📌 จากประเด็นในโพสต์ก่อนหน้าที่แนะนำ MD5 แอดขอเปลี่ยนมาเป็นหัวข้อนี้ดีกว่า ! กับเรื่อง MD5 ที่จริง ๆ แล้ว ตามตำราที่ว่าไว้ ไม่ว่าจะเป็นการ hash ทางเดียว แงะ ออกกันไม่ได้ มันคือตัวเลือกที่ปลอดภัยที่สุดจริง ๆ ไหมนะ !?
.
แน่นอนฮะ มันไม่ใช่เรื่องผิด ถ้าเราทำเว็บเมื่อสมัยก่อน และ MD5 มันก็มีประโยชน์ในตัวมันเอง ทั้งในเรื่องของการเช็คว่าไฟล์ ๆ นั้น คือต้นฉบับไม่ถูกการแก้ไขไหม ? และ หลายคนรวมถึงตอนนี้ก็เอามาใช้ในการทำการเข้ารหัสใน Database
.
🔥 อะ เข้าเรื่อง .. "การทำการใช้เทคนิคนี้เก็บข้อมูลในระบบปลอดภัยจริง ๆ ไหม ?"
.
คำตอบคือ "อ่ะ ใช่แหละ คนทั่วไปอ่านไม่ออก แงะกลับมาไม่ได้ มันก็ปลอดภัยหนะสิ" ใช่ครับ แต่มันจะปลอดภัยแค่ชั่วครู่เท่านั้น และ จะไม่ได้ปลอดภัยกับทุกรหัสผ่านที่มีในระบบ
.
หนึ่ง Concept ที่เราจะเข้าใจเรื่องนี้เราจะต้องเข้าใจวิธีการทำงานของมันก่อน อันดับแรก คือ สมมุติว่าเราพิมพ์ข้อมูล AAA ทำการผ่านฟังก์ชัน MD5 เราจะได้ข้อมูลยาว ๆ ชุดนึงมา ("e1faffb3e614e6c2fba74296962386b7")
.
✅ แน่นอนว่า อีกสิบวัน สิบปี เราเอาข้อมูล AAA ตัวนี้เข้าฟังก์ชันนี้ มันก็จะได้ค่า ๆ เดิมออกมานั่นเอง
.
ซึ่งเวลาเราจะดำเนินการตรวจสอบว่า Username และ Password ที่เก็บไว้ใน Database ตรงกับที่พิมพ์ไหม เราก็ใช้ตรง ๆ คือ ดูว่าเอ่อ User ชื่อนี้ และ รหัสผ่านเป็น AAA ที่เราเอาไปเข้า MD5 ไหม ถ้าตรงก็คือจบ
.
อ้าว .. ก็ดูปกติใช่ไหมครับ มาถึงตรงนี้ แต่ก็ต้องบอกว่า ตรงนี้ก็เป็นจุดอ่อนของการใช้ MD5 เพียว ๆ เช่นกัน เพราะว่า ถ้าเรารู้ว่า ข้อความที่ถูกเข้าผ่านฟังก์ชันนี้แล้วให้ผลลัพธ์ว่า e1faffb3e614e6c2fba74296962386b7 มันคือข้อความว่า AAA นะ
.
😱 "วันหลังที่เราเห็น ข้อความชุดเดียวกันอีก เราก็จะสามารถย้อนดูรหัสผ่านจริง ๆ ได้ ซึ่ง ความพังของมันคือ ถ้าเรารู้อีเมล หรือ username เขาแล้วรู้รหัสต้นฉบับ เราอาจจะนำรหัสนี้ไปใช้ทำอะไรก็ได้ !!"
.
และ แน่นอนว่าคนที่มีความสามารถ หรือ เข้าถึงข้อมูลพวกนี้ได้เขาก็ไม่ได้กด Ctrl + F หารหัสเอาแน่ ๆ เพราะเขาก็แค่ทำการไล่เข้ารหัสไปเรื่อย ๆ เพื่อสร้าง Table หรือ ตารางชุดคำตอบของ MD5 ที่นำไปเข้ารหัสนั่นเอง
.
แค่นี้เราก็จะรู้ได้ว่า ข้อมูลต้นฉบับหลัง MD5 เป็นยังไงนั่นเองฮะ !! แม้ว่าเทคนิคนี้จะใช้เวลานานกับ รหัสประหลาด ๆ ตัวอักษรผสมเยอะ ๆ มีตัวอักษรพิเศษมีอะไรปน แต่มันก็ใช่ว่าจะแกะไม่ได้อยู่ดี 🤣
.
🔥 ซึ่งปัจจุบันมีแหล่งอ้างอิงตอนปี 2012 บอกมาว่า หลังจากข้อมูลของ Hash ที่อยู่ใน Database หลุดไปไม่เกิน 3 วัน กว่า 90% ของรหัสผ่านในนั้นถูกแงะแปลงกลับได้จนหมดเลย ! (แอดทิ้งลิงก์ไว้ข้างล่างนะ)
.
ดังนั้นแล้ว มาถึงตอนนี้ ถามว่าเอ่อ เลิกใช้ไปเลยดีไหม ? เอาจริง ๆ มันใช้ได้อยู่ และ ใช้ได้ดีมากกกก สำหรับการตรวจสอบไฟล์นะ ว่าเอ่อ ไฟล์นี้ต้นฉบับจริง ๆ ไหม ?
.
เพราะหลักการเดียวกับรหัสผ่านที่แอดพูดถึงก่อนหน้า ที่เขาจะนำข้อมูลมาเข้าจนได้ Data ชุดนึงมา ถ้ามันตรงกันก็คือต้นฉบับแน่นอน
.
⭐ แต่สำหรับใครที่อยากเอาไปใช้กับ Password ในปัจจุบันก็มีอีกหลายเทคนิคที่น่าสนใจ ใครอยากตามก็ตามมาที่นี่ได้เลยคร้าบ >> https://www.vaadata.com/blog/how-to-securely-store-passwords-in-database/
.
✌ //ref สำหรับ รหัสผ่านที่ถูกแงะในปี 2012 อยู่ในนี้นะคร้าบ >> https://www.lefigaro.fr/secteur/high-tech/2016/05/18/32001-20160518ARTFIG00292-plus-de-100-millions-de-mots-de-passe-linkedin-dans-la-nature.php
.
borntoDev - 🦖 สร้างการเรียนรู้ที่ดีสำหรับสายไอทีในทุกวัน
แงะ คือ 在 #แงะ แปลว่าอะไรครับ? Brajao Joke - บร๊ะเจ้าโจ๊ก #สิงโตนำโชคกับ ... 的美食出口停車場
แงะ แปลว่าอะไรครับ? Brajao Joke - บร๊ะเจ้าโจ๊ก #สิงโตนำโชคกับโจ๊กโซคูล. ... <看更多>