ระบบเสริมความแข็งแกร่งต่อการโจมตีแบบระงับบัญชีผู้ใช้งาน

  • ธนภัทร์ อนุศาสน์อมรกุล และ เกษม หวังสุข
Keywords: การพิสูจน์ตัวตน, การใช้จังหวะการพิมพ์, การโจมตีแบบการระงับบัญชีผู้ใช้

Abstract

ปัจจุบันมีผู้ใช้อินเทอร์เน็ตเป็นจำนวนมาก การที่จะใช้งานระบบอินเทอร์เน็ตได้นั้นจำเป็นต้องมีการพิสูจน์ตัวตนเพื่อให้สามารถระบุผู้ใช้งานจริงได้ โดยวิธีที่พิสูจน์ตัวตนแบบง่ายที่สุดคือ การใช้ชื่อบัญชีผู้ใช้และรหัสผ่าน แต่การโจมตีโดยการเดารหัสผ่านก็สามารถทำได้ ถ้าทำหลายครั้งก็อาจจะทำให้เข้าใช้งานระบบได้ ทำให้เกิดการป้องกันการเดารหัสผ่านขึ้น เรียกว่า การระงับบัญชีรายชื่อผู้ใช้งาน ถ้าผู้ใช้งานไม่สามารถใส่รหัสผ่านถูกต้องตามจำนวนครั้งที่ตั้งค่าไว้ และจะไม่สามารถใช้งานได้ช่วงระยะเวลาหนึ่ง แต่วิธีการป้องกันนี้ทำให้เกิดการโจมตีแบบใหม่เรียกว่า การโจมตีแบบระงับบัญชีผู้ใช้งาน โดยวิธีการนี้เป็นการโจมตีได้ง่าย เนื่องจากการโจมตีนี้ต้องการแค่บัญชีของผู้ใช้ และส่วนใหญ่จะไม่มีความลับใด ผู้โจมตีเพียงใส่รหัสผ่านผิดเกินจำนวนที่ตั้งค่าไว้ ผู้ใช้ตัวจริงก็จะไม่สามารถใช้งานได้ในช่วงระยะเวลาที่กำหนด ในงานนี้ได้เสนอระบบเสริมการแข็งแกร่งต่อการโจมตีแบบระงับบัญชีผู้ใช้งาน โดยใช้จังหวะการพิมพ์เข้ามาช่วย ระบบใหม่นี้ทดสอบกับผู้ทดสอบ 15 คนและสามารถลดการโจมตีแบบระงับบัญชีผู้ใช้งานได้ร้อยละ 100 แต่การยอมรับผู้ใช้ตัวจริงลดลงจากระบบเดิม จากร้อยละ 98 เป็นร้อยละ 93

References

1. Blocking Brute Force Attacks [Internet]. [cited 2017 June 28]. Available from https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks
2. Wang L, Geng X. Behavioral Biometrics for Human Identification: Intelligent Applications. :Intelligent Applications. IGI Global, 2009.
3. เกษม หวังสุข และ ธนภัทร์ อนุศาสน์อมรกุล. การพิสูจน์ตัวตนโดยจังหวะการพิมพ์ด้วยวิธีการวัดความต่างของเส้นโคจร. วิศวกรรมสาร มก 2558;91:51-60.
Published
2017-08-10