ตั้ง Password ให้ปลอดภัย

วิธีตั้ง Password ให้จำง่าย ๆ นี่คิดว่าน่าจะเป็นประโยชน์ต่อท่านทั้งหลาย พอสมควร เพราะทุกวันนี้การท่องเว็บหรือการเข้าแอปฯ ต่าง ๆ ผูกกับการใช้สมาร์ตโฟนค่อนข้างมาก แถมยังมีบรรดา hacker คอยลอบดูดข้อมูลไปขายอีก

Password
Photo by Pixabay on Pexels.com

โลกดิจิทัลทุกวันนี้ไม่ปลอดภัย

เราทุกคนคงจะเคยได้ยินข่าวคราวเกี่ยวกับเว็บไซต์หลอกลง phishing ที่ตั้งขึ้นมาเลียนแบบเว็บไซต์ดัง ๆ โดยเฉพาะเว็บไซต์ธนาคาร และส่งอีเมลหรืออื่น ๆ ไปหลอกเอารหัสผ่านหรือข้อมูลส่วนตัว แต่ถึงเราจะระมัดระวังกันดีอยู่แล้ว ความผิดพลาดจากจุดอื่นเหนือการควบคุมก็ยังมีให้เห็นตลอดเวลา

อย่างเช่น Collection #1 ที่รวบรวมรหัสผ่านของบัญชีผู้ใช้เว็บไซต์ต่าง ๆ ประมาณ 773 ล้านบัญชี รวบรวมอีเมลและรหัสผ่านที่ใช้ในเว็บไซต์กว่า 2,000 แห่ง โดนปล่อยสู่สาธารณะเมื่อต้นปี 2019 ครั้งนั้นนับว่าเป็นการปล่อยข้อมูลด้านความปลอดภัยครั้งใหญ่ในประวัติศาสตร์ เป็นรองเพียงเมื่อครั้งข้อมูลของ Yahoo หลุดมาแค่นั้นเอง

อ่านรายละเอียดที่ https://bgr.com/2019/01/17/collection-1-email-leak-how-to-see-if-yours-was-stolen/

Troy Hunt ซึ่งทำงานด้าน Security Researcher — ความปลอดภัยทางอินเตอร์เน็ต — ได้ค้นพบว่ามีการปล่อยไฟล์ “ที่น่าสงสัย” ในเว็บ Mega ในเดือนมกราคม ค.ศ. 2019 โดยคนปล่อยลิงก์สิงอยู่ในฟอรัมของเหล่าแฮ็กเกอร์ก่อนที่มันจะโดนเผยแพร่ในเว็บมืดต่าง ๆ จนตอนนี้เดาว่าแฮ็กเกอร์ทั่วโลกน่าจะมีฐานข้อมูล Collection #1 ในครอบครองกันทุกคนแล้ว

ข้อมูลนี้มีไฟล์ประมาณ 12,000 ไฟล์ คิดเป็นปริมาณถึง 87 กิกกะไบต์ โดยข้อมูลเก็บอยู่ในรูป text file นั่นหมายความว่าผู้ล้วงข้อมูลเหล่านี้ได้เข้าถึงเซิร์ฟเวอร์ของเว็บไซต์ต่าง ๆ และสามารถถอดรหัสออกมาได้ ซึ่งปกติแล้ว ถ้าแฮกเกอร์คนไหนทำได้มักจะเอามาใช้แสวงหาผลประโยชน์ เช่นแอบเอาไปขายในเว็บมืดต่าง ๆ แต่คราวนี้ดันปล่อยออกมาแบบฟรี ๆ ไม่มีค่าใช้จ่ายในการเข้าถึงข้อมูลแต่อย่างใด

ยังไม่มีการเปิดเผยว่าแฮกเกอร์ผู้เจาะหรือรวบรวมข้อมูลเหล่านี้เป็นใครหรือว่าทีมใด และเมื่อวันที่ 30 มกราคม 2019 มีข่าวยืนยันมาแล้วว่า มี Collection #2 – 5 ออกมาขายในเว็บมืด ซึ่งรวม ๆ แล้วมีปริมาณถึง 845 กิกกะไบต์ มีอีเมลและรหัสผ่านมากกว่า 25 พันล้านชุด ซึ่งในนี้มีข้อมูลของ Yahoo! LinkedIn และ Dropbox ที่เคยหลุดกระจายก่อนหน้านี้ด้วย ซึ่งด้วยปริมาณข้อมูลที่หลุดมานี้ทำให้เป็นเรื่องน่าเป็นห่วงด้านความปลอดภัยของเว็บต่าง ๆ และถ้าสังเกตสักนิด หลายแห่งเริ่มแนะนำให้ใช้ระบบ 2-Factor Authentication ทั้งระบบอีเมล Facebook Google ฯลฯ เพื่อให้ผู้ใช้งานปลอดภัยมากขึ้นกว่าเดิม

เมื่อปลายปีที่ 2018 ก็มีข่าวว่าข้อมูลผู้ใช้ google หลุดมาเป็นจำนวนมากเพราะความผิดพลาดของ Google+ API ส่วนที่ใช้ social media ทำให้มีข้อมูลผู้ใช้งานหลุดไปมากกว่า 5 ล้านบัญชี ความจริงมีคนตั้งข้อสังเกตตั้งแต่เดือนมีนาคม 2018 แล้ว ซึ่งก็ได้มีการแก้ไขในตอนนั้นแต่เหมือนจะไม่ทันกาล เพราะมีข้อมูลซึ่งควรเป็นข้อมูลส่วนตัวเปิดเผยสู่สาธารณะ

ป้องกันตัวเองอย่างไร?

ก่อนอื่น แนะนำให้ไปเช็คที่ https://haveibeenpwned.com/ เว็บนี้เขียนโดย Troy Hunt จะเป็นการตรวจว่าอีเมลของเราอยู่ใน Collection #1 หรือเปล่า เพียงแค่ใส่อีเมลเข้าไป ถ้าขึ้น Oh no, pwned แปลว่าบัญชีเข้าเว็บต่าง ๆ ที่เราใช้อีเมลนี้อยู่ใน Collection #1

เรื่องนี้น่าตื่นเต้น เพราะเท่าที่ทดสอบกับตัวเอง ของตัวเองก็โดนจ้า…

แต่ไม่ต้องตกใจ ให้ไปเปลี่ยนรหัสผ่านเข้าเว็บเสีย ถ้ายังไม่โดนแฮ็ก (และถ้าจะโดนแฮ็กก็คงโดนไปแล้ว) ที่หลุดมานี้เป็นอีเมลกับรหัสผ่านสำหรับเข้าเว็บต่าง ๆ ไม่ใช่อีเมลเราโดนแฮ็ก ถ้าใครใช้รหัสผ่านเข้าอีเมลต่างจากที่ใช้เข้าเว็บต่าง ๆ ไม่ต้องกลัวว่าอีเมลจะโดนแฮ็ก แต่ถ้าใครใช้รหัสผ่านเดียวกันตลอดทุกเว็บรวมทั้งอีเมล อันนี้แนะนำให้เปลี่ยนรหัสผ่านโดยเร็ว

ข้อควรระวังเกี่ยวกับรหัสผ่าน

เพลงไม่เกี่ยวกับเนื้อหา แต่อยากใส่ไว้

อย่างตั้งรหัสแบบมักง่าย

ทุกคนคงจะเคยได้ยิน เรื่องตลกขบขัน ว่าบางคนใช้รหัสผ่านที่โคตรง่าย เช่น 1234 หรือ QWERTY หรืออื่น ๆ (ลองเข้าไปอ่านที่ List of the most common passwords ที่วิกิพีเดียดูก็ได้นะ https://en.wikipedia.org/wiki/List_of_the_most_common_passwords

อันนี้คือจะบอกว่า ถ้าเห็นการตั้งรหัสผ่านแบบนี้ ก็ควรจะรู้ตัวแล้วว่า ถ้าตั้งตามนี้คือรหัสที่คาดเดาได้ง่ายมาก อย่างที่บอก ไม่ควรใช้ตัวอะไรง่าย ๆ เช่น อักษรที่เรียงกันจากคีย์บอร์ด เช่น asdf หรือ jkl; หรือตัวเลข อะไรแบบนี้ อย่าลืมใส่ ตัวเลข สัญลักษณ์ ตัวพิมพ์ใหญ่ เล็ก ผสมกัน จะช่วยให้เจาะยากขึ้น

อย่าบันทึกรหัสผ่านไว้ในที่คนจะเห็น

อย่าให้รหัสกับใคร หรือกดรหัสขณะอยู่กับใคร อย่าทำอะไรโง่ ๆ อย่างเช่น จดรหัสผ่านไว้ในโพสต์อิตแล้วแปะไว้ที่คอมฯ ถ้าจะจดรหัสผ่านจริง ๆ ขอให้มั่นใจว่าเก็บไว้ในที่เหมาะสม

อย่าใช้ซ้ำ

บางคน ใช้ชื่อผู้ใช้งานและรหัสผ่านเดียวกันหมด ทุกอย่าง ทั้ง E-Mail เว็บไซต์ เพราะคิดว่าสะดวก จำง่าย แต่คำแนะนำของผู้เชียวชาญด้านนี้จะเตือนเสมอว่า ขอให้ใช้แบบ 1 ต่อ 1 เว็บไวต์ 1 แห่ง ใช้ 1 รหัสผ่าน เช่น Facebook ก็รหัสหนึ่ง Twitter ก็รหัสหนึ่ง Instagram ก็รหัสหนึ่ง email รหัสหนึ่ง ใช้ให้มันกระจายที่สุด ไม่เช่นนั้น ถ้ารหัสผ่านหลุดไปสักหนึ่ง เดี่ยวจะลากไปหมด

ผู้เชี่ยวชาญด้านความปลอดภัยในอินเตอร์เน็ตเคยแนะนำไว้นานแล้วว่า การเข้าเว็บแต่ละเว็บ ควรใช้รหัสผ่านต่างกัน เพื่อลดความเสี่ยงการโดนแฮ็ก เพราะแฮ็กเกอร์ทุกคนรู้ว่าคนส่วนใหญ่มีแนวโน้มจะใช้รหัสผ่านเดียวกันในทุกเว็บ ดังนั้นถ้าได้รหัสผ่านกับอีเมลมาชุดหนึ่งก็จะนำไปลองกับเว็บได้ทุกเว็บ แต่ถ้าคิดว่าการจำรหัสผ่านมันยากไปถ้าต้องใช้ต่างกันทุกเว็บ ให้แยกรหัสผ่านสำหรับเว็บที่มีธุรกรรมทางการเงินต่าง ๆ ออกมาต่างหาก และที่สำคัญ รหัสผ่านเข้าอีเมลควรเป็นรหัสผ่านที่เป็นเอกเทศ และถ้าเป็นไปได้ ให้ใช้ระบบ 2-Factor Authentication

อย่าใช้ “จำรหัสผ่าน” ในอุปกรณ์ที่ไม่สามารถควบคุมความเป็นส่วนตัวได้

อันนี้น่าจะพลาดกันง่าย ๆ บาทีเราล็อกอินอะไรก็ตามไว้ในเครื่องคอมพิวเตอร์หรืออุปกรณ์ที่ไม่ใช่ของเรา แล้วเราเผลอให้ จำรหัสผ่านไว้ เกิดมีคนไม่ประสงค์ดีก็คงจะแย่

ยิ่งยาวยิ่งดี

คงสังเกตได้ว่า มีหลายเว็บไซต์ บังคับให้ต้องสร้าง password ยาวกว่า 8 หรือ 9 อักขระ ผสมกันระหว่างตัวอักษร ตัวเลข และสัญลักษณ์ ซึ่งมันก็มีวิธีการเขียนสคริปต์ brute force attack คือเทคนิคที่ให้คอมพิวเตอร์จัดการผสมตัวเลขตัวอักษรสัญลักษณ์ในรูปแบบต่าง เพื่อเอามาเจาะรหัสผ่าน ซึ่งถ้าใช้พาสเวิร์ดที่ยาวเพียง 3 อักขระ ใช้เวลาเจาะรหัสเพียงแค่ไม่ถึงวินาทีเท่านั้น  ดังนั้น ถ้าท่าน ตั้ง Password ยาวขึ้น 1 อักขระ ก็ยิ่งทำให้การเจาะยากขึ้น แนะนำให้ไม่ต่ำกว่า 9 อักขระ

อย่าใส่ข้อมูลส่วนตัว

หลายคนตั้งรหัสผ่านด้วยข้อมูลส่วนตัว เช่น วันเกิด เบอร์โทรศัพท์ เลขที่บ้าน ชื่อเล่น ชื่อสัตว์เลี้ยง ดาราคนโปรด ฯลฯ สิ่งเหล่านี้ควรละเว้น ข้อมูลใดใดที่ท่านเปิดเผยให้คนอื่นรับรู้ อย่าเอามาใช้เป็นรหัสผ่าน น่าจะเคยดูภาพยนตร์ประเภทที่มีคนลองรหัสผ่านด้วยข้อมูลส่วนตัวของเจ้าของรหัสใช่มั้ย? นั่นแหละ บทเรียนที่เอามาใช้ได้จริง

อย่าสะกดถูก

มีเครื่องมือหลายตัวที่ช่วย “เดา” คำได้ น่าจะเป็นคำทั้งหมดในพจนานุกรม ดังนั้น การใช้รหัสผ่านที่เป็นคำปกติมีโอกาสที่จะโดนคาดเดาได้ง่ายขึ้น ลองเปลี่ยนวิธีการสะกดคำแบบผิด ๆ เวลาตั้งรหัสผ่าน เช่น ใช้ตัวอักษรพิมพ์ใหญ่เพิมพ์เล็กผสมกัน ใช้สัญลักษณ์ (เช่น & $ #) เข้าไปผสมคั่นกลาง จะช่วยให้รหัสผ่านของท่านคาดเดาได้ยากขึ้น

ลองตั้งประโยคที่ไร้สาระแต่จำได้

บางที อาจจะลองตั้งรหัสผ่าน ด้วยประโยคอะไรสักประโยค แล้วย่อมันลงและแทนทีมันด้วยสัญลักษณ์หรือตัวเลขในบางตำแหน่ง ยกตัวอย่าง เราอาจจะชอบประโยค may the force be with you จาก Star Wars เราอาจจะย่อเป็น Mt4ceBwhU แบบนี้ก็ได้

ลองใช้ PASSWORD MANAGER

ลองให้ Password managers ตั้งรหัสผ่านให้ ก้ไม่เลวเหมือนกัน ในเงื่อนไขว่าคุณต้องเข้าถึง Password managers ได้ทุกครั้ง ยกตัวอย่างง่าย ๆ Chrome หรือว่า Safari เสนอตั้งรหัสผ่านโดยอัตโนมัติให้ อันนี้ก็สะดวกดี เพียงแค่คุณเข้า Chrome หรือว่า Safari คุณก็เข้าถึงรหัสผ่านที่คุณเข้าใช้ได้ แต่คุณต้องมั่นใจว่ามีแต่คุณเท่านั้นที่เข้าถึงบัญชี  Chrome หรือว่า Safari  ได้ โดยไม่มีปัญหา ไม่มีคนอื่นเข้ามายุ่งเกี่ยว

ปัจจุบันมีแอปฯ ด้านนี้ออกมาหลายตัว เช่นของ Norton หรือของฟรีที่มีหลายตัวอยู่เหมือนกัน  เช่น 1-Password

เปลี่ยนรหัสผ่านบ่อย ๆ

และถ้าเราเคยเปลี่ยนรหัสบ่อย ๆ อยู่แล้วก็ไม่จำเป็นต้องกังวลเกินไปนัก ยังไม่ได้มีการยืนยันว่าข้อมูลที่หลุดออกมานี้ เป็นข้อมูลในช่วงเวลาไหน แต่อย่างไรก็ตาม การเปลี่ยนรหัสผ่านบ่อย ๆ ก็เป็นเรื่องที่ดี ขอให้ทุกท่านปลอดภัยในโลกไซเบอร์

ความคิดเห็นของคุณ :)

%d bloggers like this: