29 ธันวาคม 2562

Security Checklist 2020

ตรวจสอบรายการความปลอดภัย ปี 2020

หากคุณมีเวลาว่าง สามารถนั่งจัดการความปลอดภัยออนไลน์ ในช่วงวันหยุดปีใหม่แบบนี้ ก็น่าจะดีนะ

ลองมาดูกันว่ามีอะไรบ้าง ที่ควรตรวจสอบและปรับปรุงความปลอดภัยให้ดีกว่าเดิม

  1. อุปกรณ์เชื่อมต่ออินเทอร์เน็ต
  2. อีเมลที่ใช้งาน
  3. เครื่องมือช่วยจัดการรหัสผ่าน
  4. บัญชี Social Media
  5. การยืนยันตัวตนสองขั้น
  6. ตรวจสอบการเข้าถึงบัญชี

หมายเหตุ: บทความนี้อ้างอิงกับระบบปฏิบัติการ Windows และ Android ที่ผู้เขียนใช้งานจริง

1. อุปกรณ์เชื่อมต่ออินเทอร์เน็ต

ในที่นี้ประกอบด้วย คอมพิวเตอร์ โน๊ตบุ๊ค แท็บเล็ต และ โทรศัพท์ สมาร์ทโฟน ที่เชื่อมต่ออินเทอร์เน็ตโดยต้องลงชื่อเข้าใช้งาน

ตัวอย่างเช่น ระบบปฏิบัติการ Windows 10 มีตัวเลือกว่าจะลงชื่อเข้าใช้งานด้วยอีเมลของไมโครซอฟท์ (live.com, outlook.com) เพื่อผสานการทำงานร่วมกับทุกโปรแกรมของ Microsoft หรือจะไม่ผูกกับอีเมล แต่ในขั้นตอนการโหลดแอพจาก Windows Store จะต้องลงชื่อเข้าใช้งานเพิ่มเติม

หรือการใช้งาน โทรศัพท์ สมาร์ทโฟน ระบบ Android จำเป็นต้องผูกบัญชี Gmail เพื่อเข้าถึง Google Play Store และฟังก์ชั่นการทำงานอื่นๆ อย่างไรก็ตาม มือถือ Android หากไม่ใส่อีเมล ก็ยังสามารถทำงานได้ปกติ ในแอพที่ติดตั้งมาจากโรงงาน รวมถึงการโทรเข้า-ออก ใช้งานได้ทันที ไม่มีการปิดกั้น แต่จะติดตั้งแอพเพิ่มเติมจากร้านค้าของ Google ไม่ได้

ในบางกรณีเราจำเป็นต้องใช้บัญชีอีเมลหนึ่งอันกับหลายอุปกรณ์ เราควรจะสามารถควบคุมตรวจสอบได้ว่าอุปกรณ์ใดเป็นปัจจุบัน อุปกรณ์ใดเราเลิกไม่ใช้งานแล้ว หรือมีอุปกรณ์แปลกปลอมเข้ามาในบัญชีของเราหรือไม่ (อ่านเพิ่มในข้อ 6)

2. อีเมลที่ใช้งาน

เชื่อว่าเกือบทุกคนเป็นเจ้าของบัญชีอีเมลมากกว่าหนี่งอีเมล หลายคนอาจมีมากถึง 3-4 อีเมล ทั้งเรื่องส่วนตัว เรื่องงาน หรือเรื่องช็อปปิ้ง (ใช้งานครั้งแรกได้ส่วนลดพิเศษ แลกกับการสร้างอีเมลใหม่)

พอเรามีอีเมลหลายอัน ความยุ่งยากที่ตามมาคือ รหัสผ่านจำนวนมากที่เพิ่มขึ้น ตามจำนวนอีเมลที่เรามี

พอพูดถึงรหัสผ่าน ซึ่งเป็นปราการด่านสำคัญที่จะเข้าถึงเนื้อหาข้อมูล การสนทนาต่างๆ ภายในอีเมล รวมถึงอีเมลยังเป็นแกนหลักในการใช้งาน Social Media อื่นด้วย ดังนั้นการกำหนดรหัสผ่านให้เดายากจึงเป็นเรื่องสำคัญ

รหัสผ่านที่เดายากมีสองลักษณะ คือ หนึ่ง เราเป็นผู้กำหนดคิดขึ้นเอง และ สอง ให้โปรแกรมจักการรหัสผ่านสร้างให้อัตโนมัติ (อ่านเพิ่มในข้อ 3)

ในกรณีที่หนึ่ง รหัสผ่านที่เราต้องคิดเอง ไม่ควรใช้ข้อมูลพื้นฐานของเรา เช่น วันเดือนปีเกิด เบอร์โทรศัพท์ เลขบัตรประจำประชาชน หรือแม้กระทั่ง เลขประจำตัวนักศึกษา แต่ควรใช้การอ้างอิงความสัมพันธ์หรือเหตุการณ์ที่บอกเล่าเป็นประโยคที่สามารถจดจำได้ แล้วแปลงรหัสข้อความออกมาเป็นรหัสผ่าน

ตัวอย่างการสร้างรหัสผ่าน สำหรับอีเมลที่สร้างขึ้นมาใหม่เพื่อใช้ซื้อของออนไลน์โดยเฉพาะ รูปแบบประโยค This email for shopping at 12/12 only. ทดลองแปลงเป็นรหัสผ่านได้ดังนี้ Tef$@12/12!

อย่างไรก็ตาม รหัสผ่านที่เรากำหนดเอง เราอาจจะจำได้แค่ 3-4 อันเท่านั้น และควรใช้กับบัญชีหลักที่ต้องใช้บ่อย ในการลงชื่อเข้าใช้งานในที่ต่างๆ คำแนะนำคือ บัญชีหลักอาจเป็นรหัสผ่านที่กำหนดเอง ส่วนบัญชีอื่นๆ ที่ไม่ค่อยได้ใช้ปล่อยให้โปรแกรมจัดการรหัสผ่านสร้างให้ คือ เราไม่ต้องจำ

แต่ถ้าจะให้สุดโต่งสุดซอย จะให้โปรแกรมจัดการรหัสผ่านสร้างรหัสผ่านที่แข็งแรงเดายากใช้กับทุกบัญชีที่มีก็ทำได้เช่นกัน

3. เครื่องมือช่วยจัดการรหัสผ่าน

โปรแกรมจัดการรหัสผ่านในปัจจุบันมีตัวเลือกมากมาย ทั้งแบบ Off-line และ Online

ตัวอย่าง โปรแกรมที่ทำงานแบบออฟไลน์ เช่น KeePass โปรแกรมโอเพ่นซอส ในระบบปฏิบัติการ Windows ที่มีเครื่องมือสร้างรหัสผ่านที่แข็งแรงและสามารถเก็บไฟล์รหัสผ่านของเรา โดยที่เราเป็นผู้เก็บรักษาข้อมูลด้วยตัวเอง

สำหรับการเปิดไฟล์ที่เก็บรหัสผ่าน จำเป็นต้องมี Master Password ในการเปิดไฟล์ กล่าวคือ ถ้าเราให้ KeePass จำรหัสผ่านให้เราทั้งหมด เราก็แค่ต้องจำรหัสผ่าน Master Password ของ KeePass ในการเปิดไฟล์แค่นั้น

ไฟล์เก็บรหัสผ่านที่ได้จากโปรแกรม KeePass ยังสามารถนำมาใช้ได้กับแอพ KeePassDroid ในระบบปฏิบัติการ Android ได้ด้วย

คราวนี้ย้ายมาฝั่งออนไลน์กันบ้าง จากเดิมในกระบวนการเก็บไฟล์รหัสผ่านเราต้องเก็บรักษาของเราเอง ก็เปลี่ยนเป็นฝากไว้กับผู้ให้บริการในอินเทอร์เน็ต พ่วงด้วยบริการกู้คืน Master Password กรณีที่จำไม่ได้ รวมถึงเพิ่มความเข้มงวดในการใช้งานด้วย การยืนยันตัวตนสองขั้น

ตัวอย่างของผู้ให้บริการจัดการรหัสผ่าน เช่น LastPass, 1Password เป็นต้น

อ่านเพิ่มเติม - Lastpass รหัสผ่านสุดท้าย ที่คุณจะต้องจำ (ที่เหลือลืมไปได้เลย)

4. บัญชี Social Media

จริงๆ แล้วหัวข้อนี้ นอกจากบัญชี Social Media ยังรวมถึงบริการอื่นๆ อีกมากมายในอินเทอร์เน็ต ลองมานึกกันเล่นๆ ดูว่าเคยสมัครเว็บไซต์ไหนบ้าง

  • Facebook.com
  • Twitter.com
  • LinkedIn.com
  • VK.com
  • Instagram.com
  • Myspace.com
  • Hi5.com
  • Lastfm.com
  • Flickr.com
  • 500px.com
  • Academia.edu
  • Minds.com
  • Pinterest.com
  • Spotify.com
  • Reddit.com
  • SoundCloud.com
  • Tumblr.com
  • Vimeo.com
  • About.me
  • Adobe.com
  • Dropbox.com
  • Box.com
  • Mega.nz
  • 4Shared.com
  • Podbean.com
  • 000webhost.com
  • Avast.com
  • Bitly.com
  • Dailymotion.com
  • Disqus.com
  • Forbes.com
  • PayPal.com
  • Mi.com
  • Yahoo.com
  • Pantip.com
  • Sanook.com
  • GoDaddy.com
  • Line.me
  • Agoda.com
  • AirAsia.com
  • AirBNB.com
  • WordPress.com
  • Trello.com
  • Wire.com
  • TrueID.net
  • Lazada.com
  • Shopee.com
  • Hotels.com
  • ฯลฯ

มาถึงตรงนี้ เชื่อว่าหลายคนน่าจะเคยสมัครเว็บไซต์เหล่านี้เกินครึ่งหนึ่งของรายชื่อที่มีอยู่ข้างบน และอาจมีนอกเหนือจากรายชื่อเหล่านี้ เพราะโลกของอินเทอร์เน็ตมีมากมายเกินจะนึกออกในคราวเดียว

หากย้อนไปดูข้อ 2 เรื่องอีเมลที่มีแค่ไม่กี่อัน พอมาถึง Social Media นี่เกินสิบรายการแน่นอน และบางบริการอาจจะใช้หลายบัญชีอีกด้วย

ประเด็นที่อยากให้ตระหนักในข้อนี้คือ ปริมาณรหัสผ่านที่แข็งแรงและเดายาก ที่ใช้คู่กับบัญชี Social Media ของคุณมันจะมากมายขนาดไหน จะมีทางไหนที่จดจำรหัสผ่านยากๆ จำนวนมากโดยไม่ใช้เครื่องมือช่วยใดๆ

จุดนี้จึงอยากเชิญชวน มาใช้งานโปรแกรมช่วยจัดการรหัสผ่าน ไม่ว่าจะแบบออฟไลน์ หรือออนไลน์ อันนี้แล้วแต่ความถนัด และความเชื่อมั่นของแต่ละคน

เริ่มด้วยการลงทะเบียน/เปิดใช้งานโปรแกรมช่วยจัดการรหัสผ่าน แล้วเอาบัญชี Social Media และเว็บไซต์อื่นๆ ใส่เข้าไป ค่อยๆ ทำ ต้องใช้เวลา และจะเป็นการดีที่สุด คือต้องเปลี่ยนรหัสผ่านใหม่ แล้วค่อยเก็บเข้าโปรแกรมฯ เพื่อเป็นการอัพเดทรหัสผ่านไปในตัว

5. การยืนยันตัวตนสองขั้น

คราวนี้นอกจากรหัสผ่านที่แข็งแรงและเดายาก จำเป็นต้องเพิ่มกระบวนการยืนยันตัวตนสองขั้น กล่าวคือ ถ้ามีผู้อื่นล่วงรู้รหัสผ่านของเรา จำเป็นต้องมีปัจจัยที่สองในการระบุความเป็นเจ้าของ

ตัวอย่างเช่น การทำธุรกรรมออนไลน์ ที่ต้องมีรหัสผ่านหรือ PIN เพื่อเปิดเข้าในแอพ และต้องมีการยืนยันเลข OTP ผ่าน SMS ของหมายเลขมือถือที่ลงทะเบียนไว้

บริการในอินเทอร์เน็ตก็เช่นกัน นอกจากรหัสผ่านแล้ว ควรเปิดใช้งานการยืนยันตัวตนสองขั้น ด้วยเสมอ ซึ่งปัจจุบันหลายเว็บไซต์ ไม่ว่าจะเป็น Facebook หรือ Twitter ก็รองรับการยืนยันตัวตนสองขั้น รวมถึงบัญชี Gmail ก็ใช้โทรศัพท์มือถือ Android ที่ผูกบัญชีไว้ เป็นอุปกรณ์ยืนยันตัวตนสองขั้น

อ่านเพิ่มเติม - วิธีเปิดใช้งาน Two-Factor Authentication ด้วย Google Authenticator สำหรับ Facebook

6. ตรวจสอบการเข้าถึงบัญชี

มาถึงข้อสุดท้ายในการตรวจสอบความปลอดภัย เมื่อเรามีรหัสผ่านที่แข็งแรงและเดายาก เราควรรู้ถึงวิธีการตรวจสอบการเข้าถึงบัญชี ว่าบัญชีของเราเคยไปลงชื่อใช้งานไว้ในอุปกรณ์ไหนบ้าง หรือมีคนอื่นแอบเข้ามาในบัญชีของเราหรือไม่

เว็บไซต์ที่สามารถตรวจสอบการเข้าถึงบัญชี เช่น Facebook และ Gmail ที่มีรายงานว่าเราเคยหรือมีการเข้าถึงบัญชีจากอุปกรณ์ใดบ้าง ให้เราตรวจสอบว่าเป็นของเราใช่หรือไม่ หากไม่ใช่ให้เลือก Log out session นั้นทิ้งไป แน่ถ้าหาก session นั้นคือเราเอง การใช้งานครั้งต่อไปก็แค่ลงชื่อเข้าใช้งานตามปกติ

ในบางเว็บไซต์แม้จะไม่มีบริการการตรวจสอบการเข้าถึงบัญชี แต่จะมีอีเมลแจ้งเตือนเมื่อมีการลงชื่อเบ้าใช้งานจากอุปกรณ์ใหม่ เช่นเว็บไซต์ Instagram หรือ VK เป็นต้น

หวังว่าคนที่อ่านมาถึงตรงนี้ จะสามารถจัดการกับชีวิตออนไลน์ที่ไปผูกโยงกับเว็บไซต์ต่างๆ ได้สะดวกและปลอดภัยมากยิ่งขึ้น

สวัสดีปีใหม่ 2020 ครับ