใด แต่ก็มีช่องโหว่ได้เช่นกัน ทำให้การให้เว็บต่างๆ เก็บรหัสผ่านเพื่อยืนยันการเข้าใช้ระบบต่างๆ นั้นเริ่มรู้สึกว่ามันจำเป็นน้อยลง…
อันตราย blockcheckerim.comพอดีว่าเพื่อนผมแนะนำมา เลยเข้าไปดูในเว็บมีรายละเอียดให้กรอก username/password ด้วย ซึ่งโคตรจะอันตรายเลย และมาแนวเดียวกับเว็บหลอกลวงให้กรอกหมายเลขบัตรเครดิตต่าง ๆ ซึ่งลองเข้าไปหาข้อมูลก็ได้พบที่ ชานชาลาแห่งการเรียนรู้ เลยขอ copy มาใส่ที่นี่แล้วกัน ผมจะได้ไม่ตองให้ข้อมูลใหม่ เพราะใน ชานชาลาแห่งการเรียนรู้…
ต่อไปรหัสผ่านอาจจะไม่จำเป็นสำหรับทุกๆ เว็บเรื่องรหัสผ่านนั้น มาในระยะหลังๆ ก็พบว่า บ้างเว็บก็เก็บรักษารหัสผ่านเราอย่างดี บ้างก็เก็บไว้ห่วยๆ นั้นยังไม่เท่าไหร่ (โดยเฉพาะเว็บของคนไทยหลายๆ เว็บ) แต่จากปัญหา Hearbleed ถึงแม้เว็บจะเก็บรหัสผ่านเราดีเพียงใด แต่ก็มีช่องโหว่ได้เช่นกัน ทำให้การให้เว็บต่างๆ เก็บรหัสผ่านเพื่อยืนยันการเข้าใช้ระบบต่างๆ นั้นเริ่มรู้สึกว่ามันจำเป็นน้อยลง…
ผมว่าระบบฐานข้อมูลเค้าเก็บ แบบเข้ารหัสอยู่แล้วครับ ส่วนที่เอามาแสดงเป็นเมล์ส่วนตัวของลูกค้า ซึ่งทางระบบจะส่งรหัสที่ลูกค้ากรอกให้ เพื่อให้เป็นหลักฐานสำหรับผู้ใช่้
จากภาพผมคิดว่า password ได้บันทึกลงเป็น “StoringPasswordsInPlainTextIsInsecure” หรือเปล่าครับ
ขอบุคคลอ้างอิงหน่อยครับ ว่าเค้าเข้ารหัสจริงและถอดรหัสได้ด้วย ปรกติเค้าไม่เก็บรหัสผ่านกันแบบนี้ครับ เค้า hash ค่ารหัสผ่านเพื่อป้องกันการถอดย้อนกลับครับ
ส่วนรหัส StoringPasswordsInPlainTextIsInsecure อันนี่ตั้งเองครับ เพื่อทดสอบสมมติฐานนี้
สวัสดีค่ะ
เรียนชี้แจง สำหรับระบบการบันทึกข้อมูลรหัสผ่านของเว็บไซต์ se-ed.com นะคะ
อ้างอิงตาม https://www.thaicyberpoint.com/ford/blog/id/4403/
ระบบของซีเอ็ดได้ทำการเข้ารหัสผ่าน โดยใช้ รหัส Salt ในการเข้ารหัสก่อนบันทึกลงฐานข้อมูลค่ะ
กระบวนการทางเราไม่สามารถอธิบายได้ทั้งหมด จึงขออนุญาตแนบรูปนี้นะคะ
http://upic.me/show/52645855
จากภาพ เราดึงมาจากฐานข้อมูลจริง แต่ต้องลบข้อมูลบางส่วนออกเพื่อความปลอดภัยค่ะ
โดยการทำงาน ระบบเราจะดึงรหัสผ่านที่เข้ารหัสไว้มาถอด ซึ่งโดยเทคนิคแล้วผู้พัฒนาสามารถถอดรหัสที่ตัวเองเข้ารหัสไว้ได้อยู่แล้วค่ะ หลังจากนั้นระบบจะส่ง email ให้กับลูกค้าตาม email ที่ได้ลงทะเบียนไว้ในระบบ
และเนื่องจากเราใช้ email ของลูกค้าเป็น username ดังนั้นผู้ใช้ที่จะได้รับรหัสผ่านต้องเป็นเจ้าของ email นั้นจริงๆ เท่านั้น จึงจะมีรหัสผ่านเพื่อเข้าถึง email นั้น และสามารถเปิดอ่านได้ค่ะ
ทางซีเอ็ดต้องขอขอบพระคุณสำหรับแนวทางในการปรับปรุงระบบนะคะ ทั้งนี้เพื่อให้ลูกค้ามั่นใจมากขึ้น แผนการปรับปรุงต่อไป ทางเราจะให้ลูกค้าเปลี่ยนรหัสผ่านทันที
ที่กดปุ่ม forgot password โดยจะส่ง link สำหรับทำการเปลี่ยนรหัสผ่านใหม่ให้ค่ะ
ขอบพระคุณอีกครั้งสำหรับความใส่ใจ และคำแนะนำค่ะ
ขอบคุณทางคุณพรพรรณที่ตอบข้อสงสัยและมีแผนการนำไปปรับปรุงในอนาคตครับ ^^
> ซึ่งโดยเทคนิคแล้วผู้พัฒนาสามารถถอดรหัสที่ตัวเองเข้ารหัสไว้ได้อยู่แล้วค่ะ
นี่แหละครับที่เป็นปัญหา ผู้พัฒนาไม่ควรสามารถ decrypt รหัสผ่านของผู้ใช้ได้ครับ
กล่าวคือ ควรเป็นการเข้ารหัสทางเดียวที่ไม่สามารถถอดรหัสกลับออกมาเป็นข้อความที่ใส่เข้าไปได้ครับ
สวัสดีครับ คุณพรพรรณ ติดต่อผมหน่อย ผมมีบักจะแจ้ง [email protected]
ถ้ามันถอดกลับได้จะเก็บ Salt ไว้ทำไมหล่ะหน่ะ 55++ เจาะระบบได้ก็หมดความหมาย ถอดได้หมดทุกคน