ข้อแนะนำในการตั้งรหัสผ่านที่ปลอดภัยและจดจำได้ง่าย
เมื่อไม่นานมานี้มีข่าวว่า นักเจาะระบบสามารถถอดรหัสผ่านกว่า 11 ล้านรหัส ที่ขโมยมาจากเว็บไซต์หาคู่นอนที่มีชื่อว่า แอชลีย์ เมดิสัน ทำให้ประเด็นความสำคัญในการรักษาความปลอดภัยของรหัสผ่านกลับมาเป็นที่สนใจอีกครั้ง
ในสัปดาห์นี้ หน่วยงานด้านข่าวกรองและความมั่นคงของอังกฤษ (จีซีเอชคิว) ได้ตีพิมพ์แนวทางใหม่เกี่ยวกับการใช้รหัสผ่าน เพื่อยกระดับความปลอดภัยและการใช้งานระบบต่าง ๆ โดยรายงานฉบับนี้ระบุว่า รหัสผ่านที่มีความซับซ้อน มีอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็กสลับกับตัวเลขและสัญลักษณ์นั้น แท้จริงแล้วอาจไม่ได้มีประสิทธิภาพอย่างที่คิด เพราะผู้ใช้มักจะจดรหัสผ่านเพื่อกันลืม หรือใช้รหัสดังกล่าวซ้ำ ๆ กับหลายเว็บไซต์
ดร. สตีเวน เมอร์ดอช จากคณะวิทยาศาสตร์คอมพิวเตอร์ แห่งยูนิเวอร์ซิตี้ คอลเลจ ลอนดอน บอกว่าระบบความปลอดภัยไม่ควรพึ่งพาเฉพาะรหัสผ่านเพียงอย่างเดียว แต่ควรมีการควบคุมทางเทคนิคอื่น ๆ ซึ่งเจ้าของระบบสามารถใช้ตรวจสอบพฤติกรรมการใช้ที่ผิดปกติและปกป้องบัญชีของผู้ใช้
ขณะที่ ดร.แองเจลา ซาสส์ หัวหน้าศูนย์วิจัยความปลอดภัยสารสนเทศ แห่งยูนิเวอร์ซิตี้ คอลเลจ ลอนดอน กล่าวว่า การใช้รหัสผ่านที่มีเครื่องหมายต่าง ๆ และการเว้นวรรคตอนเป็นปัญหาสำหรับผู้ใช้อุปกรณ์สื่อสารแบบเคลื่อนที่ เพราะการพิมพ์บนจอสัมผัสทำได้ยาก เนื่องจากผู้ใช้ต้องกดสลับแป้นพิมพ์ไปมา
ผู้เชี่ยวชาญด้านความปลอดภัยบางคนแนะให้ใช้ “passphrases” ซึ่งเป็นรหัสผ่านที่อยู่ในรูปของประโยค หรือวลี เช่น “Iown50%ofSClub7albums” เพราะง่ายต่อการจดจำและยังป้องกันการขโมยรหัสด้วยวิธีการสุ่มเดารหัสผ่านได้ดียิ่งขึ้นด้วย ดร.ซาสส์ ชี้ว่า รหัสผ่านที่ดีควรจะมีความยาว แต่ขณะเดียวกันก็สร้างความยากลำบากในการพิมพ์ให้กับผู้ใช้จอสัมผัส อีกทั้งยังไม่ปลอดภัยไปเสียทีเดียวเพราะรหัสผ่านส่วนใหญ่ถูกขโมยด้วยการหลอกเอารหัสผ่านแบบฟิชชิ่งและมัลแวร์ ดังนั้นจึงไม่สำคัญว่ารหัสผ่านจะสั้น ยาว หรือซับซ้อนเพียงใด
รายงานของจีซีเอชคิว ยังระบุว่า การที่เว็บไซต์ต่าง ๆ ให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อย ๆ นั้น อาจทำให้ผู้ใช้ปรับเปลี่ยนรหัสเพียงเล็กน้อย แล้วใช้รหัสดังกล่าวกับเว็บไซต์อื่น ๆ ด้วย และวิธีนี้ยังไม่ได้ช่วยหยุดยั้งความเสียหายที่เกิดขึ้น เพราะคนร้ายมักนำรหัสผ่านที่ขโมยได้ ไปใช้ในทันที
ส่วนการใช้โปรแกรมช่วยจัดการและจดจำรหัสผ่านนั้น ผู้สร้างบอกว่าจะช่วยให้ผู้ใช้จดจำรหัสผ่านที่ซับซ้อนด้วย “สูตร” ที่จะช่วยบอกใบ้และเตือนความจำเกี่ยวกับรหัสผ่าน แทนที่จะเป็นการเก็บบันทึกรหัส อย่างไรก็ตาม โปรแกรมประเภทนี้ก็มีข้อเสีย ตรงที่ผู้ใช้จะต้องจดจำรหัสผ่าน เพื่อเข้าใช้งานโปรแกรมอยู่ดี นอกจากนี้งานวิจัยยังบ่งชี้ว่า แม้คนเราจะสามารถจดจำชื่อโรงเรียนที่ใช้ตั้งเป็นรหัสผ่านได้ แต่เวลาใช้งานจริงกลับไม่สามารถระบุรหัสที่ถูกต้องได้ และหากถูกขโมยโทรศัพท์ไป คนร้ายก็สามารถดูคำบอกใบ้ช่วยเตือนความจำของรหัสผ่านจากโปรแกรมเหล่านี้ได้ แล้วสืบหาข้อมูล เช่น ชื่อโรงเรียน จากเฟซบุ๊กของผู้เสียหายได้
ดร.เมอร์ดอช บอกว่า วิธีการเข้ารหัสที่ปลอดภัยคือ การยืนยันตัวเองแบบสองชั้น คือนอกจากจะใส่รหัสผ่านส่วนตัวแล้ว ผู้ใช้ยังต้องเข้ารหัสแบบใช้ครั้งเดียวอีกด้วย ซึ่งรหัสประเภทนี้มักถูกส่งมายังโทรศัพท์มือถือ ขณะที่ ดร.ซาสส์ แนะว่า ไม่ควรใช้รหัสผ่านที่สำคัญ เช่น รหัสอินเทอร์เน็ตแบงก์กิ้ง เป็นรหัสผ่านเดียวกับเว็บไซต์อื่น ๆ นอกจากนี้ ควรใช้รหัสผ่านที่เป็นเอกลักษณ์ควบคู่ไปกับการใช้โปรแกรมช่วยจัดการและจดจำรหัสเพื่อเฝ้าติดตามการใช้รหัสผ่านของตัวเอง
ขอขอบคุณภาพและเนื้อหาจาก