ต้องเกริ่นก่อนว่า สาเหตุที่เขียนบทความนี้ขึ้นมา ส่วนนึงเพราะข้อความที่ผู้ติดตามส่งมาหลังไมค์เพจมากที่สุดเป็นอันดับ 3 รองจากคำถามที่ว่า “Steam จะลดเมื่อไหร่ครับพี่” กับ “พี่มีเกมนี้ขายมั้ยคับ” คือคำถามหรือคำขอร้องที่ให้ช่วยว่า “บัญชี Steam/Epic หรือ เกมอื่นๆ โดนแฮกครับ ทำยังไงดี” ซึ่งกรณีแบบนี้ตามปกติแล้วเราก็ไม่สามารถช่วยได้จริงๆ ทำได้เพียงให้คำแนะนำว่าให้เปลี่ยนรหัสผ่าน และติดต่อ Support เพื่อขอกู้คืน ซึ่งตลอดหลายปีที่ผ่านมา ก็มีเรื่องแบบนี้มาเรื่อยๆ จนเรารู้สึกว่า จริงๆเรื่องพวกนี้ แม้จะกันไม่ได้ 100% แต่เราสามารถลดความเสี่ยงมันได้นะ
.
นั่นเพราะสาเหตุที่เราโดนแฮกนั้นมีได้หลากหลาย เช่น เกิดการ ขโมย Session token เกิดขึ้นทำให้ถูกสวมรอย หรือถูกวางโทรจันในเครื่องทำให้โดนดูดข้อมูล และที่คลาสสิกที่สุดเลยคือ ถูกเจาะจากการที่รหัสผ่านหรือ password ถูกเดาหรือเปิดเผยออกมานั่นเอง ซึ่งจากที่กล่าวมา ก็มีทั้งสิ่งที่เราเองก็อาจจะป้องกันไม่ได้เลย (แบบถึงคราวคนมันจะซวยอะ) ไปจนถึงการป้องกันที่ง่ายที่สุดอย่าง “รหัสผ่าน” ครับ
.
สาเหตุใหญ่ที่ส่วนมากโดนแฮกในเรื่องรหัสผ่านกันนั้น เกิดจากการที่ Password ของคุณที่ไม่ควรจะมีใครรู้ดันหลุดออกไปด้วยสาเหตุอันใดอันหนึ่งโดยตามปกติแล้วคนส่วนมากมักจะใช้ email / username ซ้ำๆกัน แต่นั่นเป็นเรื่องที่ค่อนข้างจะช่วยไม่ได้เพราะบริการส่วนใหญ่นั้นจะใช้ Email ของคุณเป็น Username ไปเลย ทำให้คุณเลี่ยงการใช้ Email แตกต่างกันไม่ได้เลย และคงไม่มีใครบ้ามานั่งสมัครเมลล์ใหม่ทุกครั้งไม่ซ้ำกันอยุ่แล้ว แต่ที่เป็นอันตรายจริงๆคือการที่….
.
“คุณใช้ Password เดิมซ้ำๆกันในทุกๆบริการ”
และ
“Password คุณคาดเดาได้ง่าย”
นี่หละครับ อันตรายของแทร่
.
ซึ่งสถานการณ์ที่คนจะโดนถูกแฮกโดยส่วนมากคือแบบนี้ครับเช่น
.
– คุณใช้ Steam โดยมีUsername ว่า DekInwZA007 แล้วใช้ Password คือ inwza007
.
– ต่อมาคุณไปสมัคร Epic และแน่นอน คุณไม่อยากจะมาตั้งพาสเวิร์ดใหม่ คุณใช้ Username + Password ชุดเดิม
.
– ต่อมาคุณไปสมัครบริการออนไลน์ A โนเนมสักที่ และเช่นกันคุณใช้ Username + Password ชุดเดิม
.
ความพังมันจะเริ่มจากตรงนี้ครับ อันดับแรกเลยจะเห็นว่ารหัสผ่านเป็นอะไรที่เดาได้ง่ายมากๆ และที่ทำให้พังมากกว่าคือการใช้รหัสผ่านซ้ำ แล้วอยู่มาวันนึงบริการออนไลน์ A ที่ว่า ที่คุณอาจจะลืมไปแล้วว่าเคยสมัครไว้มาชาติเศษ ถูกแฮกจนทำให้ Username / Password เปิดเผยออกมา และไม่มีใครมาคอยประกาศว่าบริการนี้โดนแฮก แปลว่าคุณอาจจะไม่รู้ตัวด้วยซ้ำว่ารหัสของคุณโดนเปิดเผยแล้วเรียบร้อย
.
เห็นมั้ยครับว่าเกิดอะไรขึ้น? ความชิบหายคือตอนนี้ Hacker ก็จะมี Username + Password ของคุณแล้ว และอย่างที่เราเกริ่นไว้ก่อนหน้า “คนส่วนใหญ่มักจะใช้ Username + Password เดียวกันในทุกๆบริการที่มี” แค่นี้ Hacker ก็ถูมือแล้วครับ นั่นแปลว่าเค้าสามารถเข้าถึงทุกบริการที่คุณเคยสมัครด้วย Username เดียวกันได้ทั้งหมดทันที รู้ตัวอีกทีคือ คุณก็ใช้งานบัญชีอื่นๆไม่ได้ซะแล้ว
.
โดยเฉพาะอย่างยิ่ง ถ้าบริการอื่นๆใช้ Email เป็น Username และถ้าคุณใช้ Email+password ชุดเดียวกัน นั่นแปลว่าคุณเตรียมบอกลาไอดีทั้งหมดที่คุณมีในชีวิตได้เลย เพราะคนพวกนี้สามารถขโมยอีเมล์หรือตัวตนคุณไปใช้ได้แบบดื้อๆได้สบาย หรือต่อให้ไม่มีเหตุการณ์ด้านบน (Security Breach) เกิดขึ้น แต่หากคุณใช้ Password ที่คาดเดาได้ง่ายเช่น วันเกิดของคุณเอง ชื่อจริงของคุณ นี่ก็เป็นอีกสาเหตุนึงที่คุณโดนแฮกได้แบบง่ายๆ โดยคนรู้จักหรือคนใกล้ตัวแทน
.
เพราะฉะนั้นวิธีพื้นฐานแรกในการรับมือเลยคือ “หลีกเลี่ยงการใช้ Password ซ้ำ และคาดเดาได้ง่าย” ครับ
.
อ่ะ แต่พูดน่ะมันง่าย ถูกมั้ย? “หลีกเลี่ยงการใช้ Password ซ้ำ และคาดเดาได้ง่าย” อันนี้ คุณจะเลี่ยงใช้รหัสผ่านยากๆได้สักกี่ครั้ง แล้วคุณจะจำมันได้จริงสักกี่อัน แล้วกี่ครั้งที่คุณจะต้องมากด Forget Password แล้วรีเซ็ตมันอีกรอบ
.
ดังนั้นทางเลือกในการแก้ปัญหาคือของ “หลีกเลี่ยงการใช้ Password ซ้ำ และคาดเดาได้ง่าย” คือใช้ Password Manager ครับ
.
Password Manager คืออะไร?
ให้ลองคิดเสียว่า Password Manager เนี่ยมันคือ Vault หรือตู้นิรภัยสำหรับเก็บรหัสผ่านของคุณ โดยมันจะมีหน้าที่บันทึกรหัสผ่านบริการที่คุณบันทึกไว้ และถ้าหากต้องการใช้ คุณก็แค่เปิด Password Manager แล้วเรียก Username/Password ของบริการที่ต้องการขึ้นมา Copy & Paste ไปวาง Login ได้ทันที (บนมือถือก็มีนะ) หรือใช้ฟังก์ชั่น Auto-filling กดใส่ให้ได้ทันที
.
และความสำคัญของ Password Manager ส่วนมากที่มักจะมีให้มาด้วยคือ Auto Generate Password หรือระบบสุ่มสร้างรหัสผ่าน ทำให้คุณสามารถสร้างรหัสผ่านขึ้นมาแบบมั่วๆแล้วบันทึกไว้ได้ทันที และคุณไม่ต้องมาคอยปวดหัวจำพาสเวิร์ดอีกต่อไป เพราะหลังจากใช้ Password Manager แล้ว ชีวิตหลังจากนี้ที่คุณต้องทำคือ “จำแค่รหัสผ่านของ Password Manager” เท่านั้นก็พอ
.
เช่น UserName ของคุณที่ใช้ประจำคือ DekInwZA007 ที่เหลือคุณก็ให้ Password Manager ช่วยสร้างรหัสผ่านแบบสุ่มให้เช่น
.
Steam ใช้รหัสผ่านว่า AEn7CRdt6dzWq7FWi2wAz6w
.
Epic ใช้รหัสผ่านว่า h2-q3MwZEkyegpcP@
.
Twitter ใช้รหัสผ่านว่า qf8ZDZH4LX*xYkikJ
.
จะเห็นว่ารหัสผ่านพวกนี้ สุ่ม,ยาวมาก และคาดเดาไม่ได้ แล้วคุณก็แค่บันทึกรหัสผ่านพวกนี้ลงไปใน Password Manager เป็นอันจบ จะใช้ก็แค่มาเปิดก๊อปแปะ หรือใช้ Auto-filling ในหน้า sign in ได้เลย ซึ่งการทำแบบนี้ แปลว่าต่อให้บริการใดบริการหนึ่งเกิด Security Breach ขึ้นมา บริการที่เหลือยังปลอดภัย เพราะคุณใช้รหัสที่ต่างกัน ทำให้ความเสียหายน้อยลงไปมาก จำกัดวงแค่บริการนั้นๆเท่านั้น
.
Password Manager นั้นมีทั้งบริการแบบเสียเงิน และแบบฟรี (Self Hosted)และที่มีคนนิยมใช้กันมากเช่น
– 1 Password (ปีละ 36 USD)
– BitWarden (ปีละ 10 USD)
– Dashlane (ปีละ 24 USD)
– KeePassXC (ฟรี Self Hosted)
– Nord Pass (ปีละ 36 USD)
.
จำนวนเงินอาจจะดูแบบ อะไรว่า ปีละ 30-60 USD เลยเหรอ แต่เชื่อเถอะครับว่า แม่งเป็นค่าใช้จ่ายที่คุ้มมาก พอคุณใช้ Password Manager คุณจะไม่กลับไปจำรหัสผ่านอีกเลย
.
นอกจากนี้หากคุณยังไม่พร้อมใช้งาน Password Manager แบบเต็มตัว อีกสิ่งที่คุณยังสามารถองใช้งานได้และฟรีตั้งแต่แรกก็คือ Google Password Managers ที่ใช้งานได้ฟรีสำหรับผู้ใช้ Android และ Chrome หรือ Apple Keychain สำหรับผู้ใช้งานอุปกรณ์ Apple ก็เป็นตัวเลือกที่น่าสนใจไม่แพ้กัน
.
แต่ๆๆๆๆๆ อ่านมาถึงตรงนี้ คุณก็อาจจะแบบเดาได้แล้วว่า เอ่อ ถึงมันจะมีข้อดีที่ว่า แต่ถ้ารหัสผ่านของ Password Manager หลุดออกไป คุณก็จบเห่อยุ่ดีป่ะ?
.
ถูกครับ ถ้าคุณยังใช้รหัสผ่านของ Password Manager ที่คาดเดาได้ง่าย หรือซ้ำกับบริการอื่น อันนี้จบเห่แน่นอน
.
และถูกอีกครับ ถ้า Password Manager ของคุณถูกเจาะเสียเอง เช่นกรณีที่เกิดกับ LastPass ซึ่งโดนเจาะครั้งใหญ่ไปเมื่อปีก่อนหน้า การใช้ Password Manager ก็มีความเสี่ยงไปด้วย
.
และ ไม่ถูกครับ เพราะ Password Manager ส่วนใหญ่จะมาพร้อมสิ่งที่เรียกว่า 2FA/MFA ในตัวมันเองด้วย ดังนั้น นอกจากรหัสผ่านที่ต้องเข้มข้นแล้ว ยังต้องมีขั้นตอนอีกชั้นเพื่อให้มั่นใจด้วย
.
2FA หรือ MFA คืออะไร?
.
MFA จากคำว่า Multi Factor Authentication หรือแปลเป็นไทยแบบเท่ๆ ว่า การยืนยันตัวตนโดยใช้หลายปัจจัย ส่วน 2FA คือ 2 Factor Authentication หรือการยืนยันตัวตน2ขั้นตอน ตามปกติแล้วมันคือกระบวนการเข้าสู่ระบบบัญชีแบบหลายขั้นตอนที่กำหนดให้ผู้ใช้ป้อนข้อมูลเพิ่มเติมนอกเหนือจากรหัสผ่าน เพื่อเป็นการยืนยันว่าเราเป็นเจ้าของบัญชีจริงๆ เช่น การใช้ OTP ที่ส่งผ่าน SMS ที่เราคุ้นเคยกันดี, การอนุมัติผ่าน Authenthicator หรือ Passkey ไปจนถึงการใช้รหัสผ่านชีวภาพอย่างลายนิ้วมือ ใบหน้าหรือม่านตา เป็นต้น
.
ซึ่งเจ้า MFA/2FA นั้น คือขั้นตอนรักษาความปลอดภัยอีกขั้นที่ผู้ให้บริการหลายๆเจ้ามีให้ใช้อยู่แล้ว หลังจากที่เราสร้างบัญชีการใช้งาน ก็จะมีการให้ตั้ง MFA/2FA อีกชั้นเพื่อความปลอดภัยด้วย ซึ่งมักจะเป็นขั้นตอนที่คนส่วนใหญ่ข้ามไปเลย(เพราะขี้เกียจ) ซึ่งอันนี้เราแนะนำว่า ถ้าบริการไหนที่เราใช้งาน มีให้เลือกใช้ MFA ขอแนะนำว่า “ให้เปิดใช้ให้หมด” ไม่ว่าจะเป็นอะไรก็ตาม เรพาะไม่มีอะไรการันตีได้ 100% ว่ารหัสผ่านที่เราจะใช้งาน จะไม่รั่วออกไป ไม่ทางใดก็ทางหนึ่ง การใช้ MFA เป็นอีกชั้นที่ช่วยบล๊อคการเข้าถึงที่ไม่พึงประสงค์ได้ในระดับนึง
.
แต่อย่างไรก็ตาม 2FA บางอย่างก็มีรายงานออกมาแล้วว่ามีช่องโหว่อยู่บ้าง การใช้ OTP ผ่าน SMS ที่มีความเสี่ยงเช่นการโดนสวมรอยซิมมือถือหรือถูกฝังโปรแกรมดักอ่านหน้าจอหรืออ่าน SMS ในเครื่อง ทำให้ผู้บริการหลายเจ้าเริ่มยกเลิกการใช้ OTP SMS แล้วเปลี่ยนไปใช้ MFA ที่ปลอดภัยกว่าอย่าง ลายนิ้วมือ ใบหน้า หรือ Passkey เป็นต้น
.
แอดมินหวังว่า หลังจากอ่านโพสต์นี้แล้ว จะทำให้หลายๆคนจะตื่นตัวเรื่องการตั้งรหัสผ่านมากขึ้น เริ่มใช้ Password Manager รวมถึงเปิดใช้ MFA ทุกครั้งที่ทำได้ครับ