Damien Miller นักพัฒนาโครงการ OpenSSH ส่งโค้ดเพิ่มฟีเจอร์
แม้ว่า Secure Shell จะเข้ารหัสข้อมูลทั้งหมด แต่แนวทางการวิเคราะห์ระยะเวลาระหว่างการพิมพ์แต่ละตัวอักษรเพื่อคาดเดารหัสผ่านก็มีรายงานมานานกว่า 20 ปีแล้ว โดยแฮกเกอร์เห็นแค่ขนาดแพ็กเก็ตและช่วงเวลาที่ส่งข้อมูลเท่านั้น แต่เนื่องจากระยะเวลาในการพิมพ์บ่งบอกถึงตำแหน่งของตัวอักษร เช่น หากการพิมพ์ติดกันก็เป็นไปได้ว่าจะเป็นตัวอักษรที่พิมพ์ด้วยคนละมือ หรือหากห่างกันมากๆ มักจะเป็นการสลับไปพิมพ์ตัวเลขที่อยู่ในมือเดียวกัน เมื่อแฮกเกอร์วิเคราะห์ได้มากพอ ประกอบกับรหัสผ่านง่ายเกินไปก็จะเดารหัสผ่านได้
ยังไม่แน่ชัดว่าฟีเจอร์ใหม่นี้จะทัน OpenSSH เวอร์ชั่นต่อไปหรือไม่ โดยทั่วไปแล้ว OpenSSH ออกเวอร์ชั่นใหม่ทุก 1-4 เดือน
ที่มา - OpenBSD
แผนภาพขนาดแพ็กเก็ตและห้วงเวลาระหว่างแพ็กเก็ตเมื่อผู้ใช้สั่ง su และพิมพ์รหัสผ่าน
Topics:
OpenSSH
Security
อ่านต่อ...
ObscureKeystrokeTiming เพื่อล็อกห้วงเวลาส่งข้อมูลคีย์บอร์ด จากเดิมที่ส่งทันที ให้ส่งทุกห้วงเวลาที่กำหนด เช่น 20ms เท่านั้น นอกจากนี้ยังส่งข้อมูลคีย์ปลอมเพื่อสร้างความสับสนเพิ่มเติมแม้ว่า Secure Shell จะเข้ารหัสข้อมูลทั้งหมด แต่แนวทางการวิเคราะห์ระยะเวลาระหว่างการพิมพ์แต่ละตัวอักษรเพื่อคาดเดารหัสผ่านก็มีรายงานมานานกว่า 20 ปีแล้ว โดยแฮกเกอร์เห็นแค่ขนาดแพ็กเก็ตและช่วงเวลาที่ส่งข้อมูลเท่านั้น แต่เนื่องจากระยะเวลาในการพิมพ์บ่งบอกถึงตำแหน่งของตัวอักษร เช่น หากการพิมพ์ติดกันก็เป็นไปได้ว่าจะเป็นตัวอักษรที่พิมพ์ด้วยคนละมือ หรือหากห่างกันมากๆ มักจะเป็นการสลับไปพิมพ์ตัวเลขที่อยู่ในมือเดียวกัน เมื่อแฮกเกอร์วิเคราะห์ได้มากพอ ประกอบกับรหัสผ่านง่ายเกินไปก็จะเดารหัสผ่านได้
ยังไม่แน่ชัดว่าฟีเจอร์ใหม่นี้จะทัน OpenSSH เวอร์ชั่นต่อไปหรือไม่ โดยทั่วไปแล้ว OpenSSH ออกเวอร์ชั่นใหม่ทุก 1-4 เดือน
ที่มา - OpenBSD
แผนภาพขนาดแพ็กเก็ตและห้วงเวลาระหว่างแพ็กเก็ตเมื่อผู้ใช้สั่ง su และพิมพ์รหัสผ่าน
Topics:
OpenSSH
Security
อ่านต่อ...
