CafeTech-ExchangePantip MarketChatTrendyMobilePantown


    ระบบรหัส PIN Code เลข 4 หลัก ของ khonthai.com ไม่มีความปลอดภัยเลย

    ผมทราบมาว่า PIN Code ของทาง khonthai.com (กรมการปกครอง กระทรวงมหาดไทย)
    เป็นระบบเลข 4 หลัก สำหรับ PIN1 และ เลข + อักษรรวม 4 หลัก สำหรับ PIN2
    เท่าที่พอจะมีความรู้อยู่บ้าง ประเมินความเสี่ยงในการขโมยรหัสได้ว่า
    เสี่ยงมาก หรืออีกแง่หนึ่งคือ รหัสแบบนี้ปลอดภัยน้อยมาก เรียกว่าไม่ปลอดภัยเลยก็ว่าได้

    เพราะโปรแกรมคอมฯ สามารถรันเลข 4 หลักจาก 0000 ถึง 9999 ได้ในเวลาเสี้ยววินาที
    เพียงนักเรียนมัธยมที่สามารถเขียน JavaScript เป็น ก็สามารถเขียนโปรแกรมเพื่อสุ่มค่า PIN
    เพื่อ login เข้า khonthai.com
    หรือเว็บไซต์อื่นที่ใช้รหัสชุดเดียวกันนี้ได้
    ในเวลาไม่นานนัก (รวมเวลาที่วิ่งผ่าน modem ด้วยแล้วครับ) ไม่เกิน 2 ชม.
    (แต่ถ้าผ่าน ADSL จะเร็วกว่านี้ ทั้งนี้ขึ้นอยู่กับความเร็วของเครื่องที่ khonthai.com)
    และถ้าปรับปรุงสคริปต์ที่ว่าให้ฉลาดขึ้นอีกนิด เวลาที่ใช้จะลดลงกว่านี้มาก

    ยิ่งกว่านั้น เนื่องจากคุณจะได้รับอีเมล์ที่ khonthai.com โดยอัตโนมัติ เมื่อคุณสมัครใช้
    และระบบอีเมล์ซึ่งใช้ id no. เป็นชื่อเมล์นั้น สามารถค้นหาด้วยชื่อ หรือ นามสกุล ได้
    จึงทำให้ง่ายมาก ในการที่คุณจะได้ id ของบุคคลใดก็ตามที่คุณรู้ชื่อจริง นามสกุลจริง
    ประกอบกับการรันรหัส PIN Code ได้ง่ายด้วย จึงสรุปได้ว่า คุณสามารถเจาะเข้าไป
    ดึงข้อมูลส่วนตัวของคนที่สมัครใช้ khonthai.com หรือสวมรอยกระทำการแทนบุคคลต่าง ๆ ได้อย่างไม่ยากเย็นเลย

    เรื่องนี้เป็นปัญหาทางหลักการพื้นฐาน ไม่สามารถแก้ไขได้ด้วยวิธีการทางเทคนิค
    นอกจากเปลี่ยนระบบรหัสผ่านไปเลย (ยาวขึ้น และไม่ใช่ตัวเลขล้วน)
    เพราะเทคนิคเช่น การล็อค account หากคีย์รหัสผิดเกิน 3 - 5 ครั้ง
    หรือวิธีอื่น ๆ จะก่อปัญหาตามมาอีก

    ขออภัยถ้ากระทู้นี้เป็นการเปิดเผยวิธีการเจาะรหัสผ่าน ให้กับผู้ไม่ประสงค์ดีไปด้วย
    (แต่ไม่ใช่เจาะระบบ OS ของ khonthai.com นะครับ)
    ซึ่งที่จริง ถึงไม่เปิดเผย คนที่เป็นนักเจาะระบบมือสมัครเล่น ก็เดาได้ไม่ยากอยู่แล้ว
    แต่ผมเคยแจ้งไปยังผู้ดูแลระบบ khonthai.com เมื่อ 3 ปีก่อนแล้ว
    มีคำตอบกลับมาในทำนองว่าจะปรับปรุงอีกที ไม่มีคำอธิบายหักล้าง ว่าผมเข้าใจประเด็นใดผิดหรือไม่
    ทั้งไม่มีความเปลี่ยนแปลงใด ๆ ตลอด 3 ปีที่ผ่านมานี้เลย
    ทั้งทราบว่า pantip.com กำลังจะใช้ข้อมูลชุดเดียวกับ khonthai.com กับระบบสมาชิก
    (ทราบว่า จริง ๆ ใช้มาระยะนึงแล้ว)
    ผมจึงเห็นว่า ควรต้องเตือนสมาชิกทุกท่านให้รับทราบก่อนจะเกิดความเสียหายมากไปกว่านี้
    รวมทั้งฝากถามไปยัง webmaster ของทาง pantip.com ช่วยพิจารณาด้วยครับ

    จากคุณ : ZyberDog - [ 2 ม.ค. 48 22:58:20 ]

 
 


ข้อความหรือรูปภาพที่ปรากฏในกระทู้ที่ท่านเห็นอยู่นี้ เกิดจากการตั้งกระทู้และถูกส่งขึ้นกระดานข่าวโดยอัตโนมัติจากบุคคลทั่วไป ซึ่ง PANTIP.COM มิได้มีส่วนร่วมรู้เห็น ตรวจสอบ หรือพิสูจน์ข้อเท็จจริงใดๆ ทั้งสิ้น หากท่านพบเห็นข้อความ หรือรูปภาพในกระทู้ที่ไม่เหมาะสม กรุณาแจ้งทีมงานทราบ เพื่อดำเนินการต่อไป