ชื่อผู้ใช้งาน (Username) และรหัสผ่าน (Password) กลายเป็น 2 สิ่งสำคัญที่ผู้ใช้มักจะต้องจดจำและใช้งานเพื่อเข้าสู่ระบบใด ๆ ตั้งแต่ในชีวิตส่วนตัวอย่างโซเชียลมีเดีย คอมพิวเตอร์ส่วนบุคคล หรือในชีวิตการทำงานอย่างการเข้าสู่ระบบคอมพิวเตอร์องค์กร หรือเครือข่ายส่วนตัวเสมือน (Virtual Private Network) แต่ผู้ใช้กลับมองข้ามความปลอดภัยเหล่านี้ และรหัสผ่านอาจไม่ใช่วิธีการยืนยันตัวตนที่ปลอดภัยอีกต่อไป วันนี้ ThaiPBS Sci & Tech จะขอมาปรับทัศนคติให้กับทุกคน ที่อาจมองข้ามความปลอดภัยในชีวิตและโลกออนไลน์
ก็ไม่มีข้อมูลอะไรสำคัญ ก็เลยไม่ต้องกังวล
เป็นความเชื่อที่ผิดและอันตรายอย่างมาก การไม่ยอมเก็บรหัสผ่านไว้อย่างปลอดภัย เขียนรหัสผ่านไว้บนโต๊ะ หรือบอกรหัสผ่านให้กับผู้อื่นอาจเป็นเหมือนเรื่องไม่น่ากลัว แต่แท้จริงแล้วนับว่าเป็นการละเลยความปลอดภัยขั้นพื้นฐานที่สุด และนำไปสู่การปล่อยปละข้อมูลส่วนตัวของตน รู้ตัวอีกทีอาจเป็นเหยื่อของการฉ้อโกงหรือถูกแอบอ้างชื่อไปใช้ทำสิ่งผิดกฎหมาย หรือถูกล้วงความลับจนเสียหายอับอาย
ใช้รหัสผ่านเดียวกันอันตรายเท่ากับไม่มีรหัสผ่าน
การใช้รหัสผ่านเดียวกันหมดทุกบัญชี หรือมีรหัสผ่านที่สามารถคาดเดาได้ ถือว่าอันตรายพอ ๆ กับการไม่มีรหัสผ่าน เพราะไม่ใช่ทุกเว็บไซต์ ทุกบริการจะเก็บรหัสผ่านของเราไว้ได้อย่างปลอดภัย หากเว็บใดเว็บหนึ่งทำรหัสผ่านของเราหลุดออกไป บัญชีอื่น ๆ ของเราก็อันตรายตามไปด้วย ความน่ากลัวอาจถึงขั้นว่า รหัสผ่านและชื่อผู้ใช้งานของเรา อาจสามารถถูกค้นหาเจอได้ผ่านเสิร์ชเอนจินอย่างกูเกิล
รวมเครื่องมือที่ควรรู้ที่มากกว่าแค่รหัสผ่าน
1. การยืนยันตัวตน 2 ขั้นตอน (2-Step Verification)
เป็นวิธีการยืนยันตัวตนที่ได้รับความนิยมและเป็นที่แพร่หลายมากที่สุด ประกอบไปด้วยการใช้งานรหัสผ่านร่วมกับการยืนยันตน เช่น การส่งรหัสผ่านครั้งเดียว (OTP) ผ่าน SMS หรืออีเมล เพื่อช่วยให้มั่นใจได้ว่าผู้ที่ลงชื่อเข้าใช้นั้นเป็นเราจริง ๆ ต่อให้ผู้อื่นรู้รหัสผ่านของเรา แต่ไม่สามารถยืนยันตัวตนในขั้นตอนที่ 2 ได้ก็ไม่มีความหมาย ซึ่งจุดอ่อนก็คือ ถ้าเราใช้รหัสผ่านอีเมลเดียวกันก็ไม่มีประโยชน์อยู่ดี อย่างไรก็ตามเราควรเปิดการยืนยันตัวตน 2 ขั้นตอนกับทุกบริการเพื่อความปลอดภัย
2. การเก็บรักษารหัสผ่านด้วยโปรแกรมช่วยเก็บรหัสผ่าน (Password Manager)
โปรแกรมช่วยเก็บรหัสผ่านเป็นเสมือนพวงกุญแจที่เก็บกุญแจหลาย ๆ ดอกเข้าด้วยกัน กุญแจแต่ละดอกก็คือรหัสผ่านของแต่ละบริการของเรา จากที่ทราบกันแล้วว่ารหัสผ่านที่ดีคือรหัสผ่านที่ไม่ซ้ำกัน แต่หากจะให้จำรหัสผ่านสำหรับทุกบริการก็คงไม่สะดวก โปรแกรมเก็บรหัสผ่านจึงเข้ามาจัดการส่วนนี้ให้กับเรา ซึ่งโปรแกรมเหล่านี้จะสร้างรหัสผ่านที่ประกอบขึ้นจากตัวอักษรและตัวเลขที่มีความยาวเหมาะสม ยากต่อการคาดเดา และเก็บรักษาไว้อย่างปลอดภัย เมื่อต้องใส่รหัสผ่านบนเว็บไซต์หรือบริการต่าง ๆ โปรแกรมเหล่านี้จะช่วยใส่รหัสผ่านให้ โดยต้องยืนยันตัวตนด้วยรหัสผ่านที่ปลอดภัย หรือการยืนยันตัวตนผ่านไบโอเมตริก (เช่น สแกนหน้า สแกนนิ้วมือ) เพียงเท่านี้ ก็จะมีรหัสผ่านที่ไม่ซ้ำกันในแต่ละบริการ สิ่งที่ควรระมัดระวังคือต้องไม่ปล่อยให้รหัสผ่านหลักหลุดออกไปเป็นอันขาด
ระบบปฏิบัติการรุ่นใหม่ ๆ หรือเว็บเบราว์เซอร์ปัจจุบันมักจะมีโปรแกรมช่วยเก็บรหัสผ่านติดตั้งมาให้ด้วย เช่น iCloud Keychain บน macOS และ iOS หรืออาจใช้โปรแกรมจากผู้พัฒนาบุคคลที่สาม (Third Party) เช่น One Password
3. การยืนยันตนโดยไม่ใช้รหัสผ่าน (Passwordless)
เป็นวิธีการยืนยันตัวตนที่หลายเว็บไซต์นำมาใช้งาน ในเมื่อรหัสผ่านไม่ปลอดภัย และผู้ให้บริการเว็บไซต์ต้องแสดงความรับผิดชอบหากรหัสผ่านหลุดออกไป วิธีแก้ปัญหาก็คือไม่ต้องใช้รหัสผ่านเสียเลย แต่ให้ยืนยันตัวตนผ่านลิงก์ที่ถูกส่งไปทางอีเมลหรือ SMS หรือใช้รหัสผ่านครั้งเดียว เท่านั้น ความปลอดภัยของวิธีนี้เทียบเท่ากับการยืนยันตัวตนสองขั้นตอน และทำให้ผู้ใช้งานไม่จำเป็นต้องจำรหัสผ่าน แต่ข้อเสียก็คือหากผู้ไม่หวังดีเข้าถึงอีเมลของเราได้ ก็จะสามารถเข้าสู่ระบบได้อยู่ดี
วิธีการนี้เป็นที่นิยมกับแอปพลิเคชันที่ไม่มีข้อมูลอ่อนไหวมาก เช่น แอปพลิเคชันสะสมคะแนนของห้างสรรพสินค้า
4. การใช้ซอฟต์แวร์หรือฮาร์ดแวร์ช่วยยืนยันตัวตน (Authenticator)
อีกวิธีหนึ่งที่ได้รับความนิยมก็คือการใช้แอปพลิเคชันช่วยยืนยันตัวตน เช่น Google Authenicator ที่เปรียบเสมือนเป็นการยืนยันตัวตนสองขั้นตอน มีข้อดีตรงที่ไม่จำเป็นต้องใช้อีเมลหรือเบอร์โทรศัพท์ แต่ระบบลงชื่อเข้าใช้ต้องรองรับด้วยเช่นกัน ซึ่งจะทำให้มั่นใจได้ว่าเราเป็นผู้ที่ยืนยันตัวตนจริง ๆ เพราะต้องใช้โทรศัพท์ของเราเท่านั้น นอกจากนี้ยังมีวิธีการยืนยันตัวตนอีกขั้นตอนคือการใช้อุปกรณ์ฮาร์ดแวร์ที่มีลักษณะคล้ายกับแฟลชไดรฟ์ แต่ใช้ในการยืนยันตัวตน เรียกอุปกรณ์ในลักษณะนี้ว่า Two-Factor Authentication USB Security Key
5. เทคโนโลยีไบโอเมตริก (Biometric)
เป็นเทคโนโลยีที่ปกติมักจะฝังเข้ามาในฮาร์ดแวร์โทรศัพท์มือถือ หรือคอมพิวเตอร์ เช่น ทัชไอดี (Touch ID) หรือเฟซไอดี (Face ID) บนคอมพิวเตอร์แมคหรือไอโฟน ซึ่งจะทำงานร่วมกับซอฟต์แวร์ช่วยยืนยันตัวตน หรือโปรแกรมช่วยเก็บรหัสผ่าน อย่างไรก็ตามโดยส่วนมากแล้วปัจจุบันเทคโนโลยีไบโอเมตริกยังเป็นเพียงตัวเลือกเท่านั้น เพราะสุดท้ายผู้ใช้งานสามารถเลือกยืนยันตัวตนได้ผ่านการใส่รหัสผ่านหรือกดตัวเลขยืนยันอยู่ดี
เราจะเห็นว่าความสำคัญสูงสุดของการยืนยันตัวตนที่ปลอดภัยกว่ารหัสผ่าน คือการยืนยันตัวตนแบบหลายชั้น ที่เมื่อก่อนอาจจะเป็นเพียงการยืนยัน 2 ชั้น (Two-Factor Authentication) แต่ปัจจุบันกลายเป็นมากกว่า 2 ชั้นไปแล้ว (Multi-Factor Authentication) ซึ่งสามารถช่วยลดโอกาสที่ผู้ไม่ประสงค์ดีจะสามารถเข้าถึงบัญชีและข้อมูลส่วนตัวของเราได้
แต่สุดท้ายเทคนิคเหล่านี้จะไม่มีประโยชน์เลยหากผู้ใช้งานขาดความตระหนักถึงหายนะที่จะเกิดและละเลยสิทธิ์ในการปกป้องข้อมูลดิจิทัลของตัวเองแต่แรก
“รอบรู้ ดูกระแส ก้าวทันโลก” ไปกับ Thai PBS Sci & Tech