พอดีได้อ่านข่าวมาครับ เรื่องที่บิลเกตต์บอกว่าได้เวลาอวสานของรหัสผ่านแล้ว ผมอ่าน ๆ แล้วก็ฟังหูไว้หูครับ เชื่อบ้างไม่เชื่อบ้างตามสมควร
ก่อนที่เราจะคุยเรื่องการอวสานของรหัสผ่านนั้น เราควรทำความเข้าใจก่อนว่ารหัสผ่านมีไว้เพื่ออะไร? อือม รหัสผ่านมีไว้เพื่อรักษาความปลอดภัย เก็บความลับ อือม ๆ น่าจะใช่นะ คิดว่าใช่
การใช้รหัสผ่านเพื่อแสดงสิทธิในการเข้าถึงระบบคอมพิวเตอร์, ระบบอิเลกทรอนิกส์ หรือระบบเครือข่ายใด ๆ นั้น เรียกด้วยศัพท์ภาษาอังกฤษที่สุดหรูว่า Authentication ถ้าใครสังเกตุดี ๆ จะพบว่ารหัสผ่านนั้น จะเป็นอักขระซึ่งก็คือตัวอักษร, ตัวเลข หรือเครื่องหมายวรรคตอน มากกว่านี้ประเภทเวอร์ ๆ แบบหนังอินเดียน่าโจน, Tomb Raider หรือเพชรพระอุมา ที่ต้องเรียงหิน, เรียงภาพ หรือโยกวัตถุ เพื่อมีสิทธิในการเข้าถึงห้องลับหรือผ่านด่าน มันมีครับแต่น้อย เพราะนี่เรากำลังคุยกันเรื่องรหัสผ่านสำหรับระบบคอมพิวเตอร์อยู่ ดังนั้นไม่นอกเรื่องครับ
การที่รหัสผ่านส่วนใหญ่ต้องเป็นอักขระนั้น ส่วนหนึ่งคงเป็นเพราะมาตรฐานการป้อนข้อมูลเข้าคอมพิวเตอร์อ่ะครับ ที่ทุกวันนี้เป็นที่ยอมรับกันโดยทั่วไปว่า เจ้า Keyboard นั้น เป็นอุปกรณ์ป้อนข้อมูลเข้าคอมพิวเตอร์ที่ดีที่สุดแล้ว
คนส่วนใหญ่ที่ไม่ได้เรียนคอมพิวเตอร์ มักจะเข้าใจว่ารหัสผ่านนั้น จะมีกลไกอยู่ 2 อย่างเป็นสำคัญ นั่นคือเมื่อจะเก็บก็ต้องเข้ารหัส และเมื่อจะใช้ก็ต้องนำมาถอดรหัส ดังรูปข้างล่าง
นั่นคือความคิดของคนส่วนใหญ่ครับ ซึ่งด้วยความคิดแบบนี้นี่แหล่ะ ทำให้คนส่วนใหญ่ที่ไม่ได้เรียนคอมพิวเตอร์มา ไม่อยากไว้ใจระบบเข้ารหัสถอดรหัสแบบนี้เลย เพราะเกรงว่าจะมีใครถอดรหัสของตนเอง แล้วจะล่วงรู้ว่ารหัสผ่านที่ตนเองตั้งไว้นั้นคืออะไร ซึ่งด้วยความเชื่อฝังหัวแบบนี้แหล่ะ จึงทำให้ E-Commerce ก้าวหน้าอย่างเชื่องช้ามาก ๆ ในช่วง 5 – 6 ปีแรก
การส่งซอฟต์แวร์ให้ผู้บริโภคตามหลักการ Software as a Service เอง ก็จำเป็นต้องได้รับความเชื่อถือเหมือนกัน และประเด็นของข้อมูลส่วนบุคคล ก็ถือเป็นประเด็นแรก ๆ ที่ผู้บริโภคคำนึงถึงด้วย เพราะข้อมูลส่วนบุคคลมันดันอยู่ที่ Server อ่ะ
แต่เรื่องจริงซึ่งไม่ค่อยมีใครมาบอกกันก็คือ การ Authentication เพื่อแสดงสิทธิในการเข้าถึงระบบนั้น มันไม่ได้เป็นแบบภาพข้างบนเลยครับ อือม ทำไมไม่มีใครบอก ก็บอกไปก็คงไม่มีใครเชื่ออ่ะครับ โดยเรื่องจริงของเรื่องจริงเป็นแบบรูปข้างล่างครับ
จะเห็นว่าโดยเนื้อแท้แล้ว ไม่มีการถอดรหัสเลยครับ มีแต่เข้ารหัสอย่างเดียว แล้วก็เอา Cipher Text ซึ่งก็คือผลลัพท์จากการเข้ารหัสมาเทียบกัน แล้วพอเทียบกันได้แล้วตรงกัน ก็ถือว่าใช้ได้ โดยไม่จำเป็นต้องรู้ว่า Plain Text หรือก็คือรหัสผ่านจริง ๆ น่ะคืออะไร
ทีนี้ ฯพณฯ บิลเกตต์ก็พยายามโน้มน้าวว่า รหัสผ่านควรถึงกาลอวสานได้แล้ว ควรจะรักษาความปลอดภัยด้วยวิธีอื่นได้แล้ว ซึ่งสิ่งที่แกนำเสนอมีสองแบบครับ คือ การใช้ Smart Card และการยืนยันตัวบุคคลแบบพิเศษ เช่น ลายนิ้วมือ, ลายม่านตา, ลายฝ่ามือ หรือเสียงพูด
โดยส่วนตัวแล้วผมเห็นว่าการยืนยันด้วย Smart Card ไม่ได้แตกต่างจากการ Encryption ในแบบปัจจุบันที่ทุกวันนี้เป็นอยู่ ก็แค่เปลี่ยนที่เก็บ Plain Text จากที่เคยอยู่ในสมองของเรา แล้วป้อนผ่าน Keyboard มาเป็นเก็บ Cipher Text เอาไว้ใน Smart Card แล้วเอามาเปรียบเทียบกับ Cipher Text ซึ่งเก็บไว้ที่ Server แทน
อันนี้ถือว่าเป็นเหล้าเก่าในขวดใหม่!!!
แต่ที่ผมสนใจน่าจะเป็นการยืนยันตัวบุคคลแบบพิเศษ เช่น ลายนิ้วมือ, ลายม่านตา, ลายฝ่ามือ หรือเสียงพูดมากกว่า เพราะสิ่งเหล่านี้นั้นเป็นการ Authentication ที่ใช้วิธีที่แตกต่างไปจากการ Encryption อย่างพวก DES, RSA หรือ การเข้ารหัสอีกหลาย ๆ แบบ
การยืนยันตัวบุคคลแบบพิเศษนี้ ต้องอาศัยแขนงวิชาทางคอมพิวเตอร์อีกแขนงนึงที่เรียกว่า Pattern Recognition (อ้างอิง Pattern Recognition ที่ผมเคยโม้ไว้เมื่อหลายเดือนก่อน)
วิธีนี้ผมว่าดีนะ ในเรื่องความปลอดภัยสำหรับการยืนยันตัวตน เพราะตอนนี้ความก้าวหน้าทาง Pattern Recognition ก็ก้าวหน้าไปเยอะแล้ว การนำมาใช้งานจริงมีความเป็นไปได้สูง ภาพข้างล่างคือรูปแบบการแสดงตนด้วยวิธี Pattern Recognition ครับ ซึ่งก็คล้าย ๆ กับการ Encryption นะ แต่ข้อมูลนำเข้า กับข้อมูลที่เป็นผลลัพท์จะมีความแตกต่างกันเยอะ
ทีนี้เราคงลืมกันไปข้อนึงว่า ถึงแม้ว่าวิธีการ Authentication ด้วยแขนงวิชา Pattern Recognition มันจะดีก็จริงในแง่ของความปลอดภัยของข้อมูล แต่มันกลับส่งผลร้ายแรงในแง่ของความปลอดภัยแก่อวัยวะของเรา ๆ ท่าน ๆ
ด้วยเหตุผลเพราะการแสดงตัวตนส่วนใหญ่ ล้วนใช้อวัยวะซึ่งติดตัวอยู่กับเราทั้งสิ้น ซึ่งถ้าเราถูกจารกรรมไปแบบเงียบเชียบ เช่น แอบลอกลายนิ้วมือเรา, แอบบันทึกเสียงพูดเรา เราก็คงปลอดภัยไม่เกิดอันตรายอะไร
แต่ถ้าโจรมันจารกรรมเงียบ ๆ ไม่ได้ มันปล้นกันซึ่งหน้า เราจะให้มันปล่อยเราได้ไงล่ะ ในเมื่ออวัยวะในการ Authentication มันดันติดอยู่กับตัวเรางี้ บรื๋อ …. พอคิดถึงว่าโจรมันจะหนีแล้ว ไม่ต้องการเราแล้ว แต่มันยังต้องการ Authentication จากเรา เพื่อเอาไปใช้ประโยชน์อย่างอื่นในภายภาคหน้าของมัน แล้วเราต้องโดนมันตัดนิ้ว, ตัดมือ, ควักลูกตา เพื่อการนั้นล่ะก็
ไม่อยากคิดเลยครับ พับผ่าสิ
[tags]รหัสผ่าน,encryption,decryption,authentication,pattern recognition,smart card,คอมพิวเตอร์,การสร้างซอฟต์แวร์,การพัฒนาซอฟต์แวร์[/tags]
อ่าน อ่าน ดูแล้ว รู้สึกว่า โหย ความรู้เพียบเลย มาเป็นวิชาการมากๆ แต่พอถึง วรรคสุดท้าย ไหง..คนเขียน หักมุม ได้ขนาดนี้เนี้ยะ… ขำกลิ้งเลยนะเนี่ยยยย
Laptop Thinkpad หลายรุ่น login เข้า window ด้วยลายนิ้วมือครับ
ผมว่างานบางประเภทยังคงต้องเป็นสองระบบครับ
ลองคิดดูถ้าคุณไม่ได้ไปทำงาน แล้วเพื่อนร่วมงานต้องการเอาข้อมูลบางอย่างใน PC ถ้าปัจจุบันก็แค่โทรบอกรหัสผ่านกันก็ได้แล้ว
แต่ถ้า Pattern Recognition อย่างเดียว ทำไงละทีนี้ ^^”
อย่าง office ผมก็ scan ลายนิ้วมือเหมือนกัน แต่กลางคืนมี lock กุญแจอีกชั้น ^^”
Myth Buster เคยทดลองแฮกค์ระบบลายนิ้วมือ ผลออกมาว่ามันง่ายมากๆ แม้กระทั้งระบบที่ตรวจอุณหภูมิและความชื้นของนิ้วมือ
คิดถึงหนัง Minority Report ที่ผู้ร้ายแอบเข้าไปในสำนักงาน โดย … ควักเอาตาของเจ้าหน้าที่คนหนึ่ง เพื่อไปให้เครื่อง scan retina … โอว ถ้าวันนั้นมาถึง พวกเราคงต้องระวังอวัยวะของเราไว้ให้ดี คึๆ
แล้วก็เรื่อง Double Team ที่พระเอกจะต้องกรีดหนังปลายนิ้ว 5 นิ้ว เพื่อแอบหนีออกมา
แล้วถ้าหน่วยงานที่ต้องใช้ลายนิ้วมือ คนแขนด้วยก็ทำงานในหน่วยงานเหล่านั้นไม่ได้ซิ
เรียนด้านคอมพิวเตอร์อยู่ยังไม่เห็นรู้เลยครับว่าเป็นแบบนี้ ^^’
(เจอแต่ RSA public key)
มองในอีกแง่นึง ผมว่า ไม่ว่าจะใช้อะไร การโจรกรรมก็ยังคงเป็นไปได้อยู่ดี เราทำได้สร้างความยากลำบากในการโจรกรรมรหัสผ่านเท่านั้น
…แต่ถึงขั้นตามมาควักลูกตาหรือตัดนิ้วนี่ T.T
มิน่าล่ะ ในหนังเค้าถึงชอบพูดว่า จงรักษารหัสผ่านเท่าชิวิต ฮ่าๆ
ในความเป็นจริง จะใช้แค่อย่างใดอย่างหนึ่งคงไม่ได้น่ะครับ อาจจะต้องป้องกันหลายๆ ชั้น ถึงจะมีความปลอดภัยมากขึ้น หรืออาจจะแก้ที่ต้นเหตุเลย แต่คนเป็นไปไม่ได้ : P
งั้น Authentication ด้วยหัวใจดีมั้ย ??
ผมว่าถ้าแขนด้วน คงใช้ลายนิ้วเท้าแทนอ่ะครับ
แต่ถ้าด้วนทั้งหมด คงต้องหาตำแหน่งที่เป็นลายมาใช้แทน เช่นลายข้อศอก
แต่ถ้ายังด้วนอีก ก็คงยากอ่ะครับที่จะได้เข้าทำงานในหน่วยงานที่มีการตรวจสอบเข้มขนาดนั้น
^o^ ก็บล็อกนี้เน้นเรื่องการโม้อย่างเดียวนี่นาคุณแวะมาอ่านอ้ะ ดังนั้นมันก็ต้องมีหักมุมหน่อยดิ เอิ๊ก ๆ
นั่นดิคุณเอี้ยก้วย ณ แอนฟิลด์ ที่ทำงานผมก็ใช้ wireless smart card เพื่อตอกบัตรเหมือนกัน แล้วต่อไปก็ต้องทาบลายนิ้วมือด้วย อย่างงี้ผมก็ให้คนอื่นตอกบัตรแทนให้ไม่ได้แล้วอ่ะดิ แย่ ๆ T-T เสียใจ เศร้าจิต
ตามไปอ่านจากลิงค์แล้วครับคุณ fatro สองคนนั้นเป็นเทพครับ ยอมแพ้ครับ ผมว่านะ เขาต้องมีคนเก่ง ๆ อีกหลาย ๆ คนอยู่เบื้องหลังรายการเค้าแหงม ๆ เลยอ่ะ
ช่าย ๆ คุณ aoyoyo นี่ถ้าเราเลือก authentication ด้วยลายลิ้น เราก็ต้องโดนตัดลิ้นแหง ๆ เลย กลัวอ่ะ
แหะ ๆ หนังเรื่องนี้ผมไม่เคยดูอ่ะน้องโอ เคยดูแต่ Minority Report ขออภัยอย่างแรง และอีกอย่าง คนแขนด้วนก็ยัง authentication ด้วยลายม่านตาได้นี่นา อย่าคิดมาก อย่าคิดมาก เราแค่รักษาแขนของเราไว้ให้ได้ก็พอแล้ว
ผมก็เคยเรียนมาล่ะคุณ highwind ตอนเรียนก็ไม่รู้เรื่องเหมือนกัน ตอนนั้นยังงงเลยว่าลงเรียนวิชานี้ไปทำไมหว่า อ้อนึกออกแล้ว มันเป็นแกนวิชาบังคับอ่ะ แย่เลย เลยต้องเรียน แต่กว่าจะรู้เรื่องและเข้าใจได้ ก็ผ่านมาสิบปีแล้ว แหะ ๆ ผมสมองช้าอ่ะ
เข้าบล็อกคุณ au8ust ทีไร หนักใจทุกที อ่านไม่ออกอ่ะ T-T หงึ ๆ
เอางั้นเลยเหรอคุณ HoMoo 🙂 งี้ก็แย่สิ หัวใจมีสี่ห้อง ก็ใส่กุญแจได้สี่ดอกเองเด่ะ มันจะไปพออะไร อึ๊ยยยยยยยยย คม ๆ
โอย ทำใจอ่ะคุณ SmileSquare ถ้าเป็นแบบนั้นจริง ๆ คน ๆ นั้นต้องน่าสงสารมาก ๆ เลยอ่ะ T-T
เคยอ่านตำนานเมืองลับแล เขาว่ามีชายคนหนึ่งไปเก็บเอา “ใบไม้” ของสาวชาวลับแลคนหนึ่งได้ ทำให้เธอกลับเข้าเมืองไม่ได้ เลยต้องเอาใบไม้นั้นไปคืนเธอ แล้วเธอก็พาเขาเข้าไปอยู่กินกันในเมืองลับแล จนกระทั่งมีลูก แล้ววันหนึ่ง นายคนนั้นทำผิดกฎเมืองลับแลจากการโกหกลูกที่กำลังร้องไห้ว่าแม่กลับมาแล้ว จึงต้องระเห็จออกจากเมืองลับแลพร้อมกับแง่งขิงกระสอบใหญ่ที่ภรรยาให้มา ระหว่างทางเขารู้สึกว่ากระสอบขิงมันหนักขึ้นเรื่อยๆ จนต้องค่อยๆทิ้งไปทีละอันจนสุดท้ายเหลือไว้อันเดียวเพื่อดูต่างหน้าภรรยา แต่พอกลับมาถึงบ้านแง่งขิงอันนั้นกลายเป็นทองคำ ทำให้เพื่อนบ้านที่รู้ข่าวพยายามออกตามหาว่าเมืองลับแลนั้นอยู่ที่ไหน แต่ก็ไม่มีใครสามารถพบเมืองลับแลได้อีกเลย
เข้าใจว่า “ใบไม้” นั้นคงเป็น ID Card หรือ Smart Card ของเมืองลับแล และเหตุที่ไม่สามารถพบเมืองลับแลได้อีก อาจเป็นเพราะทางเมืองลับแลได้เปลี่ยนระบบการรักษาความปลอดภัยจาก Smart Card มาเป็นระบบลายนิ้วมือหรือสแกนม่านตาหรืออื่นๆ ไปแล้ว แต่ถ้าใครไปพบชาวเมืองลับแลเข้าก็อย่าไปตัดนิ้วหรือควักลูกตาเขาเข้านะครับ สงสารเขาเถอะ
แวะไปเช็คข้อมูลจาก Google มา ปรากฏว่าไม่ใช่ขิงครับ แต่เป็นขมิ้น เรื่องราวทีสมบูรณ์ และติดอันดับต้นๆ ของ Google อยู่ในเว็บบอร์ดแห่งหนึ่ง คนเล่าแบ่งเป็นสามตอนคือ
ตอนที่ 1 http://www.narak.com/webboard/show.php?No=26403
ตอนที่ 2 http://www.narak.com/webboard/show.php?No=26416
ตอนที่ 3 http://www.narak.com/webboard/show.php?No=26444
ผมตามไปอ่านตำนานตามลิงค์พี่โรจน์แล้วนะ โหย ตำนานเก่ามากเลยอ่ะ ผมเองก็ลืมไปนานแล้วนะ เลยได้จุดประกายเลยคราวนี้ ว่าแต่ทำไมเว๊ปที่พี่โรจน์ลิงค์ไปให้ มันถึงมีโฆษณาแวบ ๆ เยอะแยะให้ชวนตาลายไปหมดเลยอ่ะเนี่ย
ดูชื่อเว็บ (www.narak.com) ก็น่าจะรู้นะครับว่าเป็นเว็บแนวไหน ก็แปลกเหมือนกันครับที่เว็บสาระอย่างวิกิพีเดียภาษาไทยยังไม่มีเรื่องนี้ ต้องไปดูในเว็บวัยสะรุ่น หรือว่าผมใจเร็วที่ไปเลือกเว็บอันดับต้นๆ ของคำเสิร์ชนี้
ทำเป็นแบบ อินเครดดิเบิล สิคับ
ระบบป้องกัน ของ เอ็ดน่า
รหัสผ่าน แสกนม่านตา แสกนนิ้วมือ แสกนเสียง คำสั่ง แล้วก็เปิดประตู
ถ้าแบบนี้ละก็สุดๆ
หรือแบบรีซิเดน อิวิว ผีชีวะ
แสกนหน้า และชีพจร ใครรู้ว่ายังมีชีวิตอยู่ ระบบถึงจะยอมให้เข้า
ถ้าแบบนี้ละการโจรกรรม เป็นไปไม่ได้
ในวรรคสุดท้ายนี่เกิดขึ้นจริงแล้วนะครับ สักปีสองปีที่แล้ว ได้ข่าวว่าเศรษฐีโดนปล้นรถยนต์ แล้วตัดนิ้วไหนไม่รู้ไปเพราะรถใช้ scan ลายนิ้วมือครับ ในมาเลเซีย หรือ อินโดนี่เซียนี่แหละ
โห…..โม้กันจริงๆด้วย แต่น่าหนุกนะ เป็นเรื่องเป็นราวเลย
ในที่ทำงานเก่าของผมมันมีระบบจับเวลาเข้า-ออกงานด้วยการ scan ลายนิ้วมือ (ใช้นิ้วโป้งข้างซ้าย scan ) ปรากฎว่ามีลูกน้องผม 2 คน ลายที่นิ้วมือเหมือนกัน (เครื่องมันอ่านออกว่ามาจากคนๆเดียวกัน) ทาง IT เลยต้องไป set ใหม่โดยต้องให้อีกคนใช้นิ้วโป้งมือขวา scan แทน (คนเดียวทั้งบริษัท ทุกคนใช้นิ้วโป้งข้างซ้ายหมด) … -*-