Secure Your Account!   2 comments

Posted at 9:17 am in Wired

จากเรื่อง On the phone โดนถามมาหลายทีว่ามันผิดแปลกอะไรตรงไหน คำตอบก็คือเรื่องความปลอดภัยของข้อมูลสมาชิกในเว็บไซต์ร้านค้าแห่งนั้น ที่ผมคงจะไม่ซื้ออะไรอีกแล้ว

ย้อนความกันก่อนว่าร้านค้าแห่งนี้ มีระบบหนึ่งที่ให้คุณโอนเงินจากธนาคาร (หรือหักจากบัตรเครดิต) ไปเก็บไว้ใน account เพื่อใช้ซื้อของต่อๆ ไป จะได้ไม่ต้องมาลำบากในการโอนเงินบ่อยๆ ซึ่งนั่นก็ดูเป็นเรื่องที่อำนวยความสะดวกสำหรับผู้ที่ไม่มีบัตรเครดิตได้ดี

ปัญหามันอยู่ที่ว่า ร้านค้าแห่งนี้ไม่มีการป้องกันความปลอดภัยของบัญชีสมาชิกผู้ใช้ที่ยินดีจะฝากเงินจำนวนนั้นไปทิ้งไว้ใน account ที่ดีพอนอกจากการใช้ SSL (สำหรับเข้ารหัสข้อมูลที่ส่งระหว่างบราวเซอร์กับเว็บเซิฟเวอร์) ดังนั้นก็หมายถึง นั่นก็คือรหัสผ่านที่ถูกตั้งไว้ในเว็บฯ ไม่มีการเข้ารหัสใดๆ และยังให้พนักงานของร้านเปิดดูได้ตามสะดวกอีกต่างหาก

แล้วปัญหามันคืออะไร ปัญหามันอยู่ที่ว่า ในกรณีที่คุณมีรหัสผ่านเพียงชุดเดียว–ซึ่งเป็นเรื่องที่ไม่ควร–และสมัครสมาชิกกับเว็บไซต์แห่งนี้ พนักงานในร้านค้าสามารถเปิดดูอีเมลล์สำคัญๆ ของคุณได้ ผ่านทางรหัสผ่านและอีเมลล์ที่คุณสมัครสมาชิกไว้

หรือถ้าเกิดให้คิดกรณีที่เลวร้ายกว่านั้น สมมติมีคนสามารถเจาะเข้าฐานข้อมูลของร้านค้าแห่งนี้ได้ด้วยวิธีใดก็ตาม เขาจะมีรหัสผ่านของคนนับพันที่เป็นสมาชิกของเว็บไซต์แห่งนี้โดยไม่ต้องลำบากมานั่งแกะรหัสผ่านเอาทีละอัน (ไม่ว่าจะด้วย brute force หรือ rainbow hash)

ในตอนที่สมัคร ผมสารภาพว่าผมไม่ได้อ่านนโยบายด้านความเป็นส่วนตัวของเว็บไซต์แห่งนี้เลย (ไม่มีการพูดถึงตอนที่สมัครด้วยซ้ำ!) ซึ่งหลังจากอ่านแล้วก็พบว่าไม่มีการพูดถึงการเข้ารหัสข้อมูลสมาชิกเลยแม้แต่น้อย หนำซ้ำยังไม่มีการบอกถึงการนำข้อมูลนี้ไปใช้ด้วยซ้ำ ยกเว้นข้อความที่ว่า “เราจะใช้ข้อมูลนี้เพื่ออำนวยความสะดวกให้แก่สมาชิก” ซึ่งโดยส่วนตัวก็ยังคิดว่ามันยัง “ไม่ใช่” (กรณีว่า ถ้าหากเปิดอ่านอีเมลล์สมาชิก จะถือว่า “อำนวยความสะดวก” ได้หรือเปล่า?)

การเก็บรหัสผ่านลงฐานข้อมูลเป็นความบกพร่องด้านความปลอดภัยอย่างรุนแรง ถึงแม้มันจะช่วยเพิ่มความสะดวกให้แก่ลูกค้าในการกู้รหัสผ่านในภายหลัง หนทางเลือกที่สมควรคือใช้ SHA1, MD5 หรืออะไรก็ตาม (ยกเว้น CRC!) บวกด้วย salt –หรือถ้าให้ดีกว่านั้น ใช้ตัวเลือกที่ดีกว่าอย่าง Bcrypt จะทำให้มั่นใจได้ว่าข้อมูลที่อยู่ในฐานข้อมูลไม่มีใครสามารถอ่านได้

กรณีฐานข้อมูลโดนเจาะเหมือนจะดูเป็นเรื่องไกลตัว แต่ในขณะเดียวกันบางครั้งมันอาจจะอยู่ใกล้กว่าที่คิด ถ้าหากต้องการจะแลกความปลอดภัยกับความสะดวก แล้วล่ะก็ยังไงก็ไม่คุ้มกัน ฐานข้อมูลที่รั่วไปครั้งหนึ่งแล้วมันเอากลับมาไม่ได้ โดยเฉพาะเมื่อคุณต้องกุมเงินของสมาชิกทั้งหลายอยู่ในมือ

สำหรับกรณีนี้ ถึงมันจะช่วยให้ผมล็อคอินได้ แต่ผมก็คงไม่ซื้อของจากร้านนี้อีกเด็ดขาด ขนาดรหัสผ่านยังละเลยขนาดนี้ ผมคงไม่เชื่อใจร้านค้าแห่งนี้พอที่จะมอบข้อมูลบัตรเครดิตให้เหมือนกัน

Written by Sirn on September 16th, 2008

Tagged with ,

« On the phone
Fix for once »

2 Responses to 'Secure Your Account!'

Subscribe to comments with RSS or TrackBack to 'Secure Your Account!'.

  1. เดาว่าเป็น psb

    wiennat

    16 Sep 08 at 9:52 am

  2. ชื่อสี่ตัว ไม่อยากทำลายอิมเมจบริษัท :p (ว่าจะซื้อ Spore ซะหน่อย)

    Sirn

    16 Sep 08 at 9:58 am

Leave a Reply