วิธีการตรวจสอบในกรณีที่รหัสผ่านของคุณถูกขโมย
วิธีการตรวจสอบในกรณีที่รหัสผ่านของคุณถูกขโมย
มีความเป็นไปได้ว่ารหัสผ่านของคุณอย่างน้อยหนึ่งรายการ กำลังตกอยู่ในฐานข้อมูลบน Dark Web
สายการบิน British Airways (พบข้อมูลการเงินของลูกค้ารั่วไหลกว่า 380,000 ราย ), MyHeritage (92 ล้านราย), Equifax (143 ล้านราย) ที่กล่าวมานี้เป็นเพียงสามตัวอย่างของการละเมิดข้อมูลซึ่งถือว่าเป็นเรื่องใหญ่โต เมื่อไม่นานมานี้ เมื่อนับจำนวนตัวเลขรวมกันแล้วก็ยังถือว่าเป็นสัดส่วนที่น้อยมาก ถ้าเทียบกับบัญชีผู้ใช้นับพันล้านรายที่เคยถูกแฮ็กมาก่อนในช่วง 2-3 ปีที่ผ่านมา ซึ่งในส่วนของการแจ้งเตือนที่เหมาะกับเวลานั้น ไม่ว่าคุณจะระมัดระวังเกี่ยวกับรหัสผ่านของคุณมากเพียงใดก็ตาม แต่คุณก็ไม่สามารถที่จะมอบความไว้วางใจกับการแจ้งเตือนของบริษัทเหล่านี้ได้ตลอดไป
สิ่งที่คุณสามารถทำได้นั่นก็คือ ทำให้รหัสผ่านของคุณเป็นรหัสผ่านที่คาดเดาได้ยากมากที่สุดเท่าที่จะทำได้ ดังนั้นถ้าในกรณีที่คุณตกเป็นเหยื่อของบริษัทที่ประมาท รหัสผ่านของคุณก็จะไม่เอื้อต่อการเข้าถึงตัวมันเองได้โดยง่ายในทันที
แม้จะมีการถือกำเนิดขึ้นของเทคนิคใหม่ ๆ อย่างเช่นการเก็บข้อมูลอัตลักษณ์บุคคล หรือที่เรียกกันว่า ไบโอเมตริกซ์ (Biometric) เช่นการตรวนสอบลายนิ้วมือ (FingerPrint), การตรวจสอบม่านตา (Iris) และการจดจำใบหน้า (Face Recognition) ซึ่งโดยส่วนใหญ่ของพวกเราเองนั้น ก็ยังมีแนวโน้มที่จะใช้รหัสผ่านเพื่อทำการยืนยันตัวตนออนไลน์ของพวกเรา และหากคุณสร้างรหัสผ่านของคุณเอง โดยใช้เงื่อนไขที่คล้ายกัน (นามสกุลเดิม, สัตว์เลี้ยง, ทีมฟุตบอล, ฯลฯ) แทนที่จะสร้างรหัสผ่านแบบสุ่ม เมื่อใดก็ตามที่รหัสผ่านของคุณถูกขโมยไป ส่วนที่เหลือก็คงจะทำได้ไม่ยากนัก
สำหรับบทความนี้ เราจะมาดูวิธีการที่แฮกเกอร์ใช้ในการขโมยรหัสผ่านของคุณ และวิธีที่คุณสามารถทำเพื่อป้องกันตัวเองจากพวกเขาได้ นอกจากนี้เราจะอธิบายถึงวิธีการค้นหา เกี่ยวกับรหัสผ่านหรือข้อมูลส่วนบุคคลอื่นๆ ของคุณ ว่ามีข้อมูลที่รั่วไหลออกไปหรือไม่ในกรณีที่มีการละเมิดข้อมูลที่สำคัญ ซึ่งเป็นเรื่องน่าเศร้าที่จะต้องบอก ว่ามันมีโอกาสเกิดสูงมาก จนน่าแปลกใจ
รหัสผ่านถูกขโมยไปได้อย่างไร?
พวกเราส่วนใหญ่ต่างก็เคยผ่านประสบการณ์นี้มาก่อน ด้วยความพยายามที่จะจดจำรหัสผ่านของเราให้ได้ แต่การกระหน่ำป้อนรหัสผ่าน เป็นหนึ่งในบรรดาวิธีที่เราใช้มากที่สุด โดยหวังว่าอาจจะมีโชคดีอยู่บ้าง จากนั้นเราจะเห็นข้อความที่เลวร้ายปรากฏขึ้นมาว่า 'คุณป้อนรหัสผ่านมากเกินไป - บัญชีถูกล็อก' ภายใต้สถานการณ์อันเลวร้ายก็น่าจะยังมีเรื่องดีๆอยู่บ้าง คุณอาจจะลองคิดเล่นๆดูว่า ถ้าระบบคลาวด์ที่น่ารำคาญนี้ มีบุคคลที่พยายามจะขโมยรหัสผ่านของคุณ และในที่สุดเค้าเอาก็อาจจะต้องประสบกับชะตากรรมที่คล้ายคลึงกันกับที่คุณต้องเจอ
ข้อความที่ถูกล็อกไม่ให้ใช้งานอาจจะทำให้คุณต้องรู้สึกโมโห แต่นั่นมันไม่ใช่ปัญหาสำหรับแฮ็กเกอร์
เป็นเรื่องที่น่าเศร้า ที่นี่ไม่ใช่การทำงานที่คนทั่วไปทำกันได้ รหัสผ่านส่วนใหญ่จะถูกถอดรหัสโดยแฮกเกอร์ที่ทำงานแบบออฟไลน์ โดยมีฐานข้อมูลของบัญชีผู้ใช้ (User Account) ที่หามาได้อยู่ในมือเรียบร้อยแล้ว จากนั้นพวกเขาก็จะใช้วิธีการต่างๆ เพื่อทำการ crack รหัสผ่านของบัญชีผู้ใช้ของคุณ และพวกเขาก็จะพยายามเข้าสู่ระบบบัญชีของคุณเพียงครั้งเดียว ก็ต่อเมื่อได้รับรหัสผ่านของคุณแล้วเท่านั้น ถึงแม้ว่าขีดจำกัดความพยายามในการเข้าสู่ระบบจะเป็นตัวช่วยขัดขวางไม่ให้ผู้คนพยายามเข้าถึงบัญชีของคุณโดยบังเอิญ แต่จะมีประโยชน์อะไร หากเกิดกรณีที่มีการรั่วไหลเกี่ยวกับรายละเอียดบัญชีของคุณ
รหัสผ่านที่อยู่ในรูปแบบของ 'hashed'
ข่าวดีก็คือ แม้แต่แฮกเกอร์ที่มีสิทธิ์เข้าถึงฐานข้อมูลรายละเอียดบัญชีก็จะไม่สามารถมองเห็นรหัสผ่านที่เกิดขึ้นจริงที่เป็นข้อความแบบธรรมดาได้ ซึ่งเว็บไซต์ที่มีชื่อเสียงโดยส่วนใหญ่จะไม่มีการจัดเก็บรหัสผ่านของคุณเอาไว้ แต่จะใช้อัลกอริทึมในการแปลงเป็นชุดข้อมูลที่มีความยาวที่ไม่ซ้ำกัน ซึ่งเป็นที่รู้จักกันในชื่อของ Hash
ยกตัวอย่างเช่น การใช้อัลกอริธึมการเข้ารหัสลับ วิธีหนึ่งที่เป็นที่นิยม นั่นก็คือ SHA256 ซึ่งได้รับการพัฒนาโดย หน่วยงานด้านความมั่นคงแห่งชาติ สหรัฐ (US National Security Agency) – และนอกจากนี้ยังทำให้รหัสผ่านยอดนิยมอย่าง 'P@SSWOrd' ที่หลังจากผ่านการเข้ารหัสข้อมูลแล้ว ทำให้เราได้ข้อมูลออกมาใหม่ถึง 64 ตัวนั้น เริ่มต้นด้วย 'BO3DDF3C ... ' เป็นต้น
รหัสผ่านที่มีรายละเอียดที่เฉพาะเจาะจงเหล่านี้ จะสร้าง hash ที่ไม่ซ้ำกันเสมอ ซึ่งก็หมายความว่า เว็บไซต์สามารถเปรียบเทียบกับ hash ของรหัสผ่านที่คุณป้อนได้ ขณะที่คุณทำการล็อกอินเข้าสู่ระบบ – ซึ่งถ้าค่า hash ทั้งสองตรงกัน คุณก็จะได้รับอนุญาตให้เข้าใช้งาน คุณสามารถดูวิธีการทำงานเกี่ยวกับการ hash ด้วย SHA256 ได้บน Password Generator website หากสังเกตดีๆ แล้วจะพบว่า เมื่อคุณทำการเปลี่ยนอักขระเพียงแค่หนึ่งตัว hash output ที่ได้ก็จะมีการเปลี่ยนแปลงไปอย่างสิ้นเชิง
การรักษาความปลอดภัยให้กับรหัสผ่าน ด้วยเทคนิค ‘A Pinch of Salt’
การทำ Hashing จะช่วยให้เว็บไซต์สามารถเก็บรหัสผ่านของคุณได้อย่างปลอดภัย เพราะเป็นไปไม่ได้ที่พวกเขาจะทำกระบวนการ 'วิศวกรรมย้อนกลับ' หรือ Reverse Engineering ได้ แต่อย่างไรก็ตาม แฮกเกอร์ก็ยังคงพยายามที่จะใช้เทคนิคต่างๆ เพื่อหารหัสผ่านของคุณ ซึ่งวิธีการง่ายๆเหล่านี้ ก็ต้องขึ้นอยู่กับความซับซ้อนของรหัสผ่านของคุณและวิธีการที่เว็บไซต์ใช้ในการสร้าง hash
การตั้งรหัสผ่านด้วย Password Generator โดยใช้อัลกอริธึม SHA256 เพื่อสร้าง hash ที่มี 64 ตัวอักษร
ทั้งนี้ก็เพื่อที่จะทำให้แฮกเกอร์ยากต่อการใช้ไฟล์ที่เก็บคำและ Password ที่ถูก Hash ที่เราเรียกกันว่า 'Rainbow Tables' (ฐานข้อมูลของรหัสผ่านที่รั่ว) เพื่อทำการหารหัสผ่านจาก hash ซึ่งเว็บไซต์ส่วนใหญ่จะสร้างชุดอักขระแบบสุ่มและเพิ่มลงในรหัสผ่านของคุณ ก่อนที่พวกเขาจะสร้าง hash ซึ่งเราเรียกกระบวนการเหล่านี้ว่า 'salting'
การเพิ่มชุดอักขระแบบสุ่มลงไปในรหัสผ่านของคุณ โดยใช้กระบวนการ 'salting' ทำให้เราได้อักขระ 'aE92@3' ชุดนี้มา (แต่โดยส่วนมากแล้วอาจจะซับซ้อนกว่านี้) ซึ่งจะทำให้รหัสผ่านก่อนหน้านี้ของเราจาก 'P@ssword' กลายเป็น 'aE92@3P@assword' เนื่องจากการทำเช่นนี้จะทำให้เกิดความแตกต่างกันอย่างสิ้นเชิงของ hash ดังนั้น มันแทบจะเป็นไปไม่ได้เลย ที่รหัสผ่านในรูปแบบนี้จะมีอยู่ใน Rainbow Table
วิธีการตรวจสอบว่ารหัสผ่านของคุณถูกขโมยหรือไม่
เมื่อรหัสผ่านของคุณ (หรือข้อมูลส่วนบุคคลอื่น ๆ ) เกิดการรั่วไหล โดยปกติแล้วพวกมันมักจะจบลงด้วยการถูกเพิ่มลงในฐานข้อมูลขนาดใหญ่บน Dark Web การพยายามค้นหาข้อมูลเหล่านี้ เพื่อที่จะหาว่าคุณนั้นได้ตกเป็นเหยื่อหรือไม่นั้น ไม่เพียงแต่จะต้องใช้เวลานาน แต่ก็ยังพบว่ามีความเสี่ยงด้วยเช่นกัน เนื่องจาก พวกเขามักจะถูกระบุว่ามีรายชื่ออยู่บนเว็บไซต์อาชญากรรมโดยทั่วไป และเป็นเรื่องที่น่ายินดี ที่ยังคงมีเว็บไซต์อื่นๆ ที่ปลอดภัย ที่คุณจะสามารถใช้งานแทนกันได้
เว็บไซด์ Have I Been Pwned? (HIBP) ถูกสร้างขึ้นในในวันปี 2013 โดย Troy Hunt ซึ่งเป็นผู้เชี่ยวชาญด้านความปลอดภัยชาวออสเตรเลีย มันเป็นเว็บไซด์ที่เก็บรวบรวมฐานข้อมูลของอีเมล์แอคเคาท์ที่ถูกแฮ็กมากกว่าห้าพันล้านบัญชี (หรือ 'pwned') จากการรั่วไหลของบัญชีจำนวนมากที่เคยเกิดขึ้นในช่วงตลอดหลายปี นอกจากนี้คุณยังสามารถค้นหาฐานข้อมูลของมัน โดยใช้เครื่องมือ Firefox Monitor ของ Mozilla ซึ่งมีการเปิดตัวไปเมื่อไม่กี่เดือนที่ผ่านมา
เว็บไซต์ Hacked Emails (ดำเนินการโดยสหรัฐฯ - 4iQ ซึ่งเป็นบริษัทรักษาความปลอดภัยในโลกไซเบอร์ที่ดีที่สุดในสเปน) และ BreachAlarm (ดำเนินการโดยบริษัท Avalanche ของออสเตรเลีย) เป็นสองทางเลือกที่กำลังได้รับความนิยม ซึ่งทั้งสามเว็บไซด์ที่กล่าวมาข้างต้นนั้นจะทำการสแกนหาข้อมูลการรั่วไหลใหม่ๆ โดยการตรวจสอบเว็บไซต์ต่างๆ บน Dark Web และเว็บไซต์อย่าง Pastebin ซึ่งเป็นที่ที่แฮ็กเกอร์โพสต์ถึงรายละเอียดของบัญชีที่รั่วไหลออกมา โดยข้อมูลเหล่านี้จะถูกรวบรวมเข้าไว้ในฐานข้อมูลที่สามารถค้นหาได้
เว็บไซต์เหล่านี้ ต่างก็ใช้วิธีการที่คล้ายคลึงกันเพื่อทำการตรวจสอบว่า Email address นั้น เป็นส่วนหนึ่งของแอคเคาท์ที่มีการรั่วไหลของข้อมูล (Data Breach) หรือไม่ เพียงแค่พิมพ์มันลงไปในช่องในโฮมเพจแล้วกด Enter ในขณะที่ HIBP และ BreachAlarm จะรายงานผลการตรวนสอบให้ทราบโดยทันที แต่สำหรับ Hacked Email จะส่งลิงค์ไปยังที่อยู่อีเมล์ที่คุณได้ป้อนข้อมูลไว้ ซึ่งจะเป็นการจำกัดให้คุณสามารถสแกนรหัสผ่านเฉพาะที่อยู่ที่คุณสามารถเข้าถึงเท่านั้น
จากการตรวจสอบด้วย HIBP พบว่าอีเมล์ของเรามีการเชื่อมโยงกับสองเว็บไซด์ที่พบว่ามีการละเมิด ซึ่งเป็นเหตุให้เกิดการรั่วไหลของรหัสผ่านและข้อมูลอื่นๆ ของเรา
เราได้ทำการทดสอบเว็บไซต์ โดยใช้ Email address เดียวกัน ซึ่งเป็นบัญชี Gmail เก่าที่เราไม่ได้ใช้งานอีกต่อไป ผลที่ได้คือ ทั้ง HIBP และ Hacked Emails ได้ระบุรายละเอียดว่ามันเป็นส่วนหนึ่งของแอคเคาท์ที่มีการรั่วไหลมาจาก Adobe (2013) และ Dropbox (2012) - โดยสามารถระบุถึงประเภทของข้อมูลที่รั่วไหลออกมาได้ ซึ่ง HIBP ยังระบุด้วยว่า ได้มีการเปิดเผยที่อยู่นี้ผ่านทาง Onliner spambot ในปี ค.ศ. 2017 นอกจากนี้ ทั้งสองเว็บไซต์ยังมีการเปิดเผยถึงข้อมูลการรั่วไหลจากแหล่งข้อมูลที่ไม่รู้จัก (Unknown Sources) อีกมากมาย โดยที่ยังไม่ได้มีการรับรองความถูกต้อง
ในทางตรงกันข้าม BreachAlarm มีการรายงานเพียงแค่ว่า Email address ของเรา เคยเกิดการรั่วไหลอย่างน้อย 2 ครั้ง โดยครั้งล่าสุดนั้น เกิดขึ้นในเดือนสิงหาคม ปี ค.ศ. 2016 นี่คงเป็นเรื่องน่าผิดหวังที่คลุมเครือเลยทีเดียว แต่มันก็ยังคงคุ้มค่าที่จะพยายามทำการทดสอบด้วย BreachAlarm เนื่องจากมันใช้ฐานข้อมูลที่แตกต่างกันเกี่ยวกับอีเมล์ที่รั่วไหลออกมา และจากทั้งสามเว็บไซต์ที่กล่าวมานี้ มันอาจจะช่วยค้นหาได้ว่า บัญชีอีเมล์ของคุณถูกแฮ็กหรือไม่
เรียกใช้ตัวช่วยในการค้นหารหัสผ่านของคุณ
ในส่วนของ Email addresses ก็เช่นเดียวกัน HIBP จะช่วยให้คุณสามารถตรวจสอบว่ารหัสผ่านของคุณเกิดการรั่วไหลหรือไม่ ให้คลิกที่นี่ here หรือคลิกที่เมนูรหัสผ่านจากเว็บไซต์หลักของ HIBP จากนั้นพิมพ์รหัสผ่านของคุณ
เราไม่มีข้อสงสัยเลยว่า HIBP จะสามารถเชื่อถือได้หรือไม่ แต่การค้นหา Current Password ของคุณ ก็ยากที่จะบอกว่ามันไม่มีความเสี่ยง และก็ไม่แน่ว่า แฮกเกอร์อาจจะสามารถขโมยข้อมูลดังกล่าวไปได้ ถ้าพวกเค้าโจมตี HIBP และติดตั้งคีย์ล็อกเกอร์ (KeyLogger) ซึ่งเป็นโปรแกรมมัลแวร์ชนิดหนึ่ง ซึ่งจะคอยดักจับข้อมูลส่วนตัวต่างๆ ของผู้ใช้
ดังนั้น พวกเราจึงขอแนะนำให้ใช้รหัสผ่านปัจจุบัน (Current Password) แทนที่จะพยายามลองค้นหารหัสผ่านเก่าของคุณ หรือเพียงแค่ใช้มันเพื่อที่จะค้นหาว่า รหัสผ่านที่พบโดยทั่วไปคืออะไร ยกตัวอย่างเช่น '654321' เป็นรหัสผ่านที่มีการรั่วไหลเกือบหนึ่งล้านครั้ง ในขณะที่ 'P@ssw0rd' เป็นรหัสผ่านที่มีการรั่วไหลราวๆ 50,000 ครั้ง
ถ้าคุณได้ทำการตรวจสอบรหัสผ่านปัจจุบันแล้วพบว่ามันเป็นรหัสผ่านที่มีการรั่วไหล มันจะไม่สามารถบอกได้เลยว่ารหัสผ่านที่เกิดการรั่วไหลนั้นมันเป็นของคุณหรือของใครบางคน (ยิ่งเป็นรหัสผ่านมีความเรียบง่ายมากเท่าใด มันก็ยิ่งจะถูกนำมาใช้โดยคนอื่นๆ มากขึ้น) ไม่ว่าจะอย่างไรก็ตาม คุณยังคงที่จะต้องเปลี่ยนมันในทันที เพราะถ้าหากรหัสผ่านนี้ได้ถูกเปิดเผยทางออนไลน์แม้เพียงแค่ครั้งเดียว มันก็จะถูกรวมอยู่ใน Rainbow Table ซึ่งก็จะทำให้ง่ายต่อการถอดรหัส เพื่อเข้าถึงข้อมูลส่วนตัวของคุณ
จะทำอย่างไรถ้าข้อมูลของคุณรั่วไหลออกไป
หากพบว่าข้อมูลของคุณเกิดการรั่วไหล ให้ทำการตรวจสอบวันที่ที่มีการละเมิดล่าสุด และถ้าหากคุณยังไม่ได้ทำการเปลี่ยนรหัสผ่านบนเว็บไซต์ที่ถูกบุกรุก ให้คุณรีบทำในทันที ซึ่งบรรดาแฮกเกอร์ต่างก็รู้ดีว่า คนทั่วไปอาจจะทำเพียงแค่เพิ่มอักขระพิเศษเข้าไปเมื่อทำการเปลี่ยนรหัสผ่าน ทั้งนี้ก็เพื่อให้แน่ใจว่ามันดูแตกต่างกันอย่างสิ้นเชิง (อย่าเปลี่ยนจาก 'Ilovepasta' ไปเป็น 'Ilovepasta1') และหากคุณเองยังคงพบว่าตัวเองยังใช้รหัสผ่านที่ถูกขโมยซ้ำในเว็บไซต์อื่นๆ ก็ควรจะรีบเปลี่ยนรหัสผ่านใหม่ด้วยเช่นกัน
แม้ว่าคุณจะได้รับรายงานว่าทุกอย่างเรียบร้อยดีจากเว็บไซต์เหล่านี้ แต่ก็ไม่ได้หมายความว่าข้อมูลส่วนบุคคลของคุณจะไม่มีการรั่วไหลออกมา นอกจากนี้ยังพบว่ามีการละเมิดข้อมูลขนาดเล็กอีกจำนวนมาก ที่ไม่ได้รับการรายงาน ในขณะที่บางบริษัทเองก็ยังไม่รู้ตัวว่าพวกเค้าถูกโจมตี
วิธีที่ดีที่สุดในการป้องกันตัวเองที่เราจะแนะนำคุณได้ก็คือ การใช้รหัสผ่านที่รัดกุม และควรเลือกใช้บริการการจัดการ
พาสเวิร์ด (Password Manager) ที่เหมาะสม นอกจากนี้ ยังอยากให้ลองพิจารณาการลงทะเบียนเพื่อใช้บริการตรวจสอบของ HIBP ซึ่งทางเว็บไซด์จะส่งอีเมล์การแจ้งเตือนให้คุณรู้เมื่อข้อมูลส่วนตัวมีการรัวไหลครั้งใหม่เกิดขึ้น คลิกไปที่ 'Notify me' ซึ่งอยู่ด้านบนของเว็บไซต์ จากนั้นให้คุณป้อน Email address ที่ต้องการตรวจสอบ
ที่มา:ww.itpro.co.uk
