วิธีการตั้ง Password ที่ดี + ขั้นตอนปฏิบัติเพื่อให้ปลอดภัยในโลกยุคอินเตอร์เนต

18 Jan 2020 Technology

Photo by Silas Köhler / Unsplash

ปัจจุบันคนไทยใช้อินเตอร์เนตมากขึ้น รวมถึงผู้สูงอายุ หรือรุ่นพ่อ รุ่นแม่เรา ก็ใช้อินเตอร์เนตจากการที่โทรศัพท์มือถือสามารถเข้าถึงได้ทุกคน ทีนี้ก็เกิดปัญหาอย่างนึงคือ หลายๆคนยังไม่รู้วิธีการดูแล Password หรือรหัสผ่าน ต่อไปจะเรียกว่ารหัสผ่านละกันครับ

บางครั้ง มีกรณีที่โดนแฮ็ค แอคเค้าท์ Facebook บ้าง โดนแฮ็คอีเมล์ โดนบัตรเครดิตต่างๆ ซึ่งมันเกิดจากหลายสาเหตุ หลายปัจจัย เช่น

  • รหัสผ่านหลุดจากเว็บผู้ให้บริการ
  • โดนพวก Phishing Website (เว็บไซต์ปลอมที่ทำหน้าตาให้เหมือนเว็บจริง เพื่อหลอกเอารหัสผ่าน)
  • โดยสวมรอย Email โดน Email ปลอม โดนหลอกให้กด Link
  • ผ่าน Website หรือ App ที่เป็น spyware แอบอ่านข้อมูลของเรา
  • การตั้งรหัสผ่านที่ง่าย (บทความนี้จะเน้นเรื่องนี้ครับ)

ซึ่งบทความนี้ผมจะมาให้ความรู้ เกี่ยวกับรหัสผ่านกันครับ ซึ่งผมมองว่าเป็นขั้นตอนแรกของการป้องกันรหัสผ่านของเรา เพื่อให้สามารถใช้งานอินเตอร์เนตได้อย่างปลอดภัยมากขึ้น

ตัวอย่างเช่น เว็บนี้ https://haveibeenpwned.com/ สำหรับตรวจเช็คว่าอีเมล์ของเรา หลุดในโลกอินเตอร์เนตหรือไม่ ถ้าหลุด และเราใช้บริการเหล่านั้น ก็ควรรีบเปลี่ยนทันที

ตัวอย่างเว็บ haveibeenpwned.com ใส่อีเมล์เพื่อเช็คได้เลยครับ (เว็บนี้ปลอดภัยครับ)

ตัวอย่างอีเมล์หรือรหัสผ่านที่หลุดในอินเตอร์เนต เช่น

  • 700 ล้านอีเมล์หลุด
  • Zynga บริษัทเกม ทำข้อมูลหลุด กระทบ 172ล้านคน
  • NetEase ทำหลุด กระทบ 200ล้าน
  • MySpace, Twitter, Patreon ก็มีหลุดมาแล้ว และเยอะมากๆ
  • รายชื่อเว็บต่างๆ มีอีกเพียบ ดูได้ที่นี่

ข้อควรระวังเกี่ยวกับ Password

Password หรือรหัสผ่าน ก็เปรียบเสมือนกุญแจบ้านของเรานั่นเอง ฉะนั้นเราก็ต้องดูแลรักษามันอย่างดีครับ และนี้คือตัวอย่างคร่าวๆ ที่ควรหลีกเลี่ยงเกี่ยวกับรหัสผ่าน

  • ไม่ควรให้รหัสผ่านกับใคร แม้จะเป็นธนาคาร ก็ตาม เพราะถ้าเป็นธนาคาร หรือผู้ให้บริการ เค้าจะมีวิธีเข้าถึงข้อมูลเรา โดยไม่จำเป็นต้องขอรหัสผ่าน
  • รหัสผ่านยอดนิยมที่คนมักนำไปตั้ง เช่น pass1235, qwerty, q1w2e3, mypass เป็นต้น หรือแม้แต่ตั้งรหัส คำไทย แต่ใช้แป้นอังกฤษ ถ้าคำง่ายๆ ก็ไม่ปลอดภัยเช่นกัน
  • ไม่ควรตั้งรหัสผ่าน ซ้ำกันกับเว็บอื่นๆ
  • ตั้งรหัสโดยใช้ ตัวอักษร ตัวเลข และอักขระพิเศษ รวมกัน
  • ห้ามเซฟรหัสผ่าน เป็นไฟล์ text หรือ word ไว้เด็ดขาด รวมถึงแปะ Post it ไว้บนหน้าจอคอม ก็ห้ามทำ
  • ใช้ Password Manager เช่น 1Password มาช่วยในการบริหารจัดการ รหัสผ่าน
  • ใช้การยืนยันตัวตนแบบ 2 ขั้นตอน หรือ 2FA (2 Factor Authentication) - เป็นการยืนยันเหมือน OTP ครับ คือจะมีรหัสผ่านมาให้อีกชุดหลังเราล็อคอิน ผ่านทาง SMS หรือผ่านแอพที่ชื่อว่า Google Authentication ครับ ซึ่งส่วนนี้แต่ละเว็บผู้ให้บริการ เราต้องไปทำการตั้งค่า เปิดใช้งานเองนะครับ
  • การใช้งานผ่าน Browser ต่างๆ ไม่ควรใช้กับจดจำรหัสผ่าน หรือ Save Password ไว้ที่เว็บบราวเซอร์
  • ไม่ควรใช้งาน หรือเข้าเว็บที่ไม่ปลอดภัย สังเกตจาก url ต้องเป็น https เท่านั้น (เว็บที่ไม่ปลอดภัยจะขึ้น Not Secure บน Address bar ครับ)
ตัวอย่างเว็บที่ปลอดภัย เวลากดที่กุญแจตรงช่องใส่ URL จะเป็นแบบนี้
Password Manager for Families, Businesses, Teams | 1Password
1Password remembers your passwords all for you. Save your passwords and log in to sites with a single click. It’s that simple.
เว็บ 1Password ไว้สำหรับจัดการรหัสผ่าน 
Easy Peasy Password
Generate a strong and funny password that you can probably remember. Done by (almost) Flawless team.

ตัวอย่างเว็บ Easy Peasy Password ด้านบน ที่ Generate Password ให้เราครับ โดยทำให้ Password เราที่ตั้งดูจำง่าย เพราะเหมือนเราจำคำศัพท์ แต่ใช้หลักการผสมตัวเลข อักขระพิเศษ เริ่มต้นให้เราใส่พวกรายละเอียด เช่น กิจกรรม สีที่ชอบ ทำอะไรอยู่ เป็นต้น แล้วเลือกว่าจะให้ Password เป็นแบบไหน เช่น ทุกๆคำขึ้นต้นด้วยตัวใหญ่ หลังจาก Generate แล้ว จะได้ Password ประมาณนี้

T0day_I_Wa5_#ff3366_But_Y0u_Can’t_St0p_Me_Sleep_T1ll_11PM

ซึ่งเป็น Password ที่ดีมากครับ ยาว ผสมทั้งตัวใหญ่ ตัวเล็ก ตัวเลข อักขระพิเศษ แทบไม่มีโอกาสเดาได้ถูกเลย


หลักการเก็บรหัสผ่าน

ผมขอพูดเรื่อง Technical นิดนึงนะครับ เพื่อให้ทุกคนได้เห็นภาพร่วมกันเนาะ ปกติแล้ว Password เราๆ เนี่ย ที่ตั้งไว้ เช่น MyPass1234 เวลาที่เราใช้งานเข้าสู่ระบบของเว็บในอินเตอร์เนต

  1. มันจะถูกพิมพ์อยู่บนเครื่องเรา บนเว็บก็เป็น Browser บนมือถือก็เป็น App หรือ Browser (หรือบางครั้งก็เป็น App keyword ที่เราลงเพิ่มกัน)
  2. เมื่อเข้าระบบ ข้อมูลก็จะถูกส่งมาที่เว็บที่เราใช้ (เรียกว่า Server ละกัน) เช่น Facebook, หรือล็อคอิน Pantip เป็นต้น
  3. เวลาที่เราสมัครครั้งแรก ตัว Server จะเก็บ Password เรา โดย ไม่ได้เก็บตรงๆ ที่เราพิมพ์ไว้ แต่จะใช้วิธีการที่เรียกว่า การ Hash คือการเข้ารหัสผ่าน ด้วยกระบวนการอะไรซักอย่าง จนทำให้รหัสผ่านของเรา กลายเป็น Text ที่เราไม่สามารถเดา หรืออ่านได้เลย ว่าคืออะไร เช่น MyPassword1234 พอ Hash แล้วอาจจะได้เป็น $2y$12$dtVXYU5X0/DjBYzX1d.NYOc1PQ8sZdHzhKtaPbMhPrHlj07yUuYaC และค่านี้ก็จะถูกเก็บไว้ที่ฐานข้อมูลของ Server (จะเห็นว่าไม่มีใครสามารถรู้รหัสผ่านเราได้)
  4. ทุกครั้งที่เราเข้าสู่ระบบ ตัว Server มันก็จะทำการ Hash รหัสที่เรากรอก (ซึ่งจะได้ผลลัพธ์ที่ Hash แล้ว ไม่เหมือนกันนะครับ) จากนั้น ก็เอาไปเปรียบเทียบกับข้อ 3 คือรหัสผ่าน ตอนสมัคร ที่มันถูก Hash ไว้แล้ว และอยู่ในฐานข้อมูล นำทั้ง 2 ค่า มาเปรียบเทียบกันด้วยวิธีการบางอย่าง ก็จะรู้ว่า Hash ทั้ง 2 ค่านี้ (ที่คนละค่ากันนะครับ) มัน Match กันรึเปล่า ถ้า Match แสดงว่าเราใส่รหัสผ่านถูก (ซึ่งจะเห็นว่ากระบวนการนี้ ฝั่ง Server จะไม่รู้ Password จริงๆของเราเลย)
  5. จะเห็นว่าแม้แต่ Server เองก็ไม่รู้รหัสผ่านเรา ทีนี้กรณีที่เราลืมรหัสผ่านละ เราทำยังไง จะกู้รหัสเดิมยังไง? ไม่สามารถรู้ได้ครับ ระบบทำได้แต่ส่ง Reset Password เข้าอีเมล์ เพื่อให้เรา Click เพื่อทำการ Reset Password ใหม่เท่านั้นครับ (และก็สามารถแค่เช็คว่า รหัสผ่านที่ใส่มาใหม่ มันซ้ำกับที่เคยใช้หรือเปล่า เท่านั้น โดยเทียบกับ Hash แต่ก็ไม่สามารถระบุ รหัสผ่านจริงๆของเราได้)

พอเราเห็นกระบวนการเก็บรหัสผ่าน การเข้ารหัสด้วย Hash การเช็ค Hash ตอนล้อคอิน ซึ่งเป็นสิ่งที่ทุกๆ  Server หรือทุกๆเว็บที่ให้บริการควรทำ แต่ก็มีหลายๆเว็บที่ละเลยครับ เช่น

  1. เก็บรหัสผ่านเป็น Text โดยไม่ทำการ Hash ซึ่งรหัสผ่านที่เรากรอกไป ถูกเก็บไว้ใน Server ใครก็เห็นรหัสผ่านของเรา (วิธีการสังเกต ก็คือ การลืมรหัสผ่าน หรือ Reset Password ถ้าเว็บไหน ส่งรหัสผ่านเรากลับมา หรือรู้รหัสผ่านเราเป็น Text เลย เว็บนั้นไม่ปลอดภัยครับ และแนะนำ เมื่อเรารู้ ควรรีบเปลี่ยนรหัสผ่านทันที)
  2. และกรณีที่มีข่าว เว็บโดนแฮ็ค ข้อมูลลูกค้า ข้อมูล Email หลุดหมดเลย ถ้ากรณีเว็บที่เก็บ Text แน่นอน แอคเค้าทั้งหมด ก็คงไม่เหลือครับ เพราะใครๆก็เข้าได้ เพราะเห็น Password หมดเลย แต่ถ้าเราเข้ารหัส Hash ไว้ แม้ข้อมูลหลุดไป ก็ยังมีโอกาส ที่เค้าได้แค่ Hash ไป ก็ไม่รู้รหัสผ่านจริงๆอยู่ดี
  3. กรณีที่ Hacker ได้รหัสผ่านไปที่เข้ารหัสไว้ แล้วเค้าสุ่มรหัสได้ คือเกิดจากการสุ่มแบบ Bruce Force หรือสุ่มจากรหัสผ่านพื้นฐาน ที่คนชอบตั้งครับ ฉะนั้นใครที่ตั้ง Password ง่าย โดยไม่คำนึงถึงข้อกำหนด ก็จะมีโอกาสโดนสุ่ม รหัส และ Match กับ Hash ของเราได้ง่ายนั่นเอง
ฉะนั้นก็ลองกลับไปอ่าน ข้อควรระวังในการตั้งรหัสผ่าน และทำการตั้งรหัสผ่านให้ปลอดภัยกันนะครับ

Hacker binary attack code. Made with Canon 5d Mark III and analog vintage lens, Leica APO Macro Elmarit-R 2.8 100mm (Year: 1993)
Photo by Markus Spiske / Unsplash

ทำไมเราโดนแฮ็ค?

เคยสงสัยมั้ยครับ ว่าทำไมเราๆ หรือเพื่อนๆหลายๆคนมักโดนแฮ็ค โดนยึดแอคเค้าท์ จริงๆแล้ว มันมีหลายปัจจัย แต่โดยส่วนมากเลยคือจะเป็นเรื่องพื้นฐานทั้งหลายที่เรามองข้ามกันนั่นเอง และถึงแม้เราจะป้องกันดีแค่ไหน เราก็อุ่นใจไม่ได้ครับ ว่าจะไม่มีวันโดนแฮ็ค แต่อย่างน้อย เราก็ป้องกันระดับนึงครับ ทำให้มันยากขึ้นสำหรับคนที่จะแฮ็คเรา

ปัจจัยที่เราโอนแฮ็ค ผมขอแยกเป็น 2 เรื่องละกัน คือ 1. ตัวเราเอง และ 2. คือเว็บที่เราใช้บริการ

ซึ่งข้อ 2 เราไม่สามารถหลีกเลี่ยงได้เลย เพราะว่ามันขึ้นอยู่กับทางเว็บที่เราใช้บริการแล้วครับ ว่ามีความปลอดภัยแค่ไหน และน่าเชื่อถือแค่ไหน แต่สิ่งที่เราสามารถป้องกันและสังเกตได้ก็คือหลีกเลี่ยงเว็บที่

  • ไม่ Secure ไม่รองรับการเข้าใช้งานแบบ HTTPS
  • พยายามไม่เข้าเว็บ หรือล็อคอินจาก Wifi ตามที่สาธารณะ (ถ้าให้ดี อาจจะใช้พวก VPS มาช่วย และเว็บก็ควรเป็น https ครับ )
  • เก็บ Password เป็น Text (ต้องลองกดลืมรหัสผ่าน หรือ Reset Password)
  • ความน่าเชื่อถือ(ข้อนี้ก็ขึ้นอยู่กับดุลพินิจแต่ละคนแล้วครับ เพราะผม หรือใครก็ไม่สามารถการันตี หรือยืนยันได้ว่า เว็บแต่ละที่ เค้าจะไม่เก็บรหัสผ่านเรา อาจจมีแอบเก็บ หรือทำรหัสผ่านเราหลุดในขั้นตอนไหนก็ได้)

ที่นี้ ข้อที่ 1 คือตัวเราเอง เราสามารถทำอะไรได้บ้างละ?

  • ดูแลตัวเองครับ เช่น ไม่โหลด App มั่วซั่ว เพราะอาจจะมีบาง App ที่แอบเป็น Spy สามารถอ่านสิ่งที่เราพิมพ์ Keyboard ได้ หรืออ่านข้อมูลที่เราล็อคอินต่างๆ ได้
  • ไม่โหลดโปรแกรมมั่ว หรือเข้าเว็บไซต์ที่มีอันตราย เพราะมีโอกาสที่จะถูกโจมตี และแอบฝังสคริปอะไรบางอย่าง ที่แอบสะกดรอยเรา ไปเว็บอื่นๆ และแอบส่งข้อมูลกลับได้
  • หลักการตั้ง Password อย่างที่บอกไปแล้ว ในหัวข้อด้านบนครับ พยายามตั้งให้ปลอดภัย ใช้ 2FA หรือ Password Manager เช่น 1Password
  • หากต้องการทำพวกธุรกรรม และใช้ Internet แบบสาธารณะ แนะนำให้เลี่ยง ไปใช้งานบน App ของธนาคารนั้นๆ หรือถ้าเลี่ยงไม่ได้ แนะนำใช้ VPS ครับ
  • จริงๆ Wifi ตามหอพัก ตามร้านกาแฟ ตามที่สาธารณะ ก็ไม่ได้ปลอดภัยมากครับ ก็ยังมีโอกาสที่เราจะมีโอกาสโดนคนบางคน แอบอ่าน ข้อมูลเรา ก่อนส่งไปที่ Server ได้ (แต่ก็อาจจะยาก และถ้าเว็บเป็น HTTPS ก็ช่วยป้องกันได้ครับ)
  • บัญชี Email เป็นอีกบัญชี ที่ค่อนข้างสำคัญครับ เพราะส่วนมาก (คนส่วนใหญ่เลยแหละ) นิยม ผูกบัญชีกับ Email และก็เป็นเป้าหมายให้แฮคเกอร์ ชอบโจมตีเช่นกัน เพราะถ้าแฮคเกอร์เข้าถึง Email เราได้ ก็มีโอกาส ไปแฮคเว็บอื่นๆ ของเราครับ เช่น ไปขอ Reset Password แต่ละเว็บ ซึ่งพอ Email เราโดนแฮ็คก็เปลี่ยนรหัสผ่านเว็บอื่นๆที่ผูกอีเมล์ไปได้สบายๆเลย
  • บัญชี Social Media ก็สำคัญไม่แพ้กัน เช่น Facebook, Twitter บางคนเลือกสมัครบริการเว็บต่างๆ ด้วยการ Login ผ่าน Facebook หรือ Twitter และถ้า Social ของเราถูกแฮ็คแน่นอน ก็มีโอกาสที่เว็บอื่นๆ ที่เราใช้งานโดนไปด้วย และถ้าผูกบัญชี Social จริงๆ เราก็ต้องดูว่าเว็บนั้นขอ Permission แค่ไหน เช่น บางเว็บขอทุกอย่าง ทำได้ทุกอย่าง เสมือนเราเลย แบบนี้ก็ไม่ดี ไม่ควรใช้ เพราะเค้าสามารถยึด account เราได้เลย
  • เวลาติดตั้ง App บนมือถือ ควรดู Permission ที่แต่ละแอพขอให้ดีๆ ว่าขอเข้าถึงอะไรบ้าง เข้าดู Contact เราได้มั้ย อ่านอีเมล์เรา อ่าน Message เราได้มั้ย หรือเข้าถึง Drive Storage ต่างๆ ก็ต้องพิจารณา ว่าเราจะไว้ใจได้แค่ไหน เป็นต้น
  • ไม่กด Link, อ่านอีเมล์ หรือรูปต่างๆ ที่ไม่น่าเชื่อถือ เช่น Link จาก spam mail หรือ Link จาก social ที่ใครส่งมาก็ไม่รู้ พยายามหลีกเลี่ยงเลยครับ
  • พูดถึงการแฮ็คอีเมล์ และวิธีการโจมตีของแฮคเกอร์ ก็คือ การทำอีเมล์ให้คล้ายๆกับอีเมล์จริงๆ เช่น ปลอมตัวเป็น Apple ส่งจดหมายมาขอรหัสผ่าน หรือ Google เพื่อให้เรากรอกรหัสผ่าน หรือเว็บธนาคาร ส่งมาให้เรากรอกรหัสผ่าน หรือมีช่วงก่อนหน้านี้ มีอีเมล์หลอกให้กรอก รหัสผ่าน ไม่งั้น Facebook ของเราจะโดนปิด ซึ่งทั้งหมดเป็นผู้สวมรอยทั้งสิ้น ฉะนั้นทุกๆ อีเมล์เราควรสังเกต ควรระวัง กันซักนิดนะครับ พยายามอ่าน domain และชื่อว่าใช่จริงๆมั้ย และถ้าอีเมล์ไหนขอรหัสผ่าน หรือเด้งไปหน้า Popup ให้ใส่รหัสผ่าน ให้เราหยุด และคิดให้ดีก่อนครับ สันนิตฐานได้เลยว่าเป็นเว็บปลอม

สรุป

บทความนี้ก็เป็นเพียงแค่แนะนำการใช้งานรหัสผ่านของเราให้ปลอดภัย การดูแลรักษาแอคเค้าของเรา ซึ่งเป็นขั้นตอนง่ายๆที่ช่วยให้เราปลอดภัยมากขึ้นครับ แต่ทั้งนี้ทั้งนั้น ในโลกของอินเตอร์เนต ไม่มีอะไรที่ปลอดภัย 100% ครับ ฉะนั้น เราก็ต้องหมั่นศึกษา หมั่นอัพเดทข่าวสาร ถ้าเกิดว่าผู้ให้บริการ หรือเว็บไซต์ที่เราใช้งานเกิดทำรหัสผ่านหลุด โดนแฮ็ค สิ่งที่เราต้องทำก็คือ รีบเปลี่ยนรหัสผ่าน รวมถึงรหัสผ่านเว็บไซต์อื่นๆของเราด้วย เพื่อหลีกเลี่ยงการโดนสุ่มแฮ็คจากอีเมล์และรหัสผ่านที่หลุด

สุดท้ายก็หวังว่าบทความนี้จะเป็นประโยชน์ให้กับผู้หลงเข้ามาอ่านหลายๆคน ได้นำไปใช้ ปรับปรุงให้รหัสผ่านของเราปลอดภัยยิ่งขึ้น ผมก็ไม่ใช่ผู้เชี่ยวชาญนะครับ แต่อย่างน้อยก็พอจะแนะนำได้บ้าง และผมก็ยังเชื่อว่าอินเตอร์เนตไม่ได้น่ากลัวอย่างที่คิด ถ้าเราใช้งานเป็น และใช้งานอย่างเหมาะสมครับ หากผู้หลงเข้ามาอ่านคนใด เจอปัญหา อยากสอบถาม สามารถคอมเม้นได้เลยนะครับ ผมจะพยายามช่วย พยายามหาคำตอบมาให้ครับ หรือแม้แต่ผู้เชี่ยวชาญ ถ้าเจอส่วนไหนที่ผมเข้าใจผิด ก็เสนอแนะ ติชมได้เช่นกันครับ ยินดีรับฟังและปรับปรุงครับ

ขอบคุณครับ


📝 Day 17 of #365DaysOfBlogging

#เขียนบล็อก #ฝึกสร้างนิสัย #GoodHabit #Blogging #Password #วิธีตั้งรหัสผ่าน #ตั้งรหัสผ่านยากๆ #รหัสผ่านง่ายโดนแฮ็ค #ตั้งค่าPassword #ป้องกันรหัสผ่าน


Chai Phonbopit

เป็นนักพัฒนาซอฟแวร์ เวลาว่างนอกจาก Coding ก็จะเขียนบล็อกเกี่ยวกับสอนทำเว็บไซต์ สอน Programming ที่ devahoy.com ชื่นชอบการพัฒนาตัวเองและเชื่อว่าการสอนเป็นหนึ่งในวิธีการเรียนรู้ที่ดีที่สุด ❤️🎒🍣🎸⚽️

แสดงความคิดเห็น