zestzero's artlife

Sandcastle disco My Music - by Solange

 

ช่วงนี้เพิ่งได้เรียนวิชา comp secure มา และก็ได้งานเกี่ยวกับ MD5 มาบ้าง

 

เลยเอามาอัพไว้ด้วยดีกว่า ^^~

 

แต่ต้องขอออกตัวไว้ก่อนว่า... ไม่ได้มีความรู้อะไรมากมายนะ ><"

หากมีข้อมูลตรงไหนผิดพลาดก็บอกกล่าวกันได้นะขอรับ

 -----------------------------------------------------------------------------------------------

                                MD5

 

.....สำหรับคนในวงการคอมทั่วไปน่าจะรู้จักกันอยู่แล้วนะขอรับ

 

 MD5 หรือ Message Digest Algorithm 5 นั้นจัดอยู่ในหมวดหมู่เรื่อง Cryptography (วิทยาการการเข้ารหัสลับ)

มักใช้ในด้านการตรวจสอบความถูกต้องของไฟล์ หรือการตรวจสอบพาสเวิร์ด ประมาณนั้นขอรับ

 

ซึ่ง MD5 นี้เป็นการเข้ารหัสแบบทางเดียว (One-way encryption)โดยใช้ hash function

 

อ๊ะๆ งงละสิ! (บางคนไม่งงก็ช่วยตอบว่างงด้วยละกัน 55)

 

นั่นคือ เมื่อเราใส่พาสเวิร์ด  เจ้าmd5 นี้ก็จะทำการเข้ารหัสจากที่เราพิมพ์ไป(ซึ่งจำนวนอักขระอาจมีขนาดไม่คงที่ในแต่ละครั้ง) ให้ออกมาเป็นรหัส ASCII ที่มีขนาดคงที่(จำนวนอักขระมีจำนวนที่แน่นอน) และเก็บเอาไว้

ซึ่งไอเจ้ารหัสยืดยาวนี่จะเก็บในรูปแบบที่เราอ่านไม่ออกแหงมๆว่าของเดิมมันคืออะไร ต่อให้มีคนได้ไฟล์รหัสยืดยาวนี้ไปก็จะไม่สามารถรู้ได้ว่ารหัสของเดิมที่เราใส่ไปตอนแรกนั้นน่ะมันคืออะไร

 

 

 เอ้าตัวอย่าง...

เช่น สมมติว่าพิมพ์รหัสว่า "tryitout" จะได้เป็น 31af851b5f43af844112e02535f7732f <<< ถึงจะได้ไอตัวยืดยาวนี่ไปก็ไม่รู้เรื่องใช่มั๊ยล่ะ =w=b

  เราไม่สามารถที่จะเอา รหัสยาวยืด 31af851b5f43af844112e02535f7732f นี่มาแปลกลับได้เลยว่ามันคือ tryitout!

 

แต่ถ้าใส่ tryitout เข้าไปกี่ครั้ง ก็จะยังคงได้ รหัสยาวยืดนี้ออกมาเหมือนเดิม คือเอาไอรหัสยืดยาวนั้นมาเทียบกันกับที่ระบบเคยเก็บเอาไว้ เพื่อเป็นการยืนยันว่าเป็นไฟล์เดียวกันเวลาตรวจสอบไฟล์ (หรือพาสเิวิร์ด)

 

 แต่เดี๋ยวก่อน อย่าเพิ่งคิดว่า อย่างนี้ก็ไม่มีใครมีทางรู้พาสเวิร์ดแล้วสินะ!

ขอตอบว่าผิดครับ !

 

 

อันที่จริงเจ้า md5 นี่มันเริ่มจะหมดความเชื่อถือแล้วล่ะ เพราะมันไม่ปลอดภัยอีกต่อไป

อย่างเช่นใครที่อ่าน blognone ก็อาจจะทราบข่าวการปลอม SSL certificate ด้วย MD5 มาแล้ว

(SSL หรือ Secure Socket Layer Protocol นี้คือ ระบบรักษาความปลอดภัยของข้อมูลอย่างหนึ่ง)

แต่ถ้าใครยังไม่เคยอ่านก็ >>จิ้ม

 

เพราะด้วยความที่ตอนแรกใช้กันแพร่หลายมาก เหล่าแฮกเกอร์ทั้งหลายก็เลยมีบางอย่างมารับมือกับ md5 นั่นก็คือ Rainbow Table นั่นเอง!(ไม่รู้ว่าทำไมเค้าตั้งชื่อว่าตารางสีรุ้งเนอะ 555)

 

  เจ้าตารางรุ้งนี่ก็เหมือนกับ ฐานข้อมูลขนาดใหญ่ ของพวกแฮกเกกอร์เลยล่ะขอรับ

เป็นฐานข้อมูลที่มีรหัสยืดยาวมากมาย เอาไว้สำหรับเทียบจากรหัสยืดยาวแล้วกลับไปเป็นข้อความเดิมก่อนหน้า ซึ่งฐานข้อมูลนี้ใหญ่มากกกก หากจะโหลดเก็บไว้ในเครื่องเล่นคงจะตายก่อนล่ะนะ

 

และจากการทำแบบฝึกหัดที่ท่านอาจารย์ให้มา ก็พบว่า..

 เฮ้ย รหัส MD5 นี่มันถอดง่ายขนาดนี้เลยเรอะ!! บร๊ะเจ้า!!(เรียกว่ากดในอินเตอร์เนตจึ้กสองจึ้กก็ได้เลยว่างั้น)

ปกติใช้ CPU ธรรมาถอดนี่ พวกพาสเวิร์ดง่ายๆ นาทีนึงก็ออกแล้ว แต่ถ้ายาวขึ้นมาหน่อย ก็ใช้เวลาอีกนิดนึง แต่ถ้าใช้ GPU มาช่วยนี่ก็ยิ่งถอดเร็วขึ้นไปอีก (กราฟฟิกการ์ดสมัยนี้มันชักจะเมพขึ้นเรื่อยๆแล้วแฮะ)

 

....และหลังจากดูคลิปการถอดรหัสในคาบเรียนแล้ว สังเกตได้อย่างแรกเลย

พวกพาสเวิร์ดที่โดนแฮกออกมาก่อนคือ พวกตั้งชื่อง่ายๆเกินไป ไม่ก็พวกพาสเวิร์ดที่ตั้งตาม dictionary!!!

อย่างเช่น abc, apple, password1, etc.

พวกที่ตั้งด้วยข้อมูลส่วนตัว อย่างชื่อตัวเอง ชื่อหมา ชื่อแฟน วันเกิด บลาๆ อะไรแบบนี้ก็ระวังไว้ให้ดีด้วยเหมือนกัน!!

 

แปป ๆก็ได้ออกมาเลย!!=_+!!

 

ท้ายคลิปเค้าบอกว่า...ความยาวขั้นต่ำของพาสเวิร์ด ที่ปลอดภัยคือ....14 หลักขึ้นไป... (ซึ่งต้องตั้งให้ถูกหลักการตั้งพาสเวิร์ดด้วยนะ)

 

=w=" เฮือก!! จะจำได้มั๊ยตรู...

 

 

 

 ปล. ถ้าชอบใจบทความนี้ ก็ให้กำลังใจเจ้าของบลอคนิดหน่อยด้วยนะค้าบ >w<~

 ------------------------------------------------

 อ้างอิง+เพิ่มเติม

จากชีทและบทเรียนในคาบเรียน และ

http://en.wikipedia.org/wiki/MD5

http://forum.modoeye.com/26/98/%E0%B9%80%E0%B8%97%E0%B8%84%E0%B8%99%E0%B8%B4%E0%B8%84%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%87%E0%B8%B2%E0%B8%99_MD5_%E0%B9%80%E0%B8%9E%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B9%80%E0%B8%82%E0%B9%89%E0%B8%B2%E0%B8%A3%E0%B8%AB%E0%B8%B1%E0%B8%AA%E0%B8%82%E0%B9%89%E0%B8%AD%E0%B8%A1%E0%B8%B9%E0%B8%A5

 http://thaicert.nectec.or.th/paper/encryption/sshl.php

http://www.chaiyohosting.com/eservice_ssl.php

 

 

 

edit @ 16 Jun 2009 16:32:24 by zestzero

edit @ 16 Jun 2009 16:32:48 by zestzero

edit @ 16 Jun 2009 16:33:38 by zestzero

edit @ 1 Oct 2009 09:16:37 by zestzero