ตั้ง Password เดียวใช้งานทุกเว็บ เสี่ยงโดนแฮกทุกบัญชี

การใช้ชื่อผู้ใช้และรหัสผ่านชุดเดียวกันในทุก ๆ เว็บที่ใช้ในการ Login อาจเป็นเหมือนเรื่องธรรมดาที่ทุกคนทำกัน สาเหตุหลักอาจเพราะความง่ายในการจดจำ แต่ถ้าข้อมูลชุดนี้หลุดไปจากเว็บใดเว็บหนึ่งอาจเป็นเพราะโดนแฮกหรือเกิดการรั่วไหลของข้อมูล ก็จะทำให้ทุก Account ที่ใช้ข้อมูลชุดเดียวกันมีความเสี่ยงขึ้นด้วย ดังนั้นขอให้ท่องเอาไว้ว่า Password ต้องไม่ง่าย ต้องไม่ซ้ำ ถ้าไม่ไหวควรใช้ Password Manager สุดท้ายถ้าเปิด 2 Factor Authentication (2FA) ได้ควรเปิด (การเปิด 2FA ใน Google , Facebook)

สำหรับวิธีการที่แฮกเกอร์ใช้นั้น วิธีคร่าว ๆ เบื้องต้นที่จะทำก็คือ นำข้อมูลบัญชีเหล่านั้นที่ได้มาจากการแฮกหรือการรั่วไหลของข้อมูล หรือแม้กระทั่งซื้อมาจากเว็บใต้ดิน นำมาทำการโจมตีแบบ Credential Stuffing ผ่าน Botnets ซึ่งก็คือการนำข้อมูลชื่อผู้ใช้และรหัสผ่าน ไปทดลอง Log-in เข้าเว็บไซต์เป้าหมายต่าง ๆ หากผู้ใช้รายใดมีชื่อผู้ใช้และรหัสผ่านชุดเดียวกัน แฮกเกอร์ก็จะเข้าสู่ Account เหล่านั้นได้ ซึ่งหนึ่งในนั้นอาจจะเป็นบัญชีธนาคาร เช่น เว็บธนาคาร HSBC ของฮ่องกงเคยถูกโจมตีจนทำให้ต้องระงับบัญชีออนไลน์ของลูกค้าจำนวนหนึ่งมาแล้ว หรือ DailyMotion คู่แข่งของ YouTube ถึงกับต้องปิดเว็บไซต์ชั่วคราวเนื่องจากถูกโจมตีแบบเดียวกัน

วิธีการป้องกันการถูกโจมตีลักษณะนี้ คือ การใช้รหัสผ่านในแต่ละเว็บไซต์และบริการออนไลน์โดยไม่ซ้ำกัน แต่ก็เพราะบริการต่าง ๆ ที่มีจำนวนมากขึ้นเรื่อย ๆ จนทำให้จำรหัสผ่านไม่ได้ การใช้ Password Manager จึงเป็นอีกทางเลือกหนึ่งที่ดี ช่วยจัดเก็บรหัสผ่านทั้งหมดอยู่ภายในผู้ให้บริการเจ้าเดียว โดยข้อแม้ผู้ใช้จะต้องจำรหัสผ่านที่เรียกว่า Master Password ให้ได้เพียงชุดเดียว ก็จะสามารถใช้ Account ที่ใช้รหัสผ่านที่ต่างกันได้โดยไม่ติดเกี่ยวกับเรื่องความจำและความง่ายอีกต่อไป

ฟีเจอร์ของ Password Manager มีอะไรบ้าง จะช่วยให้ผู้ใช้สามารถบริหารจัดการรหัสผ่านได้อย่างง่ายขึ้นได้อย่างไร

  • สามารถใช้งานแบบข้ามอุปกรณ์และระบบปฎิบัติหลากหลายชนิดของผู้ใช้
  • ผู้ใช้จดจำเพียงรหัสผ่านชุดเดียว (Master Password) เพื่อเข้าใช้งาน Password Manager และบางแอปสามารถสั่งเข้าระบบแบบไม่ต้องกรอกรหัสผ่านหากมีการยืนยันตนแล้ว
  • สามารถบันทึกข้อมูลส่วนตัวไว้เพื่อใช้งานในอนาคตแบบเติมข้อมูลได้โดยอัตโนมัติ (ข้อมูลบัตรเครดิต หรือชื่อที่อยู่)
  • บริการแจ้งเตือนเมื่อบัญชีใดถูกเจาะเข้าระบบ เพื่อให้ผู้ใช้รีบจัดการทันท่วงที่
  • บริการแจ้งเตือนเมื่อผู้ใช้ตั้งรหัสผ่านซ้ำกันหรือนำรหัสผ่านเก่ามาเวียนใช้ รวมทั้งวิเคราะห์ถึงความซับซ้อนของรหัสผ่าน (Strength Level)
  • ความสามารถในการช่วยตั้งรหัสผ่านที่ซับซ้อนตามเงื่อนไขได้อัตโนมัติ ซึ่งแน่นอนจะไม่ซ้ำกันและคาดเดาได้ยากมาก
  • ฐานข้อมูลใน Password Manager ผ่านการเข้ารหัสระดับสูงสุด 256 บิท ซึ่งถือว่าปลอดภัยที่สุดในปัจจุบัน

เว็บไซต์ข่าวสารเทคโนโลยีชื่อดัง CNET ได้รีวิว Password Manager ที่ดีที่สุดแห่งปี 2019 และได้ผลดังนี้

  1. เวอร์ชันฟรี ได้แก่ LastPass : มีความโดดเด่นด้านการจัดเก็บรหัสผ่านข้อมูลการเข้าสู่ระบบของผู้ใช้และข้อมูลประจำตัว สามารถซิงค์ได้ทุกอุปกรณ์ นอกจากนี้ยังสามารถแชร์รายการล็อกอินกับบุคคลอื่นได้ หากผู้ใช้เลือกเสียเงินสมัครสมาชิก เวอร์ชันพรีเมี่ยมซึ่งมีฟีเจอร์เสริมอื่น ๆ หลายอย่างโดยเฉพาะการใช้การยืนยันตนแบบสองปัจจัย (2FA) ด้วยฮาร์ดแวร์ด้วย YubiKey และเครื่องสแกนลายนิ้วมือ (LastPass.com)
  2. เวอร์ชันที่มีค่าสมาชิก ได้แก่ 1Password.com : นอกเหนือจากฟีเจอร์หลักทั่วไป บริการนี้มาพร้อม Travel Mode เพื่อช่วยให้ผู้ใช้สามารถลบข้อมูลสำคัญจากอุปกรณ์เคลื่อนที่ขณะกำลังเดินทางแล้วกู้คืนได้ด้วยคลิกเดียวเมื่อกลับถึงบ้าน (1Password.com)

ในบรรดาแอปอื่น ๆ ที่ได้รีวิวมี Bitwarden, Dashlane, Keeper และ KeePassXC ได้ผลอันดับรอง ๆ ลงมา

นอกจากการใช้ Password Manager แล้ว ผู้ใช้ก็ไม่ควรวางใจ เนื่องจากไม่มีระบบใดในโลกที่ปลอดภัย 100% แต่การใช้ตัวช่วย เช่น Password Manager ย่อมดีกว่าการใช้รหัสผ่านชุดเดียวกันทุก ๆ บัญชีอยู่ดี และเพื่อเสริมความปลอดภัยอีกชั้นควรเปิดใช้งาน 2FA เพิ่มไปด้วยในทุก ๆ บริการเพื่อรับรหัสตัวเลขหรือตัวอักษรที่ระบบของผู้ให้บริการสร้างขึ้น ส่งผ่านทางข้อความ SMS หรือแอปบนมือถือให้ผู้ใช้กรอก สิ่งนี้อาจจะทำให้การเข้าระบบหรือบัญชีต่าง ๆ ล่าช้าขึ้นบ้าง แต่มันช่วยลดความเสี่ยงจากการถูกแฮกได้มากทีเดียว

อ้างอิงที่มา:
https://www.wired.com/story/what-is-credential-stuffing/
https://www.cutimes.com/2019/04/19/botnets-hitting-financial-institutions-with-credential-stuffing-attacks/
https://services.google.com/fh/files/blogs/google_security_infographic.pdf
https://www.rd.com/advice/work-career/what-hackers-can-do-with-email-address/
https://www.digitalphablet.com/if-you-use-same-password-for-multiple-accounts-you-must-change-it-now/
https://askleo.com/why-is-it-so-important-to-use-a-different-password-on-every-site/
https://securitybaron.com/education/how-do-password-managers-work/
https://www.cnet.com/news/best-password-managers-for-2019/



เนื้อหาที่เกี่ยวข้อง

1. Cloud Security ความปลอดภัยบน Cloud Computing

2. วิธีปิดการแสดงผล Follow info ของแอปพลิเคชัน LINE

3. New Normal กับ “ข้อมูลส่วนบุคคล” วิถีใหม่ที่ต้องให้ความสำคัญ

4. Next Generation Firewall กับ Web Application Firewall ต่างกันอย่างไร

5. เคล็ดลับ 10 ข้อ ในการเลือกและใช้เครื่องมือสื่อสารออนไลน์