สิบอันดับรหัส ATM ที่ควรหลีกเลี่ยง

by on 27 September, 2012 - 18:18, under Technology - Software Tags: ,

ปกติแล้วการกดเงินจากตู้ ATM นั้นจะต้องใช้บัตรของเราและรหัสให้ตรงกัน โดยรหัสนั้นถือว่าเป็นสากลทั่วโลกคือมีทั้งหมดสี่ตัว หมายความว่าคุณสามารถตั้งรหัสได้ตั้งแต่ 0000-9999 รวมถึงหมดก็ได้ 10000 รูปแบบพอดี ปกติถ้าบัตรมันอยู่กับเรามันก็ดีไป แต่ถ้าเกิดหล่นหายขึ้นมาทีนี้มันจะเป็นปัญหาขึ้นมาทันที เพราะก็ขึ้นอยู่กับว่าคนที่หยิบบัตรของเรานั้นจะเอาไปทำอะไรบ้างจนกว่าเราจะรู้ตัวและโทรศัพท์ไปอายัดบัตรกับทางธนาคาร ทีนี้แหละเรื่องของพาสเวิร์ดที่เราตั้งไว้จะเข้ามาเกี่ยวข้อง

โดยทาง DataGenegics ได้ทำการรวบรวมจากฐานข้อมูลจากฐานข้อมูลที่ไม่สามารถเปิดเผยได้ เพราะเป็นฐานข้อมูลที่เหล่า hacker นำออกมาเผยแพร่เวลาทำการเจาะระบบได้นั่นเอง และทำการคัดเฉพาะรหัสที่เป็นตัวเลขจำนวนสี่ตัวเท่านั้นเพื่อมารวบรวมความถี่ของรหัสแต่ละตัว พบว่ามีสิ่งที่น่าสนใจหลายประการเลย

และนี่คือสิบอันดับของรหัสแบบเลขสี่หลักที่คนนิยมใช้กันมากที่สุดครับ

ด้านบนคือสถิติรหัสตัวเลขสี่หลักที่คนนิยมใช้กันมากที่สุด จากกลุ่มตัวเลขกว่า 3.4 ล้านชุด!

จะเห็นว่าอันดับหนึ่งก็ตามที่หลายคนคาดคือ 1234 เป็นรหัสที่หลายคนมักจะคิดเวลาตั้ง (และคนเจาะก็เดาได้) เป็นอันดับแรกๆ เพราะไม่ต้องใช้ความคิดอะไรทั้งสิ้นเลยในการสร้างออกมา นับว่าเป็นจำนวนมากถึง 10% ของกลุ่มตัวอย่างทั้งหมด อันดับสองคือ 1111 รหัสยอดฮิตอีกตัวที่ตามมาติดๆ ถึง 6% สังเกตว่าส่วนมากแล้วจะเป็นรหัสที่เป็นตัวเลขง่ายๆ และซ้ำกันเป็นชุดๆ เช่น 1122, 1313 เลขแรกที่พบแล้วดูเหมือนจะซับซ้อนขึ้นมานิดหน่อยคือ 2580 แต่หากใครพอจะนึกออกว่ามันมาจากไหน ลองดูที่แป้นกดโทรศัพท์ของท่านดูว่ามันมาได้ยังไงนะครับ รหัสตัวนี้เป็นตัวหนึ่งที่สามารถคอนเฟิร์มได้ว่าชุดข้อมูลรหัสที่ DataGenetics นำมาวิเคราะห์นั้นเป็นกลุ่มตัวเลขที่สามารถระบุถึงเลขรหัส ATM ได้ค่อนข้างแน่ เพราะตัวแป้นที่กดตรงตู้ ATM นั้นเหมือนกับแป้นกดบนโทรศัพท์ อีกข้อมูลที่น่าสนใจคือชุดเลขที่เป็นเลขคู่อย่าง 2468 มีผู้ใช้มากกว่าเลขคี่อย่าง 1357

หากนำมาคิดแบบ Cumulative Frequency หรือความถี่สะสม (อันนี้ออกแนวสถิติหน่อยนะครับ) พบว่ารหัส 1234 ที่เป็นอันดับหนึ่งนั้น ก็ยังมีผู้ใช้มากกว่ารหัสที่ปลอดภัยกว่านั้น 4200 รหัสรวมกันเสียอีก นอกจากนี้ผู้ที่ใช้รหัสเหล่านี้ซึ่งนับเป็น 10% ถือว่าคนเหล่านี้ตกอยู่ในความเสี่ยงเพราะว่าสามารถผู้ไม่หวังดีอาจใช้ความพยายามเพียงครั้งเดียวเท่านั้นในการถอดรหัส

หรืออาจหมายถึงรหัสทั้งหมดที่อยู่ในชุดข้อมูลนี้ หนึ่งในสามของทั้งหมดสามารถถอดได้โดยใช้การเดาเพียง 61 ครั้ง (สำหรับตู้ ATM อาจทำไม่ได้เพราะมีข้อจำกัดแค่สามครั้ง)

 

แล้วรหัสไหนที่คนใช้น้อยที่สุด ?

 

สำหรับรหัสที่คนใช้น้อยที่สุดคือ 8068 ที่มีเพียง 25 ชุดเท่านั้นจาก 3.4 ล้านชุดตัวอย่างซึ่งนับเป็นแค่ 0.000744% ของทั้งหมด สำหรับ 20 อันดับสุดท้ายของรหัสที่คนใช้น้อยที่สุดก็อยู่ในตารางด้านล่างครับ

แต่ถึงแม้ว่ารหัส 8068 จะเป็นรหัสที่คนใช้น้อยที่สุดจากข้อมูลที่ได้มา แต่สุดท้ายแล้วรหัสชุดนี้ก็จะไม่ปลอดภัยอีกต่อไปหลังจากที่มีการเปิดเผยข้อมูลชุดนี้ออกไป ฉะนั้นอย่าเอา 8068 ไปใช้เป็นรหัสผ่านของคุณซะละ

 

ยังมีผู้ใช้จำนวนมากที่ใช้ปีเกิดเป็นรหัส เช่นในตัวอย่างคือรหัสที่ขึ้นต้นด้วย 19xx เช่น 1967, 1956 (ของบ้านเราก็อาจเป็นปี พ.. แทน) จริงอยู่ว่ามันช่วยให้สามารถจำได้ง่ายกว่าเดิม

 

ข้อสังเกตอีกหลายอย่างที่ได้จากรายงานชุดนี้

  • รหัสที่มากกว่า 5 ตัวผู้ใช้มีแนวโน้มที่จะขี้เกียจใช้ความคิดมากกว่ารหัสแบบ 4 ตัว (จากสถิติเห็นว่า 12345 มีผู้ใช้มากถึง 22%
  • สำหรับตัวเลขหกตัว รหัสที่มีคนใช้เยอะที่สุดคือ 696969 (น่าจะรู้ว่าเพราะอะไร 555) รหัสที่มาแรงไม่แพ้กันก็คือ 159753 (การกดรหัสเป็นรูปกากบาทบนแป้นตัวเลข) นอกจากนี้รหัสของแฟนๆ เจมส์บอนด์ 007007 ก็ยังติดอันดับกับเขาด้วย!
  • ว่ากันไปไกลกว่านั้นคือเลข 7 หลัก รหัสที่คิดว่าน่าจะนิยมมากที่สุดคือ 1234567 น่าจะได้รับความนิยมมากที่สุด แต่กลับไม่ใช่ ผู้ทำรายงานวิเคราะห์ว่าผู้ใช้จำนวนมากน่าจะใช้เบอร์โทรศัพท์ ของตัวเองเป็นรหัสผ่าน เพราะสามารถจำได้ง่ายและไม่ต้องใช้จินตนาการใดๆ ในการคิดด้วย สังเกตเห็นได้ว่าผู้ใช้นิยมใช้รหัสง่ายๆ ที่เน้นจำสะดวกและคุ้นเคยมากกว่ารหัสที่้ต้องคิดขึ้นมาใหม่
  • สำหรับ 9 หลัก รหัสยอดนิยมคือ 789456123 และ 147258369 (ใช้การกดแบบ pattern บนคีย์บอร์ดอีกแล้ว) นอกจากนี้ยังมีเจมส์บอนด์รีเทิร์น 007007007 ติดอันดับอีกต่างหาก

สรุป

สำหรับนักพัฒนาโปรแกรม เทสเตอร์ หรือผู้บริหาร ไม่ควรเก็บข้อมูลที่สำคัญและละเอียดอ่อนเช่นรหัสผ่าน ไว้แบบไม่เข้ารหัส (plain text) เพราะรหัสที่ได้มาวิเคราะห์ในรายงานชุดนี้ก็เป็นผลจากความผิดพลาดของบุคคลเหล่านี้ที่เก็บรหัสผ่านไว้ในฐานข้อมูลแบบไม่เข้ารหัสใดๆ

สำหรับผู้ใช้ปกติแบบเราๆ ข้อมูลชุดนี้มีประโยชน์ไม่ใช่เฉพาะว่าเราจะได้รู้กันว่ารหัสแบบไหนที่คนใช้มาก หรือคนใช้น้อยเท่านั้น ทำให้เรารู้ด้วยว่าผู้คนส่วนมากไม่ชอบใช้จินตนาการในการสร้างรหัสที่มีความปลอดภัยขึ่นมาใช้งานกันสักเท่าไหร่ มิหนำซ้ำรหัสบางชุดยังสามารถเดาได้ง่ายจากพฤติกรรมของผู้ใช้งานหรือสิ่งรอบตัวด้วย แน่นอนว่า ATM อาจมีการป้องกันหลายครั้งก่อนที่จะถูกยึดบัตรไป แต่สำหรับการใช้งานที่อื่นเช่นบนเว็บละ หากคุณยังใช้รหัสที่ปรากฎในรายงานชุดนี้อยู่ก็ควรจะเปลี่ยนเสียนะครับ

Source: DataGenetics

บทความอื่นๆ ที่น่าสนใจ:

  • ไม่พบบทความใดๆ
:,

ร่วมแสดงความคิดเห็น