Day: June 27, 2019

  • Windows 10, Version 1903, May 2019 Update installation

    Windows 10, Version 1903, May 2019 Update เป็นรุ่นปรับปรุงที่ออกเมื่อ พฤษภาคม 2562 การติดตั้งเปลี่ยนแปลงไปนิดหน่อยดังนี้

    จะพูดถึงการติดตั้งใหม่เท่านั้น ใครจะอัพเดตผ่าน Windows update ก็สามารถอัพเดตได้เลย

    สำหรับนักศึกษา

    • Windows 10 ที่สามารถติดตั้งได้คือ Windows 10 Education เท่านั้น เนื่องจากหมายเลขผลิตภัณฑ์ (Product key) ที่ได้จาก Microsoft Azure เป็น Windows 10 Education โหลดได้จาก Microsoft Azure และ https://licensing.psu.ac.th/windows-10/
    • การ activate สามารถทำได้เพียงวิธีเดียวคือใช้ Product key จาก Microsoft Azure เท่านั้น
    • เมื่อติดตั้งจะมีหน้าจอให้เลือกว่าจะติดตั้งรุ่นไหน ก็ให้เลือก Windows 10 Education เท่านั้น
    Windows Setup
    Windows 10 Education 

    สำหรับบุคลากร

    • เลือกติดตั้งได้ 3 รุ่นได้แก่ Windows 10 Education, Windows 10 Pro และ Windows 10 Pro for workstation เท่านั้น รุ่น Enterprise และรุ่นที่มี N ต่อท้ายติดตั้งไม่ได้
    • การ activate สามารถทำได้ 2 วิธี คือ
      • กดรับ Product key ได้ที่ CD-Key ซึ่งเป็นคีย์กลางของมหาวิทยาลัย ใช้ร่วมกันทั้งมหาวิทยาลัย activate 1 ครั้งนับ 1 ครั้ง ฉะนั้นก่อน activate ควรติดตั้ง Software ตัวอื่น ๆ ให้เสร็จเรียบร้อยจนแน่ใจว่าจะไม่ติดตั้ง Windows ใหม่ในระยะเวลา 6 เดือน
      • activate ผ่าน KMS ของมหาวิทยาลัย วิธีนี้เหมาะสำหรับห้องปฏิการคอมพิวเตอร์ และเครื่องในสำนักงาน ที่เปิดใช้งานทุกวัน (หรืออย่างน้อย 1 ครั้งใน 6 เดือน) และเชื่อมต่อกับเครือข่ายของมหาวิทยาลัยตลอดเวลา

    เริ่ม…ได้

    • ดาวน์โหลดแผ่นได้ที่ https://licensing.psu.ac.th/windows-10/
    • สร้าง flash drive สำหรับบูต (flash drive ต้องมีขนาดอย่างน้อย 8GB) ด้วย Rufus https://rufus.ie/ หรือเขียนแผ่น DVD ให้เรียบร้อย
    • เปิดเครื่องบูตด้วย flash drive หรือ DVD ที่สร้างเตรียมไว้แล้ว
    Boot
    (more…)

    Pages: 1 2 3

  • การเข้ารหัส Password หรือข้อมูลส่วนบุคคลในฐานข้อมูล ด้วย Hash Function กับ Salt Value

    การ Hash
    การ Hash หรือ Hashing ชื่ออย่างเป็นทางการคือ Cryptographic Hash คือการสร้างข้อมูลที่เป็นตัวแทนของข้อมูลที่ต้องการ ซึ่งอาจจะเป็นรหัสผ่าน หรือข้อมูลส่วนบุคคลอื่นๆ และนำไปจัดเก็บในฐานข้อมูลหรือใน Text file หรือในที่อื่นๆ ซึ่งข้อดีของการทำ Hash คือจะไม่สามารถถอดรหัส หรือกระทำการใดๆ เพื่อที่จะ Reverse ให้ออกมาเป็นข้อความต้นฉบับ ซึ่งในปัจจุบันมีวิธีการ Hash มากมาย เช่น MD5, SHA1, SHA256, SHA512, RipeMD, WHIRLPOOL, SHA3 เป็นต้น

    การเขียนโปรแกรม
    ในแง่การเขียนโปรแกรมของแต่ละภาษา จะมี Library หรือเครื่องมือที่เอาไว้ใช้ทำ Hash อยู่แล้ว สามารถเปิดจากคู่มือ ได้เลยครับ

    MD5 Hashing & Cracking
    เป็นการทำ Hash ที่พื้นฐานที่สุด และเมื่อหลายปีที่ผ่านมามีข่าวออกมาว่ามีผู้ Crack ได้สำเร็จ ซึ่งรายละเอียดคร่าวๆ ของเรื่องนี้คือ การทำ Hash ทุกชนิดจะมีการเกิดการซ้ำกันของค่า Hash เนื่องจากการมีคุณสมบัติแทนข้อมูลที่ต้องการ ซึ่งค่า Hash ที่สร้างขึ้นจะมีความยาวที่เท่ากันเสมอ ซึ่งสำหรับ MD5 ก็จะมีความยาว 16 bytes (128 bits) ซึ่งค่า hash ที่เป็นไปได้ทั้งหมดก็จะมีค่า 256^16 (หรือ 2^128) ค่าเท่านั้น ในขณะนี้ที่ข้อมูลที่เราต้องการแทนตัวนั้นอาจเป็นข้อมูลอะไรก็ได้ที่มากกว่าค่า 256^16 (หรือ 2^128) แน่นอน จึงเป็นไปได้ที่จะพบข้อมูลมากกว่า 1 ชุดจะมีค่า Hash ที่ตรงกัน
    ความจริงแล้ว MD5 จะไม่สามารถถอดรหัสได้ เนื่องจาก Hash ทุกชนิดจะผ่านกระบวนการเข้ารหัสแบบทางเดียว ดังนั้นทางที่จะสามารถจะรู้ได้ว่าค่าตั้งต้นของ Hash นี้คืออะไร คือการพยายามสุ่มรหัสที่เป็นไปได้ จากนั้นเอาไปแปลงค่าเป็น MD5 และนำค่าที่ได้ไปเปรียบเทียบ (เรียกว่าเป็นการ Brute force นั่นเอง) ซึ่งถ้าเป็นข้อมูลที่มีความยาวหรือมีความซับซ้อนมาก ก็จะต้องใช้เวลาที่นานขึ้น

    Rainbow Table
    เป็นการเก็บข้อมูล Hash โดยมีข้อมูลต้นฉบับจากการ Brute Force เพื่อความรวดเร็วในการตรวจสอบ ซึ่งในปัจจุบัน GPU ระดับปานกลางหลายๆ รุ่นจะสามารถคำนวน Hash ได้ในระดับ 10 ล้าน Hash ต่อวินาที ซึ่งในปัจจุบันมีผู้ยอมเสียเวลาเพียงครั้งเดียวเพื่อสร้าง Hash ที่มีควายาวมากๆ และมีความซับซ้อน เพื่อในครั้งต่อๆ ไปจะสามารถนำมาาใช้งานได้ทันที และมีให้ดาวน์โหลดได้ฟรีอีกด้วย

    ปัญหาของ Rainbow Table ในปัจจุบันคือ ยังไม่มีการสร้าง rainbow table ขึ้นมาสำหรับ hash ทุกชนิดหรือทุกความยาวของข้อมูลที่ต้องการ ถึงแม้จะมี CPU หรือ GPU ความสามารถสูงๆ แต่การทำ Hash ก็ยังคงใช้พลังในการประมวลผลมากเช่น SHA-2 ขนาด 256 bits ขึ้นไป เป็นต้น

    Image result for hashing with salt

    Salting
    เป็นเทคนิคนึงสำหรับเพิ่มความปลอดภัยสำหรับข้อมูลตั้งต้นของเรา ซึ่งทำให้ใช้เวลาในการถอดรหัสมากขึ้น ดังตัวอย่างเช่น ข้อความที่ต้องการเข้ารหัสตั้งต้นคือ “ThisIsMyPassword” และเมื่อรวมเข้ากับ Salt (ซึ่งอาจมาจากข้อความที่สุ่มขึ้นมา) คือ “3gswgW09seh” จะได้เป็น “ThisIsMyPassword3gswgW09seh” จากนั้นนำข้อความนี้ไป Hasing ซึ่งถ้าคำนวนความน่าจะเป็นของข้อความ กรณีที่เป็นตัวอักษรตัวเล็ก ตัวใหญ่ และตัวเลข มีความเป็นไปได้ 62 แบบ จะเท่ากับว่าถ้ารหัสผ่านที่เราเก็บมีความยาว 16 ตัวอักษร ก็ต้อง Hash ถึง 16^62 แบบ แต่ถ้าเป็นข้อความที่รวมกับSalt แล้วข้างต้น เป็นความยาว 27 ตัวอักษร ผู้ไม่ประสงค์ดีต้อง Hash ถึง 27^62 ถึงจะได้ข้อความที่ถูกต้อง ซึ่งต้องใช้เวลามหาศาลมากกว่าเดิม แต่ข้อเสียของวิธี Salting จะต้องมีการเก็บ Salt Value ในลักษณะของ Plain Text หรือเก็บไว้ในโปรแกรมที่พัฒนา เพื่อการถอดรหัสที่ถูกต้อง และถ้าหาก Salt Value มีการเสียหายหรือเปลี่ยนค่าไปหลังจากการเข้ารหัสเสร็จแล้ว จะไม่สามารถเทียบ Hash เพื่ออ่านข้อความต้นฉบับได้เลย

    Image result for hashing with salt

    Conclusion
    1. การเก็บข้อมูลที่สำคัญ เช่น รหัสผ่าน หรือแม้กระทั่งเลขประจำตัวประชาชน ในฐานข้อมูล ควรเก็บในรูปแบบ Hash เท่านั้น
    2. รหัสผ่านยิ่งยาว ยิ่งใช้เวลาในการถอดรหัสมากขึ้น และยิ่งมีการใช้ Salt Value จะใช้เวลามากยิ่งขึ้น โดยเฉพาะการใช้ Salt Value เพิ่มเข้าไปเพื่อให้มีความยาวมากขึ้น
    3. MD5 ก็ยังเพียงพอต่อการเก็บรหัสผ่านและข้อมูลอื่นๆ แต่ก็ยังสู้ SHA-2 ไม่ได้
    4. ทางที่ดีที่สุดคือ อย่าให้รหัสผ่านหรือข้อมูลที่เก็บอยู่ ถูกเข้าถึงจากภายนอก แม้แต่จะเป็นแค่ Hash ก็ตาม

    Reference:
    https://crackstation.net/hashing-security.htm