Rockyou.txt คืออะไร? ทำไมยังเป็นภัยคุกคามในปี 2025

content-image

หากคุณทำงานในสาย Cybersecurity ต้องเคยได้ยินชื่อของ "rockyou.txt" แน่นอน

ไฟล์นี้ไม่ได้เป็นเพียง password dictionary ธรรมดา ๆ แต่เป็นไฟล์สำคัญที่แฮ็กเกอร์ใช้ในการโจมตีแบบ brute-force มานานนับสิบปี โดยล่าสุดในปี 2024 ไฟล์ Rockyou ได้กลับมาเป็นกระแสอีกครั้งในชื่อ Rockyou2024 ซึ่งถือว่าเป็นหนึ่งในไฟล์รวบรวมรหัสผ่านที่ใหญ่ที่สุดในโลก

จุดเริ่มต้น: rockyou.txt ดั้งเดิม (ปี 2009)

ไฟล์ rockyou.txt เริ่มเป็นที่รู้จักหลังจาก เว็บไซต์ของ RockYou ถูกแฮ็กในปี 2009 ส่งผลให้รหัสผ่านกว่า 14 ล้านรายการจากผู้ใช้งานกว่า 32 ล้านรายการถูกเปิดเผย จุดเด่นของไฟล์นี้คือการรวบรวมรหัสผ่านจริงที่ผู้ใช้เคยใช้ ทำให้มันกลายเป็นทรัพยากรทองคำสำหรับนักทดสอบเจาะระบบ (Penetration Testers) และอาชญากรไซเบอร์

Blog preview image

Rockyou2021: การรวมรหัสผ่านมหาศาล

กลางปี 2021 มีการเปิดเผยไฟล์ "rockyou2021.txt" ซึ่งอ้างว่าได้รวบรวมรหัสผ่านจากการรั่วไหลก่อนหน้านี้รวมแล้วกว่า 8.4 พันล้านรายการ แม้จะไม่ใช่ข้อมูลใหม่ทั้งหมด แต่การรวมไว้ในไฟล์เดียวทำให้แฮ็กเกอร์สามารถนำไปใช้งานได้ทันที

โดยพบว่าข้อมูลใน Rockyou2021 นั้นได้รับการรวบรวมและ normalize จากแหล่งต่อไปนี้:

  • Collection #1–5: คลังรหัสผ่านจากหลาย breach ขนาดมหาศาล (เช่น LinkedIn, MySpace, Dropbox, Adobe)
  • COMB (Compilation of Many Breaches) – กว่า 3.2 พันล้าน record จากหลายแหล่ง
  • Breach forums dumps: ฐานข้อมูล dump ที่ถูกปล่อยในฟอรั่มต่าง ๆ
  • Rockyou.txt เวอร์ชันดั้งเดิม ที่มีรหัสผ่านกว่า 14 ล้านชุด

Rockyou2024: เวอร์ชันปรับปรุงใหม่ที่ "ใหญ่กว่า"

ไฟล์ rockyou2024.txt ถูกปล่อยใน เดือนกรกฎาคม 2024 บน BreachForums โดยผู้ใช้งานที่ชื่อว่า "ObamaCare" ขนาดไฟล์ประมาณ 150 GB และประกอบด้วยรหัสผ่าน มากกว่าหมื่นล้านรายการ แต่จากการวิเคราะห์ของ Specops และ Cyberint พบว่าข้อมูลส่วนใหญ่ที่เพิ่มมาจะไม่มีประโยชน์เท่าที่ควร

รหัสผ่านจำนวนหมื่นล้านรายการจะสามารถนำมาใช้ได้จริงไหม??

ผลจากการคำนวณของ Cyberint พบว่าการที่จะนำไปใช้ในการทำ Bruteforce เอาแค่ให้ครบทั้ง List นี่ต้องใช้เวลาถึง 47.5 ปีเลยทีเดียว ซึ่งการนำไปใช้ตรง ๆ ไม่ Practical อย่างมาก

Rockyou 2024

Rockyou 2024

ภาพรวมของ Rockyou ในแต่ละ Version

RockyouRockyou 2021Rockyou 2024
จำนวน (rows)14.34M8.46B9.95B
ขนาดไฟล์133.44 MB91.62 GB145.27 GB
ระยะเวลาในการ crack*< 1 Min~ 51 Min1 Hour, 21 Min
Crack rate**15.05%69.64%70.6%
RankBSA

ระยะเวลาในการ crack ของ NVIDIA GeForce RTX 2060 ใน algorithm ntlm

Crack rate อัตราการ crack สำเร็จ ผลการทดสอบจาก weakpass

สามารถดูข้อมูลเพิ่มเติมได้ที่

สรุป

สุดท้ายแล้วเชื่อว่าเดี๋ยวก็จะมี Rockyou เวอร์ชันใหม่ออกมาเรื่อย ๆ หนีไม่พ้นกับการรวมรหัสจาก Breach Database ต่าง ๆ การเดารหัสผ่านแบบ Online ไม่น่ากลัว ถ้าระบบของเรามี การตั้ง Lockout policy และทำการ Monitoring เพื่อดูพฤติกรรมการ Authentication แบบแปลก ๆ แต่ทั้งนี้การมี Control ที่เพิ่มมาอาจจะต้องแลกกับอะไรบางอย่าง เช่น ถ้ามี Account Lockout ก็ต้องมีกระบวนการปลดล๊อค หรือ ในองค์กรขนาดใหญ่เรื่องประเด็นนี้ก็จะลุกลามไปถึงการทำ User Management, การออกแบบ Policy, Process, ระบบที่ใช้ทำ User Provisioning และ อื่น ๆ อีกมากมาย

Reference


OUR SERVICES

Get the help you need

Interested in our services or want to know more? Book a call through the website anytime — our team is happy to advise and answer all your questions.

logologo

INCOGNITO LAB CO., LTD.

38 Soi Petchakasem 30, Pak Khlong Phasi Charoen, Phasi Charoen, Bangkok 10160

©2026 Incognito Lab Co., Ltd. All rights reserved

Terms & ConditionsPrivacy Policy