Brute force attack โจมตีคนที่ใช้ Password ง่ายๆ ในการทำเว็บ

 Brute force attack
ช่วงนี้ผมต้องคอยแก้ปัญหาเว็บโดนแฮก วางสคริป มีโทรจีน Trojan เจอ บล๊อคเว็บนี้เป็นอันตราย โดนไวรัส และสารพัดปัญหา ซึ่งผมเคยเขียนการแก้ปัญหาไว้หลายปีก่อน  เรื่อง เมื่อเว็บโดนแฮก วาง Iframe / Virus บนหน้า เว็บ ทำอย่างไร มาถึงตอนนี้ Hacker ก็พัฒนาตัวเองใช้ Brute force attack หรือการสุ่มรหัสผ่าน ง่ายๆเลยครับ เช่นถ้า ทำเว็บด้วย Joomla  ส่วนใหญ่จะใช้ user: admin pass แล้วแต่ละตั้ง hacker ก็เดาจาก user: admin สุ่มรหัสไปเรื่อยๆ แบบถึกๆ และตอนนี้ผมเจอเดา FTP เลย ไม่สนด้วยว่าใช้อะไรทำเว็บ ใครใช้ง่ายไประวังโดนแฮก

  • ถ้าคุณใช้รหัส  admin ก็จบกันเพราะมันเป็นอันแรกที่จะใช้เดา
  • ถ้าใช้ ตัวเลข 4 ตัว 1234 ก็ใช้เวลาในการเดา 11.11 วินาที
  • ถ้าใช้ 123456 ก็ใช้เวลาในการเดา 18.52 นาที 
  • ถ้าใช้ วันเดือนปีเกิด 00 00 0000 ใช้เวลา 1 วัน
  • ถ้าใช้ เบอร์มือถือ 0891234567 ใช้เวลา 4 เดือน
  • ถ้าใช้ตัวอักษรใหญ่ เล็ก อักขระ และตัวเลข แต่ใช้แค่อย่างละตัว แบบนี้ Wz%5 ใช้เวลาเดา 22.87 ชั้วโมง
ความยาวตัวอักษรใช้ทุกตัวอักษรใช้แต่ตัวหนังสือตัวเล็ก
3 ตัวอักษร 0.86 วินาที 0.02 วินาที
4 ตัวอักษร 1.36 นาที 0.046 วินาที
5 ตัวอักษร 2.15 ชัวโมง 11.9 วินาที
6 ตัวอักษร 8.51 วัน 5.15 นาที
7 ตัวอักษร 2.21 ปี 2.23 ชั่วโมง
8 ตัวอักษร 2.10 ศตวรรษ 2.42 วัน
9 ตัวอักษร 2 หมื่นปี 2.07 เดือน
10 ตัวอักษร 19 ล้านปี 4.48 ปี
11ตัวอักษร 180 ล้านปี 1.16 ศตวรรษ
12 ตัวอักษร 1หมื่นเจ็ดพันล้านปี 3 หมื่นปี

 

บางคนบอก ใช้ตัวอักษรใหญ่ เล็ก อักขระ และตัวเลข น่าจะปลอดภัยแล้วทำไมเดาง่าย ก็คุณใช้แค่สี่ตัวมันก็ง่ายครับ 

  •  จาก Wz%5 ใช้เวลาเดา 22.87 ชั่วโมง ลองเพิ่มเป็น Wz$%85 จะใช้เวลา 23.62 ปี 
  • ที่เป็นพท้นฐานเลย ผมแนะนำให้ใช้ 8 ตัว ครับ Wz-$%485 จะใช้เวลา พันศตวรรษ เลยทีเดียว
  • ส่วนที่ผมใช้ 15 ตัว จะใช้เวลาเดา แสนล้านล้านศตวรรษ เดาให้ตายไปเลย

บางครั้งเราคิดว่าใช่ปลอดภัยแน่ๆ บางทีก็ไม่ใช่อย่างที่คิด Hacker จะเดาจากรหัสชุดที่คิดว่ามีคนใช้มากสุดก่อน ถ้าไม่ผ่านก็จะเริ่มให้โปรแกรมสุ่มไปเรื่อยๆ จนได้ จากตัว้อย่างข้งบน มากสุดสี่เดือน เขารอได้ครับเพราะเขาไปรันไว้หลายเว็บ ถึงเวลาหรือยังที่คุณจะเปลี่ยนรหัสผ่านใหม่สักที 

แต่ทุกท่านก็จะบ่น ว่า ตัวอักษรใหญ่ เล็ก อักขระ และตัวเลข มันจำยาก จะตายใครจะไปจำได้ ผมแนะนำให้ใช้การ พิมพ์ประโยคภาษาไทยบนแป้นภาษา Eng เช่น z,iydg;H[-v'z, = ผมรักเว็บของผม หรือ vpjk,kp6j'dy[g;H[Cyo = อย่ามายุ่งกับเว็บฉัน เป็นต้น การถูกแฮก มีได้อีกหลายทาง Brute force attack เป็นทางหนึ่งของ Hacker เท่านั้น  

 

ข้อจดจำ : 4 ตัว ไม่ปลอดภัย 

ตัวอย่างการโจมตี

 เครื่องมือ  Hacker Brute force attack โจมตีคนที่ใช้ Password ง่ายๆ ในการทำเว็บ

Brute-force-attack-1

 Brute force attack โจมตีคนที่ใช้ Password ง่ายๆ ในการทำเว็บ