มีมหาวิทยาลัยที่อเมริกา (University of Michigan) ให้คำจำกัดความของ password ว่า " Passwords Are Like Underwear "
2. อย่าลืมทิ้งไว้ไม่เป็นที่เป็นทาง
3. ยิ่งยาวยิ่งดี
4. อย่าใช้ร่วมกับคนอื่น
5. ต้องทำให้ดูลึกลับ
สำหรับข้อที่ 1 ใครที่ไม่ค่อยทำตามคำนิยามสักเท่าไหร่ ทุกวันนี้อาจไม่แน่ใจว่าจะมีใครเจาะ password ที่ใช้มานานจนเป็นรูหรือเปล่า คงเป็นเพราะกางเกงในตัวเก่า...เอ๊ย...password เก่ามันคุ้นเคย
ส่วนข้อที่ 5 นั้นคงมีอยู่เพียงคนเดียวที่เค้ามี password เปิดเผยมากที่สุด นั่นคือ...ซุปเปอร์แมน
การทำให้รหัสผ่าน หรือ password มีความแข็งแรง ใช้ตัวอักษรที่แตกต่างและผสมสานกันระหว่างตัวเลขและตัวอักษร เติมเครื่องหมายประหลาดๆ เข้าไปสักหน่อย ความยาวอย่างน้อย 6-8 ตัวอักษร แต่ยังคงจำได้ และไม่เขียนมันลงบนกระดาษ อ้อ...ต้องไม่ลืมที่จะเปลี่ยนมันทุก 2-3 เดือนด้วย ฟังดูคำแนะนำข้างต้นนี้น่าจะป้องกันเราจากแฮคเกอร์ได้ แต่ความจริงแล้ว...มันไม่ใช่อย่างที่คุณคิดเลย...
ผู้เชี่ยวชาญระบบรักษาความปลอดภัยบางคนกำลังคิดสวนทางอย่างแรงด้วยการออกมาให้ความเห็นว่า ความจริงแล้ว " password " ที่ใช้ไม่ได้จำเป็นต้องแข็งแรง พวกเขาบอกว่า การป้องกันการโจมตีด้วยการตั้ง password ที่แข็งแรงแล้วคิดว่าปลอดภัยนั้นเป็นเรื่องผิดถนัด เพราะผู้ใช้อาจจะละเลยภัยคุกคามที่แม้แต่ password ที่แข็งแรงก็ไม่ช่วยอะไรได้ นั่นคือ " มัลแวร์ "
มาดูกันว่าทำไมเค้าถึงนิยามแบบนั้น
1. ต้องเปลี่ยนบ่อยๆ2. อย่าลืมทิ้งไว้ไม่เป็นที่เป็นทาง
3. ยิ่งยาวยิ่งดี
4. อย่าใช้ร่วมกับคนอื่น
5. ต้องทำให้ดูลึกลับ
สำหรับข้อที่ 1 ใครที่ไม่ค่อยทำตามคำนิยามสักเท่าไหร่ ทุกวันนี้อาจไม่แน่ใจว่าจะมีใครเจาะ password ที่ใช้มานานจนเป็นรูหรือเปล่า คงเป็นเพราะกางเกงในตัวเก่า...เอ๊ย...password เก่ามันคุ้นเคย
ส่วนข้อที่ 5 นั้นคงมีอยู่เพียงคนเดียวที่เค้ามี password เปิดเผยมากที่สุด นั่นคือ...ซุปเปอร์แมน
การทำให้รหัสผ่าน หรือ password มีความแข็งแรง ใช้ตัวอักษรที่แตกต่างและผสมสานกันระหว่างตัวเลขและตัวอักษร เติมเครื่องหมายประหลาดๆ เข้าไปสักหน่อย ความยาวอย่างน้อย 6-8 ตัวอักษร แต่ยังคงจำได้ และไม่เขียนมันลงบนกระดาษ อ้อ...ต้องไม่ลืมที่จะเปลี่ยนมันทุก 2-3 เดือนด้วย ฟังดูคำแนะนำข้างต้นนี้น่าจะป้องกันเราจากแฮคเกอร์ได้ แต่ความจริงแล้ว...มันไม่ใช่อย่างที่คุณคิดเลย...
ผู้เชี่ยวชาญระบบรักษาความปลอดภัยบางคนกำลังคิดสวนทางอย่างแรงด้วยการออกมาให้ความเห็นว่า ความจริงแล้ว " password " ที่ใช้ไม่ได้จำเป็นต้องแข็งแรง พวกเขาบอกว่า การป้องกันการโจมตีด้วยการตั้ง password ที่แข็งแรงแล้วคิดว่าปลอดภัยนั้นเป็นเรื่องผิดถนัด เพราะผู้ใช้อาจจะละเลยภัยคุกคามที่แม้แต่ password ที่แข็งแรงก็ไม่ช่วยอะไรได้ นั่นคือ " มัลแวร์ "
โดยเฉพาะซอฟต์แวร์ Keylogger ที่มักจะเป็นของกำนัลจากไวรัส ซึ่งมัลแวร์พวกนี้สามารถเก็บบันทึกทุกการกดแป้นพิมพ์ของคุณรวมถึง " password " ที่แข็งแรงนักหนา ก่อนที่จะส่งไปให้แฮคเกอร์ผู้อยู่แดนไกลแต่เชื่อมต่อกับคอมพิวเตอร์ของคุณผ่านเครือข่ายอินเทอร์เน็ต " การดูแลไม่ให้มัลแวร์อย่าง Keylogger ติดเข้าไปในเครื่อง มีความหมายนับแสนล้านเท่าเมื่อเทียบกับพาสเวิร์ดที่แข็งแรงของคุณ " Comac Herley นักวิจัยจาก Microsoft Research เขากล่าวว่า แม้ซอฟต์แวร์แอนตี้ไวรัสจะสามารถตรวจจับ และป้องกัน Keylogger ชนิดต่างๆ ได้มากมาย แต่ก็ไม่อาจรับประกันได้ว่าจะให้ความปลอดภัยกับผู้ใช้ได้ 100%
ทั้งนี้ Herley ได้พยายามพิสูจน์ให้เห็นว่า แม้ " password " สั้นๆ แถมยังใช้ตัวอักษรเรียงกันจะทำให้แฮคเกอร์สามารถทดลองสุ่มพาสเวิร์ดไปเรื่อยๆ ได้ แต่หากเว็บไซต์ที่ให้บริการมีระบบป้องกันที่เรียกว่า " brute-force attacks " ที่กำหนดให้ Log-in ผิดพลาดได้ไม่เกินจำนวนครั้งที่กำหนด (3 ครั้ง) แค่ PIN Number 6 หลักก็ยังคงปลอดภัยจากการโจมตีได้นับ 100 ปีเลยทีเดียว อย่างไรก็ตาม เขายังท้าทายอีกด้วยว่า เว็บไซต์ที่มีผู้ใช้หลายร้อยล้านคน สามารถทำระบบแนะนำ password สั้นๆ ให้ผู้ใช้เลือก (ผู้ใช้ไม่ต้องคิดพาสเวิร์ดเองก็ได้) โดย password ที่ถูกเลือกไปแล้วจะไม่ถูกใช้ซ้ำโดยผู้ใช้คนอื่น และจำกัดจำนวนครั้งในการพิมพ์ password ผิดพลาด โอกาสที่ผู้โจมตีจะโชคดีเดา password ถูกมีแค่ 100 รายใน 10 ล้าน (ประมาณ 0.001%)
ทั้งนี้ Herley ได้พยายามพิสูจน์ให้เห็นว่า แม้ " password " สั้นๆ แถมยังใช้ตัวอักษรเรียงกันจะทำให้แฮคเกอร์สามารถทดลองสุ่มพาสเวิร์ดไปเรื่อยๆ ได้ แต่หากเว็บไซต์ที่ให้บริการมีระบบป้องกันที่เรียกว่า " brute-force attacks " ที่กำหนดให้ Log-in ผิดพลาดได้ไม่เกินจำนวนครั้งที่กำหนด (3 ครั้ง) แค่ PIN Number 6 หลักก็ยังคงปลอดภัยจากการโจมตีได้นับ 100 ปีเลยทีเดียว อย่างไรก็ตาม เขายังท้าทายอีกด้วยว่า เว็บไซต์ที่มีผู้ใช้หลายร้อยล้านคน สามารถทำระบบแนะนำ password สั้นๆ ให้ผู้ใช้เลือก (ผู้ใช้ไม่ต้องคิดพาสเวิร์ดเองก็ได้) โดย password ที่ถูกเลือกไปแล้วจะไม่ถูกใช้ซ้ำโดยผู้ใช้คนอื่น และจำกัดจำนวนครั้งในการพิมพ์ password ผิดพลาด โอกาสที่ผู้โจมตีจะโชคดีเดา password ถูกมีแค่ 100 รายใน 10 ล้าน (ประมาณ 0.001%)
อย่างไรก็ตาม เพื่อความปลอดภัยของผู้ใช้ กติกาของการตั้ง password แข็งแรง หากไม่รู้สึกลำบากเกินไปนักก็ทำไปเถอะ แต่ต้องไม่ลืมที่จะอัพเดตซอฟต์แวร์แอนตี้ไวรัสอย่างสม่ำเสมอ และไม่ควรท่องเว็บไซต์ใต้ดิน หรือเว็บไซต์อย่างว่า เพราะโอกาสที่คุณจะได้รับของกำนัลอย่างโปรแกรม Keylogger สูงมากทีเดียว...เราเตือนคุณแล้ว!!!
ไม่มีความคิดเห็น:
แสดงความคิดเห็น