Brute force attack โจมตีคนที่ใช้ Password ง่ายๆ ในการทำเว็บ
ช่วงนี้ผมต้องคอยแก้ปัญหาเว็บโดนแฮก วางสคริป มีโทรจีน Trojan เจอ บล๊อคเว็บนี้เป็นอันตราย โดนไวรัส และสารพัดปัญหา ซึ่งผมเคยเขียนการแก้ปัญหาไว้หลายปีก่อน เรื่อง เมื่อเว็บโดนแฮก วาง Iframe / Virus บนหน้า เว็บ ทำอย่างไร มาถึงตอนนี้ Hacker ก็พัฒนาตัวเองใช้ Brute force attack หรือการสุ่มรหัสผ่าน ง่ายๆเลยครับ เช่นถ้า ทำเว็บด้วย Joomla ส่วนใหญ่จะใช้ user: admin pass แล้วแต่ละตั้ง hacker ก็เดาจาก user: admin สุ่มรหัสไปเรื่อยๆ แบบถึกๆ และตอนนี้ผมเจอเดา FTP เลย ไม่สนด้วยว่าใช้อะไรทำเว็บ ใครใช้ง่ายไประวังโดนแฮก
- ถ้าคุณใช้รหัส admin ก็จบกันเพราะมันเป็นอันแรกที่จะใช้เดา
- ถ้าใช้ ตัวเลข 4 ตัว 1234 ก็ใช้เวลาในการเดา 11.11 วินาที
- ถ้าใช้ 123456 ก็ใช้เวลาในการเดา 18.52 นาที
- ถ้าใช้ วันเดือนปีเกิด 00 00 0000 ใช้เวลา 1 วัน
- ถ้าใช้ เบอร์มือถือ 0891234567 ใช้เวลา 4 เดือน
- ถ้าใช้ตัวอักษรใหญ่ เล็ก อักขระ และตัวเลข แต่ใช้แค่อย่างละตัว แบบนี้ Wz%5 ใช้เวลาเดา 22.87 ชั้วโมง
| ความยาวตัวอักษร | ใช้ทุกตัวอักษร | ใช้แต่ตัวหนังสือตัวเล็ก |
|---|---|---|
| 3 ตัวอักษร | 0.86 วินาที | 0.02 วินาที |
| 4 ตัวอักษร | 1.36 นาที | 0.046 วินาที |
| 5 ตัวอักษร | 2.15 ชัวโมง | 11.9 วินาที |
| 6 ตัวอักษร | 8.51 วัน | 5.15 นาที |
| 7 ตัวอักษร | 2.21 ปี | 2.23 ชั่วโมง |
| 8 ตัวอักษร | 2.10 ศตวรรษ | 2.42 วัน |
| 9 ตัวอักษร | 2 หมื่นปี | 2.07 เดือน |
| 10 ตัวอักษร | 19 ล้านปี | 4.48 ปี |
| 11ตัวอักษร | 180 ล้านปี | 1.16 ศตวรรษ |
| 12 ตัวอักษร | 1หมื่นเจ็ดพันล้านปี | 3 หมื่นปี |
บางคนบอก ใช้ตัวอักษรใหญ่ เล็ก อักขระ และตัวเลข น่าจะปลอดภัยแล้วทำไมเดาง่าย ก็คุณใช้แค่สี่ตัวมันก็ง่ายครับ
- จาก Wz%5 ใช้เวลาเดา 22.87 ชั่วโมง ลองเพิ่มเป็น Wz$%85 จะใช้เวลา 23.62 ปี
- ที่เป็นพท้นฐานเลย ผมแนะนำให้ใช้ 8 ตัว ครับ Wz-$%485 จะใช้เวลา พันศตวรรษ เลยทีเดียว
- ส่วนที่ผมใช้ 15 ตัว จะใช้เวลาเดา แสนล้านล้านศตวรรษ เดาให้ตายไปเลย
บางครั้งเราคิดว่าใช่ปลอดภัยแน่ๆ บางทีก็ไม่ใช่อย่างที่คิด Hacker จะเดาจากรหัสชุดที่คิดว่ามีคนใช้มากสุดก่อน ถ้าไม่ผ่านก็จะเริ่มให้โปรแกรมสุ่มไปเรื่อยๆ จนได้ จากตัว้อย่างข้งบน มากสุดสี่เดือน เขารอได้ครับเพราะเขาไปรันไว้หลายเว็บ ถึงเวลาหรือยังที่คุณจะเปลี่ยนรหัสผ่านใหม่สักที
แต่ทุกท่านก็จะบ่น ว่า ตัวอักษรใหญ่ เล็ก อักขระ และตัวเลข มันจำยาก จะตายใครจะไปจำได้ ผมแนะนำให้ใช้การ พิมพ์ประโยคภาษาไทยบนแป้นภาษา Eng เช่น z,iydg;H[-v'z, = ผมรักเว็บของผม หรือ vpjk,kp6j'dy[g;H[Cyo = อย่ามายุ่งกับเว็บฉัน เป็นต้น การถูกแฮก มีได้อีกหลายทาง Brute force attack เป็นทางหนึ่งของ Hacker เท่านั้น
- สอบถามเพิ่มเตอมได้ที่ http://joomlachannel.com/
- หากต้องการจ้างผู้เชี่ยวชาญแก้ไขเว็บ โดน Hack http://colorpack.co.th/
ข้อจดจำ : 4 ตัว ไม่ปลอดภัย
ตัวอย่างการโจมตี
- Hits: 61280