ในทุก ๆ ปี เรามักจะเห็นคอนเทนต์ที่เป็นผลการสำรวจและการจัดอันดับ “รหัสผ่าน หรือ password ยอดแย่” อยู่เสมอ หากใครได้ลองติดตามอย่างต่อเนื่อง ก็จะพบว่ารหัสผ่านที่ติดอันดับ “ยอดแย่” คือรหัสเดิม ๆ ที่คาดเดาได้ง่ายมาก อย่างไรก็ตาม กลับมีคนใช้รหัสผ่านเหล่านี้เยอะมากเช่นกัน ทำให้มีความเสี่ยงที่จะถูกแฮกโดยผู้ไม่หวังดีได้อย่างง่ายดาย และนำมาซึ่งความเสียหายแก่ตนเองในที่สุด วันนี้อาจยังไม่เจอกับตัว แต่ถ้าถูกแฮกหรือถูกสวมรอยใช้บัญชีต่าง ๆ เหล่านั้นเมื่อไร ก็จะรู้ซึ้งถึงหายนะที่ตามมาเอง
ซึ่งนี่เป็นเหตุผลที่คอนเทนต์เกี่ยวกับการจัดอันดับรหัสผ่านยอดแย่ถูกนำมารายงานอยู่ในทุกปี เพื่อให้เราตระหนักว่ารหัสผ่านที่ถูกตั้งแบบมักง่ายอาจนำภัยมาถึงตัวเราได้ในที่สุด มีรหัสผ่านจำนวนมากที่ใช้เวลาคาดเดาแค่ไม่ถึง 1 วินาที มันจึงมีความปลอดภัยต่ำมาก และไม่ควรนำไปเป็นรหัสผ่านในแพลตฟอร์มต่าง ๆ ที่ใช้ในชีวิตประจำวัน ดังนั้น ลองมาเช็กพฤติกรรมในการใช้ “รหัสผ่าน” ของเรากันหน่อยดีกว่า ว่าพฤติกรรมไหนบ้างที่ไม่ปลอดภัยต่อบัญชี (account) ต่าง ๆ ของคุณ
1. ความมักง่ายในการตั้งรหัสผ่าน
หลายต่อหลายคนไม่เคยมีรูปแบบใด ๆ ในการตั้งรหัสผ่านสำหรับการลงชื่อเข้าใช้แพลตฟอร์มต่าง ๆ เลย ในขั้นตอนของการตั้งรหัสผ่าน หากแพลตฟอร์มนั้น ๆ ไม่ได้มีการตั้งกฎเกณฑ์ขึ้นมาว่ารหัสผ่านจะต้องประกอบด้วยอักขระกี่ตัวขึ้นไป ต้องเป็นตัวพยัญชนะผสมกับตัวเลข ต้องมีตัวอักษรตัวพิมพ์ใหญ่อย่างน้อยหนึ่งตัว หรือต้องมีอักขระพิเศษอย่างน้อยหนึ่งตัวกำหนดไว้ล่ะก็ มีคนจำนวนไม่น้อยเลยทีเดียวที่เลือกจะใช้รหัสง่าย ๆ ที่กดได้จากแป้นพิมพ์ในเวลานั้น ด้วยความขี้เกียจจำหรือกลัวว่านานวันเข้าจะจำไม่ได้ จึงเลือกรหัสแบบที่จำได้ง่าย ๆ พิมพ์ login เข้าสู่ระบบได้สะดวก หลีกเลี่ยงปัญหาที่ต้องมานั่งรื้อความทรงจำหรือคาดเดาว่าแพลตฟอร์มนี้ตัวเองตั้งรหัสอะไรไป
การตั้งรหัสผ่านโดยเอาความง่าย ความสะดวกของตัวเองเป็นที่ตั้งไว้ก่อน ดูจะเป็นเรื่องที่มักง่ายเกินไปหน่อยในยุคมิจฉาชีพเกลื่อนเมืองแบบนี้ เพราะจริง ๆ แล้ว รหัสผ่านเป็นสิ่งที่มีความสำคัญมาก ๆ ต่อผู้ใช้งานบนโลกอินเทอร์เน็ต (หรืออะไรก็ตามที่มีการเรียกใช้รหัสผ่าน) ถ้าสิ่งนั้นไม่สำคัญ ไม่จำเป็นต้องปกป้อง
ระบบจะกำหนดให้ต้องใช้รหัสผ่านทำไมกัน เพราะรหัสผ่าน คือหน้าด่านสำคัญในการป้องกันข้อมูลส่วนบุคคลของตัวเราไม่ให้รั่วไหลไปถึงมือมิจฉาชีพในการโจรกรรมเงิน โจรกรรมข้อมูล หรือตั้งใจใช้ข้อมูลส่วนบุคคลของเราไปหลอกลวงคนอื่น จนทำให้เราอาจต้องเข้าไปพัวพันกับเรื่องผิดกฎหมายโดยไม่รู้ตัว
ข้อมูลจาก NordPass ผู้ให้บริการด้านการจัดการรหัสผ่าน ระบุว่า รหัสผ่าน (ง่าย ๆ) ที่ถูกนำมาใช้งานมากที่สุด 20 อันดับแรก จำนวนมากถึง 83 เปอร์เซ็นต์ เป็นรหัสที่สามารถถูกถอดรหัสหรือคาดเดาได้ภายในเวลาไม่ถึง 1 วินาทีด้วยซ้ำ นั่นหมายความว่าถ้าเราตั้งรหัสผ่านแบบมักง่าย เลือกที่จำง่าย กดแป้นพิมพ์ได้ง่าย
ก็มีความเสี่ยงสูงมากที่จะถูกถอดรหัสโดยผู้ไม่ประสงค์ดีอย่างง่ายดาย ซึ่งน่าเป็นห่วงไม่น้อยสำหรับคนที่ละเลยเรื่องการตั้งรหัสผ่านในการเข้าใช้งานแพลตฟอร์มต่าง ๆ คุณอาจถูกแฮกจนสูญเงินหมดบัญชีโดยไม่รู้ตัว อาจโดนขโมยข้อมูลส่วนตัวต่าง ๆ และถูกสวมรอยทำเรื่องผิดกฎหมาย หากไม่อยากตกเป็นเหยื่อ อย่าเปิดทางให้กับมิจฉาชีพด้วยการตั้งรหัสแบบมักง่ายเช่นนี้
นอกจากนี้ ข้อมูลจาก NordPass ยังได้เปิดเผยถึงรหัสผ่านยอดแย่ที่สุดในโลก ที่ถูกนำมาใช้มากที่สุดประจำปี 2023 ก็คือ “123456” โดยมีผู้ใช้งานราว 4,524,867 คน และสามารถถูกถอดรหัสได้ในเวลาที่น้อยกว่า 1 วินาที ส่วนแชมป์เก่าปี 2022 อย่าง “password” ในปี 2023 นี้ตกลงมาอยู่ในอันดับที่ 7 มีผู้ใช้งานราว 710,321 คน แต่ก็ถูกถอดรหัสได้ในเวลาที่น้อยกว่า 1 วินาทีเช่นกัน ส่วนรหัสผ่านยอดแย่ที่สุดในประเทศไทย คือรหัสเดียวกันกับรหัสผ่านที่แย่ที่สุดในโลก หรือก็คือ “123456” มีผู้ใช้งานราว 47,822 คน รองลงมาคือ “Aa123456” มีผู้ใช้งานราว 32,762 คน และอันดับสาม “admin” มีผู้ใช้งาน 26,814 คน
2. ใช้รหัสผ่านเดียวกับทุก ๆ บัญชี
บางคนพยายามหลีกเลี่ยงการตั้งรหัสผ่านแบบง่าย ๆ มาใช้รหัสผ่านแบบที่มีความซับซ้อน จำยาก คาดเดาได้ยาก แต่ด้วยคิดว่าตัวเองตั้งรหัสผ่านที่ยากต่อการคาดเดาแล้ว จึงเลือกที่จะใช้รหัสผ่านชุดเดิมนี้กับทุก ๆ บัญชีที่ตนเองใช้งาน เพราะมันง่ายที่จะจำ ก็นะ! ใครจะอยากจำรหัสผ่านยาก ๆ ทีละหลาย ๆ รหัสบ้างล่ะ (หรือต่อให้เป็นรหัสง่าย ๆ ก็ขี้เกียจที่จะจำหลาย ๆ รหัสเหมือนกัน) เกิดจำสลับกันขึ้นมาก็เป็นเรื่องยุ่งยากอีก นี่จึงเป็นเรื่องปกติสามัญที่สุดที่ใครหลายคนจะทำ ทว่ามันก็เป็นเรื่องที่เลวร้ายถึงขั้นหายนะได้เช่นกัน เพราะถ้าเกิดมีการแฮกข้อมูลบัญชีใดบัญชีหนึ่งของคุณขึ้นมาได้ ทุกสิ่งทุกอย่างของคุณที่ใช้รหัสเดียวกันก็จะหลุดไปหมดเลยทั้งยวง ทุกบัญชีอยู่ในมือแฮกเกอร์ทันที
3. ไม่เคยเปลี่ยนรหัสผ่านเลย
แม้ว่าคุณจะไม่ได้ใช้รหัสผ่านเดียวกันกับทุก ๆ บัญชีที่คุณครอบครอง หรือคุณก็ไม่ได้มักง่ายพอที่จะตั้งรหัสผ่านบัญชีของคุณแบบคาดเดาง่าย ๆ ซึ่งคุณก็มั่นใจว่ารหัสผ่านของคุณรัดกุมมากพอ แต่คุณกลับไม่เคยเปลี่ยนรหัสผ่านของคุณเลย ยังคงใช้รหัสผ่านเดิมนานเป็นปี ห้าปี หรือสิบปีก็ยังใช้อยู่ (ด้วยเหตุผลเดิมว่าขี้เกียจจำ กลัวจำไม่ได้ หรือขี้เกียจจะมานั่งคิดรูปแบบของรหัสผ่านใหม่) มันก็มีความเสี่ยงอยู่ไม่น้อยเหมือนกันที่คนใกล้ตัว (ที่ไม่หวังดี) จะพอคาดเดาได้ เพราะบางรหัสที่คุณคิดขึ้น อาจมาจากข้อมูลส่วนตัวของคุณหลาย ๆ อย่างผสมกัน คนที่รู้จักมักคุ้นกับคุณมานานก็จะพอคาดเดาชุดรหัสนั้นได้นั่นเอง
ดังนั้น คุณควรจะต้องเปลี่ยนรหัสผ่านบ้าง มีข้อแนะนำจาก Microsoft ที่แนะนำว่าให้เปลี่ยนรหัสผ่านในทุก ๆ 30-90 วัน เพื่อความปลอดภัย หรือเมื่อไรก็ตามที่มีคนอื่นพยายามเข้ามาแฮกบัญชีของคุณ คุณก็ควรจะรีบเปลี่ยนรหัสผ่านโดยทันที อย่าทำเป็นนิ่งนอนใจ
4. ไม่เปิดใช้การยืนยันตัวตนแบบ 2 ขั้นตอน
ในยุคสมัยที่เต็มไปด้วยมิจฉาชีพ แฮกเกอร์ฝีมือเทพ รวมถึงช่องโหว่ของระบบต่าง ๆ ทำให้รหัสผ่านเพียงอย่างเดียวเริ่มไม่เพียงพอที่จะรักษาความปลอดภัยให้กับบัญชีของคุณ จึงเกิดเป็นวิธีการยืนยันตัวเพิ่มเติมอีกชั้นเพื่อเพิ่มความปลอดภัยให้กับบัญชีของเรา หรือก็คือการยืนยันตัวตนแบบ 2 ขั้นตอน (Two-factor authentication (2FA)) ซึ่งเป็นหนึ่งในรูปแบบการยืนยันตัวตน Multi-factor authentication (MFA) หากคุณเปิดการยืนยันตัวตน 2 ขั้นตอนไว้ เมื่อมีการพยายาม login ใหม่ ก็ต้องยืนยันให้ผ่านในทุกขั้นถึงจะเข้าใช้งานได้ นั่นหมายความว่าต่อให้มิจฉาชีพจะมีรหัสผ่านของคุณอยู่ในมือก็ตาม แต่จะไม่สามารถเจาะเข้าบัญชีของคุณได้ ถ้ายังไม่ได้ยืนยันตัวตนให้ผ่านทุกขั้นตอน
5. ใช้ระบบจดจำรหัสผ่าน
วิธีการหนึ่งที่ใครหลายคนใช้ในการจดจำรหัสผ่านที่ซับซ้อน คาดเดายาก คือให้ระบบคอมพิวเตอร์ช่วยจดจำให้ โดยเฉพาะฟังก์ชันในเว็บเบราว์เซอร์ แบบที่เราจะชอบเห็นหน้าต่างเด้งขึ้นมาถามอยู่ทุกครั้งเวลาที่ login เข้าสู่ระบบ ว่าอยากจะบันทึกรหัสผ่านนี้ไว้หรือเปล่า ถ้าหากว่าคอมพิวเตอร์เครื่องนั้นมีคุณใช้อยู่แค่คนเดียวมันก็คงไม่มีปัญหาอะไรเท่าไรนัก แต่ถ้ามีคนอื่นสามารถเข้ามายุ่มย่ามกับคอมพิวเตอร์เครื่องนี้ได้เหมือนกันล่ะก็ บอกเลยว่ามันก็ไม่ได้ปลอดภัยนัก เพราะคุณคงไม่รู้ว่าการเปิดเข้าไปดูรหัสผ่านของทุกบัญชีที่คุณให้ระบบบันทึกไว้ให้นั้นมันง่ายซะยิ่งกว่าอะไร แค่ไม่กี่คลิกก็เห็นรหัสผ่านในทุกบัญชี
ที่สำคัญไปกว่านั้นก็คือ ล่าสุดมีการค้นพบช่องโหว่การขโมยรหัสผ่าน ผ่านส่วนขยายของ Google Chrome เนื่องจากส่วนขยายใน Chrome นั้น มีสิทธิ์ที่จะใช้ประโยชน์จากช่องโหว่เหล่านี้ได้ จากการขอสิทธิ์เข้าถึงข้อมูลผู้ใช้ที่ละเอียดอ่อน ที่เปิดโอกาสให้มีการดักจับข้อมูลสำคัญ ที่ผู้ใช้พิมพ์ลงในช่องป้อนข้อมูลได้เลย และเราก็เป็นคนกดอนุญาตเองเสียด้วย สำหรับวิธีป้องกันและแก้ไข เพียงแค่ลองเข้าไปสำรวจส่วนขยายต่าง ๆ ที่เราใช้งานดู หากพบอันไหนที่ดูแปลกตาหรือแทบไม่ได้ใช้งาน ให้เช็กว่าส่วนขยายดังกล่าวขอสิทธิ์การเข้าถึงข้อมูลของเรามากน้อยขนาดไหน หากพบว่ามากผิดปกติ ก็จัดการเอาออกเสีย แล้วเข้าไปตรวจสอบความปลอดภัยในหน้าตั้งค่าดูอีกครั้ง
เคล็ดลับการตั้งรหัสผ่านให้ปลอดภัย
หลายคนอาจจะรู้สึกหงุดหงิดกับกฎเกณฑ์หรือเงื่อนไขต่าง ๆ ในการตั้งรหัสผ่านของบางแพลตฟอร์ม ที่มีความยุ่งยาก ซับซ้อน และหยุมหยิม ว่าจะอะไรกันนักกันหนา อยากตั้งรหัสที่จำง่าย ๆ ก็ไม่ยอมให้ตั้ง หรือแม้แต่บางแพลตฟอร์มที่บังคับให้ผู้ใช้เปิดการยืนยันตัวตน 2 ขั้นตอน ไม่อย่างนั้นจะเข้าใช้งานแพลตฟอร์มนั้น ๆ ไม่ได้ บอกเลยว่าที่แพลตฟอร์มเหล่านั้นพยายามทำให้การตั้งรหัสผ่านเป็นเรื่องยุ่งยากก็เพื่อความปลอดภัยของตัวเราเองทั้งนั้น ดังนั้น แค่ยอมเสียเวลาเพียงเล็กน้อยในการเปลี่ยนรหัสผ่าน หรือตั้งรหัสผ่านให้คาดเดาได้ยากขึ้น ก็จะช่วยให้บัญชีแพลตฟอร์มออนไลน์ต่าง ๆ ของเราปลอดภัยมากขึ้น ซึ่งมีเคล็ดลับง่าย ๆ เพียงไม่กี่อย่าง ดังนี้
- ตั้งรหัสที่มีความยาวอย่างนัอย 12 ตัวอักษร โดยให้มีทั้งอักษรภาษาอังกฤษที่เป็นตัวพิมพ์ใหญ่ และตัวพิมพ์เล็ก รวมถึงตัวเลขด้วย และจะยิ่งคาดเดาได้ยากขึ้นหากมีการใช้อักขระพิเศษร่วมด้วย (แต่ต้องดูว่าเงื่อนไขการตั้งรหัสผ่านห้ามใช้อักขระพิเศษหรือเปล่า)
- ในการใช้คำภาษาอังกฤษเพื่อตั้งรหัสผ่าน ไม่ควรใช้ศัพท์ภาษาอังกฤษเป็นคำโดด ๆ แต่ควรพิมพ์เป็นประโยค เพราะจะขโมยข้อมูลได้ยากขึ้น
- แต่ละบัญชีออนไลน์ควรใช้รหัสผ่านที่แตกต่างกัน เพราะหากพลาดถูกแฮกรหัส จะทำให้บัญชีอื่น ๆ พลอยเสี่ยงไปหมด
- พยายามไม่อนุญาตให้มือถือหรือคอมพิวเตอร์ที่ใช้งานจดจำรหัสผ่านในการ login เพราะอาจถูกมิจฉาชีพฉวยโอกาสนำไปใช้ประโยชน์ได้ แม้จะใช้งานคนเดียว แต่ให้นึกถึงในกรณีที่สูญหายด้วย
- ตั้งค่าความปลอดภัยหลายชั้น เพื่อยืนยันตัวตันก่อน login เข้าสู่ระบบต่าง ๆ ซึ่งการมีข้อความแจ้ง OTP ผ่านอีเมลหรือหมายเลขโทรศัพท์ทุกครั้งที่มีการเข้าใช้งานบัญชีตามที่ตั้งค่าไว้ ก็จะช่วยให้เราทราบได้ว่ามีผู้อื่นพยายามจะแฮกเข้าสู่ระบบบัญชีของเราอยู่
- อย่านำข้อมูลเหล่านี้มาตั้งเป็นรหัสผ่าน ได้แก่ ข้อมูลที่ใช้ในการระบุตัวตนทั่วไปอย่าง ชื่อ-นามสกุล เลขประจำตัวต่าง ๆ วันเดือนปีเกิด หรือสิ่งที่ชื่นชอบแล้วมีคนอื่น ๆ รู้ ข้อมูลการติดต่อ (เช่น เบอร์โทรศัพท์) ชื่อบุคคลรอบข้างหรือสัตว์เลี้ยง ถ้าจะใช้ข้อมูลพวกนี้ ควรนำมาผ่านการสร้างสรรค์ก่อน แบบที่จับนั่นผสมนี่เข้าด้วยกัน อย่าใช้แบบโดด ๆ