Rockyou.txt คืออะไร? ทำไมยังเป็นภัยคุกคามในปี 2025
Nuttakorn Dhiraprayudti
หากคุณทำงานในสาย Cybersecurity ต้องเคยได้ยินชื่อของ "rockyou.txt" แน่นอน
ไฟล์นี้ไม่ได้เป็นเพียง password dictionary ธรรมดา ๆ แต่เป็นไฟล์สำคัญที่แฮ็กเกอร์ใช้ในการโจมตีแบบ brute-force มานานนับสิบปี โดยล่าสุดในปี 2024 ไฟล์ Rockyou ได้กลับมาเป็นกระแสอีกครั้งในชื่อ Rockyou2024 ซึ่งถือว่าเป็นหนึ่งในไฟล์รวบรวมรหัสผ่านที่ใหญ่ที่สุดในโลก
จุดเริ่มต้น: rockyou.txt ดั้งเดิม (ปี 2009)
ไฟล์ rockyou.txt เริ่มเป็นที่รู้จักหลังจาก เว็บไซต์ของ RockYou ถูกแฮ็กในปี 2009 ส่งผลให้รหัสผ่านกว่า 14 ล้านรายการจากผู้ใช้งานกว่า 32 ล้านรายการถูกเปิดเผย จุดเด่นของไฟล์นี้คือการรวบรวมรหัสผ่านจริงที่ผู้ใช้เคยใช้ ทำให้มันกลายเป็นทรัพยากรทองคำสำหรับนักทดสอบเจาะระบบ (Penetration Testers) และอาชญากรไซเบอร์
Rockyou.txt
rockyou.txt ไฟล์ที่รวบรวม Password ที่ทั้งผู้เชี่ยวชาญด้าน Cybersecurity และ Hacker นิยมใช้ มีที่มาอย่างไร ทำไมต้องชื่อนี้?
Rockyou2021: การรวมรหัสผ่านมหาศาล
กลางปี 2021 มีการเปิดเผยไฟล์ "rockyou2021.txt" ซึ่งอ้างว่าได้รวบรวมรหัสผ่านจากการรั่วไหลก่อนหน้านี้รวมแล้วกว่า 8.4 พันล้านรายการ แม้จะไม่ใช่ข้อมูลใหม่ทั้งหมด แต่การรวมไว้ในไฟล์เดียวทำให้แฮ็กเกอร์สามารถนำไปใช้งานได้ทันที
โดยพบว่าข้อมูลใน Rockyou2021 นั้นได้รับการรวบรวมและ normalize จากแหล่งต่อไปนี้:
- Collection #1–5: คลังรหัสผ่านจากหลาย breach ขนาดมหาศาล (เช่น LinkedIn, MySpace, Dropbox, Adobe)
- COMB (Compilation of Many Breaches) – กว่า 3.2 พันล้าน record จากหลายแหล่ง
- Breach forums dumps: ฐานข้อมูล dump ที่ถูกปล่อยในฟอรั่มต่าง ๆ
- Rockyou.txt เวอร์ชันดั้งเดิม ที่มีรหัสผ่านกว่า 14 ล้านชุด
Rockyou2024: เวอร์ชันปรับปรุงใหม่ที่ "ใหญ่กว่า"
ไฟล์ rockyou2024.txt ถูกปล่อยใน เดือนกรกฎาคม 2024 บน BreachForums โดยผู้ใช้งานที่ชื่อว่า "ObamaCare" ขนาดไฟล์ประมาณ 150 GB และประกอบด้วยรหัสผ่าน มากกว่าหมื่นล้านรายการ แต่จากการวิเคราะห์ของ Specops และ Cyberint พบว่าข้อมูลส่วนใหญ่ที่เพิ่มมาจะไม่มีประโยชน์เท่าที่ควร
รหัสผ่านจำนวนหมื่นล้านรายการจะสามารถนำมาใช้ได้จริงไหม??
ผลจากการคำนวณของ Cyberint พบว่าการที่จะนำไปใช้ในการทำ Bruteforce เอาแค่ให้ครบทั้ง List นี่ต้องใช้เวลาถึง 47.5 ปีเลยทีเดียว ซึ่งการนำไปใช้ตรง ๆ ไม่ Practical อย่างมาก
Rockyou 2024
ภาพรวมของ Rockyou ในแต่ละ Version
| Rockyou | Rockyou 2021 | Rockyou 2024 | |
|---|---|---|---|
| จำนวน (rows) | 14.34M | 8.46B | 9.95B |
| ขนาดไฟล์ | 133.44 MB | 91.62 GB | 145.27 GB |
| ระยะเวลาในการ crack* | < 1 Min | ~ 51 Min | 1 Hour, 21 Min |
| Crack rate** | 15.05% | 69.64% | 70.6% |
| Rank | B | S | A |
ระยะเวลาในการ crack ของ NVIDIA GeForce RTX 2060 ใน algorithm ntlm
Crack rate อัตราการ crack สำเร็จ ผลการทดสอบจาก weakpass
สามารถดูข้อมูลเพิ่มเติมได้ที่
- rockyou: https://weakpass.com/wordlists/rockyou.txt
- rockyou2021: https://weakpass.com/wordlists/rockyou2021.txt
- rockyou2024: https://weakpass.com/wordlists/rockyou2024.txt
สรุป
สุดท้ายแล้วเชื่อว่าเดี๋ยวก็จะมี Rockyou เวอร์ชันใหม่ออกมาเรื่อย ๆ หนีไม่พ้นกับการรวมรหัสจาก Breach Database ต่าง ๆ การเดารหัสผ่านแบบ Online ไม่น่ากลัว ถ้าระบบของเรามี การตั้ง Lockout policy และทำการ Monitoring เพื่อดูพฤติกรรมการ Authentication แบบแปลก ๆ แต่ทั้งนี้การมี Control ที่เพิ่มมาอาจจะต้องแลกกับอะไรบางอย่าง เช่น ถ้ามี Account Lockout ก็ต้องมีกระบวนการปลดล๊อค หรือ ในองค์กรขนาดใหญ่เรื่องประเด็นนี้ก็จะลุกลามไปถึงการทำ User Management, การออกแบบ Policy, Process, ระบบที่ใช้ทำ User Provisioning และ อื่น ๆ อีกมากมาย
Reference
- https://specopssoft.com/blog/rockyou2024-analysis-password-leak/
- https://cyberint.com/blog/research/how-big-is-too-big-of-a-password-list-an-analysis-of-the-rockyou2024-password-leak/
Get the help you need
หากท่านสนใจและต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับบริการของเรา สามารถ นัดหมายเพื่อนัดพูดคุย ผ่านหน้าเว็บไซต์ได้ทันที ทีมงานของเรายินดีให้คำปรึกษาและตอบทุกข้อสงสัยของท่านอย่างเต็มที่
Up Next
ARTICLES
Mar
31
2025
รู้จัก Web Tamper Prevention จาก BytePlus – ป้องกันเนื้อหาเว็บไซต์ถูกแก้ไข
บทความนี้จะพาคุณทำความรู้จักกับ Web Tamper Prevention หนึ่งในฟีเจอร์ด้านความปลอดภัยจาก BytePlus ที่ออกแบบมาเพื่อป้องกันการแก้ไขหรือฝังเนื้อหาที่ไม่พึงประสงค์บนเว็บไซต์ โดยจะอธิบายแนวคิดการทำงานร่วมกับระบบ CDN และ WAF พร้อมแสดงตัวอย่างการตั้งค่าและทดลองใช้งานจริง (POC) เพื่อให้เห็นภาพชัดเจนว่าวิธีการสามารถช่วยเสริมความมั่นคงให้กับเว็บไซต์ได้อย่างไร
READ MORE
ARTICLES
Mar
29
2025
บทเรียนจากแผ่นดินไหว สู่แผนรับมือด้วย ISO 22301
เหตุการณ์แผ่นดินไหวที่เมียนมาเมื่อวันที่ 28 มีนาคม 2025 ส่งผลกระทบต่อประเทศไทยอย่างชัดเจน ไม่ว่าจะเป็นอาคารสำนักงาน คอนโดที่พักอาศัย รวมถึงพื้นที่ธุรกิจหลายแห่งที่ต้องหยุดชะงักชั่วคราว สะท้อนให้เห็นถึงความสำคัญของการเตรียมความพร้อมเพื่อรับมือกับเหตุการณ์ที่ไม่คาดคิด
READ MORE
ARTICLES
Mar
28
2025
Black Kite คืออะไร? ทำไมองค์กรต้องใช้แพลตฟอร์ม Cyber Risk Rating ในการบริหาร Third-Party Risk
ในยุคที่การโจมตีทางไซเบอร์ไม่ได้จำกัดเพียงแค่อุปกรณ์หรือระบบขององค์กร แต่ยังลุกลามไปสู่เครือข่ายคู่ค้า (Supply Chain) การบริหารความเสี่ยงด้านไซเบอร์ที่เกิดจาก Third Party จึงเป็นเรื่องสำคัญที่ทุกองค์กรไม่ควรมองข้าม
READ MORE
