ทำไมแฮกเกอร์ถึงขโมยรหัสผ่านเราได้

สงสัยไหมว่า ทำไมเว็บ อีเมล หรือบริการอื่นๆ ถึงถูกแฮกเกอร์ถอดรหัสผ่านเว็บได้ รหัสผ่านที่สร้างไว้ต้องง่ายแค่ไหน แฮกเกอร์ถึงได้รหัสผ่านไปได้

งั้นมาดูกันว่า เว็บที่จะถูกแฮกได้นั้นมีการจัดการรหัสผ่านอย่างไร ถึงทำให้แฮกเกอร์ขโมยรหัสผ่านได้

ไม่ยอมใช้ Password Manager

ผู้ใช้บางคนขี้เกียจจำรหัสผ่านเยอะ เลยใช้รหัสผ่านอันเดียวกับหลายๆ บริการ ไม่ว่าจะเป็นอีเมล โซเชียลมีเดียต่างๆ หรือรหัสผ่านหลังบ้านเว็บ ก็อันเดียวใช้เหมือนกันหมด ซึ่งถ้าแฮกเกอร์รู้รหัสผ่านนะ สบายเลย หรือบางคนขี้เกียจตั้งยากๆ กลัวจำไม่ได้ เลยเอาง่ายๆ เช่น acd123, asdf123, ชื่อตัวเอง, วันเกิดตัวเอง เป็นต้น แฮกเกอร์เจอแบบนี้ก็หวานหมูเลย

เพื่อขจัดปัญหานี้ ใช้ตัวช่วยเถอะ เค้ามีโปรแกรมช่วยจัดการรหัสผ่านให้ ไม่ว่าจะเป็น LastPass, Dashlane, 1Password, และ KeePassX แต่ละโปรแกรมเค้ามีการตั้งค่าให้เหมาะสมกับการใช้งานของคุณ

บอกรหัสผ่านกับคนอื่น

อย่าบอกรหัสผ่านให้คนอื่นรู้เชียว เพราะเราไม่รู้ว่าเค้าจะเอารหัสผ่านเราไปใช้ทำอะไรบ้าง ผู้ใช้หลายคนคิดแค่ว่าไม่เป็นไรหรอก ใช้อันเดียวกันนี่แหละง่ายดี เพราะแบบนี้แฮกเกอร์ถึงขโมยข้อมูลหรือแฮกเข้าเว็บคุณได้อย่างง่ายๆ สบายเลย

สำหรับผู้พัฒนาเว็บ หากต้องการให้ใครเข้าถึงหลังบ้านเว็บของคุณไม่ว่าจะเข้าไปด้วยเหตุผลใดก็ตามแต่ ควรสร้างบัญชีและจำกัดสิทธิ์การเข้าถึงให้เข้าเถอะ เมื่อเสร็จงานแล้วก็ลบบัญชีที่สร้างให้ออกไปเลย ให้มีคนเข้าถึงเว็บของคุณน้อยที่สุดเท่าที่จะทำได้

ไม่มีความระวังในการใช้รหัสผ่านในที่สาธารณะ

ในกรณีที่ใช้ Wi-Fi หรืออินเตอร์เนตสาธารณะ คุณอาจถูกแฮกเกอร์ขโมยรหัสผ่านได้ หลายคนคงคิดว่าเป็นไปไม่ได้ ใครจะขโมยรหัสผ่านกลางอากาศได้ หยุดความคิดนี้ได้เลย อย่าลืมนะ แฮกเกอร์จะพยายามทำทุกวิธีเพื่อให้ได้มาซึ่งรหัสผ่าน และหากคุณใช้ Wi-Fi สาธารณะ แฮกเกอร์ก็จะมีอุปกรณ์ดักจับรหัสผ่าน อย่างเช่น Wireshark เป็นต้น หรือเวลาคุณอยู่ในที่สาธารณะก็ให้ระวังคนรอบๆ ข้างคุณ ซึ่งเค้าอาจจะแอบมองเวลาคุณใส่รหัสผ่านก็เป็นได้ หรือใช้คอมพิวเตอร์ที่ไม่ของตนก็ระวังเผื่อเค้าลงโปรแกรมคีย์ Locker ไว้ด้วย ตรวจสอบให้ดีๆ ก่อนใช้ หรือใช้งานในโหมด incognito โหมดไม่ระบุตัวตนแทน เมื่อใช้แล้วทุกครั้งก็ให้ Log out ออก ตรวจสอบให้ดีว่าเครื่องจะไม่เก็บข้อมูลคุณไว้

คอยตรวจสอบรหัสผ่านที่ใช้อยู่เสมอ

ต้องคอยเช็คเสมอๆ ว่ามีใครเอารหัสผ่านเราไปใช้บ้าง วิธีตรวจสอบง่านที่สุดเลยให้ใช้ Have I been Pwned? สามารถสมัครใช้งานเพื่อแจ้งเตือนในกรณีที่มีการนำรหัสผ่านคุณไปใช้

หากเป็นไปได้นะ แนะนำให้อัปเดตหรือเปลี่ยนรหัสผ่านทุกๆ 180-365 วันเพื่อเป็นการป้องกันอีกทางหนึ่ง

อย่าใช้รหัสผ่านที่ง่ายเกินไป

อย่างที่กล่าวไว้ในข้อ 1 รหัสผ่านที่ง่าย แฮกเกอร์หรือใครก็เดาได้ ทำให้แฮกเกอร์เข้าไปยึดเว็บคุณได้อย่างง่ายๆ ดังนั้นรหัสผ่านที่ดีควรประกอบไปด้วยตัวอักษรตัวใหญ่ตัวเล็ก อักขระพิเศษ (เช่น $, #, % เป็นต้น) ตัวเลขผสมกัน ยิ่งซับซ้อนมากเท่าไหร่ยิ่งยากต่อการแกะของแฮกเกอร์ ยกตัวอย่างเช่น รหัสผ่าน lisa อันนี้แฮกเกอร์ถอดรหัสผ่านของคุณได้ทันที

ถ้าเพิ่มอักขระตัวพิเศษเข้าไปอย่าง lisa! แฮกเกอร์จะใช้เวลา 12 มิลลิวินาทีในการถอดรหัส
ถ้าเพิ่มตัวใหญ่เข้าไปเช่น Lisa! แฮกเกอร์จะใช้เวลา1 ล้านมิลลิวินาทีในการถอดรหัส
ถ้าเพิ่มตัวเลขเข้าไปด้วยอีกเช่น Lisa!9 แฮกเกอร์จะใช้เวลา 21 วินาทีในการถอดรหัส

แต่หากเราเปลี่ยนรหัสผ่านให้ยาวขึ้นเช่น blackpink แฮกเกอร์จะใช้เวลาในการถอด 9 นาทีถ้าเพิ่มอักขระตัวพิเศษเข้าไปอย่าง blackpink! แฮกเกอร์จะใช้เวลา 2 สัปดาห์ในการถอดรหัส
ถ้าเพิ่มตัวใหญ่เข้าไปเช่น Blackpink! แฮกเกอร์จะใช้เวลา 6 ปีในการถอดรหัส
ถ้าเพิ่มตัวเลขเข้าไปด้วยอีกเช่น Blackpink!123 แฮกเกอร์จะใช้เวลา 11 ล้านปีในการถอดรหัส

จากตัวอย่างที่ยกมายิ่งรหัสผ่านยิ่งยาว และซับซ้อนมาเท่าไหร่ แฮกเกอร์จะใช้เวลาในการถอดรหัสนานเท่านั้น

สำหรับใครถ้าอยากรู้ว่ารหัสผ่านที่ตั้งไว้ใช้เวลาในการแกะเท่าไหร่ ลองไปทดสอบได้ที่
https://www.comparitech.com/privacy-security-tools/password-strength-test/

ใช้ข้อมูลที่เกี่ยวกับตัวผู้ใช้มาสร้างรหัสผ่าน

บางคนนึกอะไรไม่ออก เลยเอาของใกล้ๆ ตัวมาสร้างเป็นรหัสผ่าน ไม่ว่าจะเป็นชื่อดาราที่ชอบ, ชื่อน้องหมา น้องแมว หรือชื่อสัตว์เลี้ยง, วันเดือนปีเกิด หรือตัวเลขที่ชอบเป็นต้น อย่าลืมนะแฮกเกอร์สามารถหาข้อมูลเกี่ยวกับตัวคุณได้ไม่ยาก ไม่ว่าจะเป็นผ่านทางโซเชียลหรือโพสต่างๆ ทำให้แฮกเกอร์สามารถเดารหัสได้ง่ายๆ เลย หากใครใช้อยู่ แนะนำว่าให้เปลี่ยนดีกว่า เปลี่ยนเป็นรหัสที่ไม่เกี่ยวกับตัวคุณ ตั้งให้ยากๆ หน่อย ถ้ากลัวจะจำไม่ได้ กลับไปดูที่ข้อ 1 เลย คือใช้ตัวช่วยในการจัดการรหัสผ่านไปเลย

ไม่ยอมลบรหัสของคนที่ไม่ได้ใช้แล้ว

บางบริการผู้ที่เป็นแอดมินอาจสร้างรหัสผ่านให้ผู้พัฒนาหรือผู้ใช้คนอื่นเข้าไปจัดการหรือดำเนินการต่างๆ ภายในเว็บ หรือโฮสติ้ง หรืออีเมล หรือบริการอื่นๆ แต่หากเค้าเหล่านั้นไม่ได้ทำงานกับคุณแล้ว ก็ควรจะลบบัญชีการเข้าใช้งานของเค้าออกไปเสีย อย่าเก็บไว้ เพราะเราไม่รู้ว่าเค้าจะเข้าไปทำอะไรเว็บเราภายหลังอีกหรือไม่ ป้องกันไว้ก่อนดีที่สุด

ใช้รหัสผ่านสั้นเกินไป

ดังที่กล่าวไว้ในข้อ 5 รหัสผ่านที่สั้นเกินไปแฮกเกอร์ใช้เวลาไม่กี่วินาทีก็สามารถถอดได้แล้ว รหัสผ่านที่ดีควรมีความยาวอย่างน้อย 10 ตัวอักษร บางที่ บางแห่งให้สร้างรหัสผ่านได้ถึง 100 ตัวอักษรเชียวนะ หากใครกลัวล่ะก้อตั้งไปเลย ใช้ให้เต็มที่เค้ากำหนดมาให้เลย อย่าลืมนะ รหัสผ่านยิ่งยาก ยิ่งยาว แฮกเกอร์ยิ่งใช้เวลาในการถอดนาน

ไม่มีการยืนยันแบบ 2 ขั้นตอน

เชื่อว่าผู้ใช้งานหลายๆ คนอาจไม่มีได้ตั้งค่าการเข้าใชงานแบบ 2 ขั้นตอนหรือ two-factor authentication ไว้ ถามว่าผิดไหมที่ไม่ทำ? ก็ไม่ผิด แต่ความปลอดภัยก็จะลดลงเท่านั้นเอง แฮกเกอร์ก็สามารถใช้รหัสผ่านที่ขโมยมาเข้าสู่เว็บของคุณได้เท่านั้นเอง

การตั้งค่าการยืนยันแบบ 2 ขั้นตอนคุณก็สามารถเลือกได้ว่าจะใช้การยืนยันแบบไหน อย่างเช่นส่งรหัสผ่านหรือพินไปยังมือถือ หรือส่งไปยังอีเมล, สแกนลายนิ้วมือ, ขึ้นข้อความแจ้งเตือนหากใช้เครื่องคอมที่อื่น ที่ไม่ใช่เครื่องที่ใช้งานประจำ หรือใช้ reCaptcha เป็นต้น การป้องกันแบบ 2 ขั้นตอนจะเพิ่มความปลอดภัยมากขึ้น แถมยังทำให้รู้ว่ามีใครกำลัง Login หรือนำรหัสผ่านเราไปใช้บ้าง

ใช้รหัสผ่านซ้ำ

อย่างที่บอก หลายๆ คนในข้อ 1 เพราะขี้เกียจจำรหัสผ่าน เลยใช้รหัสผ่านซ้ำๆ กัน พูดง่ายๆ อันเดียวเข้าได้ทุกอัน ง่ายและสะดวก แต่พอแฮกเกอร์ได้รหัสผ่านคุณจะร้องไม่ออก เพราะไม่ได้โดนแค่บริการเดียว บริการอื่นๆ ที่ใช้รหัสผ่านเดียวกันนี้ก็โดนไปด้วย โชคดีหน่อยอาจจะโดนไม่มาก แต่หากโชคร้าย แฮกเกอร์อาจเข้าถึงข้อมูลของบริษัท ทำให้เกิดความเสียหายหลายแสน หลายล้านเลยทีเดียว เพราะฉะนั้นอย่าประมาทไปนะ

ในทุกวันนี้เรามักจะได้ยินข่าวอาชญากรรมทางไซเบอร์บ่อยมากขึ้น เพื่อเป็นการป้องกันขั้นต้นเลย ก็ต้องเริ่มจากการจัดการกับรหัสผ่านเสียก่อน หากรหัสผ่านของคุณมาการจัดการครบทั้ง 10 ข้อที่กล่าวมานี้ ก็ยากต่อการที่แฮกเกอร์จะขโมยได้

อ้างอิง: Wordfence

Was this article helpful?

Related Articles