บทที่ 3: การตั้งรหัสผ่านที่รัดกุมและการจัดการรหัสผ่านอย่างปลอดภัย

รหัสผ่าน (Password) เปรียบเสมือนกุญแจล็อกประตูสู่บัญชีและข้อมูลส่วนตัวของเรา หากรหัสผ่านอ่อนแอหรือถูกจัดการอย่างไม่ปลอดภัย ก็ไม่ต่างอะไรจากการใช้กุญแจที่ไขง่ายหรือทิ้งกุญแจไว้ใต้พรมให้ใครหยิบมาไขก็ได้ บทนี้จะอธิบายหลักการตั้งรหัสผ่านที่คาดเดาได้ยากและปลอดภัย แนวทางการจัดการรหัสผ่านหลายบัญชีอย่างมีประสิทธิภาพ (เช่น การใช้โปรแกรมจัดการรหัสผ่าน) ตลอดจนคำแนะนำเกี่ยวกับนโยบายรหัสผ่านตามมาตรฐานล่าสุด (เช่น แนวทางของ NIST) เพื่อให้ผู้อ่านสามารถนำไปปฏิบัติใช้ในชีวิตประจำวันได้จริง

3.1 หลักการตั้งรหัสผ่านที่รัดกุม

รหัสผ่านที่ดีควรเป็นอย่างไร? ตามแนวคิดดั้งเดิม เรามักถูกสอนว่ารหัสผ่านควรมีความยาวอย่างน้อย 8 ตัวอักษร ประกอบด้วยตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษผสมกัน และไม่ควรใช้คำที่มีความหมายหรือข้อมูลส่วนตัวที่เดาได้ง่าย เช่น วันเกิดหรือชื่อตัวเองsupport.microsoft.com อย่างไรก็ตาม งานวิจัยด้านความปลอดภัยสมัยใหม่ (เช่น แนวทางของ NIST 2020 เป็นต้น) พบว่าการบังคับใช้ความซับซ้อนรูปแบบเดิมๆ เช่น ต้องมีอักขระพิเศษหรือเปลี่ยนรหัสผ่านบ่อยเกินไป อาจไม่ได้เพิ่มความปลอดภัยอย่างที่คิด เพราะผู้ใช้มักสร้างรหัสผ่านที่เป็นแพตเทิร์นซ้ำๆ แก้ไขเพียงเล็กน้อยจากรหัสผ่านเดิมหรือใช้วิธีที่คาดเดาง่ายเพื่อจำให้ง่าย เช่น เติมตัวเลขท้ายคำง่ายๆ ใส่อักษรตัวใหญ่ขึ้นต้น หรือเปลี่ยนตัวอักษรบางตัวเป็นสัญลักษณ์ (เช่นเปลี่ยน “a” เป็น “@”) ซึ่งกลายเป็นว่ารหัสผ่านที่ดูซับซ้อนกลับเดาง่ายโดยวิธีสุ่มเดาแบบลองผสมตามแพตเทิร์นยอดนิยมของมนุษย์yushisolutions.co.th

 

แนวทางใหม่จึงให้ความสำคัญกับ “ความยาว” ของรหัสผ่านมากกว่า “ความซับซ้อนตามรูปแบบ” (Complexity)yushisolutions.co.th รหัสผ่านที่ยาว (เช่น 12-16 ตัวอักษรขึ้นไป) จะคาดเดาได้ยากกว่ารหัสสั้นๆ อย่างมีนัยสำคัญ แม้จะไม่มีสัญลักษณ์พิเศษเลยก็ตาม ตัวอย่างเช่น รหัสผ่าน “CorrectHorseBatteryStaple” (ซึ่งเป็นการนำคำธรรมดาสี่คำมาต่อกัน) มีความยาวและสุ่มมากพอที่จะเดาแทบไม่ได้ ต่างจาก “P@ssw0rd” ที่แม้มีตัวอักษรพิเศษปนและดูซับซ้อน แต่ความยาวสั้นและเป็นคำที่พบบ่อย ทำให้ถูกแฮ็กได้ง่ายกว่า

 

Passphrases – วลีรหัสผ่าน: การใช้วลีหรือประโยคที่จดจำง่ายแต่ยาว (passphrase) เป็นแนวทางที่ NIST และผู้เชี่ยวชาญแนะนำ ตัวอย่างเช่น “IlovePhuketBeaches!2023” เป็นประโยคที่คนตั้งอาจจำง่าย (เพราะชอบหาดภูเก็ต) แต่มีความยาวและผสมตัวอักษรหลายประเภทแบบเป็นธรรมชาติ ทำให้ยากต่อการเดาโดยวิธี Brute-force หรือดิกชันนารี สามารถเพิ่มความยากขึ้นไปอีกโดยการสอดแทรกช่องว่าง (ถ้าระบบอนุญาต) หรือใช้อักษรย่อจากวลีที่เราคิดขึ้นเอง

 

นอกจากนั้น ไม่ควรใช้ข้อมูลส่วนตัวหรือคำสามัญในรหัสผ่าน เช่น ชื่อ-นามสกุล วันเกิด เบอร์โทรศัพท์ หรือคำว่า “password” “123456” “qwerty” เพราะข้อมูลเหล่านี้หาได้ง่ายหรือเป็นรหัสยอดนิยมที่อยู่ในพจนานุกรมของแฮ็กเกอร์เรียบร้อยแล้ว รายงานของ ThaiCERT พบว่าเว็บไซต์หลายแห่งยังอนุญาตให้ผู้ใช้ตั้งรหัสผ่านที่อ่อนแอมากๆ ได้ เช่น รหัสผ่าน 6 ตัวอักษรหรือน้อยกว่านั้น ซึ่งทำให้ผู้ใช้ตกอยู่ในความเสี่ยงถูกเจาะบัญชีสูงthaicert.or.ththaicert.or.th เราจึงควรเพิ่มความเข้มงวดให้ตัวเองเกินกว่าที่ระบบบังคับ – แม้ระบบบางแห่งจะไม่กำหนดความยาวขั้นต่ำ 8 ตัว แต่เราก็ควรตั้งให้ยาวเข้าไว้ และหากระบบไม่ให้ใช้ช่องว่างหรือสัญลักษณ์ เราอาจเพิ่มความยาวหรือความพลิกแพลงของคำแทน

 

สรุป:

·        ใช้ รหัสผ่าน/วลีที่ยาว อย่างน้อย 8-12 ตัวอักษรขึ้นไป (ยิ่งยาวยิ่งดี)yushisolutions.co.th

·        ผสมตัวอักษรหลากหลาย หากเป็นไปได้ (ตัวเล็ก, ตัวใหญ่, ตัวเลข, สัญลักษณ์) แต่ไม่เป็นแพตเทิร์นตายตัว เช่น ไม่ใช่คำในพจนานุกรมตรงๆ หรือรูปแบบที่คนส่วนใหญ่ใช้

·        ไม่ใช้ข้อมูลส่วนตัวหรือคำยอดนิยม เป็นส่วนหนึ่งของรหัสผ่าน

·        ไม่ใช้รหัสผ่านซ้ำระหว่างบัญชี (ซึ่งจะกล่าวรายละเอียดในหัวข้อถัดไป)

·        หากเป็นไปได้ เลือก วลีรหัสผ่าน ที่จำง่ายสำหรับตนเองแต่คนอื่นเดาแทบไม่ได้ แทนที่จะพยายามคิดคำสั้นๆ ที่ต้องใส่อักขระพิเศษ

3.2 การจัดการรหัสผ่านหลายบัญชีและการหลีกเลี่ยงรหัสผ่านซ้ำ

ในโลกออนไลน์ เรามีบัญชีผู้ใช้จำนวนมาก ทั้งบัญชีอีเมล เฟซบุ๊ก ไลน์ ช้อปปิ้งออนไลน์ แอปธนาคาร ฯลฯ แต่ละบัญชีก็ต้องการรหัสผ่าน การจำรหัสผ่านที่แตกต่างกันมากมายอาจเป็นเรื่องยากสำหรับหลายคน ดังนั้นผู้ใช้จำนวนไม่น้อยจึง แก้ปัญหาด้วยการตั้งรหัสผ่านชุดเดียวใช้กับทุกบัญชี หรือใช้รหัสผ่านซ้ำกันเป็นกลุ่มๆ ซึ่งเป็น แนวทางที่อันตรายมาก เพราะหากรหัสผ่านชุดนั้นหลุดไป (เช่น เว็บไซต์เล็กๆ แห่งหนึ่งที่เราใช้เกิดโดนแฮ็กฐานข้อมูล) ผู้โจมตีจะลองนำรหัสผ่านเดียวกันนี้ไปพยายามล็อกอินในบริการยอดนิยมอื่นๆ ต่อทันที (ที่เรียกว่า Credential Stuffing หรือ Replay Attack) ก่อให้เกิด “ลูกโซ่” การโดนขโมยบัญชีครั้งใหญ่ แม้บริการหลักอย่างอีเมลหรือธนาคารจะไม่เคยโดนเจาะโดยตรง แต่ก็อาจโดนยึดบัญชีเพราะเราใช้รหัสผ่านเดียวกับบริการที่ความปลอดภัยต่ำกว่า

 

ดังนั้น “หนึ่งบัญชีต่อหนึ่งรหัสผ่าน” คือหลักที่ต้องยึดถือ สำหรับบริการสำคัญยิ่งควรแน่ใจว่ารหัสผ่านไม่ซ้ำกับที่อื่นเลย ยกตัวอย่างเหตุการณ์จริงในปี 2020 ที่ Microsoft เปิดเผยว่า แต่ละเดือนมีบัญชีองค์กรกว่า 1.2 ล้านบัญชีถูกเจาะ และ 99% ของการเจาะเหล่านั้นเกี่ยวข้องกับการใช้รหัสผ่านซ้ำหรือการไม่เปิด MFAnews.sophos.comnews.sophos.com ผู้ใช้บางคนนำรหัสผ่านอีเมลองค์กรไปใช้ซ้ำกับเว็บอื่น แล้วเว็บนั้นโดนแฮ็กทำให้ข้อมูลรั่วออกมา แฮ็กเกอร์จึงได้รหัสผ่านนั้นมาและลองเข้าบัญชีอื่นๆ จนสำเร็จ กรณีเช่นนี้พบได้บ่อยจนน่ากังวล

 

จะจัดการรหัสผ่านจำนวนมากอย่างไรดี? แน่นอนว่าการจำรหัสผ่าน 10-20 บัญชีโดยให้แต่ละอันไม่ซ้ำกันและเดายากเป็นเรื่องที่ “มนุษย์” ทั่วไปแทบจะทำไม่ได้ นี่ยังไม่นับคำแนะนำให้เปลี่ยนรหัสผ่านเป็นระยะ (แม้ปัจจุบันจะไม่บังคับเปลี่ยนถ้าไม่จำเป็น แต่นานๆ ไปเราก็ควรปรับปรุงรหัสผ่านบ้าง) วิธีแก้ปัญหาที่มีประสิทธิภาพคือ การใช้โปรแกรมจัดการรหัสผ่าน (Password Manager)

3.3 ใช้ประโยชน์จากโปรแกรมจัดการรหัสผ่าน (Password Manager)

Password Manager คือซอฟต์แวร์หรือบริการที่ช่วยเราเก็บรักษารหัสผ่านจำนวนมากได้อย่างปลอดภัยภายในที่เดียว ผู้ใช้เพียงจำ “รหัสผ่านหลัก” (Master Password) ของโปรแกรมนี้เพียงรหัสเดียว ก็จะสามารถเข้าถึงคลังรหัสผ่านทั้งหมดที่จัดเก็บไว้และให้โปรแกรมช่วยกรอกล็อกอินตามเว็บไซต์/แอปต่างๆ โดยอัตโนมัติได้ ข้อดีของการใช้ Password Manager ได้แก่:

·        สร้างรหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันสำหรับทุกบัญชี: โปรแกรมส่วนใหญ่มีฟังก์ชัน Password Generator สร้างรหัสผ่านสุ่มที่ยาวและซับซ้อนให้ทันที ทำให้เราไม่ต้องมาปวดหัวคิดเอง แถมมั่นใจได้ว่ารหัสผ่านแต่ละบัญชีจะไม่ซ้ำกัน

·        ไม่ต้องจำรหัสผ่านจำนวนมาก: เราเพียงจำรหัสผ่านหลักที่ใช้ปลดล็อกโปรแกรม (ควรเป็นรหัสผ่านที่รัดกุมเช่นกัน) และให้โปรแกรมจัดการที่เหลือ เมื่อไม่ต้องพยายามจำเอง ผู้ใช้ก็มีแนวโน้มจะไม่ใช้วิธีลดทอนความปลอดภัย (เช่น ตั้งรหัสสั้นๆ หรือใช้ซ้ำ) อีกต่อไป

·        สะดวกและรวดเร็ว: Password Manager หลายตัวสามารถผนวกกับเบราว์เซอร์หรือมือถือ เมื่อถึงหน้าล็อกอิน โปรแกรมจะกรอก Username/Password ให้โดยอัตโนมัติ ลดเวลาพิมพ์และความผิดพลาด

ตัวอย่างโปรแกรมจัดการรหัสผ่านยอดนิยม เช่น 1Password, LastPass, KeePass, Dashlane, Bitwarden เป็นต้น แต่ละตัวมีจุดเด่นต่างกันไป ทั้งแบบบริการคลาวด์และแบบออฟไลน์ ผู้ใช้ควรเลือกที่น่าเชื่อถือและเหมาะกับตนเอง

 

ความปลอดภัยของ Password Manager: หลายคนอาจกังวลว่าการเอารหัสผ่านทุกอย่างมาเก็บไว้ที่เดียวกัน จะกลายเป็น “ไข่ทั้งหมดในตะกร้าใบเดียว” ที่ถ้าตะกร้านั้นถูกเจาะก็จบหรือไม่ คำตอบคือ หากเลือกใช้โปรแกรมที่มีมาตรฐานความปลอดภัยสูง โอกาสข้อมูลจะรั่วไหลเองนั้นน้อยมาก (เช่น KeePass เป็นโอเพ่นซอร์สที่ผ่านการตรวจสอบเยอะ หรือ 1Password/Bitwarden ใช้การเข้ารหัสแบบ end-to-end ที่แม้เซิร์ฟเวอร์โดนแฮ็ก ข้อมูลก็ยังถูกเข้ารหัสอยู่) อย่างไรก็ตาม ก็เคยเกิดเหตุไม่คาดฝันได้ เช่น กรณีบริษัท LastPass โดนโจมตีในปี 2022 ทำให้ข้อมูล vault ที่เข้ารหัสของผู้ใช้รั่วออกมา แม้คนร้ายจะปลดล็อกไม่ได้ง่ายๆ แต่ก็สร้างความตระหนกให้ผู้ใช้หลายราย ทางที่ดี ควรตั้งรหัสผ่านหลักให้แข็งแกร่งมากและไม่ซ้ำกับอะไรเลย เพื่อป้องกันข้อมูลใน Password Manager ของเราถูกถอดรหัสกรณีที่เลวร้ายที่สุด

 

ข้อควรระวัง:

·        ระวังโปรแกรมจัดการรหัสผ่านปลอม: เนื่องจาก Password Manager ได้รับความนิยมมากขึ้น แฮ็กเกอร์บางกลุ่มจึงพยายามสร้างโปรแกรมจัดการรหัสผ่านปลอมมาหลอกให้คนติดตั้ง เช่น กรณีล่าสุดที่ ThaiCERT เตือนว่าพบโปรแกรม KeePass (ชื่อดัง) เวอร์ชันปลอมที่ถูกดัดแปลงฝังมัลแวร์ชื่อ “KeeLoader” มาแจกจ่าย โดยมันทำงานเหมือนของจริงทุกประการเพื่อไม่ให้ผู้ใช้สงสัย แต่เบื้องหลังแอบขโมยข้อมูลที่ผู้ใช้เก็บใน KeePass (รวมถึงรหัสผ่านทั้งหมด) และอาจติดตั้งเครื่องมือเจาะระบบเพิ่มเติมด้วยthaicert.or.th ดังนั้นควรดาวน์โหลดโปรแกรมจัดการรหัสผ่านจากเว็บไซต์ทางการของผู้พัฒนาเท่านั้น ไม่ดาวน์โหลดจากลิงก์ที่คนอื่นส่งให้หรือเว็บแหล่งที่ไม่น่าเชื่อถือ

·        อย่าให้ผู้อื่นรู้รหัสผ่านหลัก: หลักการเดียวกับรหัสผ่านทั่วไป แต่สำคัญยิ่งกว่า เพราะหากรหัสผ่านหลักหลุด คนร้ายจะเข้าถึงรหัสผ่านอื่นๆ ทั้งหมดได้ทันที

·        เปิดใช้ 2FA ในตัวโปรแกรมจัดการรหัสผ่าน (ถ้ามี): บริการบางตัวเช่น LastPass, 1Password รองรับการยืนยันตัวตนแบบหลายปัจจัยในการเข้าถึง vault ของเราเองด้วย ควรเปิดใช้เพื่อเพิ่มความปลอดภัยอีกชั้น

·        สำรองข้อมูล vault เป็นระยะ: ในกรณีที่ใช้โปรแกรมแบบออฟไลน์เช่น KeePass ควรเก็บสำเนาฐานข้อมูลรหัสผ่านไว้อีกที่ (เช่น ใน drive ที่เข้ารหัส) เผื่อไฟล์หลักเสียหายจะได้ไม่สูญเสียรหัสผ่านทั้งหมด

·        เปลี่ยนรหัสผ่านที่สำคัญทันทีเมื่อสงสัยข้อมูลรั่วไหล: หากมีข่าวว่าบริการใดบริการหนึ่งที่เราใช้งานโดนแฮ็กจนข้อมูลผู้ใช้รั่วออกมา (เช่น เว็บไซต์ถูกโจมตีฐานข้อมูล) แม้รหัสผ่านอาจถูกเข้ารหัสไว้อยู่ แต่เราควรเปลี่ยนรหัสผ่านของบริการนั้นทันที และถ้ารหัสผ่านนั้นเคยใช้ซ้ำที่อื่น (กรณีที่ยังใช้รหัสผ่านซ้ำ) ก็ควรเปลี่ยนที่อื่นด้วย เพราะข้อมูลเหล่านั้นอาจถูกนำไปทดลองใช้เพื่อเจาะบัญชีอื่น

3.4 นโยบายการเปลี่ยนรหัสผ่านและการตรวจสอบรหัสผ่านรั่ว

ควรเปลี่ยนรหัสผ่านบ่อยแค่ไหน? ในอดีต หลายองค์กรบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านทุกๆ 90 วันหรือทุก 6 เดือน โดยหวังว่าจะลดโอกาสที่รหัสผ่านที่หลุดออกไปจะถูกใช้ได้นาน แต่จากการศึกษา (และคำแนะนำล่าสุดของ NIST) พบว่าการบังคับเปลี่ยนบ่อยเกินไปอาจทำให้รหัสผ่านที่ผู้ใช้ตั้งใหม่นั้นอ่อนแอลง (เพราะผู้ใช้มักขี้เกียจคิดรหัสผ่านใหม่จริงๆ จึงใช้วิธีเปลี่ยนแค่เล็กน้อยจากรหัสผ่านเดิม เช่น เติมเลขท้ายเพิ่ม 1)yushisolutions.co.th ดังนั้น NIST จึงแนะนำว่า ไม่ควรบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อยโดยไม่มีสาเหตุ แต่ให้ขยายระยะเวลาการเปลี่ยนออกไปและใช้วิธีอื่นประกอบ เช่น การตรวจจับว่ารหัสผ่านผู้ใช้ตรงกับรายการรหัสผ่านที่เคยหลุดมาก่อนหรือไม่ (หากตรงก็บังคับให้เปลี่ยนทันที) รวมถึงมีระบบแจ้งเตือนเมื่อมีเหตุผิดปกติ เช่น ล็อกอินจากที่อยู่ใหม่หรือมีความพยายามเข้าสู่ระบบล้มเหลวหลายครั้งyushisolutions.co.th อย่างไรก็ดี ผู้ใช้ทั่วไปควรเปลี่ยนรหัสผ่านทันทีในกรณีต่อไปนี้:

·        สงสัยว่ารหัสผ่านอาจถูกขโมยหรือรั่วไหล: เช่น เผลอคลิกลิงก์ฟิชชิงแล้วกรอกข้อมูลไป, เครื่องคอมติดมัลแวร์, หรือมีเหตุให้เชื่อว่าคนอื่นล่วงรู้รหัสผ่านของเรา

·        มีเหตุด้านความปลอดภัยในบริการนั้นๆ: เช่น ผู้ให้บริการประกาศว่าพบการเข้าถึงผิดปกติในบัญชีของเรา หรือข่าวว่าบริษัทถูกเจาะระบบ (แม้เขาจะบอกว่ารหัสผ่านถูกเข้ารหัสก็เพื่อความชัวร์ควรเปลี่ยน)

·        เราใช้รหัสผ่านนั้นซ้ำกับบริการอื่นแล้วหนึ่งในบริการเหล่านั้นถูกแฮ็ก: กรณีนี้ต้องรีบเปลี่ยนทุกรายการที่ใช้รหัสผ่านซ้ำกัน

การไม่ต้องเปลี่ยนรหัสผ่านตามกำหนดไม่ได้แปลว่าไม่ต้องเปลี่ยนเลยตลอดไป ผู้ใช้ควรประเมินความเสี่ยงตามกาลเวลา เช่น หากใช้รหัสผ่านเดิมมาเป็นสิบปี แม้จะไม่เคยหลุด แต่อาจถึงเวลาควรเปลี่ยนใหม่ให้แข็งแรงขึ้นกว่าเดิม เพราะเทคโนโลยีการถอดรหัสก็พัฒนาขึ้นเรื่อยๆ รหัสที่เคยปลอดภัยเมื่อสิบปีก่อนอาจไม่ปลอดภัยพอในปัจจุบัน

 

การตรวจสอบรหัสผ่านรั่วไหล: มีเครื่องมือออนไลน์บางอย่าง เช่น เว็บไซต์ Have I Been Pwned (haveibeenpwned.com) ที่รวบรวมฐานข้อมูลอีเมลและรหัสผ่านที่เคยหลุดจากการแฮ็กเว็บไซต์ต่างๆ ผู้ใช้สามารถใส่อีเมลของตัวเองเพื่อตรวจสอบได้ว่าอีเมลเราปรากฏอยู่ในเหตุข้อมูลรั่วใดบ้าง (และเว็บไซต์จะแจ้งคร่าวๆ ว่าเป็นข้อมูลหลุดจากที่ไหนเมื่อไหร่) รวมถึงมีบริการตรวจรหัสผ่านแบบไม่เปิดเผยตัว (Passwords Pwned) ให้เราสามารถเช็ครหัสผ่าน (ที่แฮชแล้ว) กับฐานข้อมูลกว่า 600 ล้านรหัสที่เคยหลุดได้ หากพบว่ารหัสผ่านที่เราใช้อยู่เคยหลุดมาก่อน ก็ควรเปลี่ยนใหม่ทันที อย่างไรก็ดี ไม่ควรกรอกรหัสผ่านจริงลงไปในเว็บที่ไม่น่าเชื่อถือ เพราะอาจกลายเป็นการส่งให้มิจฉาชีพเสียเอง (Have I Been Pwned เป็นของผู้เชี่ยวชาญด้านความปลอดภัยและมี API แบบไม่ต้องส่งรหัสเต็มทั้งชุด ผู้ใช้ระดับสูงสามารถศึกษาการใช้งานได้)

 

สรุป: หลักในการตั้งและจัดการรหัสผ่านในปัจจุบันคือ ใช้รหัสผ่านที่เดายาก (ยาวและไม่ซ้ำใคร) สำหรับทุกบัญชี ใช้เครื่องมือช่วยจำอย่าง Password Manager อย่างปลอดภัย หมั่นเฝ้าระวังเหตุผิดปกติและเปลี่ยนรหัสผ่านเมื่อมีความเสี่ยงหรือเหตุจำเป็น และเปิดใช้ 2FA ทุกครั้งที่ทำได้เพื่อเสริมความปลอดภัย

สรุปประเด็นสำคัญท้ายบท

·        สร้างรหัสผ่านให้คาดเดายาก: เน้นรหัสผ่านที่ ยาวและไม่ซ้ำใคร มากกว่าการใส่อักขระพิเศษแบบฝืนธรรมชาติ รหัสผ่านควรมีความยาวอย่างน้อย 8-12 ตัว และหากเป็นวลีที่จำง่ายแต่ยาวก็จะดี เช่น “ประโยคหรือวลีที่เรารู้ความหมาย” แทนที่จะเป็นคำสั้นๆ ที่เติมตัวเลขyushisolutions.co.th

·        หลีกเลี่ยงรหัสผ่านที่คาดเดาง่ายและข้อมูลส่วนบุคคล: อย่าใช้คำธรรมดา (เช่น “password”, “iloveyou”) หรือข้อมูลส่วนตัว (ชื่อเล่น วันเกิด เบอร์โทร) เป็นรหัสผ่าน เพราะแฮ็กเกอร์มีรายการคำและข้อมูลเหล่านี้พร้อมทดลองอยู่แล้ว นอกจากนี้อย่าใช้รหัสผ่านยอดแย่ที่ติดอันดับประจำปี เช่น 123456, qwerty ฯลฯ

·        อย่าใช้รหัสผ่านซ้ำในหลายบัญชี: หากบริการหนึ่งถูกแฮ็กและรหัสผ่านหลุด จะทำให้บัญชีอื่นๆ ของคุณตกอยู่ในความเสี่ยง ใช้รหัสผ่านไม่ซ้ำกันสำหรับแต่ละบัญชี เสมอ เพื่อกันภัย “โดมิโน” จากการที่รหัสผ่านชุดเดียวถูกใช้ทั่วทุกบริการnews.sophos.com

·        ใช้โปรแกรมจัดการรหัสผ่านช่วยจำ: แทนที่จะพยายามจำรหัสผ่านจำนวนมากด้วยตัวเอง (ซึ่งมักนำไปสู่การใช้รหัสซ้ำหรือรหัสสั้นๆ) ให้ใช้ Password Manager ที่น่าเชื่อถือเก็บรหัสผ่านอย่างปลอดภัย และสร้างรหัสผ่านสุ่มที่แข็งแรงให้แต่ละบัญชี การใช้เครื่องมือเหล่านี้จะช่วยแก้ปัญหา “จำรหัสไม่ไหว” ได้อย่างมีประสิทธิภาพ แต่ต้องรักษาความปลอดภัยของรหัสผ่านหลักและเลือกใช้ซอฟต์แวร์ทางการที่เชื่อถือได้เท่านั้นthaicert.or.th

·        อัปเดตรหัสผ่านเมื่อจำเป็น: ไม่จำเป็นต้องเปลี่ยนรหัสผ่านบ่อยตามปฏิทินหากไม่มีเหตุผิดปกติ แต่ควรเปลี่ยนทันทีเมื่อสงสัยว่ารหัสผ่านอาจถูกขโมยหรือเมื่อมีเหตุข้อมูลรั่วไหลที่เกี่ยวข้อง นอกจากนี้ควรเปิดใช้ระบบแจ้งเตือนการล็อกอินจากอุปกรณ์ใหม่ๆ ของบริการต่างๆ และเปิดใช้ 2FA เพื่อลดโอกาสบัญชีถูกเจาะ แม้รหัสผ่านจะหลุดออกไปก็ตามyushisolutions.co.th

คำถามฝึกหัดท้ายบท (พร้อมเฉลย)

1.      รหัสผ่าน “P@ssw0rd!” ถือว่าเป็นรหัสผ่านที่ปลอดภัยหรือไม่? เพราะเหตุใด
เฉลย: รหัสผ่าน P@ssw0rd! แม้จะมีการใช้อักขระหลากหลาย (ตัวใหญ่, ตัวเล็ก, ตัวเลข, เครื่องหมาย) แต่ถือว่าไม่ปลอดภัย เนื่องจากมันสั้น (8 ตัวอักษร) และเป็นการดัดแปลงคำว่า “password” ซึ่งเป็นคำทั่วไปที่อยู่ในฐานข้อมูลรหัสผ่านยอดนิยมของแฮ็กเกอร์อยู่แล้ว จึงคาดเดาได้ไม่ยากด้วยวิธีลองคำในพจนานุกรม นอกจากนี้การแทนที่ตัวอักษรด้วยสัญลักษณ์แบบนี้ (เช่น a -> @, o -> 0) เป็นแพตเทิร์นที่รู้กันดี ส่งผลให้รหัสผ่านนี้ถูกแคร็กได้เร็ว คำแนะนำคือตั้งรหัสผ่านที่ไม่เกี่ยวกับคำในพจนานุกรม หรือใช้วลีที่ยาวกว่านี้และไม่มีรูปแบบที่เดาทางง่าย

2.      การใช้โปรแกรมจัดการรหัสผ่านช่วยให้เราปลอดภัยขึ้นได้อย่างไร?
เฉลย: โปรแกรมจัดการรหัสผ่านช่วยให้เราสร้างและจัดเก็บรหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันสำหรับทุกบัญชีโดยที่เราไม่ต้องจำเองทั้งหมด ซึ่งลดปัญหาการใช้รหัสผ่านซ้ำหรือการตั้งรหัสผ่านสั้นๆ เพื่อให้ง่ายต่อการจำไปได้มาก เราเพียงจำรหัสผ่านหลักของโปรแกรมและล็อกอินผ่านมันอย่างปลอดภัย โปรแกรมจะกรอกรหัสผ่านที่ซับซ้อนยาวๆ ให้เราเอง ทำให้บัญชีต่างๆ ของเรามีรหัสผ่านที่เดายากกว่าการที่เราตั้งเองแบบง่ายๆ ยิ่งไปกว่านั้น Password Manager บางตัวสามารถแจ้งเตือนได้หากรหัสผ่านของเรามีความเสี่ยงหรือซ้ำกับผู้อื่น ช่วยให้เรารับรู้และแก้ไขได้ทันการณ์ อย่างไรก็ตาม เราต้องรักษาความปลอดภัยของรหัสผ่านหลักของโปรแกรมนี้ให้ดี ไม่เปิดเผยให้ใครรู้ และเลือกใช้โปรแกรมจากผู้ให้บริการที่น่าเชื่อถือเท่านั้น

3.      เพื่อนของคุณใช้รหัสผ่านเดียวกันสำหรับ Facebook, อีเมล และบัญชีธนาคาร คุณจะอธิบายความเสี่ยงของพฤติกรรมนี้ให้เพื่อนเข้าใจได้อย่างไร?
เฉลย: การใช้รหัสผ่านชุดเดียวกับทุกบริการเป็นพฤติกรรมที่เสี่ยงมาก เพราะถ้ารหัสผ่านนั้นหลุดจากที่ใดที่หนึ่ง (เช่น เว็บไซต์เล็กๆ ถูกแฮ็กทำให้ข้อมูลรั่ว หรือเผลอใส่รหัสผ่านลงในเว็บปลอม) คนร้ายจะสามารถนำรหัสผ่านนั้นไปลองล็อกอินเข้าบริการอื่นๆ ของเพื่อนได้ทันที ซึ่งในกรณีนี้หมายถึงเข้าถึง Facebook อีเมล และที่อันตรายที่สุดคือบัญชีธนาคารของเพื่อน แฮ็กเกอร์มักทำแบบนี้เป็นประจำอยู่แล้ว (เรียกว่า Credential Stuffing) จึงมีโอกาสสูงที่เพื่อนจะสูญเสียทุกบัญชีต่อเนื่องกันเป็นลูกโซ่ ผม/ดิฉันจะแนะนำเพื่อนให้เปลี่ยนรหัสผ่านของแต่ละบริการให้แตกต่างกันโดยเร็ว และควรเปิดใช้ 2FA ด้วย โดยอาจจะใช้โปรแกรมช่วยจำรหัสผ่านเพื่อความสะดวก ซึ่งจะดีกว่าการใช้รหัสผ่านซ้ำกันมาก ส่วนบัญชีธนาคารที่มีความสำคัญยิ่ง ก็ควรรีบเปลี่ยนรหัสทันทีและอาจแจ้งธนาคารให้รับทราบเพื่อความปลอดภัย