ตั้ง Password เดียวใช้งานทุกเว็บ เสี่ยงโดนแฮกทุกบัญชี

12 ธันวาคม 2019

IT Security

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

การใช้ชื่อผู้ใช้และรหัสผ่านชุดเดียวกันในทุก ๆ เว็บที่ใช้ในการ Login อาจเป็นเหมือนเรื่องธรรมดาที่ทุกคนทำกัน สาเหตุหลักอาจเพราะความง่ายในการจดจำ แต่ถ้าข้อมูลชุดนี้หลุดไปจากเว็บใดเว็บหนึ่งอาจเป็นเพราะโดนแฮกหรือเกิดการรั่วไหลของข้อมูล ก็จะทำให้ทุก Account ที่ใช้ข้อมูลชุดเดียวกันมีความเสี่ยงขึ้นด้วย ดังนั้นขอให้ท่องเอาไว้ว่า Password ต้องไม่ง่าย ต้องไม่ซ้ำ ถ้าไม่ไหวควรใช้ Password Manager สุดท้ายถ้าเปิด 2 Factor Authentication (2FA) ได้ควรเปิด (การเปิด 2FA ใน Google , Facebook)

สำหรับวิธีการที่แฮกเกอร์ใช้นั้น วิธีคร่าว ๆ เบื้องต้นที่จะทำก็คือ นำข้อมูลบัญชีเหล่านั้นที่ได้มาจากการแฮกหรือการรั่วไหลของข้อมูล หรือแม้กระทั่งซื้อมาจากเว็บใต้ดิน นำมาทำการโจมตีแบบ Credential Stuffing ผ่าน Botnets ซึ่งก็คือการนำข้อมูลชื่อผู้ใช้และรหัสผ่าน ไปทดลอง Log-in เข้าเว็บไซต์เป้าหมายต่าง ๆ หากผู้ใช้รายใดมีชื่อผู้ใช้และรหัสผ่านชุดเดียวกัน แฮกเกอร์ก็จะเข้าสู่ Account เหล่านั้นได้ ซึ่งหนึ่งในนั้นอาจจะเป็นบัญชีธนาคาร เช่น เว็บธนาคาร HSBC ของฮ่องกงเคยถูกโจมตีจนทำให้ต้องระงับบัญชีออนไลน์ของลูกค้าจำนวนหนึ่งมาแล้ว หรือ DailyMotion คู่แข่งของ YouTube ถึงกับต้องปิดเว็บไซต์ชั่วคราวเนื่องจากถูกโจมตีแบบเดียวกัน

วิธีการป้องกันการถูกโจมตีลักษณะนี้ คือ การใช้รหัสผ่านในแต่ละเว็บไซต์และบริการออนไลน์โดยไม่ซ้ำกัน แต่ก็เพราะบริการต่าง ๆ ที่มีจำนวนมากขึ้นเรื่อย ๆ จนทำให้จำรหัสผ่านไม่ได้ การใช้ Password Manager จึงเป็นอีกทางเลือกหนึ่งที่ดี ช่วยจัดเก็บรหัสผ่านทั้งหมดอยู่ภายในผู้ให้บริการเจ้าเดียว โดยข้อแม้ผู้ใช้จะต้องจำรหัสผ่านที่เรียกว่า Master Password ให้ได้เพียงชุดเดียว ก็จะสามารถใช้ Account ที่ใช้รหัสผ่านที่ต่างกันได้โดยไม่ติดเกี่ยวกับเรื่องความจำและความง่ายอีกต่อไป

ฟีเจอร์ของ Password Manager มีอะไรบ้าง จะช่วยให้ผู้ใช้สามารถบริหารจัดการรหัสผ่านได้อย่างง่ายขึ้นได้อย่างไร

  • สามารถใช้งานแบบข้ามอุปกรณ์และระบบปฎิบัติหลากหลายชนิดของผู้ใช้
  • ผู้ใช้จดจำเพียงรหัสผ่านชุดเดียว (Master Password) เพื่อเข้าใช้งาน Password Manager และบางแอปสามารถสั่งเข้าระบบแบบไม่ต้องกรอกรหัสผ่านหากมีการยืนยันตนแล้ว
  • สามารถบันทึกข้อมูลส่วนตัวไว้เพื่อใช้งานในอนาคตแบบเติมข้อมูลได้โดยอัตโนมัติ (ข้อมูลบัตรเครดิต หรือชื่อที่อยู่)
  • บริการแจ้งเตือนเมื่อบัญชีใดถูกเจาะเข้าระบบ เพื่อให้ผู้ใช้รีบจัดการทันท่วงที่
  • บริการแจ้งเตือนเมื่อผู้ใช้ตั้งรหัสผ่านซ้ำกันหรือนำรหัสผ่านเก่ามาเวียนใช้ รวมทั้งวิเคราะห์ถึงความซับซ้อนของรหัสผ่าน (Strength Level)
  • ความสามารถในการช่วยตั้งรหัสผ่านที่ซับซ้อนตามเงื่อนไขได้อัตโนมัติ ซึ่งแน่นอนจะไม่ซ้ำกันและคาดเดาได้ยากมาก
  • ฐานข้อมูลใน Password Manager ผ่านการเข้ารหัสระดับสูงสุด 256 บิท ซึ่งถือว่าปลอดภัยที่สุดในปัจจุบัน

เว็บไซต์ข่าวสารเทคโนโลยีชื่อดัง CNET ได้รีวิว Password Manager ที่ดีที่สุดแห่งปี 2019 และได้ผลดังนี้

  1. เวอร์ชันฟรี ได้แก่ LastPass : มีความโดดเด่นด้านการจัดเก็บรหัสผ่านข้อมูลการเข้าสู่ระบบของผู้ใช้และข้อมูลประจำตัว สามารถซิงค์ได้ทุกอุปกรณ์ นอกจากนี้ยังสามารถแชร์รายการล็อกอินกับบุคคลอื่นได้ หากผู้ใช้เลือกเสียเงินสมัครสมาชิก เวอร์ชันพรีเมี่ยมซึ่งมีฟีเจอร์เสริมอื่น ๆ หลายอย่างโดยเฉพาะการใช้การยืนยันตนแบบสองปัจจัย (2FA) ด้วยฮาร์ดแวร์ด้วย YubiKey และเครื่องสแกนลายนิ้วมือ (LastPass.com)
  2. เวอร์ชันที่มีค่าสมาชิก ได้แก่ 1Password.com : นอกเหนือจากฟีเจอร์หลักทั่วไป บริการนี้มาพร้อม Travel Mode เพื่อช่วยให้ผู้ใช้สามารถลบข้อมูลสำคัญจากอุปกรณ์เคลื่อนที่ขณะกำลังเดินทางแล้วกู้คืนได้ด้วยคลิกเดียวเมื่อกลับถึงบ้าน (1Password.com)

ในบรรดาแอปอื่น ๆ ที่ได้รีวิวมี Bitwarden, Dashlane, Keeper และ KeePassXC ได้ผลอันดับรอง ๆ ลงมา

นอกจากการใช้ Password Manager แล้ว ผู้ใช้ก็ไม่ควรวางใจ เนื่องจากไม่มีระบบใดในโลกที่ปลอดภัย 100% แต่การใช้ตัวช่วย เช่น Password Manager ย่อมดีกว่าการใช้รหัสผ่านชุดเดียวกันทุก ๆ บัญชีอยู่ดี และเพื่อเสริมความปลอดภัยอีกชั้นควรเปิดใช้งาน 2FA เพิ่มไปด้วยในทุก ๆ บริการเพื่อรับรหัสตัวเลขหรือตัวอักษรที่ระบบของผู้ให้บริการสร้างขึ้น ส่งผ่านทางข้อความ SMS หรือแอปบนมือถือให้ผู้ใช้กรอก สิ่งนี้อาจจะทำให้การเข้าระบบหรือบัญชีต่าง ๆ ล่าช้าขึ้นบ้าง แต่มันช่วยลดความเสี่ยงจากการถูกแฮกได้มากทีเดียว

อ้างอิงที่มา:
https://www.wired.com/story/what-is-credential-stuffing/
https://www.cutimes.com/2019/04/19/botnets-hitting-financial-institutions-with-credential-stuffing-attacks/
https://services.google.com/fh/files/blogs/google_security_infographic.pdf
https://www.rd.com/advice/work-career/what-hackers-can-do-with-email-address/
https://www.digitalphablet.com/if-you-use-same-password-for-multiple-accounts-you-must-change-it-now/
https://askleo.com/why-is-it-so-important-to-use-a-different-password-on-every-site/
https://securitybaron.com/education/how-do-password-managers-work/
https://www.cnet.com/news/best-password-managers-for-2019/

Share

ปรึกษาเรา

บทความที่เกี่ยวข้อง