Pwned
รหัสผ่านหลุด ภัยใกล้ตัวที่ไม่ควรมองข้าม
ในยุคสังคมดิจิทัล การเข้าใช้งานระบบเทคโนโลยีสารสนเทศต่าง ๆ ผ่านเว็บไซด์ หรือผ่านแอพพลิเคชั่นในสมาร์ทโฟน ส่วนใหญ่แล้วจะต้องมีชื่อผู้ใช้ (username) และ รหัสผ่าน (password) เป็นกุญแจสำคัญในการเข้าถึงระบบและยืนยันตัวตนว่าเป็นเจ้าของบัญชีผู้ใช้งานนั้นจริง ดังนั้นการตั้งค่า password ให้ยากต่อการคาดเดา จะช่วยเพิ่มความปลอดภัยในการใช้งานยิ่งขึ้น รวมถึงในส่วนของผู้ดูแลระบบเทคโนโลยีสารสนเทศ ควรจะออกแบบระบบโดยคำนึงถึงหลักการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) ด้วยการเก็บ password หรือข้อมูลส่วนบุคคลของผู้ใช้งานด้วยการเข้ารหัส (Cryptographic Hash) ที่ยากต่อการถอดรหัสให้กลับมาเป็นข้อความต้นฉบับ ซึ่งแม้แต่ผู้ดูแลระบบเองก็จะไม่ทราบว่าผู้ใช้งานตั้ง password ไว้ว่าอย่างไร
สำหรับระบบ CMU Account ของมหาวิทยาลัยเชียงใหม่ ได้ออกแบบการเก็บ password ตามหลักการที่กล่าวมาข้างต้น ผู้ใช้งานสามารถมั่นใจได้ว่า password ของ CMU Account ที่อยู่ในความดูแลของสำนักบริการเทคโนโลยีสารสนเทศ มหาวิทยาลัยเชียงใหม่ จะเป็นความลับอยู่เสมอ
อย่างไรก็ตามยังมีโอกาสที่ผู้ไม่ประสงค์ดีจะสามารถขโมย password จากผู้ใช้งาน ดังตัวอย่างต่อไปนี้
- Phishing เป็นคำเปรียบเทียบที่พ้องเสียงมาจาก Fishing ที่แปลว่า การตกปลา โดยในการตกปลานั้น ต้องมีเหยื่อล่อให้ปลามาติดเบ็ด จึงเปรียบเทียบถึงการสร้างสถานการณ์โดยการส่งข้อความ อีเมล หรือเว็บไซต์ปลอม เพื่อเป็นเหยื่อล่อให้ผู้เสียหายเข้ามาติดเบ็ด และหลอกล่อผู้เสียหายให้กรอกข้อมูลส่วนตัวต่าง ๆ กรอก username และ password หรือส่งโปรแกรมให้ติดตั้งลงเครื่องคอมพิวเตอร์ตามที่ผู้ไม่ประสงค์ดีต้องการ สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ https://cmu.to/phishing
- Password Attack ผู้ไม่ประสงค์ดีสามารถใช้เทคนิคนี้ ค้นหา password ที่ถูกต้องของผู้ใช้งานได้ หากท่านตั้ง password ที่ง่ายต่อการคาดเดา โดยใช้วิธีการดังต่อไปนี้
- Dictionary Attack คือการสุ่มเดา password จากไฟล์ที่มีการรวบรวมคำศัพท์ต่างๆ ที่อยู่ใน Dictionary เช่น คำศัพท์ที่พบบ่อย คำที่มีรูปแบบการสะกดจากรากศัพท์นานาชนิด โดยโปรแกรมเหล่านี้มีความถี่ในการเดา password อย่างน้อย 1 ล้านคำต่อวินาที เพราะฉะนั้น หากตั้ง password ที่มีอยู่ในคลังศัพท์ของผู้ไม่ประสงค์ดี ก็มีสิทธิ์ถูกเดาได้อย่างง่ายดาย
- Brute Force Attack คือวิธีการสุ่ม password ในทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก เพื่อให้ได้ password ที่ถูกต้อง ดังนั้น Brute force attack จึงเป็นวิธีที่จะสามารถหา password ได้อย่างแน่นอน เพียงแต่ขึ้นอยู่กับระยะของเวลาของการสุ่มหา จะมากหรือน้อยขึ้นอยู่กับความซับซ้อนของการตั้ง password
การตั้ง Password ที่ควรหลีกเลี่ยง
- ข้อมูลที่สามารถระบุตัวตน เช่น ชื่อ-นามสกุล วันเดือนปีเกิด เบอร์โทรศัพท์ เลขบัตรประจำตัวต่าง ๆ ทั้งของตนเองและคนใกล้ตัว
- คำศัพท์ที่มีอยู่ใน Dictionary
- คำทั่วไปแล้วสะกดจากหลังไปหน้า เช่น facebook --> koobecaf password --> drowssap welcome --> emoclew เป็นต้น
- ใช้การเรียงตัวเลข เรียงตัวอักษร ใช้ตัวเลขหรือตัวอักษรซ้ำ เช่น abcd5678 1234abcd 66778899 wwxxyyzz เป็นต้น
วิธีการตั้ง Password เพื่อความปลอดภัย
- มีความยาวไม่น้อยกว่า 8 ตัวอักษร และไม่เกิน 32 ตัวอักษรเนื่องจากบางระบบอาจจะไม่รองรับ password ที่ยาวเกินไป
- ประกอบไปด้วยอักขระทั้ง 4 รูปแบบ (สลับตำแหน่งได้ตามสะดวก)
- ตัวอักษรภาษาอังกฤษพิมพ์ใหญ่ (A-Z)
- ตัวอักษรภาษาอังกฤษพิมพ์เล็ก (a-z)
- ตัวเลข (0-9)
- เครื่องหมายหรืออักขระพิเศษ (!@#$%^&*()_+|~-=\`{}[]:”;'<>?,./)
ข้อแนะนำเพิ่มเติม
- ไม่ควรใช้ password เดียวกันกับทุกบัญชี เช่น อีเมล บัญชีธนาคาร หรือโซเชียลมีเดีย หากถูกผู้ไม่ประสงค์ดีขโมย password ไปได้ ท่านมีความเสี่ยงที่จะสูญเสียความเป็นเจ้าของในทุกบัญชีที่ใช้ password เดียวกัน
- เปิดใช้งานการยืนยันตัวตนแบบ Two-Factor Authentication (2FA) หรือ Multifactor Authentication (MFA) หากเว็บไซต์หรือแอพพลิเคชั่นนั้นมีบริการในส่วนนี้
- ไม่ควรจด password ลงกระดาษหรือในไฟล์เอกสารที่ไม่มีการป้องกันการเข้าถึง
- ออกจากระบบทุกครั้งหลังใช้งาน
- กรณีใช้งานเครื่องคอมพิวเตอร์ส่วนกลาง ไม่ควรเลือกใช้คำสั่ง “จำรหัสผ่าน” (Remember me) ในเว็บไซต์หรือแอพพลิเคชั่นใด
