เพิ่มความปลอดภัยในการตั้ง password
เทคโนโลยีทางด้านสารสนเทศได้เข้ามากลายเป็นส่วนหนึ่งของชีวิตประจำวันของเราอย่างรวดเร็ว นอกจากจะเข้ามาช่วยอำนวยความสะดวกให้กับการทำงานในหลาย ๆ ด้านแล้ว ช่วยให้เราเข้าถึงแหล่งความรู้ที่มีอยู่มากมายจากหลาย ๆ ที่ทั่วโลก หรือช่วยให้เราสามารถติดต่อสื่อสารข้ามโลกได้ผ่านจอคอมพิวเตอร์ รวมทั้ง ในบางครั้งเรายังสามารถที่จะทำธุรกรรมทางการเงินได้อย่างรวดเร็ว โดยไม่ต้องเสียเวลาไปที่ธนาคาร เพื่อเข้าคิวรอเหมือนอย่างในอดีต เหล่านี้คือ ความสะดวกสบายที่เราได้รับ เมื่อความนิยมทางด้านเทคโนโลยีสารสนเทศแพร่หลายอย่างมาก และเราก็ยอมรับให้ความสะดวกสบายเหล่านี้ กลายมาเป็นส่วนหนึ่งของชีวิตประจำวันของเรา
แต่สิ่งที่ตามมาก็คือ เมื่อการมาถึงของความสะดวกสบาย จะแอบแฝงไว้ด้วยอาชญากรรมทางด้านอิเล็กทรอนิกส์ ที่เกิดขึ้น คู่ขนานไปกับความก้าวหน้าทางเทคโนโลยี ยิ่งเราพึ่งพาอิเล็กทรอนิกส์มากเท่าไหร่ พัฒนาการในการโจรกรรมข้อมูลทางด้านอิเล็กทรอนิกส์ ก็ยิ่งทวีความรุนแรงและก้าวหน้ามากเท่านั้น อาชญากรจะแฝงตัวและสวมรอยเป็นเหยื่อเพื่อเข้าถึงข้อมูลหรือก่อความเสียหายใด ๆ ก็ได้ โดยที่เหยื่อไม่มีทางรู้ตัว หรือ รู้ตัวเมื่อปัญหาบานปลายไปมากแล้ว สิ่งที่เราเลี่ยงไม่ได้เลย คือ การป้องกันตัวเองในเบื้องต้น โดยจะต้องเกี่ยวข้องกับระบบการระบุตัวตนของเราให้ชัดเจน ซึ่งการระบุตัวตนนี้ จะเป็นสิ่งที่บ่งบอกถึงระดับของสิทธิ์ในการเข้าถึงข้อมูลที่เรากำลังทำงานด้วย ระบบการระบุตัวนี้ ประกอบด้วย 3 สิ่ง คือ
- Account คือ ชื่อ username และ password ของผู้ใช้
- Authentication คือ การระบุว่าตัวตนของเราว่า เราเป็นใครในระบบที่เราเกี่ยวข้องอยู่
- Authorize คือ กำหนดระดับของสิทธิ์ในการเข้าถึงข้อมูลของระบบหรือบ่งบอกว่า เรามีสิทธิ์ทำอะไรกับระบบได้บ้าง
3 สิ่งที่กล่าวมาในข้างต้น การ authentication และการ authorization เป็นส่วนที่ผู้ดูแลระบบจะเป็นดำเนินการแทนผู้ใช้ แต่ในส่วนของ account นั้น ผู้ใช้อาจเป็นผู้กำหนดได้ทั้ง username และในส่วนของ password ในส่วนของ username มักจะเป็นส่วนที่ไม่เป็นความลับนัก บางครั้งจะสามารถเปิดเผยได้ ส่วน password จะเป็นส่วนที่มีผลทางด้านความปลอดภัยมากที่สุด เนื่องจาก หากผู้ไม่ประสงค์ดีล่วงรู้ username ของผู้ใช้ได้อย่างถูกต้อง แต่ password ผิด ก็จะทำให้การระบุตัวตนนั้นล้มเหลวได้ และไม่สามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้
การตั้ง password ที่ยาก จึงเป็นเรื่องสำคัญ ที่จะช่วยให้เราปลอดภัยมากยิ่งขึ้น โดยเฉพาะ เมื่อต้องใช้งานระบบที่เป็นสาธารณะ อย่างเช่น อีเมล์ฟรีในอินเตอร์เน็ต หรือการใช้ instant message เป็นต้น บริษัท Microsoft ได้เผยแพร่เอกสารที่น่าสนใจฉบับหนึ่งในนั้น ซึ่งมีหัวข้อว่า “Strong Password” ซึ่งได้ให้คำอธิบายเกี่ยวกับการตั้ง password พอสรุปใจความได้ว่า
“password นั้น จะเป็นด่านแรกที่ป้องกันการเข้าถึงข้อมูลภายในองค์กรโดยไม่ได้รับอนุญาต”
“การตั้ง password ที่ไม่ดี จะทำให้ผู้ที่โจมตี สามารถเข้าสู่ระบบคอมพิวเตอร์และเครือข่ายได้โดยง่าย ในขณะที่การตั้ง password ที่ดีพอ จะยากต่อการแกะรอยแม้จะใช้ซอฟต์แวร์เพื่อการแกะ password ที่มีการพัฒนาอย่างต่อเนื่องและมีประสิทธิ์ภาพสูงขึ้นก็ตาม หรืออาจต้องใช้เวลานานมาก”
แล้วอะไรบ้าง ที่เข้าข่ายการตั้ง password ที่ไม่ดี? เราพิจารณาได้จาก..
- ไม่มี password เลย หากระบบใดที่อนุญาตให้เรามี account ที่ไม่มี password ได้ ระบบนั้นก็อาจถูกแกะรอยเพื่อเข้าถึงข้อมูลโดยผู้ไม่ประสงค์ดีไม่จำเป็นต้องใช้ความพยายามแต่ประการใด
- ใช้คำต่อไปนี้ เป็น password
- ชื่อจริง หรือ นามสกุลจริง ที่คนทั่วไปทราบดีอยู่แล้ว
- ใช้ชื่อของสิ่งที่อยู่ใกล้ตัวผู้ใช้ เช่น ชื่อหน่วยงาน ชื่อคนรู้จักของผู้ใช้ ยี่ห้อรถยนต์ ยี่ห้อคอมพิวเตอร์ หรือคำที่หาได้รอบโต๊ะทำงานของผู้ใช้ เป็นต้น
- ใช้วันเดือนปีเกิดของผู้ใช้ ซึ่งหากนำมาเรียงต่อกันจะได้ 8 หลัก
- ใช้หมายเลขโทรศัพท์ที่มีความเกี่ยวข้องกับผู้ใช้
- ใช้คำที่มีความหมายและหาได้ในพจนานุกรม
- ใช้ตัวเลขที่เป็นอนุกรมกัน เช่น 1111111, 123456789, 987654321 เป็นต้น
- ใช้คำว่า “password” หรือใช้ username มาตั้งเป็น password
จะเห็นว่า การตั้ง password ด้วยคำเหล่านี้ มักเป็นคำที่ง่ายและใกล้ตัวผู้ใช้มาก นั่นย่อมเป็นเบาะแสแรกที่อาชญากรจะนำมาใช้ในการแกะรอยหา password เสมอ เพราะไม่จำเป็นต้องใช้เครื่องมือหรือซอฟต์แวร์ใด ๆ ช่วยเลย และยังใช้เวลาไม่นานอีกด้วย
ส่วนหลักการตั้ง password ที่ดีนั้น มีดังนี้
- ใช้อักขระขั้นต่ำ 7 ตัวอักษร
- ไม่ใช่คำใด ๆ ก็ตามที่เข้าข่ายการตั้ง password ที่ไม่ดี
- ไม่ใช้ password ซ้ำกับ password ที่เคยใช้ไปแล้วในระบบงานอื่น ๆ และการเปลี่ยน password ใหม่ ไม่ควรใช้ password ที่เดิมที่ใช้
- ควรประกอบด้วยอักขระอื่น ๆ หลาย ๆ ตัว ผสมอยู่ใน password ที่ตั้ง เช่น ตัวอักษรพิมพ์เล็ก (a, b, c, d, e…), ตัวอักษรพิมพ์ใหญ่ (A, B, C, D, E….), ตัวเลข (1, 2, 3, 4, 5….) หรือแม้แต่อักขระพิเศษ (~, !, @, #, $, %, ^, &, *, (, ), ) เป็นต้น
- ใช้คำที่ไม่มีในพจนานุกรม
ที่มา
• Strong passwords: How to create and use them, Microsoft, http://www.microsoft.com/protect/yourself/password/create.mspx
