• T.C.Mattmy

ปีใหม่ พาสเวิร์ดใหม่


เชื่อว่าทุกท่านที่ใช้คอมพิวเตอร์ (ในที่นี้รวมถึงโทรศัพท์มือถือ แท็ปเล็ต และอุปกรณ์อื่น ๆ ด้วย) ต้องได้ใช้พาสเวิร์ดเพื่อจำกัดการเข้าถึงข้อมูลของท่าน เนื่องจากเราทุกคนต่างมีข้อมูลส่วนตัวที่ไม่ต้องการให้คนอื่นรู้ วิธีรักษาความปลอดภัยวิธีหนึ่งคือการเปลี่ยนพาสเวิร์ด เพื่อป้องกันไม่ให้พาสเวิร์ดของเราถูกนำไปใช้อย่างไม่ถูกต้อง อย่างไรก็ตาม การเปลี่ยนพาสเวิร์ดไม่ได้ส่งผลดีเสมอไป แล้วเราจะเปลี่ยนพาสเวิร์ดไปทำไม? เมื่อไหร่ที่เราควรจะเปลี่ยนพาสเวิร์ด?


ทำไมต้องเปลี่ยนพาสเวิร์ดบ่อย ๆ


ตัวอย่างข้อดีของการเปลี่ยนพาสเวิร์ดบ่อย ๆ

  1. จำกัดความเสียหายในการโดนเข้าถึงหลายบัญชี - ถ้าหากว่าเราใช้พาสเวิร์ด Facebook กับ Gmail เหมือนกัน (มั่นใจว่าต้องมีผู้อ่านบางท่านทำเช่นนี้แน่นอน) แล้วเกิดมีคนร้ายรู้รหัส Facebook เรา ก็จะทำให้เข้าถึง Gmail ได้ด้วย

  2. ป้องกันการโดนเข้าถึงอีก - ทุกวันนี้อาจมีคนร้ายที่รู้พาสเวิร์ดของเราแล้วเข้า Facebook ของเราอยู่ โดยที่เราไม่รู้ตัวก็ได้ การเปลี่ยนพาสเวิร์ดจะทำให้พาสเวิร์ดที่คนร้ายรู้ผิดและใช้งานไม่ได้

  3. ป้องกันการใช้พาสเวิร์ดที่บันทึกไว้ - สมมติว่าคอมพิวเตอร์หาย คนร้ายเก็บได้จะสามารถเข้าถึงข้อมูลของเราได้จากพาสเวิร์ดที่เราบันทึกไว้


ทำไมไม่ควรเปลี่ยนพาสเวิร์ดบ่อยเกินไป


ในอดีตอาจมีความเห็นว่าการเปลี่ยนพาสเวิร์ดทุก ๆ 30 ถึง 42 วันเป็นสิ่งที่ควรทำ อย่างไรก็ตาม มีการศึกษาออกมาว่าการที่บริษัทบังคับให้พนักงานเปลี่ยนพาสเวิร์ดบ่อยเกินไปทำให้บริษัทสูญเสียรายได้จากการขาด Productivity ซึ่งไม่คุ้มค่ากับความปลอดภัยที่ได้มา


บริษัทที่มีนโยบายให้พนักงานเปลี่ยนพาสเวิร์ดบ่อยเกินไปทำให้พนักงานต้องจดจำพาสเวิร์ดจำนวนมาก และโดยธรรมชาติของมนุษย์ จะทำให้เกิดข้อผิดพลาดง่าย ๆ พนักงานบางคนอาจจดพาสเวิร์ดใส่ Post-it ไว้ (เนื่องจากจำไม่ได้เพราะมีมากเกินไป)


นอกจากนี้ หลายคนไม่ได้มีความคิดสร้างสรรค์ขนาดคิดรูปแบบพาสเวิร์ดได้ทุกเดือน พาสเวิร์ดใหม่ที่มนุษย์ตั้งมักจะคล้ายอันเก่า โดยอาจมีรูปแบบเดิม ตัวอักษรเดิม การเปลี่ยนพาสเวิร์ดในลักษณะนี้ไม่ได้ช่วยให้ปลอดภัยขึ้นซักเท่าไหร่ เทคโนโลยีสมัยนี้ทำให้การเดาพาสเวิร์ดใหม่จากพาสเวิร์ดเดิมได้ไม่ยาก


แล้วต้องเปลี่ยนบ่อยแค่ไหน?


เมื่อปี 2017 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ สหรัฐอเมริกา (National Institute of Standards and Technology, NIST) ได้แนะนำให้ลดความถี่ในการเปลี่ยนพาสเวิร์ด อย่างไรก็ตามไม่ได้หมายความว่าไม่ควรเปลี่ยนพาสเวิร์ดอีกต่อไป แล้วเมื่อไหร่ที่เราควรเปลี่ยนล่ะ?


ตัวอย่างเหตุการณ์ที่เราควรเปลี่ยนพาสเวิร์ด

  1. เมื่อเกิดเหตุการณ์เกี่ยวกับการรักษาความปลอดภัยของระบบ

  2. เมื่อรู้ว่าบัญชีของเรามีการเข้าถึงโดยไม่ถูกต้อง

  3. เมื่อรู้ว่ามี Malware หรือโปรแกรมไม่พึงประสงค์ในเครื่อง

  4. หลังจากแบ่งบัญชีของเราให้คนอื่นใช้

  5. หลังจากเข้าถึงบัญชีของเราผ่านเครื่องคอมพิวเตอร์สาธารณะ (เช่น ห้องสมุด)

  6. เมื่อไม่ได้เปลี่ยนพาสเวิร์ดมาเกินกว่า 1 ปี โดยเฉพาะในกรณีที่ไม่ได้ใช้การยืนยันหลายช่องทาง (Multi-Factor Authentication)

ลองคิดดูว่าทีผ่านมาเราเคยผ่านเหตุการณ์ดังตัวอย่างหรือไม่ หากเคยหรือไม่แน่ใจ เนื่องในวารดิถีขึ้นปีใหม่นี้ นับว่าเป็นฤกษ์งามยามดีในการเปลี่ยนพาสเวิร์ดใหม่ (ถือว่าหยวน ๆ ละกัน ยังต้นปีอยู่) เพื่อให้ปี 2020 เป็นปีที่ท่านได้ใช้เทคโนโลยีได้อย่างปลอดภัย


วิธีทำให้พาสเวิร์ดปลอดภัย

  1. พาสเวิร์ดคือข้อมูลส่วนตัว ไม่ควรให้ผู้อื่นรู้

  2. ไม่ควรจดพาสเวิร์ดไว้

  3. สร้างพาสเวิร์ดให้ยาว

  4. ไม่ใช้ชื่อคน ชื่อสัตว์เลี้ยง หรือวันสำคัญ

  5. ใช้ตัวอักษรผสมกัน เช่น ระหว่างตัวพิมพ์เล็ก พิมพ์ใหญ่ อักขระพิเศษ และตัวเลข (บางกรณีอาจใช้ภาษาไทยได้หรือภาษาอื่นได้ แต่จะสะดวกในกรณีที่ต้องใช้พาสเวิร์ดในต่างประเทศ)

  6. หลีกเลี่ยงการแทนตัวอักษรที่คาดเดาได้ง่าย เช่น ตัวอักษร o แทนที่ด้วยตัวเลข 0 หรือ ตัวอักษร i แทนที่ด้วยตัวเลข 1 เป็นต้น

  7. ไม่ควรใช้รูปแบบตัวอักษรบนแป้นพิมพ์ที่คาดเดาได้ง่าย เช่น qwerty หรือ asdfjkl; เป็นต้น

  8. รหัสที่ดีควรดูเหมือนตัวอักษรที่สุ่มมามั่ว ๆ (เช่น iwn19/?01jsADN1)


หรือว่าไม่ต้องใช้ "พาสเวิร์ด" เลย?


แล้วแบบนี้จะใช้อะไรดี? ต้องเข้าใจก่อนว่าคำว่า "พาสเวิร์ด" จริง ๆ แล้วมันก็คือคำว่า Pass กับคำว่า Word รวมกัน หมายถึง "คำ (Word)" ที่ใช้สำหรับการ "ผ่าน (Pass)" เพื่อเข้าถึงอะไรบางอย่าง ในเมื่อการใช้ "คำ" มันอาจจะดูง่ายไป งั้นลองเปลี่ยนให้เป็น "กลุ่มคำ" หรือ "วลี" ดีไหม


นี่จึงเป็นที่มาของการใช้ "พาสเฟรส (Passphrase)" ตัวอย่างเช่นเราอาจจะตั้งรหัสผ่านเป็น "J1nger C@Ts r cute" สังเกตุว่าจะตั้งใจเขียน "Ginger" เป็น "J1nger" อีกทั้งมีการผสมตัวอักษรทั้งพิมพ์เล็ก พิมพ์ให้ อักขระพิเศษ ตัวเลข และเว้นวรรค เข้าไปด้วย เพื่อให้รหัสผ่านมีความซับซ้อนยิ่งขึ้น


การตั้งพาสเฟรสนั้นไม่จำเป็นต้องเขียนให้ถูกหลักแกรมมา หรือต้องสะกดคำให้ถูกทุกคำ อย่าลืมว่าเรากำลังทำให้รหัสผ่านแข็งแรง ไม่ใช่ทำข้อสอบภาษาอังกฤษ ดังนั้นอะไรที่สามารถทำให้รหัสผ่านของเรามันซับซ้อนขึ้น ก็ยัด ๆ ลงไป (แต่ต้องจำให้ได้ด้วยนะ)


สิ่งที่ทำให้พาสเฟรสเหนือกว่าพาสเวิร์ดมีดังนี้

  1. พาสเฟรสจำได้ง่ายกว่าพาสเวิร์ด - เราอาจจะเอาเนื้อเพลงท่อนโปรด หรือบทกวีที่เราชอบมาตั้งได้ ซึ่งการใช้พาสเฟรซนั้นโดยพื้นฐานมันมีความซับซ้อนอยู่แล้ว ดังนั้นไม่จำเป็นจะต้องไปดัดแปลงอะไรมากเหมือนพาสเวิร์ด

  2. พาสเฟรสถูกแก้ได้ยากกว่า - เรื่องนี้ชัดเจนอยู่แล้ว ทั้งความยาว ทั้งการใช้เว้นวรรค เป็นสิ่งที่เหนือกว่าพาสเวิร์ดอย่างแน่นอน

  3. สามารถทำให้ซับซ้อนได้ง่ายกว่า - ตอนที่เราสมัครสมาชิกกับบางเว็บไซต์จะถูกบังคับให้ตั้งรหัสผ่านที่มีการผสมตัวอักษรพิเศษ หรือการใช้อักขระพิเศษ ในกรณีนี้เราแทบไม่จำเป็นต้องไปจำเพิ่มเติมเลยว่าเราเปลี่ยนตัวอักษรตัวไหนให้พิเศษ หรือมีการเติมไปตรงไหนบ้าง เพียงแค่ใช้ไปตามปกติเท่านั้น

  4. เทคโนโลยีสมัยนี้รองรับพาสเฟรสมากขึ้นแล้ว - เมื่อก่อนอาจจะมีข้อจำกัดบ้าง เช่น ไม่ให้ใช้เว้นวรรค หรือจำกัดความยาวตัวอักษรไว้แค่ไม่กี่ตัว ตอนนี้ระบบส่วนมากทำได้แล้ว ดังนั้นการตั้งรหัสผ่านให้ยาวและซับซ้อนจึงเป็นอะไรที่ทำได้ไม่ยาก



ที่มา

https://smallbusiness.chron.com/important-change-password-65933.html

https://www.psafe.com/en/blog/often-need-change-passwords/

https://blog.lastpass.com/2018/08/often-change-password.html/

https://www.wired.com/2016/03/want-safer-passwords-dont-change-often/

https://www.passworddragon.com/password-vs-passphrase


4 views

©2019 by penkable. Proudly created with Wix.com