เชื่อว่าหลายคนคงจะทราบกันดีอยู่แล้วว่าประเด็นข่าวที่บรรดาสื่อไทยต่างพากันจับตามองนั่นคือ ประเด็นที่บัญชีผู้ใช้ทวิตเตอร์ของนายกรัฐมนตรียิ่งลักษณ์ ชินวัตร ถูกมือดีสวมรอยเข้าใช้ชื่อบัญชีดังกล่าว แล้วทำการโพสต์ข้อความในเชิงโจมตีทั้งตัวนายกฯ พรรคเพื่อไทย นอกจากนี้ยังมีความท้าทายส่งผ่านไปยังตัวนายกฯ เองด้วยว่าเพียงแค่บัญชีส่วนตัวทวิตเตอร์ยังรักษาไม่ได้ แล้วจะปกป้องประเทศอย่างไร
อย่างที่ทราบกัน ขณะนี้ได้มีการแถลงข่าวจากรัฐมนตรีกระทรวง ICT อนุดิษฐ์ นาครทรรพ ว่าในบัญชีทวิตเตอร์ของนายกฯ นอกจากตัวนายกเอง ยังมีทีมงานอีก 1 คนที่รู้รหัสผ่านการเข้าใช้งาน ซึ่งล่าสุดรมว. ICT ได้เปิดเผยว่ามีการติดต่อไปยังทีมงานทวิตเตอร์เพื่อขอข้อมูล Log Files ดังกล่าวเพื่อตามล่าหามือดีที่ทำการแฮกครั้งนี้
สิ่งที่เห็นได้ชัดๆ จากการที่บัญชีผู้ใช้โซเชียลเน็ตเวิร์กของผู้นำประเทศถูกโจรกรรมในครั้งนี้ เป็นสิ่งที่สะท้อนให้เห็นว่าประเด็นการให้ความสำคัญของพาสเวิร์ดยังถูกมองข้าม ไม่ให้ความสำคัญมากนัก
การตั้งพาสเวิร์ดที่คนส่วนใหญ่นิยมตั้งกัน มักจะเป็นตัวเลขง่ายๆ ซ้ำๆ กัน หรือใช้อักษรภาษาอังกฤษที่มีความเกี่ยวข้องกับตัวเอง ไม่ว่าจะเป็นชื่อสัตว์เลี้ยง วันเดือนปีเกิด เป็นต้น รวมไปถึงการใช้งานพาสเวิร์ดที่เป็นรูปแบบของคำศัพท์ธรรมดาที่มีอยู่ในพจนานุกรมภาษาอังกฤษ
**ทำไมถึงไม่ควรตั้งรหัสผ่านที่มีในพจนานุกรมภาษาอังกฤษ ?
นั่นเป็นเพราะว่ากระบวนการในแคร็กรหัสผ่าน สามารถทำได้โดยง่ายถ้าหากเป้าหมายใช้รหัสผ่านที่เป็นภาษาอังกฤษ การแคร็กพาสเวิร์ดดังกล่าว เพียงแค่ใช้วิธีกระบวนการ Brute Force หรือ Dictionary Attack ก็ดึงรหัสผ่านนั้นๆ ได้แล้ว โดยใช้เวลาเพียงแค่ชั่วอึดใจเดียว ถ้าเป็นแบบนี้เราควรจะตั้งรหัสผ่านอย่างไรถึงจะแข็งแกร่งและคาดเดาได้ยาก หลักการในการตั้งรหัสผ่านที่ดี คือควรมีสัญลักษณ์หรืออักขระพิเศษลงไปในรหัสผ่าน และเพื่อให้รหัสผ่านมีความแข็งแกร่งมากขึ้นคือ ควรมีการผสมกันของอักขระตัวพิมพ์ใหญ่ปะปนกับไปพยัญชนะตัวพิมพ์เล็กในภาษาอังกฤษ หรืออาจจะแทรกภาษาไทยเข้าไปในรหัสผ่านเพื่อเพิ่มความยากในการคาดเดา
เหนือสิ่งอื่นใด ต่อให้คุณตั้งรหัสผ่านที่ดีมากแค่ไหนก็ตาม แต่หากด้วยความที่คุณยังเป็นมนุษย์ ความผิดพลาดย่อมมีวันเกิดขึ้น อันดับแรกการคือการล็อกอินรหัสผ่านค้างไว้ในมือถือหรือเบราวเซอร์ ทั้งเฟซบุ๊ก ทวิตเตอร์ อีเมล ถ้าเกิดมีคนที่จะต้องการกลั่นแกล้งคุณ เพียงแค่เข้าไปเปิดเครื่องของคุณ เขาก็สามารถทำอะไรกับบัญชีผู้ใช้ต่างๆ ของคุณได้เลยทันที โดยที่คุณไม่ทันรู้ตัว คำแนะนำถ้าหากคุณใช้งานเฟซบุ๊ก ทวิตเตอร์ หรืออีเมลเสร็จเป็นที่เรียบร้อยแล้ว ก็ควรที่จะล็อกเอาต์เครื่อง อย่างน้อยๆ เพื่อเป็นหลักประกันว่าจะไม่มีใครแอบอ้างเอาบัญชีคุณไปใช้งานลับหลัง
สำหรับเครื่องประจำสำนักงาน สิ่งหนึ่งที่ผู้ใช้ต้องพึงระวังคือ ไม่ควรที่จะแปะรหัสผ่านของเราที่หน้าจอคอมพิวเตอร์ หรือจดโน้ตเอาไว้ที่บนโต๊ะ อย่าลืมว่ารหัสผ่านเป็นสิ่งที่เราต้องจำให้ได้ และไม่ควรที่จะบอกให้ใครรู้ ให้นึกเสียว่ารหัสผ่านการเข้าใช้งานด้านต่างๆ ของเราบนเว็บไซต์นั้นก็มีความสำคัญใกล้เคียงกับรหัสผ่าน ATM ที่เราควรจะให้ความสำคัญเท่าๆ กัน
นอกจากนี้โดยทั่วไปการเข้าใช้งานเว็บเบราวเซอร์ เมื่อมีการเข้าใช้งานเว็บไซต์ที่มีการกรอกชื่อบัญชีและรหัสผ่าน จะมีหน้าต่างขึ้นมาถามเราว่า ต้องการที่จะให้จดจำรหัสผ่านนี้หรือไม่ สำหรับคำแนะนำในเรื่องนี้ เห็นควรว่าจะต้องปฎิเสธไม่ให้มีการจดจำรหัสผ่าน อย่าลืมว่าถ้าหากเราให้มีการจดจำรหัสผ่าน แล้วผู้ใช้งานอย่างเราๆ เกิดลืมที่จะล็อกเอาต์ออก ผลที่เกิดขึ้นหลังจากนั้น เราไม่สามารถคาดเดาได้ว่าจะมีใครเข้ามาใช้งานเครื่องต่อจากเราหรือไม่
ประเด็นนี้ต้องฝากถึงไปยังกลุ่มคนที่ใช้เครื่องคอมพิวเตอร์สาธารณะตามอินเทอร์เน็ต คาเฟ่ ที่มีโอกาสสุ่มเสี่ยงที่จะลืม แล้วโดนผู้ไม่ประสงค์ดีมุ่งทำร้ายต่อบัญชีผู้ใช้ของเราที่มีการล็อกอินค้างเอาไว้ได้ การใช้งานตามร้านอินเทอร์เน็ต คาเฟ่ ควรจะต้องระวังในเรื่อง Keylogger อีกเรื่องหนึ่ง ซึ่งวิธีการป้องกันก็คือ ไม่ควรกรอกรหัสผ่านในช่องสำหรับกรอกรหัสผ่านเลย ควรจะคีย์ตัวอักษรที่อื่นๆ เช่นใน notepad สลับกับช่องกรอกรหัสผ่าน เพื่อให้ผู้ไม่ประสงค์ดีไม่สามารถคาดเดาได้ว่าข้อมูบที่มีการคีย์ผ่านคีย์บอร์ดมีอะไรบ้าง
**Twitter มีฟีเจอร์ในการป้องกันอะไรบ้าง
ส่วนการป้องกันตัวเองคร่าวๆ จากฟีเจอร์ที่มีในทวิตเตอร์ ให้ไปที่ Setting > Account แล้วเลื่อนไปด้านล่างสุดจะมี HTTPS only ให้ติ๊กถูก ซึ่งการเข้าใช้โปรโตคอลด้วย HTTPS (HTTPS เป็นโปรโตคอลที่จะเป็นการสร้างการสื่อสารแบบเข้ารหัส ซึ่งการเชื่อมต่อแบบ HTTPS มักจะใช้ในธุรกรรมทางการเงินบนเว็บ รวมถึงการรักษาความลับต่างๆ) ทำให้การเข้าใช้งานทวิตเตอร์ทุกครั้งมีการเข้ารหัส ซึ่งทำให้แพกเกจที่มีการส่งออกไปนั้น มีการเข้ารหัสยากที่จะถูกแกะแพกเกจระหว่างทางได้
**แล้ว Facebook ล่ะ ?
ด้านการป้องกันของ Facebook ก็มีโปรโตคอล HTTPS เช่นกัน โดยผู้ใช้จะต้องไปที่ Account Setting > Security แล้วติ๊กถูกที่ Secure Browsing แล้วกด Save Changes
**มีโปรแกรมสร้าง Password ไหม ?
จริงๆ มันก็มีโปรแกรมประเภทนี้อยู่ ถ้าหากเราลองค้นหาด้วยคีย์เวิร์ดคำว่า Password Generator ก็คงจะเจอโปรแกรมและเว็บไซต์ที่จะช่วยสร้างรหัสผ่านจำนวนมาก แต่โปรแกรมประเภทนี้จะสร้างรหัสผ่านที่ค่อนข้างจำได้ยาก เนื่องจากเป็นการผสมจากตัวอักษร อักขระพิเศษ ตัวเลข
อย่างไรก็ตาม ถ้าหากคิดไม่ออกแล้วจริงๆ ว่าจะใช้รหัสผ่านอะไรดี แนะนำให้ไปที่ http://www.pctools.com/guides/password/ และ http://strongpasswordgenerator.com/ ซึ่งเราสามารถกำหนดค่าต่างๆ ได้ และเมื่อเรา Generate Password มันจะมีทิปเล็กๆ น้อยๆ สำหรับให้ผู้ใช้ได้จำรหัสผ่านที่ทางเว็บสร้างให้
**ถ้าอยากรู้ว่ารหัสผ่านที่เราตั้งแข็งแกร่งมากน้อยเพียงใด ต้องทำยังไง ?
ง่ายมาก เพียงแค่เข้าไปที่ https://www.microsoft.com/canada/athome/security/privacy/password_checker.mspx ทางเว็บไซต์ก็จะบอกว่า รหัสผ่านที่เรากรอกไปนั้นมีความเข้มแข็งขนาดไหน จะมีตั้งแต่ระดับ Weak, Medium, Strong และ Best
ขอเตือนอีกครั้งหนึ่ง ถึงแม้ว่าเราจะมีระบบการป้องกันเรื่องรหัสผ่าน รหัสผ่านที่ตั้งเข้มแข็งมาก เหนือสิ่งอื่นใดถ้าหากเรายังประมาท หรือไม่เห็นความสำคัญ การป้องกันทั้งหมดก็ไม่สามารถช่วยอะไรคุณได้
อย่างที่ทราบกัน ขณะนี้ได้มีการแถลงข่าวจากรัฐมนตรีกระทรวง ICT อนุดิษฐ์ นาครทรรพ ว่าในบัญชีทวิตเตอร์ของนายกฯ นอกจากตัวนายกเอง ยังมีทีมงานอีก 1 คนที่รู้รหัสผ่านการเข้าใช้งาน ซึ่งล่าสุดรมว. ICT ได้เปิดเผยว่ามีการติดต่อไปยังทีมงานทวิตเตอร์เพื่อขอข้อมูล Log Files ดังกล่าวเพื่อตามล่าหามือดีที่ทำการแฮกครั้งนี้
สิ่งที่เห็นได้ชัดๆ จากการที่บัญชีผู้ใช้โซเชียลเน็ตเวิร์กของผู้นำประเทศถูกโจรกรรมในครั้งนี้ เป็นสิ่งที่สะท้อนให้เห็นว่าประเด็นการให้ความสำคัญของพาสเวิร์ดยังถูกมองข้าม ไม่ให้ความสำคัญมากนัก
การตั้งพาสเวิร์ดที่คนส่วนใหญ่นิยมตั้งกัน มักจะเป็นตัวเลขง่ายๆ ซ้ำๆ กัน หรือใช้อักษรภาษาอังกฤษที่มีความเกี่ยวข้องกับตัวเอง ไม่ว่าจะเป็นชื่อสัตว์เลี้ยง วันเดือนปีเกิด เป็นต้น รวมไปถึงการใช้งานพาสเวิร์ดที่เป็นรูปแบบของคำศัพท์ธรรมดาที่มีอยู่ในพจนานุกรมภาษาอังกฤษ
**ทำไมถึงไม่ควรตั้งรหัสผ่านที่มีในพจนานุกรมภาษาอังกฤษ ?
นั่นเป็นเพราะว่ากระบวนการในแคร็กรหัสผ่าน สามารถทำได้โดยง่ายถ้าหากเป้าหมายใช้รหัสผ่านที่เป็นภาษาอังกฤษ การแคร็กพาสเวิร์ดดังกล่าว เพียงแค่ใช้วิธีกระบวนการ Brute Force หรือ Dictionary Attack ก็ดึงรหัสผ่านนั้นๆ ได้แล้ว โดยใช้เวลาเพียงแค่ชั่วอึดใจเดียว ถ้าเป็นแบบนี้เราควรจะตั้งรหัสผ่านอย่างไรถึงจะแข็งแกร่งและคาดเดาได้ยาก หลักการในการตั้งรหัสผ่านที่ดี คือควรมีสัญลักษณ์หรืออักขระพิเศษลงไปในรหัสผ่าน และเพื่อให้รหัสผ่านมีความแข็งแกร่งมากขึ้นคือ ควรมีการผสมกันของอักขระตัวพิมพ์ใหญ่ปะปนกับไปพยัญชนะตัวพิมพ์เล็กในภาษาอังกฤษ หรืออาจจะแทรกภาษาไทยเข้าไปในรหัสผ่านเพื่อเพิ่มความยากในการคาดเดา
เหนือสิ่งอื่นใด ต่อให้คุณตั้งรหัสผ่านที่ดีมากแค่ไหนก็ตาม แต่หากด้วยความที่คุณยังเป็นมนุษย์ ความผิดพลาดย่อมมีวันเกิดขึ้น อันดับแรกการคือการล็อกอินรหัสผ่านค้างไว้ในมือถือหรือเบราวเซอร์ ทั้งเฟซบุ๊ก ทวิตเตอร์ อีเมล ถ้าเกิดมีคนที่จะต้องการกลั่นแกล้งคุณ เพียงแค่เข้าไปเปิดเครื่องของคุณ เขาก็สามารถทำอะไรกับบัญชีผู้ใช้ต่างๆ ของคุณได้เลยทันที โดยที่คุณไม่ทันรู้ตัว คำแนะนำถ้าหากคุณใช้งานเฟซบุ๊ก ทวิตเตอร์ หรืออีเมลเสร็จเป็นที่เรียบร้อยแล้ว ก็ควรที่จะล็อกเอาต์เครื่อง อย่างน้อยๆ เพื่อเป็นหลักประกันว่าจะไม่มีใครแอบอ้างเอาบัญชีคุณไปใช้งานลับหลัง
สำหรับเครื่องประจำสำนักงาน สิ่งหนึ่งที่ผู้ใช้ต้องพึงระวังคือ ไม่ควรที่จะแปะรหัสผ่านของเราที่หน้าจอคอมพิวเตอร์ หรือจดโน้ตเอาไว้ที่บนโต๊ะ อย่าลืมว่ารหัสผ่านเป็นสิ่งที่เราต้องจำให้ได้ และไม่ควรที่จะบอกให้ใครรู้ ให้นึกเสียว่ารหัสผ่านการเข้าใช้งานด้านต่างๆ ของเราบนเว็บไซต์นั้นก็มีความสำคัญใกล้เคียงกับรหัสผ่าน ATM ที่เราควรจะให้ความสำคัญเท่าๆ กัน
นอกจากนี้โดยทั่วไปการเข้าใช้งานเว็บเบราวเซอร์ เมื่อมีการเข้าใช้งานเว็บไซต์ที่มีการกรอกชื่อบัญชีและรหัสผ่าน จะมีหน้าต่างขึ้นมาถามเราว่า ต้องการที่จะให้จดจำรหัสผ่านนี้หรือไม่ สำหรับคำแนะนำในเรื่องนี้ เห็นควรว่าจะต้องปฎิเสธไม่ให้มีการจดจำรหัสผ่าน อย่าลืมว่าถ้าหากเราให้มีการจดจำรหัสผ่าน แล้วผู้ใช้งานอย่างเราๆ เกิดลืมที่จะล็อกเอาต์ออก ผลที่เกิดขึ้นหลังจากนั้น เราไม่สามารถคาดเดาได้ว่าจะมีใครเข้ามาใช้งานเครื่องต่อจากเราหรือไม่
ประเด็นนี้ต้องฝากถึงไปยังกลุ่มคนที่ใช้เครื่องคอมพิวเตอร์สาธารณะตามอินเทอร์เน็ต คาเฟ่ ที่มีโอกาสสุ่มเสี่ยงที่จะลืม แล้วโดนผู้ไม่ประสงค์ดีมุ่งทำร้ายต่อบัญชีผู้ใช้ของเราที่มีการล็อกอินค้างเอาไว้ได้ การใช้งานตามร้านอินเทอร์เน็ต คาเฟ่ ควรจะต้องระวังในเรื่อง Keylogger อีกเรื่องหนึ่ง ซึ่งวิธีการป้องกันก็คือ ไม่ควรกรอกรหัสผ่านในช่องสำหรับกรอกรหัสผ่านเลย ควรจะคีย์ตัวอักษรที่อื่นๆ เช่นใน notepad สลับกับช่องกรอกรหัสผ่าน เพื่อให้ผู้ไม่ประสงค์ดีไม่สามารถคาดเดาได้ว่าข้อมูบที่มีการคีย์ผ่านคีย์บอร์ดมีอะไรบ้าง
**Twitter มีฟีเจอร์ในการป้องกันอะไรบ้าง
ส่วนการป้องกันตัวเองคร่าวๆ จากฟีเจอร์ที่มีในทวิตเตอร์ ให้ไปที่ Setting > Account แล้วเลื่อนไปด้านล่างสุดจะมี HTTPS only ให้ติ๊กถูก ซึ่งการเข้าใช้โปรโตคอลด้วย HTTPS (HTTPS เป็นโปรโตคอลที่จะเป็นการสร้างการสื่อสารแบบเข้ารหัส ซึ่งการเชื่อมต่อแบบ HTTPS มักจะใช้ในธุรกรรมทางการเงินบนเว็บ รวมถึงการรักษาความลับต่างๆ) ทำให้การเข้าใช้งานทวิตเตอร์ทุกครั้งมีการเข้ารหัส ซึ่งทำให้แพกเกจที่มีการส่งออกไปนั้น มีการเข้ารหัสยากที่จะถูกแกะแพกเกจระหว่างทางได้
**แล้ว Facebook ล่ะ ?
ด้านการป้องกันของ Facebook ก็มีโปรโตคอล HTTPS เช่นกัน โดยผู้ใช้จะต้องไปที่ Account Setting > Security แล้วติ๊กถูกที่ Secure Browsing แล้วกด Save Changes
**มีโปรแกรมสร้าง Password ไหม ?
จริงๆ มันก็มีโปรแกรมประเภทนี้อยู่ ถ้าหากเราลองค้นหาด้วยคีย์เวิร์ดคำว่า Password Generator ก็คงจะเจอโปรแกรมและเว็บไซต์ที่จะช่วยสร้างรหัสผ่านจำนวนมาก แต่โปรแกรมประเภทนี้จะสร้างรหัสผ่านที่ค่อนข้างจำได้ยาก เนื่องจากเป็นการผสมจากตัวอักษร อักขระพิเศษ ตัวเลข
อย่างไรก็ตาม ถ้าหากคิดไม่ออกแล้วจริงๆ ว่าจะใช้รหัสผ่านอะไรดี แนะนำให้ไปที่ http://www.pctools.com/guides/password/ และ http://strongpasswordgenerator.com/ ซึ่งเราสามารถกำหนดค่าต่างๆ ได้ และเมื่อเรา Generate Password มันจะมีทิปเล็กๆ น้อยๆ สำหรับให้ผู้ใช้ได้จำรหัสผ่านที่ทางเว็บสร้างให้
**ถ้าอยากรู้ว่ารหัสผ่านที่เราตั้งแข็งแกร่งมากน้อยเพียงใด ต้องทำยังไง ?
ง่ายมาก เพียงแค่เข้าไปที่ https://www.microsoft.com/canada/athome/security/privacy/password_checker.mspx ทางเว็บไซต์ก็จะบอกว่า รหัสผ่านที่เรากรอกไปนั้นมีความเข้มแข็งขนาดไหน จะมีตั้งแต่ระดับ Weak, Medium, Strong และ Best
ขอเตือนอีกครั้งหนึ่ง ถึงแม้ว่าเราจะมีระบบการป้องกันเรื่องรหัสผ่าน รหัสผ่านที่ตั้งเข้มแข็งมาก เหนือสิ่งอื่นใดถ้าหากเรายังประมาท หรือไม่เห็นความสำคัญ การป้องกันทั้งหมดก็ไม่สามารถช่วยอะไรคุณได้