ประสิทธิภาพของการใช้ซอลท์กับการโจมตีรหัสผ่าน

Article Sidebar

PDF
เผยแพร่แล้ว: พ.ค. 4, 2019
คำสำคัญ:
การโจมตีรหัสผ่าน ความทนทานต่อการโจมตีของรหัสผ่าน การโจมตีแบบพจนานุกรม การโจมตีแบบบรู๊ทฟอร์ช การซอลท์รหัสผ่าน

Main Article Content

Wachana Khowfa
คณะวิทยาศาสตร์และเทคโนโลยี มหาวิทยาลัยสวนดุสิต
Onsiri Silasai
คณะวิทยาศาสตร์และเทคโนโลยี มหาวิทยาลัยสวนดุสิต

บทคัดย่อ

           รหัสผ่านถูกนำมาใช้ในกระบวนการยืนยันตัวตนและการได้รับสิทธิ์เข้าถึงการใช้งานระบบ ดังนั้น รหัสผ่านควรได้รับการจัดเก็บอย่างปลอดภัยและไม่สามารถโจมตีได้ง่ายจากการโจมตีรหัสผ่านในรูปแบบต่าง ๆ การทำแฮชฟังก์ชั่นถูกนำมาใช้ในการป้องกันรหัสผ่านที่ประกอบด้วยตัวอักษรทั่วไปที่อ่านเข้าใจได้ในกรณีที่เกิดการโจมตีรหัสผ่าน อย่างไรก็ตามค่าแฮชของรหัสผ่านที่ได้จากการทำแฮชฟังก์ชั่นแบบรวดเร็วนั้นก็ยังคงง่ายต่อการถูกโจมตี เทคนิควิธีอีกอย่างที่นำมาใช้ในการเพิ่มระดับความปลอดภัยให้กับรหัสผ่าน คือ การเพิ่มชุดของกลุ่มคำที่เรียกว่า ซอลท์ เข้าไปในรหัสผ่านก่อนที่จะทำแฮช วัตถุประสงค์ของการวิจัยนี้ประกอบด้วย 1) เพื่อเพิ่มความปลอดภัยให้กับรหัสผ่าน และ 2) เพื่อประเมินตำแหน่งในการวางค่าซอลท์มีความสำคัญต่อความปลอดภัยของรหัสผ่านหรือไม่ ขั้นตอนการดำเนินการวิจัยเริ่มจากการเลือกรหัสผ่านที่ไม่มีความปลอดภัย จำนวน 10 ตัว ตำแหน่งในการวางของค่าซอลท์ที่ใช้ในการทดลองครั้งนี้ประกอบด้วย 1) การวางค่าซอลท์ไว้ข้างหน้ารหัสผ่าน 2) การวางค่าซอลท์ต่อท้ายรหัสผ่าน และ 3) การแทรกค่าซอลท์เข้าไปในรหัสผ่าน โดยพิจารณาจากระดับความถี่ในการใช้ตัวอักษรแต่ละตัว หากมีความถี่ในการใช้มากจะทำการเพิ่มค่าซอลท์ต่อท้ายอักษรนั้น จากนั้นจึงทำการทดสอบโจมตีรหัสผ่านด้วยวิธีการแบบพจนานุกรมและการโจมตีแบบบรู๊ทฟอร์ช ผลการทดสอบ พบว่า การใช้ซอลท์ทำให้รหัสผ่านที่ไม่ปลอดภัยนั้นยากและซับซ้อนต่อการโจมตีมากยิ่งขึ้น และยังสามารถเพิ่มระดับความทนทานต่อการโจมตีรหัสผ่านที่ไม่ปลอดภัยให้อยู่ในระดับเดียวกับรหัสผ่านที่มีความปลอดภัยอีกด้วย นอกจากนี้ ตำแหน่งในการวางค่าซอลท์มีความสำคัญอย่างยิ่งต่อความปลอดภัยของรหัสผ่านที่ประกอบด้วยตัวอักษรที่มีการใช้งานบ่อย

Article Details

รูปแบบการอ้างอิง
Khowfa, W., & Silasai, O. (2019). ประสิทธิภาพของการใช้ซอลท์กับการโจมตีรหัสผ่าน. วารสารเทคโนโลยีภาคใต้, 12(1), 217–227. สืบค้น จาก https://so04.tci-thaijo.org/index.php/journal_sct/article/view/103246
ฉบับ
ปีที่ 12 ฉบับที่ 1 (2019): มกราคม-มิถุนายน 2562
ประเภทบทความ
บทความวิจัย
  • ผู้เขียนต้องยินยอมปฏิบัติตามเงื่อนไขที่กองบรรณาธิการวารสารกำหนด และผู้เขียนต้องยินยอมให้บรรณาธิการ แก้ไขความสมบูรณ์ของบทความได้ในขั้นตอนสุดท้ายก่อนเผยแพร่
  • ลิขสิทธิ์บทความเป็นของผู้เขียน แต่วารสารเทคโนโลยีภาคใต้คงไว้ซึ่งสิทธิ์ในการตีพิมพ์ครั้งแรก โดยเหตุที่บทความนี้ปรากฏในวารสารที่เข้าถึงได้จึงอนุญาตให้นำบทความไปใช้เพื่อประโยชน์ทางการศึกษา แต่มิใช่เพื่อการพาณิชย์

เอกสารอ้างอิง

Aggarwal, S., Goyal, N., & Aggarwal, K. (2014). A review of comparative study of MD5 and SHA security algorithm.
International Journal of Computer Applications, 104(14), 1-4.
Boonkrong, S. (2012). Security of Password. Information Technology Journal, 8(2),
112 - 117
Boonkrong, S., & Somboonpattanakit, C. (2016). Dynamic Salt generation and placement for secure password storing.
International Journal of Computer Science, 43(1), 1 - 10.
Chester, J. A. (2015). Analysis of Password Cracking Methods & Applications. University of Akron: Ohio’s Polytechnic
University.
Grauer, Y. (2017). 2016's Worst Passwords Are Just As Bad As 2015's (So Please Tell Me Yours Is Not On The List).
Retrieved from https://www.forbes.com.
Grimes, R. A. (2015). All you need to know about the move to SHA-2 encryption. Retrieved from
https://www.infoworld.com.
Hern, A. (2017). As easy as 123456: the 25 worst passwords revealed. Retrieved from https://www.theguardian.com.
Jense, B. (2013). 5 Myths of Password Security. Retrieved from https://stormpath.com /blog/5-myths-password-
security.
Kioon, M. C. A., Wand, Z., & Das, S. D. (2013). Security Analysis of MD5 Algorithm in Password Storage. The 2nd
International Symposium on Computer, Communication, Control and Automation.
Letter Frequencies.org. (2016, November). Retrieved from https://letterfrequency.org/
Majumder, J. (2012). Dictionary Attack on MD5 hash. International Journal of Engineering Research and Applications,
2(3), 721 - 724.
Ogini, N. O., & Ogwara, N. O. (2014). Securing Database passwords using a combination of hashing and salting
techniques. International Journal of Computer Science, 2(8), 52 - 58.
Patel, P. N., Patel, J. K., & Virparia, P. V. (2013). A Cryptography application using salt hash technique. International
Journal of Application or Innovation in Engineering & Management, 2(6), 236 - 239.
Provos, N., & Mazières, D. (1999). A Future-Adaptable Password Scheme. The FREENIX Track: 1999 USENIX Annual
Technical Conference.
Raheja, S., Verma, S., & Raheja, S. (2014). Review and Analysis of hashing techniques. International Journal of
Advanced Research in Computer Science and Software Engineering, 4(5), 292 - 295
Raza, M., Iqbal, M., Sharif, M., & Haider, W. (n.d.). A Survey of password attacks and comparative analysis on methods
for secure authentication. World Applied Sciences Journal, 9(4), 439 - 444.
SHA. (2016, September). Retrieved from https://www.w3.org
SHA256. (2016, November). Retrieved from https://www.quadibloc.com.
Somboonpattanakit, C., & Boonkrong, S. (2014). Secure Password Storing using Dynamic Salt Selection with Hash
Function. The Tenth National Conference on Computing and Information Technology, (pp. 240 – 245).
Sriramya, P., & Karthika, R. A. (2015). Providing Password security by salted password hashing using bcrypt algorithm.
ARPN Journal of Engineering and Applied Science, 10(13), 5551 - 5556.
Stallings, W. (2014). Cryptography and Network Security Principles and Practices. (6. Edition, Ed.) Pearson.
Sulleyman, A. (2017). Most popular passwords of 2016 are desperately weak yet again, study finds. Retrieved from
https://www.independent.co.uk/news
Tasevski, P. (n.d.). Password Attacks and Generation Strategies.