รหัสผ่าน หรือ Password คือสิ่งสำคัญที่สุดในการใช้งานอุปกรณ์ไอที ที่ควรจะมีความปลอดภัยสูงสุด รู้เฉพาะตน ไม่สามารถเดาได้โดยง่ายจากสิ่งแวดล้อมรอบด้าน เรื่องนี้พูดกันมานับทศวรรษแต่ก็ยังมีปัญหาอยู่ไม่รู้จบอยู่ดี มันยังคงเป็นปัญหาที่ทำให้ผู้คนโดนล้วงความลับเอารหัสผ่านไปกระทำการต่างๆ จนเกิดความเสียหายต่อตนเอง ต่อผู้อื่น หรือต่อองค์กรได้ เพราะอาชญากรรมคอมพิวเตอร์ในโลกไซเบอร์ยุคความเร็วระดับ Gigabits นี่รุนแรงมากนะครับ เป้าหมายของผู้ไม่หวังดีทั้งหลายไม่ได้เจาะจงว่าจะเป็นใคร โดนกันได้หมด หน่วยงานด้านบัญชี การเงิน ธนาคาร บริษัทข้ามชาติระดับโลก นั่นคือเป้าหมายใหญ่ แต่การโจมตีก็ไม่ง่ายแล้วเพราะการเตรียมป้องกันที่แข็งแกร่ง ต่อมาก็หันม่าโจมตีหน่วยงานรัฐบาล, หน่วยงานท้องถิ่น ที่การป้องกันไม่ค่อยดีนัก (คงคิว่าไม่มีอะไรสำคัญ) ถ้าเมืองไทยนี่ต้องบอกว่า "หละหลวมมาก" เลยละ ข้อมูลหน่วยงานรัฐบาลนี่แหละสำคัญ เพราะมีทั้งหมายเลขประจำตัวประชาชน (ID Card) หมายเลขปรจำตัวผู้เสียภาษี รายได้ ทรัพย์สิน หลักประกันสุขภาพ ที่อยู่ หมายเลขโทรศัพท์ และอื่นๆ ที่หากถูกฉกออกไปได้ก็สามารถนำไปหาทางเจาะทำมิดีมิร้ายได้อีกเยอะทีเดียว
สมัยปัจจุบันอุปกรณ์ที่เรียกว่า Mobile Device ก็พวกมือถือ แท็ปเล็ต ทั้งหลายนี่แหละ สามารถนำมาใช้ทำธุรกรรมด้านการเงินกับธนาคาร การติดต่อซื้อสินค้ากันทางออนไลน์ บัญชีการลงทุน การทำประกันต่างๆ มันมีและทำได้กันบนเครื่องมือเหล่านี้ จึงจำเป็นต้องมีรหัสผ่านที่มั่นคง เรารู้เพียงผู้เดียวและต้องจำให้ได้ด้วย ถ้ามันรั่วออกไปด้วยความสะเพร่า พลั้งเผลอ หรือวิธีใดๆ ก็แล้วแต่ ผู้เป็นเจ้าของอาจสูญเสียทรัพย์สินไปมากกว่าราคาเครื่องโทรศัพท์มือถือเครื่องนั้นได้นะ มันจึงเป็นความสำคัญที่เราต้องมีการตั้งรหัสผ่านที่ยากแก่การเดา แต่เราต้องจำกันให้ได้ มาเสนอกันวันนี้
ในทุกๆ ปีก็จะมีรายงานของ "รหัสผ่านยอดแย่" หรือ "Worst passwords" ออกมาให้ทราบทุกปี ซึ่งมันก็ไม่หนีไปจากเดิมนักหรอก เปลี่ยนไปนิดๆ หน่อยๆ ตามที่ถูกบังคับให้เพิ่มจำนวน หรือรูปแบบตัวอักษรที่ซับซ้อนมากขึ้น ตามแต่หน่วยงานหรือองค์กรนั้นๆ กำหนด Policy ไว้มากน้อยเพียงใดนั่นเอง
SplashData ผู้ให้บริการซอฟต์แวร์สำหรับบริหารจัดการรหัสผ่านชื่อดัง ได้ออกมาเปิดเผยถึง 25 รหัสผ่านยอดนิยม หรืออาจเรียกว่าเป็น "รหัสผ่านยอดแย่ประจำปี 2019" นี้ ซึ่งอันดับหนึ่งยังคงเป็น “123456” ตามมาด้วย “123456789” (ซึ่งเป็นเพราะหลายหน่วยงานให้ตั้งมากกว่า 8 ตัวอักษรเลยเพิ่มเป็น 9 ตัวเสียเลย) ในขณะที่ “password” ตกอันดับจากที่ 2 ไปเป็นอันดับที่ 4 แล้ว
SplashData ได้รวบรวมข้อมูลรหัสผ่านกว่า 5,000,000 รายการที่หลุดออกมาสู่โลกอินเทอร์เน็ตในปี 2019 (ยกเว้นจากเว็บวับๆ แวมๆ หรือเทาๆ) แล้วทำการจัดอันดับรหัสผ่านที่ได้รับความนิยมสูงสุด 100 อันดับแรก ซึ่งเรียกได้ว่า "ถ้าใครใช้รหัสผ่านซ้ำกับ 100 อันดับนี้มีโอกาสเสี่ยงถูกแฮ็กได้อย่างง่ายดาย" โดยในปีนี้ รหัสผ่านที่นิยม แต่แย่ที่สุดยังคงเป็น “123456” ส่วน “password” ที่ครองที่ 2 มานานกว่า 5 ปีในที่สุดก็ตกไปอยู่อันดับที่ 4 โดยมี “123456789” และ “qwerty” แซงขึ้นมาอยู่อันดับที่ 2 และ 3 แทน
สำหรับรหัสผ่านที่น่าสนใจที่ปรากฏเข้ามาใหม่ คือ “1q2w3e4r” และ “qwertyuiop” ซึ่งแบบแรกยังคงเป็นการกดแป้นพิมพ์แบบเรียงลำดับ แต่ทำเป็นขั้นบันไดแทน ในขณะที่แบบหลังเป็นการเพิ่มความยาวของรหัสผ่านให้ยาวยิ่งขึ้น ตามที่ผู้เชี่ยวชาญทั่วโลกต่างรณรงค์ให้ทำกัน ซึ่งสอดคล้องกับแนวโน้มของรหัสผ่านยอดแย่อันดับที่ 2 “123456789” ที่มีความยาวถึง 9 ตัวอักษร อย่างไรก็ตาม การเปลี่ยนรูปแบบการเรียงลำดับการกดแป้นพิมพ์ หรือเพิ่มความยาวแบบเรียงต่อจากเดิมดื้อๆ นั้น ยังไม่เพียงพอต่อการรับมือกับแฮ็กเกอร์ได้
SplashData คาดการณ์ว่า อย่างน้อย 10% ของผู้ใช้ทั่วโลกมีการใช้รหัสผ่าน 1 ใน 25 รหัสผ่านเหล่านี้ ในขณะที่ประมาณ 3% ใช้รหัสผ่านที่แย่ที่สุดอย่าง “123456” มาดูตารางเปรียบเทียบรหัสผ่านยอดแย่ประจำปี 2019 และ 2018 กันดีกว่าครับ
| Rank | 25 Worst Password 2019 | 25 Worst Password 2018 |
|---|---|---|
| 1. | 123456 | 123456 |
| 2. | 123456789 | password |
| 3. | qwerty | 123456789 |
| 4. | password | 12345678 |
| 5. | 1234567 | 12345 |
| 6. | 12345678 | 111111 |
| 7. | 12345 | 1234567 |
| 8. | iloveyou | sunshine |
| 9. | 111111 | qwerty |
| 10. | 123123 | iloveyou |
| 11. | abc123 | princess |
| 12. | qwerty123 | admin |
| 13. | 1q2w3e4r | welcome |
| 14. | admin | 666666 |
| 15. | qwertyuiop | abc123 |
| 16. | 654321 | football |
| 17. | 555555 | 123123 |
| 18. | lovely | monkey |
| 19. | 7777777 | 654321 |
| 20. | welcome | !@#$%^&* |
| 21. | 888888 | charlie |
| 22. | princess | aa123456 |
| 23. | dragon | donald |
| 24. | password1 | password1 |
| 25. | 123qwe | qwerty123 |
ที่มา : https://www.helpnetsecurity.com/2019/12/18/worst-passwords-of-2019/
วันนี้ขอคุยเรื่องการตั้งรหัสผ่านกันหน่อยครับว่าควรตั้งอย่างไรดี? เพราะคำว่า "เดายาก แต่จำง่าย" นี่มันสวนทางกันพิกลอยู่นะครับ โดยหลักๆ แล้วการกำหนดวิธีการตั้งรหัสผ่านก็จะเป็นดังภาพล่างนี่แหละ
ซึ่งข้อกำหนดที่สำคัญคือ อย่างน้อย 8 ตัวอักษร (มากกว่าได้เท่าที่จะจำได้นั่นแหละ) 8 ตัวที่ว่านี่คือ อักขระ นะครับ นั่นหมายถึง เป็นตัวอักษร (ตัวเลข ตัวใหญ่ ในภาษาอังกฤษ) และตัวเลขผสมกัน เช่น ที่เคยใช้ password ซึ่งมี 8 ตัวอักษร ถ้าจะเพิ่มความยากก็ใช้เป็น PassWord หรือ pAsswOrd อย่างนี้ก็ได้ แต่มันก็ยังง่ายอยู่ดี เติมตัวเลขให้มันอีกนิดหนึ่งซิ เป็น pAss1wOrd ก็จะยากขึ้นเป็นต้น แต่มันก็จะยังถูกเดาได้อยู่นะ เพราะ password มันยอดนิยมอยู่ไงครับ ควรใช้คำอื่นๆ ควรหลีกเลี่ยงชื่อตัวเอง ชื่อแฟน ชื่อกิ๊ก ชื่อสัตว์เลี้ยงตัวโปรด วัน/เดือน/ปีเกิด หมายเลขโทรศัพท์ เพราะถ้าเขารู้ก็โดนด้วยการพยายามเดาจนได้แหละครับ
ในกรณีที่เรามีหลายบัญชีใช้งาน เช่น อีเมล์หลายชื่อ บัญชีธนาคารหลายบัญชี ก็ตั้งให้แตกต่างกันออกไปอย่าซ้ำกัน เพราะการตั้งให้ซ้ำกันถ้าเขาเดาตัวหนึ่งได้ถูกต้อง แน่นอนว่าเขาไล่เจาะบัญชีของเราได้ทุกตัว ทั้งอีเมล์ บัญชีธนาคาร Facebook, Line แย่แน่ๆ ครับ
"การตั้งให้เดายากแต่จำง่าย" ของผมใช้วิธีการตั้งรหัสผ่านเป็นภาษาไทย บนแป้นพิมพ์ภาษาอังกฤษครับ เช่น d^w,j[vd,7' (โทษทีไม่ค่อยสุภาพ = กูไม่บอกมึง) ปัญหานี้จะไม่มีอะไรถ้าคุณใช้บนเครื่องคอมพิวเตอร์พีซีหรือโน้ตบุ๊ค เพราะมองเห็นตัวอักษรภาษาไทยบนแป้นพิมพ์อยู่ แต่พอไปใช้กับพวกโทรศัพท์สมาร์ทโฟน หรือ แท็ปเล็ต พอเปลี่ยนแป้นมันจะไม่เห็นอักษรไทย คุณอาจจะลำบากในการพิมพ์รหัสผ่าน หนทางเดียวคือต้องท่องจำมัน หรือบันทึกไว้สักที่ หรือหาคำที่มันจะพิมพ์ได้ง่ายๆ หน่อย เป็นคำอุทาน หรือวรรคทองที่ชอบก็ได้ครับ ลองเอาไปปรับใช้ดู
เห็นเขามี Application ช่วยแปลงรหัสผ่านภาษาไทยเป็นอังกฤษ ในระบบ iOS ใช้กับ iPhone, iPad อยู่นะ ลองเอาไปใช้งานดูผมมีแต่มือถือ Android เลยลองให้ไม่ได้แล้ว ตามรูปนี้คลิกที่รูปไปอ่านรายละเอียดเองครับ
เคล็ดลับความปลอดภัย
SplashData เสนอ 3 เคล็ดลับง่ายๆ และอีก 2 ข้อของผู้เขียน ในการออนไลน์ที่ปลอดภัยยิ่งขึ้นในยุคอินเทอร์เน็ตความเร็วสูง :
- ใช้ข้อความรหัสผ่าน ที่มีอักขระ 12 ตัวขึ้นไป พร้อมกับการผสมตัวอักษรหลายประเภททั้งตัวเลขตัวใหญ่ ตัวเลขลงไป
- ใช้รหัสผ่านที่แตกต่างกันสำหรับการเข้าสู่ระบบของคุณแต่ละครั้ง (อีเมล์ Facebook, Line, Banking Account, Member Website) ด้วยวิธีนี้หากแฮ็กเกอร์เข้าถึงรหัสผ่านของคุณได้หนึ่งรหัส พวกเขาจะไม่สามารถใช้เพื่อเข้าถึงแอพพลิเคชั่น หรือเว็บไซต์อื่นๆ ได้
- ปกป้องทรัพย์สินและข้อมูลส่วนบุคคลของคุณ โดยใช้ตัวจัดการรหัสผ่านเพื่อจัดระเบียบรหัสผ่าน สร้างรหัสผ่านแบบสุ่มที่ปลอดภัย และเข้าสู่เว็บไซต์โดยอัตโนมัติ
- ระมัดระวังในการนำเครื่องมืออิเล็คทรอนิกส์ที่ชำรุด บกพร่องไปซ่อมตามร้านค้าทั่วไป ที่อาจไม่ปลอดภัยจากการคัดลอก ถ่ายโอนข้อมูล จากเครื่องเราไปได้ (เป็นช่องทางที่น่ากลัวที่สุดครับ) เป็นข่าวออกบ่อยครับ ทั้งคลิปลับส่วนตัวแชร์ว่อนในอินเทอร์เน็ต โดนแฮ็คเฟซบุ๊ก ไลน์ไปยืมเงินคนอื่น หรือแอบโอนเงินจากบัญชีธนาคารเราไปแบบง่ายๆ
- ใช้งาน Facebook, Line ควรกำหนดรหัสผ่าน/อีเมล์เองเมื่อ ซื้อโทรศัพท์ใหม่ หรือเปลี่ยนเครื่องใหม่จะได้ติดตั้งค่า ย้ายข้อมูลมาเครื่องใหม่ได้โดยง่าย ควรจดบันทึกไว้เป็นการส่วนตัว ไม่ควรให้ร้านค้า/พนักงานขายตั้งให้ เสี่ยงต่อการโดนแฮ็คเอาไปใช้ประโยชน์ได้นะ (ระวังกันหน่อย นิสัยกับหน้าตาอาจไม่สอดคล้องกัน) ไม่ใช่เปลี่ยนเครื่องใหม่ที เปลี่ยนเบอร์โทรที ก็สมัคร Facebook, Line ใหม่มาแอดเป็นเพื่อนเขาใหม่ทุกที เลยไม่รู้จริงหรือปลอม และอาจโดนแอบอ้างเอาไปทำมิดีมิร้ายได้ง่าย บรรดา สว (ผู้สูงวัย) ควรระวังให้มากนะ เดี๋ยวจะว่าไม่เตือน