กลัวโดนแฮก? แนะนำ 5 เทคนิค ช่วยให้ปลอดภัยในโลกไซเบอร์

ปัจจุบันเราใช้บริการบนโลกออนไลน์กันมากขึ้น เช่น การทำธุรกรรมของธนาคาร ในเมื่อมีผู้คนเข้าใช้งานมากขึ้น นั่นย่อมเป็นโอกาสสำหรับเหล่ามิจฉาชีพทั้งหลายที่จ้องจะเล่นงาน พร้อมจะขโมยข้อมูล สร้างความเสียหายให้กับเรา หรือกระทั่งใช้ตัวเราเองเป็นช่องทางโจมตีผู้อื่นได้ด้วยเช่นกัน วันนี้จะมาแนะนำ 5 เทคนิคที่จะทำให้โลกไซเบอร์ที่เราใช้ทุกวันปลอดภัยมากขึ้น ทำได้ง่ายๆ บนแล็บท็อปหรือเครื่องคอมพิวเตอร์ของเราเอง

 

● หมั่นอัปเดตซอฟต์แวร์และ OS ให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ

ซอฟต์แวร์ที่เรากำลังใช้งานกัน บางครั้งอาจจะมีช่องโหว่ในเรื่องความปลอดภัยอยู่ก็เป็นได้ ถึงแม้ว่าซอฟแวร์เหล่านั้นจะถูกทดสอบแล้ว แต่บางทีอาจมีจุดที่หลุดพ้นไปจากการตรวจสอบ เช่น ช่องโหว่ (Zero-Day) ที่มีการซื้อขายกันอย่างแพร่หลายใน Dark Web ซึ่งพวกนี้ส่วนใหญ่ผู้พัฒนาซอฟแวร์ยังไม่รู้ แต่หลังจากนั้น ไม่ว่าการตรวจสอบเองโดยผู้ผลิตหรือมีนักวิจัยด้านความปลอดภัยแจ้งเข้าไป ผู้ผลิตเหล่านี้จะทำการแพตช์ (patch) หรือแก้ไขซอฟแวร์ของตนเพื่อปิดช่องโหว่ที่พบ และออกมาในรูปแบบของการอัปเดตซอฟต์แวร์ (software update)

ดังนั้น การการอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชั่นใหม่ล่าสุดอยู่เสมอจะลดโอกาสที่โดนโจมตีด้วยช่องโหว่ที่อาจเกิดขึ้นได้ ที่เห็นได้ชัดเจนคือกรณีของ Pegasus ในไทยที่ทาง Citizen Lab ออกมาเปิดเผยข้อมูลการใช้สปายแวร์กับนักกิจกรรมทางการเมือง หลังการเปิดเผยทาง Apple จึงได้ปล่อยการอัปเดตซอฟต์แวร์ออกมาเพื่อแก้ไขปัญหานี้ แต่นักกิจกรรมบางคนยังคงถูกโจมตีผ่านช่องโหว่เดิมอยู่ เพราะยังไม่ได้ทำการอัปเดตซอฟต์แวร์ กรณีนี้จึงเป็นตัวอย่างได้ดีว่า ทำไมการอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอถึงเป็นเรื่องจำเป็น

 

● ใช้พาสเวิร์ด (password) ที่แข็งแรง และ Multi-Factor Authentication (MFA)

อีกหนึ่งปัญหาที่ทั้งผู้ใช้ และ IT Support เจอกันเยอะคือการ ‘ตั้งรหัสผ่าน’ ในอดีตช่วงที่รหัสผ่านพึ่งถูกคิดขึ้นมาใหม่ เรายังไม่มีจำนวน account เยอะมาก แต่ในปัจจุบัน เรามี account สำหรับบริการต่างๆ บนโลกอินเตอร์เน็ตเยอะมากขึ้นเรื่อยๆ และผู้ใช้ส่วนใหญ่ไม่อยากจะจำพาสเวิร์ดที่ยุ่งยาก ผลจึงตกมาที่การเลือกใช้พาสเวิร์ดที่คาดเดาได้ง่าย เช่น “123456789” “admin1234”

เหตุที่การใช้พาสเวิร์ดที่คาดเดาได้ง่ายทำให้เราเสี่ยงต่อการถูกโจมตี เป็นเพราะการโจมตีที่เรียกว่า Brute Force วิธีการที่ผู้โจมตีพยายามเดารหัสผ่านไปเรื่อยๆ จนกว่าจะถูกต้อง จนถึงกับมีรายการของพาสเวิร์ดเดาง่ายที่คนชอบใช้ออกมาเลยทีเดียว หากพาสเวิร์ดของเราคาดเดาได้ง่าย ผู้โจมตีก็จะมีโอกาสเข้าถึง account ของเราได้ผ่านการโจมตีแบบ Brute Force อย่างรวดเร็ว ยิ่งถ้าง่ายมากๆ แถมอยู่ในรายการพาสเวิร์ดที่คาดเดาง่าย การโจมตีอาจใช้เวลาแค่หลัก 1-2 วินาทีเท่านั้น กลับกัน หากใช้พาสเวิร์ดที่แข็งแรง อาจจะใช้เวลาหลักปีหรือมากกว่านั้น

รหัสผ่านที่มีความแข็งแรง มีลักษณะแบบใด เรื่องนี้มีการรองรับอยู่หลายมาตรฐาน แต่มาตรฐานที่นิยมที่สุดมาจาก NIST (National Institute of Standards and Technology) โดยมีการกำหนดอยู่ใน NIST Special Publication 800-63B สรุปได้ดังนี้
 

1. รหัสผ่านควรมีความยาวไม่น้อยกว่า 8 อักษร
2. รหัสผ่านไม่ควรประกอบด้วยคำที่อยู่ในพจนานุกรม
3. รหัสผ่านไม่ควรประกอบด้วยอักขระหรือตัวอักษรเรียงกันเช่น “12345678” หรือ “aaaaa123”
4. รหัสผ่านไม่ควรประกอบด้วยคำที่เกี่ยวข้องกับบริการที่ใช้ (Context-Specific Words)
5. รหัสผ่านไม่ควรเป็นรหัสผ่านเดิมที่พบว่ามีการเจาะหรือมีความเสี่ยงแล้ว

เมื่อเอาห้าข้อด้านบนรวมกันมา แน่นอนว่าเราจะได้รหัสผ่านที่หน้าตาแปลกประหลาด จดจำยาก เช่น “@DZWfxAvF5VhcNPY4Ze6“ ประกอบกับเราต้องมีรหัสผ่านแยกกันแต่ละ account ที่ใช้งานอีก ทำให้การสร้างรหัสผ่านที่แข็งแรงและใช้งานจริงนั้นยากทีเดียว แต่นั่นก็ทำให้เกิดโปรแกรมที่ประเภทเรียกว่า ‘Password Manager’ ขึ้นมาเป็นตัวช่วยผู้ใช้อย่างเรา แถมยังจดจำรหัสผ่านของหลาย account ให้ด้วย เช่น Google Password Manager, iCloud Keychain และ Bitwarden ซึ่งบางโปรแกรมอาจจะมีค่าใช้จ่ายในการใช้งาน บางโปรแกรมอาจจะฟรีขึ้นกับความสามารถและการใช้งานของเรา

แต่การใช้งานพาสเวิร์ดเพียงอย่างเดียว ถือว่าไม่ปลอดภัยมากเท่าไหร่ในปัจจุบัน หากมีคนรู้พาสเวิร์ดของเรา ไม่ว่าเราจะตั้งไว้ซับซ้อนขนาดไหนมันก็จบ ยกตัวอย่างจากในหนังเรื่อง Ready Player One ตอนที่พระเอกแอบเห็นรหัสผ่านของตัวร้ายในห้องทำงาน ทำให้สามารถเข้าสู่ระบบได้อย่างง่ายดาย ทำให้ในโลกของเรามีอีกระบบเพื่อเข้ามาช่วย คือ การใช้งาน Multi-Factor Authentication (MFA)

หลักการทำงานของระบบนี้คือการใช้หลายเครื่องมือในการยืนยันตัวตน เช่น การใช้ OTP (One-Time Password) สำหรับธนาคาร, การใช้ Security Hardware Key เช่น Yubikey, และ Biomatric เช่นลายนิ้วมือในการยืนยันตัวตนอีกชั้น ทำให้ถึงจะมีพาสเวิร์ด แต่ถ้าขาดตัวตนที่เหลือของเรา โจรก็ยังไม่สามารถทำให้เข้าสู่ระบบได้

ดังนั้นการตั้งรหัสผ่านให้แข็งแรง ใช้บริการเสริมเช่น Password Manager และตั้งค่า MFA เอาไว้ จะทำให้เราสามารถปกป้อง account ออนไลน์ของเราได้ไปอีกระดับหนึ่งเลยทีเดียว

 

● มีระบบในการสำรองข้อมูล

ถึงแม้ว่าเราจะมีเครื่องมือในการป้องกันมากขนาดไหน แต่ก็ยังมีโอกาสที่จะถูกโจมตีอยู่เสมอ หนึ่งในส่วนที่จะโดนโจมตีและได้รับความเสียหายมหาศาลคือข้อมูลของเราที่เก็บอยู่ในเครื่อง ตัวอย่างที่ทำให้เห็นภาพได้ง่ายที่สุดคือ การระบาดของ Ransomware ที่เมื่อเหยื่อโดนโจมตี ข้อมูลทั้งหมดจะถูกเข้ารหัสเพื่อเรียกค่าไถ่ ซึ่งการจ่ายค่าไถ่ก็ไม่ได้ยืนยัน 100 % ว่าเราจะได้ข้อมูลกลับมาหรือไม่

วิธีการป้องกันเหตุการณ์นี้ได้ดีที่สุดคือ ‘การสำรองข้อมูล’ เพราะหากมีการสำรองข้อมูลอย่างสม่ำเสมอ เมื่อโดน Ransomware โจมตี เราสามารถกู้คืนจากข้อมูลที่สำรองได้ทันทีโดยไม่ต้องกังวลเรื่องการจ่ายค่าไถ่ เท่ากับว่า Ransomware ทำอะไรเราไม่ได้

โดยทั่วไปแล้วมีเทคนิคในการสำรองข้อมูลที่เรียกว่า ‘3-2-1 Backup Rule’ โดยตัวเลข 3 คือการบอกว่า เราควรมีข้อมูลเดียวกันสำรองไว้ทั้งหมด ‘สามสำเนา’ ต่อมาคือตัวเลข 2 ที่หมายถึงการเก็บ ‘สองสำเนา’ ไว้คนละตำแหน่งหรือต่างอุปกรณ์กัน และ ‘สำเนาชุดสุดท้าย’ เก็บไว้อีกสถานที่ (off-site location) ยกตัวอย่างเช่น เรามีข้อมูลเก็บไว้ในบ้านของเรา เพื่อป้องกันกรณีที่อุปกรณ์เก็บข้อมูล (สำเนาชุดแรก) เสียหาย เราจะสำเนาข้อมูลเก็บไว้อีกชุดหนึ่ง (สำเนาชุดที่สอง) อาจจะเป็น external harddisk แยกไว้ในบ้านของเราเอง และเพื่อป้องกันเหตุเช่นอัคคีภัย เราจึงต้องมีสำเนาอีกชุดไว้ที่เก็บที่อื่น (สำเนาชุดที่สาม) เช่น บ้านอีกหลัง (หากมี) หรือเก็บไว้บนบริการ cloud เท่านี้ก็จะครบตาม 3-2-1 Backup Rule

ทว่าวิธีการนี้เป็นเพียงแนวทางปฏิบัติเท่านั้นและใช้ค่าใช้จ่ายพอสมควรในการปฏิบัติ ทำให้โดยพื้นฐาน คำแนะนำสำหรับคนทั่วๆ ไป คือ การมีสำเนาข้อมูลเก็บเอาไว้ในที่เก็บข้อมูลภายนอก ซึ่งไม่ได้เชื่อมต่อกับคอมพิวเตอร์ตลอดเวลาก็ถือว่าเพียงพอแล้ว หากต้องการให้ดีขึ้นอีก สามารถฝากข้อมูลผ่านผู้ให้บริการ cloud สำหรับสำรองข้อมูล เช่น Blackblaze, Dropbox, OneDrive, iCloud

 

● มองหาแม่กุญแจเมื่อเข้าเว็บเสมอ

ปัจจุบันเรามีการส่งข้อมูลไปมาผ่านอินเตอร์เน็ต โดยเฉพาะข้อมูลสำคัญอย่างข้อมูลการเงิน นำไปสู่การโจมตีที่เรียกว่า Man-in-the-Middle Attack (MITM) และหนึ่งในกรณีที่เจอบ่อยคือการดักข้อมูลผ่านการเข้าเว็บไซต์

เนื่องจากเวลาเราเข้าเว็บไซต์ เรามีการส่งข้อมูลไปมาระหว่างเครื่องของเราและเครื่องเซิร์ฟเวอร์ปลายทาง ผ่านกระบวนการที่เรียกว่า HTTP (Hypertext Transfer Protocol) โดยกระบวนการนี้ไม่มีการเข้ารหัสใดๆ ทั้งสิ้น หากมีการส่งข้อมูลสำคัญ ข้อมูลเหล่านั้นก็สามารถถูกดักและขโมยออกไปได้ ทำให้ในปัจจุบันเรามีกระบวนการใหม่ขึ้นมาเพื่อความปลอดภัยมากขึ้นคือ HTTPS และมีการบังคับให้เว็บหลายๆ เว็บไซต์ใช้กันเป็นมาตรฐาน สังเกตง่ายๆ ในหน้าเว็บบราวเซอร์จะมีสัญลักษณ์แม่กุญแจล็อกอยู่ และในเว็บบราวเซอร์รุ่นใหม่ๆ เมื่อเข้าเว็บที่ไม่มี HTTPS จะมีการถามก่อนจะโหลดว่า เราต้องการเข้าถึงหน้าเว็บนี้จริงๆ หรือไม่ เพื่อความปลอดภัยของตัวเรา

ดังนั้น หากเราต้องมีการส่งข้อมูลสำคัญๆ หรือข้อมูลที่อ่อนไหว (sensitive data) ผ่านหน้าเว็บ ลองเช็กเสมอว่าเว็บที่เราเข้านั้นมี HTTPS หรือไม่

 

● คิดก่อนจะคลิก

จากการศึกษาของ IBM พบว่ากว่า 95% ของช่องโหว่ทางด้านความปลอดภัยทางไซเบอร์ (cyber security) เกิดจากความผิดพลาดจากผู้ใช้งาน ความผิดพลาดนั้นเกิดได้จากหลายสาเหตุ แต่สาเหตุที่น่ากลัวที่สุดคือความประมาทของผู้ใช้เอง เช่น มีหน้าต่างบางอย่างให้กด ด้วยความประมาทจึงกด Ok ไปโดยที่ไม่ได้อ่านว่ามันคืออะไร สาเหตุพวกนี้เป็นส่วนหนึ่งที่ทำให้เกิดช่องโหว่ด้านความปลอดภัยที่น่ากลัว ซ้ำร้ายกว่านั้น เทคนิคที่มิจฉาชีพชอบใช้กันคือการเร่งให้เหยื่อรีบตัดสินใจและทำในสิ่งที่ต้องการ ดังนั้นเวลาใช้งานระบบคอมพิวเตอร์ ก่อนจะคลิกหรือกดอะไรก็ตาม ลองใช้เวลาอ่านสิ่งที่อยู่บนหน้าจอทุกตัวอักษร และพิจารณาก่อนตัดสินใจกด หากไม่มีข้อมูลว่าข้อความที่แสดงหมายถึงอะไร ให้ปรึกษา IT หรือผู้รู้ก่อน ก็จะทำให้เราปลอดภัยมากขึ้นได้

ทิ้งท้ายสำหรับคนที่สงสัยว่า โปรแกรมป้องกันไวรัส หรือ antivirus software ยังจำเป็นอยู่ไหม? เพราะในอดีตเวลาเราซื้อเครื่องคอมพิวเตอร์มา หลายๆ คนจะแนะนำให้ซื้อพวก antivirus software หรือระบบเพื่อป้องกันเครื่องคอมพิวเตอร์ของเรา ซึ่งซอฟต์แวร์หรือระบบพวกนี้มีค่าใช้จ่ายในการใช้งาน ส่วนใหญ่ขายเป็นรายปี เช่นปีละ 950 บาทสำหรับ 5 เครื่อง เป็นค่าใช้จ่ายที่เห็นแล้วก็คิดหนัก

คำตอบสั้นๆ คือ antivirus software ถือว่าไม่จำเป็นสำหรับคนทั่วไปในปัจจุบัน เนื่องจาก ระบบปฏิบัติการสมัยใหม่อย่าง macOS และ Windows ได้มีการนำระบบรักษาความปลอดภัยหลากหลายกลไกเข้ามาใช้มากขึ้น ทำให้ตัวระบบมีระบบรักษาความปลอดภัยพื้นฐานมากเพียงพอสำหรับการใช้งานทั่วไป แต่หากต้องการความปลอดภัยมากขึ้นก็สามารถเลือกซื้อซอฟต์แวร์เพิ่มได้

 

จบไปแล้วกับเทคนิคที่มัดรวมมาเพื่อความปลอดภัยที่มากขึ้นบนโลกออนไลน์สำหรับเราทุกคน อ่านแล้วอย่าลืมไปเช็กรหัสผ่านของตัวเองกันด้วยล่ะ

 

ข้อมูลอ้างอิง

• citizenlab
• IBM Cyber Security Intelligence Index Report, June 2022