คำกล่าวที่ว่า ดวงตาเป็นประตูสู่ดวงใจฉันใด พาสเวิร์ดก็เป็นประตูสู่ดวงใจของโลกออนไลน์ฉันนั้น ทว่าปราการแรกของโลกออนไลน์อย่างพาสเวิร์ดนี่แหละ กลับถูกละเลยและเป็นปัจจัยเสี่ยงอันดับต้นๆของประเด็นด้านความปลอดภัยในโลกออนไลน์ สิ่งที่บ่งบอกชัดเจนถึงการไม่ได้รับความสำคัญ คือในแต่ละปีจะมีการจัดอันดับพาสเวิร์ดยอดแย่ และอันดับต้นๆในแต่ละปีจะออกมาไม่ต่างกันมากนัก ไม่ว่าจะ ‘123456’ หรือ ‘password’ ที่มักสลับกันติดอันดับ 1 หรือ 2

เราจะพาไปแนะนำวิธีปฏิบัติที่เสริมสร้างความปลอดภัยในการล็อกอินบนโลกออนไลน์ ที่เพิ่มขั้นตอนเข้ามาเพียงเล็กน้อย ไม่ได้สร้างความลำบากเท่าไหร่ แต่เพิ่มความปลอดภัยได้ไม่น้อยเลยทีเดียว

กุญแจยังมีหลายดอก ไฉนเราใช้พาสเวิร์ดเดียว

หนึ่งในเหตุผลอันดับต้นๆของการถูกแฮ็กคือการใช้อีเมลและพาสเวิร์ดเดียวในทุกๆบัญชี ทำให้เวลาข้อมูลของแอคเคาท์เราหลุดจากเว็บใดเว็บหนึ่ง อย่างเมื่อต้นปีมีชุดข้อมูลไอดีพาสเวิร์ดกว่า 700 ล้านแอคเคาท์ ซึ่งมากที่สุดที่เคยมีมา ถูกปล่อยออกมาเป็นชุดบนโลกออนไลน์ แฮ็กเกอร์สามารถนำอีเมลและพาสเวิร์ดที่ได้มาไปทดลองล็อกอินซ้ำๆกันหลายๆเว็บ เราแทบไม่มีทางรู้ตัวเลยว่าข้อมูลเราหลุดหรือไม่ และกว่าจะรู้ตัวว่าถูกแฮ็กก็อาจสายไปแล้ว

ดังนั้นวิธีปฏิบัติที่ถูกต้องคือไม่ควรใช้พาสเวิร์ดซ้ำกันในแต่ละบัญชีหรือแต่ละเว็บ นอกจากนี้ตัวพาสเวิร์ดเองก็ไม่ควรเป็นคำง่ายๆควรมีองค์กประกอบตั้งแต่ตัวหนังสือภาษาอังกฤษพิมพ์เล็ก พิมพ์ใหญ่ ตัวเลขไปจนถึงสัญลักษณ์ ความยาวไม่ต่ำกว่า 8 ตัวขึ้นไป

กุญแจยังจำดอกได้ แต่พาสเวิร์ดซับซ้อนและไม่ซ้ำกันจะเอาที่ไหนมาจำ

ปัญหาถัดมาของการตั้งพาสเวิร์ดยากๆและไม่ซ้ำกันคือจำไม่ได้ การจดเอาไว้ในโน้ตในสมาร์ทโฟนเป็น plaintext ก็ใช่ว่าจะปลอดภัย ดังนั้นตัวช่วยก็หนีไม่พ้นซอฟต์แวร์ Password Manager ที่ดังๆก็มี 1Password หรือ LastPast

ซอฟต์แวร์เหล่านี้ไม่เพียงช่วยเก็บไอดีและพาสเวิร์ดให้เราแบบเข้ารหัส (ต่อให้ข้อมูลเราถูกแฮ็ก แฮ็กเกอร์ก็อ่านไม่ได้ หรือแม้กระทั่งผู้ให้บริการซอฟต์แวร์ก็อ่านไม่ได้) ได้นับสิบนับร้อยแอคเคาท์ แต่ยังช่วยสร้างพาสเวิร์ดให้เราเพียงไม่กี่คลิ๊กด้วยโดยที่เราไม่ต้องลำบากมานั่งกดทีละตัว สิ่งที่เราต้องจำมีแค่พาสเวิร์ดหลักสำหรับล็อกอินเข้าใช้งานซอฟต์แวร์เหล่านี้เพียงพาสเวิร์ดเดียวเท่านั้น นอกจากนี้

แน่นอนบริการเหล่านี้เสียเงิน แต่หากใช้งานคนเดียวค่าบริการตกอยู่ที่เดือนละราว 100 บาทเท่านั้น (ถูกกว่าข้าวบางมื้ออีก) ดังนั้นด้วยค่าใช้จ่ายแค่นี้ แลกกับความปลอดภัยบนโลกออนไลน์ โดยเฉพาะข้อมูลส่วนตัวและข้อมูลบัตรเครดิตที่มีมูลค่ามากกว่านี้มาก ถือว่าคุ้มค่าอยู่ไม่ใช่น้อย

ภาพจาก LastPass

บางคนบอกว่าเบราว์เซอร์อย่าง Chrome ก็มีฟีเจอร์ช่วยสร้างพาสเวิร์ดและจำล็อกอินให้เราแบบฟรีๆนะ แต่ในแง่ความปลอดภัยบน Chrome นั้นค่อนข้างต่ำมากเมื่อเทียบกับผู้ให้บริการ Password Manager โดยตรง เพราะไม่มีการเข้ารหัสและคนอื่นสามารถเข้าถึงพาสเวิร์ดเราได้ง่าย

Multi-Factor Authentication เมื่อล็อกอินชั้นเดียวไม่เพียงพอ

ต่อให้เราตั้งพาสเวิร์ดซับซ้อนแค่ไหน แต่ก็ไม่ได้ปลอดภัย 100% เพราะมีโอกาสที่เว็บไซต์หรือผู้ให้บริการที่เราล็อกอินเอาไว้จะทำรหัสผ่านหลุดหรือมีช่องโหว่อยู่ดี ไม่รวมการถูกการโจมตีแบบ phishing ที่เหยื่อถูกหลอกให้กรอกไอดีและพาสเวิร์ด

กระบวนการยืนยันตัวตนหลายขั้น (Multi-Factor Authentication – MFA) จึงมักถูกแนะนำให้เป็นวิธีปฏิบัติพื้นฐานเพื่อเสริมสร้างการป้องกันบัญชี ซึ่งผู้จัดการฝ่ายความปลอดภัยของไมโครซอฟท์เพิ่งยืนยันด้วยตัวเองว่า จากการศึกษาของไมโครซอฟท์ การใช้งาน MFA ช่วยป้องกันการถูกแฮ็กบัญชีได้ถึง 99.9%

ที่ผ่านมาวิธีการยืนยันตัวตนหลายขั้นที่ค่อนข้างได้รับความนิยม คือการรับ OTP (One-Time Password) ผ่านทางเบอร์โทรศัพท์ด้วย SMS ซึ่งก็ถือว่าไม่ค่อยปลอดภัยแล้ว เพราะมีบทพิสูจน์จากหลายๆเคสที่แฮ็กเกอร์สามารถออกซิมปลอมหรือ Sim Swapping เพื่อดักข้อมูลผ่าน SMS ได้อยู่ดี

ภาพจาก Google

หนึ่งในวิธีการยืนยันตัวตนหลายปัจจัยที่ค่อนข้างได้รับความนิยมคือการใข้งาน Time-Base OTP ผ่านแอป Authenticator ที่ปลอดภัยกว่า และมีการเปลี่ยนแปลงตลอดเวลา เรียกได้ว่าต้องเปิดดู Authenticator แทบทุกครั้งที่ล็อกอิน แอบที่ได้รับความนิยมก็มี Gooogle Authenticator และ Microsoft Authenticator ที่สามารถใช้งานได้กับหลายๆผู้ให้บริการ

อีกหนึ่งวิธีที่ปลอดภัยไม่แพ้กันคือการยืนยันตัวตนด้วยฮาร์ดแวร์มาตรฐาน U2F (Universal 2nd Factor) จากกลุ่ม FIDO Alliance ของบริษัทไอทียักษ์ใหญ่ที่รวมกันสร้างมาตรฐานการมาล็อกอินแบบไม่ใช้รหัสผ่าน

แนวคิดของการยืนยันตัวตนด้วย U2F คือตราบใดที่ข้อมูลการยืนยันตัวตนไม่ถูกเก็บไว้บนโลกออนไลน์ ความปลอดภัยก็ย่อมมีมากขึ้น ขณะที่การยืนยันตัวตนผ่าน U2F เพียงแต่กดหรือแตะที่ปุ่มบนกุญแจ U2F ที่เราผูกเอาไว้กับบัญชีเท่านั้น

ภาพจาก Yubico

สรุปคือวิธีการปฏิบัติที่ดีในการปกป้องบัญชีออนไลน์ของตัวเองคือตั้งพาสเวิร์ดให้คาดเดายาก, ไม่ตั้งพาสเวิร์ดซ้ำกันในแต่ละบัญชี และใช้กระบวนการยืนยันตัวตนหลายขั้น อาจจะเป็น Authenticator หรือกุญแจ U2F ทางใดทางหนึ่ง