มีรหัสก็ไม่ปลอดภัย

มีรหัสก็ไม่ปลอดภัย

ต้องเริ่มป้องกันตนเองจากการถูกแฮกโดยการตั้งรหัสผ่านที่มีรูปแบบที่คาดเดาได้ยาก

ปัจจุบันการยืนยันตัวตนด้วยรหัสเพียงอย่างเดียวไม่เพียงพอเสียแล้ว เพราะผู้ใช้บางท่านยังใช้รหัสที่สามารถคาดเดาได้ง่ายอยู่ เช่น 12345, P@ssw0rd นั่นทำให้บริษัทที่ต้องทำงานเกี่ยวกับข้อมูลของลูกค้าบางบริษัทเลือกใช้วิธีการพิสูจน์ตัวตนด้วย Two-Factor Authentication (2FA) หรือการยืนยันตัวตนผ่านสองขั้นตอน

2FA คือ การที่ผู้เข้าใช้งานต้องยืนยันตัวตนมากกว่า 2 วิธีการ เช่น ในกรณีที่เป็นการใช้งานตัดบัตรเครดิตผ่านเว็บไซต์หรือแอพพลิเคชัน ขั้นแรกเราจะต้องใส่รหัสบัตรและรหัส 3 ตัวหลังบัตรเครดิต (CVV) ตรงนี้นับเป็นการยืนยันตัวตนครั้งแรก จากนั้นระบบจะส่ง One-time Password (OTP) หรือรหัสแบบใช้ครั้งเดียวเข้าไปที่เบอร์โทรศัพท์ที่เราได้ลงทะเบียนไว้ เพื่อให้เราใส่รหัสที่ได้อีกครั้งในระบบก่อนจะอนุมัติให้ตัดเงินจากบัตรเครดิตของเรา ตรงนี้คือการใช้วิธีการยืนยันตัวตนแบบ Two-Factor Authentication ที่เราพบเจอได้ในชีวิตประจำวันครับ ถือเป็นวิธีการที่ปลอดภัยมากกว่าเดิม เพราะผู้ที่เก็บบัตรของเราไปได้จะไม่สามารถใช้บัตรนี้จ่ายเงินได้ เพราะต้องมีรหัสแบบ One-time Password (OTP) มาใช้ร่วมด้วย

จริงๆ แล้วยังมีวิธีการอื่นอีกที่ถือเป็น 2FA เช่น การเลือกรูปภาพตามคำสั่ง ซึ่งเราจะพบเจอได้ผ่านเว็บไซต์ที่ใช้บริการยืนยันตัวตนของกูเกิล ในขณะที่บางบริษัทจะทำการแจกอุปกรณ์ Token ซึ่งเป็นอุปกรณ์แจ้งรหัสแบบพกพาให้กับพนักงานทุกคนที่ต้องเข้าใช้ระบบของบริษัท

ล่าสุดหลังจากที่ต้องพบเจอมรสุมเรื่องความไม่ปลอดภัยในการใช้งาน Zoom ผู้ให้บริการวิดีโอ คอนเฟอร์เรนซ์  หรือการประชุมทางไกลได้เพิ่มระบบ 2FA ให้ผู้ใช้ทำการยืนยันตัวตนก่อนเข้าใช้งานทั้งบนคอมพิวเตอร์ และบนแอพพลิเคชันของ Zoom ซึ่งเป็นส่วนหนึ่งในแผนการปรับปรุงการรักษาความปลอดภัยและความเป็นส่วนตัวที่ Zoom จะพัฒนาขึ้นภายใน 90 วัน

นอกจากจะเพิ่ม 2FA แล้ว Zoom ยังเปิด Bug Bounty Program ซึ่งเป็นโครงการที่เปิดให้ผู้เชี่ยวชาญทางด้านไอทีเข้ามารายงานถึงช่องโหว่ที่พบในระบบ Zoom โดยหากทำตามกติกาได้ก็จะได้รับเงินรางวัลเป็นการตอบแทน เพราะก่อนหน้านี้ Zoom เคยต้องเจอกับเหตุการณ์ Zoom Bombing ที่ช่องโหว่ถูกนำไปขายในตลาดใต้ดินโดยกลุ่มแฮกเกอร์ โครงการนี้เกิดขึ้นเพราะความเชื่อที่ว่าหากเราต้องการป้องกันตนเองจากแฮกเกอร์ เราต้องคิดให้เหมือนกับแฮกเกอร์ ซึ่ง Zoom ต้องการที่จะหาช่องโหว่เพื่อปกป้องข้อมูลและความเป็นส่วนตัวของลูกค้าให้สามารถประชุมทางไกลเรื่องสำคัญๆได้อย่างมั่นใจ จึงได้จัดทำโครงการระยะยาวนี้ขึ้นโดยว่าจ้างผู้เชี่ยวชาญเข้ามาช่วยดำเนินการ

นี่จึงเป็นเรื่องดีที่ผู้ให้บริการตื่นตัวกับเหตุการณ์ความไม่ปลอดภัยที่ส่งผลเสียกับลูกค้า แต่ก็ยังมีอีกหลายบริษัทที่ยังไม่ได้ให้ความสำคัญกับวิธีการยืนยันตัวตน ซึ่งเราจะเห็นได้จากบางบริการที่ให้ Log in เข้าระบบได้โดยใส่รหัสยืนยันตัวเพียงอย่างเดียวก็สามารถเข้าใช้งานได้ เมื่อผู้ให้บริการยังไม่ได้พัฒนาระบบมาป้องกันตรงจุดนี้ เราเองก็ต้องเริ่มป้องกันตนเองจากการถูกแฮกโดยการตั้งรหัสผ่านที่มีรูปแบบที่คาดเดาได้ยาก เช่น การใช้ตัวเลขและตัวอักษรมาปนกัน (1AA25RDW) ก็พอจะช่วยได้ครับ