เพิ่มความปลอดภัยในการตั้ง password
เทคโนโลยีทางด้านสารสนเทศได้เข้ามากลายเป็นส่วนหนึ่งของชีวิตประจำวันของเราอย่างรวดเร็ว นอกจากจะเข้ามาช่วยอำนวยความสะดวกให้กับการทำงานในหลาย ๆ ด้านแล้ว ช่วยให้เราเข้าถึงแหล่งความรู้ที่มีอยู่มากมายจากหลาย ๆ ที่ทั่วโลก หรือช่วยให้เราสามารถติดต่อสื่อสารข้ามโลกได้ผ่านจอคอมพิวเตอร์ รวมทั้ง ในบางครั้งเรายังสามารถที่จะทำธุรกรรมทางการเงินได้อย่างรวดเร็ว โดยไม่ต้องเสียเวลาไปที่ธนาคาร เพื่อเข้าคิวรอเหมือนอย่างในอดีต เหล่านี้คือ ความสะดวกสบายที่เราได้รับ เมื่อความนิยมทางด้านเทคโนโลยีสารสนเทศแพร่หลายอย่างมาก และเราก็ยอมรับให้ความสะดวกสบายเหล่านี้ กลายมาเป็นส่วนหนึ่งของชีวิตประจำวันของเรา
แต่สิ่งที่ตามมาก็คือ เมื่อการมาถึงของความสะดวกสบาย จะแอบแฝงไว้ด้วยอาชญากรรมทางด้านอิเล็กทรอนิกส์ ที่เกิดขึ้น คู่ขนานไปกับความก้าวหน้าทางเทคโนโลยี ยิ่งเราพึ่งพาอิเล็กทรอนิกส์มากเท่าไหร่ พัฒนาการในการโจรกรรมข้อมูลทางด้านอิเล็กทรอนิกส์ ก็ยิ่งทวีความรุนแรงและก้าวหน้ามากเท่านั้น อาชญากรจะแฝงตัวและสวมรอยเป็นเหยื่อเพื่อเข้าถึงข้อมูลหรือก่อความเสียหายใด ๆ ก็ได้ โดยที่เหยื่อไม่มีทางรู้ตัว หรือ รู้ตัวเมื่อปัญหาบานปลายไปมากแล้ว สิ่งที่เราเลี่ยงไม่ได้เลย คือ การป้องกันตัวเองในเบื้องต้น โดยจะต้องเกี่ยวข้องกับระบบการระบุตัวตนของเราให้ชัดเจน ซึ่งการระบุตัวตนนี้ จะเป็นสิ่งที่บ่งบอกถึงระดับของสิทธิ์ในการเข้าถึงข้อมูลที่เรากำลังทำงานด้วย ระบบการระบุตัวนี้ ประกอบด้วย 3 สิ่ง คือ
- Account คือ ชื่อ username และ password ของผู้ใช้
- Authentication คือ การระบุว่าตัวตนของเราว่า เราเป็นใครในระบบที่เราเกี่ยวข้องอยู่
- Authorize คือ กำหนดระดับของสิทธิ์ในการเข้าถึงข้อมูลของระบบหรือบ่งบอกว่า เรามีสิทธิ์ทำอะไรกับระบบได้บ้าง
3 สิ่งที่กล่าวมาในข้างต้น การ authentication และการ authorization เป็นส่วนที่ผู้ดูแลระบบจะเป็นดำเนินการแทนผู้ใช้ แต่ในส่วนของ account นั้น ผู้ใช้อาจเป็นผู้กำหนดได้ทั้ง username และในส่วนของ password ในส่วนของ username มักจะเป็นส่วนที่ไม่เป็นความลับนัก บางครั้งจะสามารถเปิดเผยได้ ส่วน password จะเป็นส่วนที่มีผลทางด้านความปลอดภัยมากที่สุด เนื่องจาก หากผู้ไม่ประสงค์ดีล่วงรู้ username ของผู้ใช้ได้อย่างถูกต้อง แต่ password ผิด ก็จะทำให้การระบุตัวตนนั้นล้มเหลวได้ และไม่สามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้
การตั้ง password ที่ยาก จึงเป็นเรื่องสำคัญ ที่จะช่วยให้เราปลอดภัยมากยิ่งขึ้น โดยเฉพาะ เมื่อต้องใช้งานระบบที่เป็นสาธารณะ อย่างเช่น อีเมล์ฟรีในอินเตอร์เน็ต หรือการใช้ instant message เป็นต้น บริษัท Microsoft ได้เผยแพร่เอกสารที่น่าสนใจฉบับหนึ่งในนั้น ซึ่งมีหัวข้อว่า “Strong Password” ซึ่งได้ให้คำอธิบายเกี่ยวกับการตั้ง password พอสรุปใจความได้ว่า
“password นั้น จะเป็นด่านแรกที่ป้องกันการเข้าถึงข้อมูลภายในองค์กรโดยไม่ได้รับอนุญาต”
“การตั้ง password ที่ไม่ดี จะทำให้ผู้ที่โจมตี สามารถเข้าสู่ระบบคอมพิวเตอร์และเครือข่ายได้โดยง่าย ในขณะที่การตั้ง password ที่ดีพอ จะยากต่อการแกะรอยแม้จะใช้ซอฟต์แวร์เพื่อการแกะ password ที่มีการพัฒนาอย่างต่อเนื่องและมีประสิทธิ์ภาพสูงขึ้นก็ตาม หรืออาจต้องใช้เวลานานมาก”
แล้วอะไรบ้าง ที่เข้าข่ายการตั้ง password ที่ไม่ดี? เราพิจารณาได้จาก..
- ไม่มี password เลย หากระบบใดที่อนุญาตให้เรามี account ที่ไม่มี password ได้ ระบบนั้นก็อาจถูกแกะรอยเพื่อเข้าถึงข้อมูลโดยผู้ไม่ประสงค์ดีไม่จำเป็นต้องใช้ความพยายามแต่ประการใด
- ใช้คำต่อไปนี้ เป็น password
- ชื่อจริง หรือ นามสกุลจริง ที่คนทั่วไปทราบดีอยู่แล้ว
- ใช้ชื่อของสิ่งที่อยู่ใกล้ตัวผู้ใช้ เช่น ชื่อหน่วยงาน ชื่อคนรู้จักของผู้ใช้ ยี่ห้อรถยนต์ ยี่ห้อคอมพิวเตอร์ หรือคำที่หาได้รอบโต๊ะทำงานของผู้ใช้ เป็นต้น
- ใช้วันเดือนปีเกิดของผู้ใช้ ซึ่งหากนำมาเรียงต่อกันจะได้ 8 หลัก
- ใช้หมายเลขโทรศัพท์ที่มีความเกี่ยวข้องกับผู้ใช้
- ใช้คำที่มีความหมายและหาได้ในพจนานุกรม
- ใช้ตัวเลขที่เป็นอนุกรมกัน เช่น 1111111, 123456789, 987654321 เป็นต้น
- ใช้คำว่า “password” หรือใช้ username มาตั้งเป็น password
จะเห็นว่า การตั้ง password ด้วยคำเหล่านี้ มักเป็นคำที่ง่ายและใกล้ตัวผู้ใช้มาก นั่นย่อมเป็นเบาะแสแรกที่อาชญากรจะนำมาใช้ในการแกะรอยหา password เสมอ เพราะไม่จำเป็นต้องใช้เครื่องมือหรือซอฟต์แวร์ใด ๆ ช่วยเลย และยังใช้เวลาไม่นานอีกด้วย
ส่วนหลักการตั้ง password ที่ดีนั้น มีดังนี้
- ใช้อักขระขั้นต่ำ 7 ตัวอักษร
- ไม่ใช่คำใด ๆ ก็ตามที่เข้าข่ายการตั้ง password ที่ไม่ดี
- ไม่ใช้ password ซ้ำกับ password ที่เคยใช้ไปแล้วในระบบงานอื่น ๆ และการเปลี่ยน password ใหม่ ไม่ควรใช้ password ที่เดิมที่ใช้
- ควรประกอบด้วยอักขระอื่น ๆ หลาย ๆ ตัว ผสมอยู่ใน password ที่ตั้ง เช่น ตัวอักษรพิมพ์เล็ก (a, b, c, d, e…), ตัวอักษรพิมพ์ใหญ่ (A, B, C, D, E….), ตัวเลข (1, 2, 3, 4, 5….) หรือแม้แต่อักขระพิเศษ (~, !, @, #, $, %, ^, &, *, (, ), ) เป็นต้น
- ใช้คำที่ไม่มีในพจนานุกรม
ที่มา
• Strong passwords: How to create and use them, Microsoft, http://www.microsoft.com/protect/yourself/password/create.mspx
จากหลักการข้างต้น สามารถนำมาสร้างเป็น password ได้หลายรูปแบบ อย่างเช่น Ks#47*)@@w^& เป็นต้น หรืออาจใช้โปรแกรมประเภท password generator ช่วยในการตั้ง password ที่มีความยากต่อการแกะรอยได้ เช่น Password Generator ซึ่งสามารถดาวน์โหลดได้ที่ http://www.gaijin.at/
นอกเหนือจากหลักการตั้ง password ที่ดีพอแล้ว พฤติกรรมของผู้ใช้ยังเป็นปัจจัยในการเสริมความเข้มแข็งของ password ด้วย เนื่องจาก บ่อยครั้งที่การตั้ง password ยาก ๆ กลับถูกแกะรอยได้โดยง่าย เพียงเพราะความประมาทของผู้ใช้เพียงครั้งเดียว ฉะนั้น ข้อควรจำสำหรับผู้ใช้ที่ไม่อยากตกเป็นเหยื่อของการถูกแกะรอย password นั้น มีดังนี้
- อย่ากลัวที่จะจำ password ยาก ๆ เพราะการจำ คือ หนึ่งในวิธีบริหารสมอง จะเป็นผลดีในระยะยาว
- อนุโลมให้ใช้คำต่าง ๆ ที่ระบุไว้ว่าเป็นการตั้ง password ที่ไม่ดีได้ แต่ควรใช้วิธีการผสมเป็นคำ เช่น ใช้ชื่อสลับกับปีเกิด สลับกับตัวเลขสี่ตัวท้ายของเบอร์โทร สลับกับนามสกุล 3 ตัวอักษรแรก และผสมการสลับตัวอักษรพิมพ์เล็กพิมพ์ใหญ่ด้วย ตัวอย่างคือ “WisANu769354rAu” เป็นต้น จะทำให้เกิดความซับซ้อนมากยิ่งขึ้น
- ไม่จด username/password ใส่กระดาษ หรือถ้ากลัวลืมจริง ๆ ก็ควรจดลงบนสมุดบันทึกส่วนตัวที่มีแต่เราเท่านั้นที่เปิดอ่านได้ และเมื่อจำได้แล้วให้รีบลบหรือฉีกทิ้งเสีย
- ไม่บอก username/password กับใคร ไม่ว่าจะทางใดก็ตาม
- อย่าใช้ username/password ซ้ำ ๆ กันหลาย ๆ ที่ หลาย ๆ ระบบงาน เพราะหากผู้ไม่ประสงค์ดีแกะรอยได้สำเร็จที่หนึ่ง ก็เท่ากับสามารถแกะรอยที่อื่น ๆ ได้พร้อม ๆ กัน
- ไม่ใช้ตัวเลือกในการช่วยจำ password แทนเรา (เช่น ใน hotmail เป็นต้น) เพราะทำให้ผู้ที่ใช้เครื่องเดียวกัน สามารถเข้าถึงข้อมูลของเรา โดยไม่จำเป็นต้องแกะรอยใด ๆ และเป็นผลเสียต่อการจำ password
- ไม่ส่ง password ผ่านเครือข่าย network หรือ internet ใด ๆ ก็ตาม เช่น อีเมล์, instant message เป็นต้น หรือ application ใด ๆ ก็ตามที่เกี่ยวข้องกับระบบเครือข่าย เนื่องจาก บรรดาแฮกเกอร์ที่อาจแฝงตัวอยู่ในระบบเครือข่ายจะสามารถดักข้อมูลและนำไปถอดรหัสได้อย่างง่ายดาย
เหล่านี้ เป็นส่วนหนึ่งของหลักการตั้ง password ที่ดีให้เราได้นำไปประยุกต์ใช้เพื่อป้องกันการถูกแกะรอย password โดยอาชญากรหรือผู้ไม่ประสงค์ดี เมื่อเรายังอยู่ในโลกของความก้าวหน้าทางเทคโนโลยีที่เราพึ่งพาอยู่ หากเราประมาท ผลร้ายที่จะตามมาอาจมีตั้งแต่เล็กน้อยจนถึงเสียหายทั้งองค์กร ฉะนั้น ความไม่ประมาทจึงเป็นหนทางที่ดีที่สุดที่เราจะมองข้ามเสียมิได้ และต้องประกอบด้วยความรอบคอบต่อการใช้งานระบบอิเล็กทรอนิกส์ จึงจะทำให้เราปลอดภัยจากภัยคุกคามและใช้งานเทคโนโลยีสารสนเทศได้อย่างไร้ความกังวลที่สุด
ที่มา
• Strong passwords: How to create and use them, Microsoft, http://www.microsoft.com/protect/yourself/password/create.mspx
บทความดีมากคับ ควรอ่านและทำอย่างเร่งด่วนเลยครับสมัยนี้ hacker ร้ายกาจมาก
ขอบคุณที่ให้ความสนใจครับ และสามารถติชมเนื้อหาได้นะครับ
ขอบคุณสำหรับคำแนะนำที่ดีมากๆ ค่ะ