เป็นเรื่องธรรมดาไปซะแล้วที่สร้างบัญชีแล้วดันลืมรหัสผ่าน ก็เลยใช้รหัสผ่านอันเดียวกันไปเลยหรือไม่ต้องมีไปเลยซะไม่ดีกว่าเหรอ จะเสี่ยงต่อการโดนแฮคหรือเปล่า วันนี้เราจะมาพูดถึงเรื่องของประวัติ ทำไมโลกนี้ต้องมีรหัสผ่าน และอนาคตของรหัสผ่านที่กำลังเปลี่ยนแปลงไปครับ
ทำไมเราต้องมีรหัสผ่านด้วย
รหัสผ่านนี่ก็เกิดขึ้นมากับคอมพิวเตอร์เลยครับ ซึ่งคอมพิวเตอร์ในยุคแรกๆ ที่สามารถเข้าถึงได้หลายผู้ใช้งาน ซึ่งเราเองก็คงไม่อยากจะให้ไฟล์บนคอมพิวเตอร์ของเราถูกเข้าถึงโดยผู้ใช้คนอื่นหรอกเนอะ ก็เลยเกิดรหัสผ่านที่ใช้ตัวอักษรขึ้นนั่นเองครับ โน้ตไว้นิดนึงนะ ว่าตอนนั้นผู้ใช้งานมันมีน้อยนิดมากๆ คนที่มีคอมพิวเตอร์นี่คือต้องรวยมาก
และหลังจากนั้นไม่นาน โลกอินเตอร์เน็ตก็เริ่มขึ้น มีคนใช้เซิฟเวอร์เดียวกันมากขึ้น คอมพิวเตอร์สามารถถูกเข้าถึงจากที่ไหนก็ได้ คราวนี้แหละครับ เพราะด้วยพาสเวิร์ดนี้มันสามารถคาดเดาได้ ก็ทำให้ต้องหาวิธีในการทดแทนพาสเวิร์ดหรือการทำให้พาสเวิร์ดนี้ปลอดภัยมากขึ้น ซึ่งมันก็คือการเพิ่มความยาวของรหัสผ่านให้ยาวขึ้น มีการแนะนำเว็บไซต์ให้ใช้ความยาวรหัสผ่านให้มีอย่างน้อย 8 ตัวอักษร แต่ 8 ตัวอักษรในปัจจุบันนี่ก็น้อยไปเสียแล้วสิครับ เพราะแฮกเกอร์สามารถใช้คอมพิวเตอร์สุ่มรหัสผ่านให้ถูกต้องได้ภายในเวลาเพียง “ชั่วโมง” เท่านั้น แต่พอเราจะเพิ่มความยาวกว่านี้ เพื่อนๆ คงจะจำกันไม่ไหวกันแล้วสิ นี่แหละครับปัญหา
แล้วการมีรหัสผ่านมันไม่ดีตรงไหน
นอกจากจะมีประโยชน์เพื่อยืนยันตัวตนในอดีตแล้ว เรามาดูกันบ้างดีกว่าครับว่าทำไมมันถึงเป็นปัญหากับพวกเราในปัจจุบัน
เสียเวลา
ทำไมต้องมาจำ เรามีรหัสผ่านสำหรับบัญชีนั้น บัญชีนู้น แล้วบางครั้งต้องมีการเรียงที่ต้องแบบ ตัวเล็กบ้าง ตัวใหญ่หน่อย ตัวเลขตัวอักษรพิเศษเข้าไปอีก จะได้ทำให้ปลอดภัย แต่ความว่าปลอดภัยนั้น มันจำยาก เหมือนเพื่อนๆ โดนให้จำภาษาอะไรก็ไม่รู้อ่ะ ยุกยิกยู่ยี่ไปหมด
แล้วนอกจากจะจำไม่ได้แล้ว ก็ยังทำให้เสียเวลาแล้ว ก็ยังรวมไปถึงเรื่องของการที่ว่า หากเราลืมรหัสผ่านก็จะทำให้เราซวยเข้าไปอีกครับ เพราะอย่างบริษัทยักษ์ใหญ่ ถ้าเราลืมรหัสผ่าน เราจะต้องไปแจ้งให้แก่ฝ่าย IT ได้รับทราบ เพื่อให้เขาไปรีเซ็ทรหัสผ่านให้เรานั่นเอง โดยจากรายงานของบริษัทไมโครซอฟท์แล้ว บริษัทต้องเสียเวลาในการทำเรื่องถึง 30 นาทีกว่าจะกลับเข้ามาใช้งานได้เหมือนเดิม [ที่มา] ซึ่งเท่ากับว่าบริษัทต้องเสียเวลา 30 นาทีต่อครั้ง ทั้งตัวพนักงานที่ลืมรหัสผ่านเองและฝ่ายซัพพอร์ทงาน
เสียหายต่อบริษัท
เพราะข้อมูลบริษัทนั้นเป็นเรื่องที่จะให้ใครภายนอกรู้ไม่ได้เลย โดยเฉพาะบริษัทยักษ์ใหญ่อย่างไมโครซอฟท์ที่มีความลับทางการค้ามากมาย ทั้งซอร์สโค้ด และก็ความลับภายในอีกมากมาย แต่ถ้าหากมีพนักงานคนใดไปใช้รหัสผ่านซ้ำ แล้วสามารถเดารหัสผ่านได้หล่ะ คราวนี้แหละครับเป็นเรื่องแน่นอน
บริษัทในบัจจุบันเลยต้องมีมาตรการมากมายเพื่อป้องกันข้อมูลภายในไม่ให้ไหลออกภายนอกอย่างมหาศาล ซึ่งอาจจะมีเหตุมาจากเรื่องทั่วๆ ไปอย่างเรื่องรหัสผ่านที่ไม่ปลอดภัยก็เท่านั้น
อนาคตของโลกอินเตอร์เน็ต
บนโลกอินเตอร์เน็ตเราจะเห็นได้ว่า ณ ปัจจุบัน เรากำลังสร้าง “ตัวตนบนโลกออนไลน์” เช่นการสมัคร Facebook เอาไว้พูดคุยทั่วไป การสมัคร Twitter เอาไว้ระบายอารมณ์แบบทันทีทันใด หรือทั้งการสมัครอย่าง LinkedIn เพื่อให้ผู้จ้าง (Recruiter) ได้เข้ามาอ่านประวัติของเรา ซึ่งในอนาคตก็จะมีบริการแบบนี้มากขึ้น และก็จะทำให้เรานั้นมีตัวตนบนโลกอินเตอร์เน็ตได้ง่ายและครบทุกด้านของเรามากขึ้นอีกด้วย
แต่ในเรื่องของรหัสผ่านแล้ว เราเองนั้นแทบจะไม่มีวิธีในการจัดการมันเลย แม้ว่าเราจะอยู่ที่ไหนบนโลกอินเตอร์เน็ต แต่เราก็ไม่สามารถใช้ตัวตนนั้นเพื่อทำการยืนยันตัวตนตัวเราเองบนโลกอินเตอร์เน็ตได้เลย วันนี้เราเลยจะมาเข้าเรื่องกับวิธีการแก้ไขนั่นเอง
เป้าหมายการทดแทนรหัสผ่าน
รหัสผ่านมันไม่ต้องมีแล้ว แต่จะทำอย่างไรให้เว็บไซต์นั้นรู้ว่าเราคือตัวจริง ไม่ใช่ใครอื่น ซึ่งวิธีการยืนยันตัวตนนั้นก็มาจากสิ่งหลักๆ นั่นคือ
- สิ่งที่เรารู้ (Things that you already know)
- สิ่งที่เรามีอยู่แล้ว (Things that you already own)
- สิ่งที่เราจำได้ (Things that you already remember)
ซึ่งการใช้สิ่งพวกนี้ในการยืนยันตัวตนนั้นก็ได้ผลอย่างมาก เช่นการใช้เบอร์โทรศัพท์ (สิ่งที่เรารู้) และส่งรหัสผ่านใช้ครั้งเดียว (หรือ OTP) ไปยังเบอร์นั้น ซึ่งเราก็จะต้องมีโทรศัพท์และซิมเบอร์โทรศัพท์นั้นอยู่ (หรือก็คือสิ่งที่เรามี) เพื่อยืนยันตัวตน และนี่ก็คือตัวอย่างของตัวตนที่เราสามารถใช้ เพื่อมาทดแทนการใช้รหัสผ่านได้นั่นเองครับ
แต่เพราะว่าเทคโนโลยีอย่างการส่ง OTP ผ่านซิมนั้นก็ไม่ปลอดภัยเช่นกัน เพราะว่าในต่างประเทศนั้นมีเหตุการณ์ที่มีคนถูกขโมย OTP ไปจากการก๊อปปี้ SIM ของเหยื่อไป จนทำให้โจรรายนั้นสามารถเข้าไปยังแอพธนาคารและโอนเงินหนีไปได้อย่างง่ายดาย
ดังนั้น ในปัจจุบันจึงมีการคิดวิธีเพื่อให้เปลี่ยนแปลงในด้านการยืนยันตัวตน ผ่านช่องทางหลายๆ อย่างอยู่มากมาย โดยมีตัวอย่างของวิธีดังนี้ครับ
การใช้ Biometrics มาใช้เป็นรหัสผ่าน
นอกจากสิ่งที่เรามีอย่างโทรศัพท์แล้ว สิ่งที่เรามีแล้วต้องไม่มีใครเหมือนก็อย่างเช่นลายนิ้วมือนั่นเอง ซึ่งในอนาคตนั้น เพื่อนๆ อาจจะเห็นการใช้งาน ID (เช่น Face ID และ Touch ID) ในการเข้าใช้งานแอพมากขึ้น ซึ่งนอกจากที่จะเป็นเราแล้ว ก็ยังทำให้เราไม่ต้องไปจำรหัสผ่าน และไม่มีใครสามารถมีสิ่งแบบนี้เหมือนเราได้อีกแล้วนั่นเอง
การใช้ ‘Sign In With …’
เป็นอีกวิธีหนึ่งที่เว็บไซต์ทั่วโลกเลือกใช้ในปัจจุบัน คือเราเองไม่ต้องไปทำขั้นตอนการสมัครบริการกับเว็บไซต์อะไรทั้งสิ้น แต่เราจะใช้บัญชีที่มีอยู่แล้วกับผู้ให้บริการ (จากตัวอย่างก็จะมี Apple ID, Facebook, Google, Twitter) ที่เราเคยสมัครอยู่แล้วในการเข้าใช้งานบริการอย่าง Medium นั่นเอง ซึ่งนอกจากว่าจะทำให้เว็บไซต์นั้นไม่ต้องจดรหัสผ่านของเราแล้ว แล้วก็เป็นความสะดวกสำหรับผู้ใช้งานด้วยที่สามารถกดไม่กี่ปุ่ม และก็สามารถสมัครเข้าใช้งานได้อย่างง่ายดายอีกด้วย
ส่วนเรื่องความปลอดภัย เว็บไซต์พวกนี้ก็แทบจะสามารถโยนปัญหาไปยังผู้ให้บริการการยืนยันตัวตนได้เลย อย่างเช่นว่าหากผู้บริการการยืนยันตัวตนนี้เราถูกแฮค เราก็จะถูกขโมยตัวตนบนเว็บไซต์ที่เราใช้ผู้ให้บริการเหล่านี้ไปพร้อมกันเลย แบบต้องยกกันไปเป็นเข่งเลยทีเดียว แต่อาจเพราะในเรื่องของ “อยู่รวมกันเราอยู่” หรือ “เราล็อคไว้อย่างแน่นหนา” วิธีนี้ก็อาจจะไม่ใช่เรื่องที่แย่เสมอไปก็ได้ครับ
เพื่มความปลอดภัย ให้มากกว่าแค่รหัสผ่าน
นอกจากรหัสผ่านแล้ว เพื่อนๆ ก็สามารถเพิ่มปัจจัยในการยืนยันตัวตน หรือที่เรียกติดปากกันไปแล้วว่า 2 Factor Authentication (2FA) แต่นั่นก็เป็นแค่เพียงสองปัจจัยเท่านั้นแหละครับ จริงๆ แล้วสามารถเพิ่มให้มันมากกว่านี้ก็ได้นะครับ แต่เดี๋ยวจะรำคาญกันไปซะก่อน เว็บไซต์ต่างๆ เลยแนะนำให้เราเพิ่มปัจจัยที่สองเข้าไป โดยมีตัวอย่างปัจจัยที่สองในโลกอนาคตกันดังนี้ครับ
การใช้อุปกรณ์โทรศัพท์ในการรับ OTP
เป็นขั้นตอนการทำ 2 Factor Authentication ที่เหมือนกับการได้รับ OTP มาจาก SIM แต่นี่เป็นการเข้าใช้ด้วยรหัสผ่านที่เปลี่ยนแปลงไปอยู่เรื่อยๆ และสามารถทำงานได้ต่อไปแม้ว่าจะไม่มีอินเตอร์เน็ตก็ตามก็สามารถทำได้ เพียงแค่เพื่อนๆ เปิด 2 Factor Authentication ด้วยการใช้ QR Code และให้ทำการใช้แอพรับรหัสผ่านอย่างเช่น Authy, Google Authenticator, Microsoft Authenticator หรือ 1Password ในการให้มันสร้างรหัสผ่านชั่วคราวขึ้นมาให้เรา แค่นี้เราก็จะมีความปลอดภัยเข้าไปอีกหนึ่งชั้นแล้วครับ
การใช้อุปกรณ์ที่เข้าใช้งานแล้วในการช่วยยืนยันตัวตน
Google และ Yahoo มีการให้ผู้ใช้งานยืนยันตัวตนในเครื่องที่ได้ล็อคอินไว้แล้ว (เป็นสิ่งที่เรามีอยู่แล้ว) ด้วยการกด ‘Yes’ เพื่อไปยืนยันตัวตนสำหรับอุปกรณ์ใหม่ที่กำลังจะเข้ามาใช้งานบัญชีของเรานั่นเอง
การใช้กุญแจรหัสผ่านในการช่วยยืนยันตัวตน
อันนี้ก็จะล้ำไปนิดนึงเนอะ วิธีนี้เป็นการเอาเหมือน “ตัวยืนยันตัวตน” ของเราไปเชื่อมต่อกับอุปกรณ์อย่างคอมพิวเตอร์หรือโทรศัพท์ ผ่าน Bluetooth หรือ USB และก็จะทำให้เพื่อนๆ นั้นสามารถเข้าไปใช้งานบริการได้ทันที โดยอาจพ่วงการเข้าถึง Single Sign-on เพื่อให้เราสามารถใช้ตัวเครื่องนี้เพื่อยืนยันตัวตนกับเว็บไซต์ต่างๆ ทั้งบริการที่รองรับ และให้ SSO ในการกรอกรหัสผ่านให้ในบริการที่ไม่ได้รองรับ
ซึ่งหลักการข้างในนั้นเยอะมากๆ วันนี้คงจะเล่าไม่เสร็จเนอะ แต่ง่ายๆ คือเหมือนเป็นบัตรพนักงาน แล้วก็แค่ตี้ดนู่น ตี้ดนี่ก็จะเข้าถึงบริการที่เราต้องการได้แล้วนั่นเองครับ
การใช้ตัวจำรหัสผ่าน
หนึ่งในตัวอย่างของตัวจดจำรหัสผ่านที่มีชื่อเสียงก็เช่น 1Password, LastPass, DashLane ซึ่งบริการเหล่านี้นั้นเป็นเหมือนสมุดจดรหัสผ่าน แต่จะเอาไว้จดรหัสผ่านเท่านั้น ซึ่งก็จะทำให้เวลาเราต้องการเข้าใช้งานเว็บไซต์ เราก็จะสามารถใช้บริการเหล่านี้ในการกรอกรหัสผ่านให้อัตโนมัติ เวลาเข้าเว็บอะไรก็ไม่ต้องถามหรือรื้อฟื้นความทรงจำอะไรมาก กดๆ แล้วเดี๋ยวมันเติมให้เลย
ส่วนตัวผมแล้ว นี่คือ “ปัจจุบัน” ที่ผมสามารถทำได้เพื่อจัดการรหัสผ่านทั้งหมดให้กับผมที่มีเกือบ 200 บัญชี (อันนี้พูดจริงๆ นะ ไม่ได้พูดเล่น) และก็ยังรองรับการใช้งานการยืนยันตัวตนสองขั้นตอน (Two Factor Authentication) อีกด้วย ทำให้ยิ่งปลอดภัยกับการเข้าใช้เข้าไปอีก
ส่วนถ้าเพื่อนๆ อยากให้มารีวิวตัวจำรหัสผ่านว่าอันไหนดีหรือไม่ดี ก็อย่าลืมกด Follow เพื่อติดตามสตอรีใหม่กันด้วยนะครับ ไว้คราวหน้าจะมาเขียนให้อ่านกันครับ
