Security 101 Brute Force คืออะไร
สวัสดีย์
วันนี้ทักทายแบบให้มันดูดีย์กว่าหน่อยๆแล้วกัน 555555+ วันนี้เรามาลงสู่สาย Security กันบ้างดีกว่า เราจะพูดถึงเรื่องการเจาะระบบคนอื่น… OMG!!! อะไรเนี่ยจะเข้าสู่สาย Dark แล้วหรอ ไม่ใช่!!! ใจเย็นๆนะทุกคน เราแค่มาอธิบายถึงหนึ่งในวิธีการที่เค้าใช้เพื่อเจาะระบบเพื่อให้รู้ว่ามีวิธีอะไรที่เค้าทำกันบ้าง
วันนี้ทักทายแบบให้มันดูดีย์กว่าหน่อยๆแล้วกัน 555555+ วันนี้เรามาลงสู่สาย Security กันบ้างดีกว่า เราจะพูดถึงเรื่องการเจาะระบบคนอื่น… OMG!!! อะไรเนี่ยจะเข้าสู่สาย Dark แล้วหรอ ไม่ใช่!!! ใจเย็นๆนะทุกคน เราแค่มาอธิบายถึงหนึ่งในวิธีการที่เค้าใช้เพื่อเจาะระบบเพื่อให้รู้ว่ามีวิธีอะไรที่เค้าทำกันบ้างแน่นอนว่าภัยคุกคามนั้นเป็นสิ่งที่เรานั้นต้องเจออย่างหลีกเลี่ยงไม่ได้ไม่ว่าจะในชีวิตจริงหรือในโลก IT ก็ตาม ซึ่งหนึ่งในวิธีการที่เราพบเจอได้เวลาเราเปิดระบบอะไรสักอย่างคือการ Hack นี่เอง ทีนี้การ Hack นั้นมันก็มีหลากหลายวิธีซึ่งวันนี้เราจะมาพูดถึงคือ Brute Force…
Brute Force คืออะไร ถ้าแปลและอธิบายแบบตรงตัวเลยคือการสุ่มรหัสผ่าน ซึ่งแน่นอนว่าวิธีนี้เป็นการเจาะระบบที่เรียกได้ว่าเจาะได้แน่นอน 100% (ก็แหงสิสุ่มไปเรื่อยๆทีละตัวมันก็ต้องถูกสักทีละ
) แต่ถ้าถามว่ามันมีความน่าจะเป็นขนาดไหนเดี๋ยวเรามาลองดูกัน โดยใช้การคำนวนอัตราความน่าจะเป็น สมมุติว่าเรามาลองสุ่มรหัสง่ายๆ ที่มีแต่ตัวเลขอย่างรหัส ATM ปัจจุบันรหัสของบัตร ATM มีทั้งหมด 6 หลักโดยแต่ละหลักสามารถมีความเป็นไปได้ของรหัสตั้งแต่ 0-9(เท่ากับ10) ความเป็นไปได้ของรหัส 6 หลัก ที่แต่ละหลักนั้นสามารถซ้ำกันได้ ให้เอา 10 มาคูณกัน 6 ครั้งจะได้ทั้งหมด 1,000,000 ความเป็นไปได้ของรหัสผ่านที่เกิดขึ้นได้ ทีนี้ถ้าสมมุติว่าเราใช้วิธีการ Brute Force ด้วยความที่ว่า Hardware สมัยนี้มันเร็วมากๆ
การสุ่มเลยจะใช้เวลาไม่นานมากก็ครบล้านแล้ว จะเห็นได้ว่านี่แค่ตัวเลขนะยังมีถึง 1 ล้านความเป็นไปได้ถ้าสมมุติว่าเรามีตัวอักษร เรามีอักขระพิเศษเพิ่มมาหรือรหัสผ่านเรายาวขึ้น มันก็จะเพิ่มอัตราการที่ทำให้โดนเจาะยากขึ้นไปอีก ซึ่งการตั้งรหัสผ่านให้ซับซ้อนก็เป็นหนึ่งในวิธีการที่ช่วยทำให้การ Brute Force ยากขึ้น หรือถ้าอยากให้ยากกว่านี้ก็อาจจะเพิ่ม policy ให้รหัสผ่านหมดอายุทุกๆกี่วันก็ว่าไป หรืออีกวิธีนึงคือการใช้โปรแกรมอื่นมาช่วยเช่น Fail2Ban อันนี้แอดมินยิ่งควรระมัดระวังในการพิมพ์รหัสผ่านให้มากขึ้นเพราะถ้าโดนแบนก็คือรอวนไปหรือไปสารภาพผิดกับทีมดูแลอีกทีมเพื่อขอปลด
หรือถ้าอยากให้ปัญหาจบไปเลยคือเราก็ไม่ต้องใช้รหัสผ่านเพื่อยืนยันตัวตนสิ ไปใช้ Key Authentication แทนนี่ไง ไม่มีการใช้งานรหัสผ่านแล้ว ไม่ต้องสุ่มแล้ว555 หรือถ้าอยากให้ปิดการโดนยิงการสุ่มรหัสผ่านก็อาจจะเปลี่ยน port เป็น port อื่นไปเลยที่ไม่ใช่ port ตั้งต้น หรือจบสุดคือเอาไว้ Private Network แล้ว VPN เอา ถ้าโดนยิงก็มีแต่ข้างในนี่แหละยิง ส่วนวิธีสุดท้ายก็ใช้วิธีคนรวยครับซื้อ firewall พร้อม license มาตรวจจับครับ ใช้เงินแก้ปัญหาไปเลย555
) แต่ถ้าถามว่ามันมีความน่าจะเป็นขนาดไหนเดี๋ยวเรามาลองดูกัน โดยใช้การคำนวนอัตราความน่าจะเป็น สมมุติว่าเรามาลองสุ่มรหัสง่ายๆ ที่มีแต่ตัวเลขอย่างรหัส ATM ปัจจุบันรหัสของบัตร ATM มีทั้งหมด 6 หลักโดยแต่ละหลักสามารถมีความเป็นไปได้ของรหัสตั้งแต่ 0-9(เท่ากับ10) ความเป็นไปได้ของรหัส 6 หลัก ที่แต่ละหลักนั้นสามารถซ้ำกันได้ ให้เอา 10 มาคูณกัน 6 ครั้งจะได้ทั้งหมด 1,000,000 ความเป็นไปได้ของรหัสผ่านที่เกิดขึ้นได้ ทีนี้ถ้าสมมุติว่าเราใช้วิธีการ Brute Force ด้วยความที่ว่า Hardware สมัยนี้มันเร็วมากๆ การสุ่มเลยจะใช้เวลาไม่นานมากก็ครบล้านแล้ว จะเห็นได้ว่านี่แค่ตัวเลขนะยังมีถึง 1 ล้านความเป็นไปได้ถ้าสมมุติว่าเรามีตัวอักษร เรามีอักขระพิเศษเพิ่มมาหรือรหัสผ่านเรายาวขึ้น มันก็จะเพิ่มอัตราการที่ทำให้โดนเจาะยากขึ้นไปอีก ซึ่งการตั้งรหัสผ่านให้ซับซ้อนก็เป็นหนึ่งในวิธีการที่ช่วยทำให้การ Brute Force ยากขึ้น หรือถ้าอยากให้ยากกว่านี้ก็อาจจะเพิ่ม policy ให้รหัสผ่านหมดอายุทุกๆกี่วันก็ว่าไป หรืออีกวิธีนึงคือการใช้โปรแกรมอื่นมาช่วยเช่น Fail2Ban อันนี้แอดมินยิ่งควรระมัดระวังในการพิมพ์รหัสผ่านให้มากขึ้นเพราะถ้าโดนแบนก็คือรอวนไปหรือไปสารภาพผิดกับทีมดูแลอีกทีมเพื่อขอปลด หรือถ้าอยากให้ปัญหาจบไปเลยคือเราก็ไม่ต้องใช้รหัสผ่านเพื่อยืนยันตัวตนสิ ไปใช้ Key Authentication แทนนี่ไง ไม่มีการใช้งานรหัสผ่านแล้ว ไม่ต้องสุ่มแล้ว555 หรือถ้าอยากให้ปิดการโดนยิงการสุ่มรหัสผ่านก็อาจจะเปลี่ยน port เป็น port อื่นไปเลยที่ไม่ใช่ port ตั้งต้น หรือจบสุดคือเอาไว้ Private Network แล้ว VPN เอา ถ้าโดนยิงก็มีแต่ข้างในนี่แหละยิง ส่วนวิธีสุดท้ายก็ใช้วิธีคนรวยครับซื้อ firewall พร้อม license มาตรวจจับครับ ใช้เงินแก้ปัญหาไปเลย555ผ่านไปแล้วกับ Brute Force ว่าคืออะไร มีวิธีไหนใช้กันได้บ้างแบบเบื้องต้น เพื่อนๆล่ะ ระบบใครใช้วิธีไหนบ้างในการป้องกันการ Brute Force บ้าง มาเล่าให้ฟังกันได้ หรือใครมีท่าอะไรแปลกๆกว่านี้ก็มาแชร์กันได้นะครับ เอาละสมควรแก่เวลาเอาเป็นว่าวันนี้พอเท่านี้ดีกว่า ไว้รอบหน้ามีอไรเดี๋ยวมาเหลาใหม่วันไปนี้ก่อนละบรัยยยยย
แอดหมีอยากขี่รถไฟ
สนใจบริการ Hosting คุณภาพเยี่ยม
สอบถามข้อมูลเพิ่มเติมได้ที่
เบอร์โทรศัพท์ 02-105-4322Line OA
ฝ่าย Support : @hostinglotus (มี@) หรือคลิก https://lin.ee/itM2MPS
ฝ่าย Sale : @mcloudsale (มี@) หรือคลิก https://lin.ee/1pr0WN1Facebook Page : HostingLotus คลิกเลย m.me/HostinglotusEmail : [email protected].
Hosting Lotus ยินดีให้บริการครับ! 
