tl;dr
หยิบเหตุการณ์ที่ Wongnai เกิดข้อมูลหลุดมาเป็นกรณีศึกษา ทำความเข้าใจผลกระทบ วิธีการแก้ปัญหา วิธีการป้องกัน และแนะนำเครื่องมือจัดการรหัสผ่าน (Password Manager) ที่จะช่วยเพิ่มความปลอดภัยในการใช้ชีวิตบนโลกออนไลน์
ข้อมูลหลุด / ข้อมูลรั่วไหล / ถูกเข้าถึงข้อมูลส่วนตัว / ถูกแฮ็ก
ไม่ว่าเราจะเรียกสิ่งเหล่านี้ว่าอะไรก็ตาม นี่คือเรื่องของ "ข้อมูลส่วนบุคคล" และ "ความปลอดภัย" ในยุคดิจิทัล
การเข้าถึงข้อมูลของผู้ใช้งานโดยไม่ได้รับอนุญาต . . .
อ้างอิงข้อมูลต้นทางจาก Wongnai
เมื่อวันที่ 30 ตุลาคม 2563 . . .
Wongnai ได้ตรวจสอบพบว่ามีการเข้าถึงข้อมูลของผู้ใช้งานโดยไม่ได้รับอนุญาต
ข้อมูลที่ถูกเข้าถึงได้แก่
อีเมล, รหัสผ่าน (ที่ถูกเข้ารหัสอีกชั้นแล้ว), ชื่อจริง, ชื่อบัญชี Facebook และ Twitter, วันเกิด, หมายเลขโทรศัพท์, รหัสไปรษณีย์
และทาง Wongnai
ได้จัดการแก้ไขช่องทางดังกล่าวเสร็จเรียบร้อยแล้ว
ก่อนอื่นคืออยากชื่นชม Wongnai ที่ตอบโต้อย่างรวดเร็ว และเปิดเผยข้อมูลความผิดพลาดอย่างตรงไปตรงมา พร้อมมีคำแนะนำสำหรับผู้ใช้งาน ไม่เอาประเด็นสำคัญเช่นนี้ซุกไว้ใต้พรมโดยหวังว่าจะไม่มีใครรับรู้ถึงเหตุการณ์ที่เกิดขึ้น
ข้อมูลหลุดไปแล้วยังไง?
หากอีเมล และรหัสผ่านของคุณที่ใช้สมัครบัญชี (Account) ของ Wongnai เป็นชุดเดียวกับที่ใช้สมัครบริการสำคัญอื่น ๆ เช่นอีเมล (Gmail, Hotmail, etc.) บัญชีธนาคาร (iBanking, K-Plus, etc.) โซเชียลมีเดีย (Facebook, Instagram, Twitter, etc.) กรณีที่แย่ที่สุดที่จะเกิดขึ้นกับคุณคือคุณอาจจะสูญเสียความเป็นเจ้าของบัญชีเหล่านั้นไปแล้ว เพราะผู้ประสงค์ร้ายสามารถเข้าถึง และจะทำอะไรก็ได้กับบัญชีของคุณ ตั้งแต่เปลี่ยนรหัสผ่านของคุณ โอนเงินออกจากบัญชีธนาคารของคุณ ลบบัญชีทิ้ง หรือทักไปหาเพื่อนของคุณเพื่อขอยืมเงิน (คุ้น ๆ กันมั้ย?)
การแก้ปัญหา
ถึงแม้รหัสผ่านที่หลุดไปจะถูกเข้ารหัส (Encrypted) แต่ก็ยังไม่น่าไว้วางใจ ทางที่ดีคือ คุณควรจะเปลี่ยนรหัสทั้งหมดสำหรับบัญชีที่ใช้อีเมล และรหัสผ่านชุดเดียวกันกับบัญชีของ Wongnai (อย่าลืมเปลี่ยนรหัสผ่านของ Wongnai เองด้วยหละ)
กันไว้ดีกว่าแก้
โดยเฉลี่ย คนทั่วไปจะมีบัญชีของบริการต่าง ๆ คนละ 90 บัญชี สมมุติว่าการเปลี่ยนรหัสผ่านสำหรับ 1 บัญชีใช้เวลา 5 นาที หากว่าเราใช้อีเมลและรหัสผ่านซ้ำกันทั้งหมดสำหรับทั้ง 90 บัญชี เราต้องใช้เวลา 7.5 ชั่วโมงในการเปลี่ยนรหัสผ่านทั้งหมด (เงินในบัญชีธนาคารคงหายเกลี้ยงไปเรียบร้อยแล้ว) คงจะไม่ใช่เรื่องสนุกหากต้องมานั่งเปลี่ยนรหัสผ่านทุกครั้งที่เกิดการรั่วไหล เพราะการรั่วไหลของข้อมูลเกิดขึ้นบ่อยกว่าที่เราคิด ในปี 2019 มีกรณีที่ข้อมูลมูลรั่วไหลมากกว่า 12.7 พันล้าน กรณี
มาถึงตรงนี้ หลาย ๆ คนคงจะพอเห็นแล้วว่าต้นตอของปัญหานี้ (ที่ไม่ใช่การที่มีคนอยากขโมยข้อมูล) คือการที่เราใช้ "อีเมล และรหัสผ่านแบบรีไซเคิล" หมายถึงการที่ใช้อีเมล และรหัสผ่านเดียวกับสำหรับบัญชีหลาย ๆ บัญชีนั่นเอง ดังนั้นทางแก้ที่ง่ายที่สุดคือ เราควรจะมีอีเมล และรหัสผ่านที่ไม่ซ้ำกันสำหรับบัญชีทุก ๆ บัญชีที่เรามี (หากมีข้อมูลของบัญชีใดบัญชีหนึ่งที่หลุดไป บัญชีอื่น ๆ ของเรานั้นจะยังปลอดภัยอยู่) ซึ่งแน่นอนว่าเราไม่มีทางที่จะจำอีเมล และรหัสผ่านสำหรับบัญชีทั้ง 90 บัญชีได้ ดังนั้นเครื่องมือที่จะช่วยแก้ปัญหาให้เราได้คือ "เครื่องมือจัดการรหัสผ่าน" หรือ Password Manager นั่นเอง
เครื่องมือจัดการรหัสผ่าน (Password Manager)
รหัสผ่านที่ดีต้องไม่มีรูปแบบที่ตายตัว มีความยาว และผสมผสานทั้งตัวอักษร ตัวเลข และอักขระพิเศษ
"YAIM8vPM$7bad11wVUlbQUT#1oLJce"
"IVAT@p1c08hf*CF##L5Hdew9PAnE$N"
"R6*bBndeRBM#fLv3ess3WDnmShEt9m"
รหัสผ่านด้านบนทั้ง 3 คือตัวอย่างของรหัสผ่านที่ดี ทุก ๆ บัญชีของเราควรจะต้องใช้รหัสผ่านที่ไร้รูปแบบเช่นนี้เพื่อความปลอดภัยจากการเจาะระบบ และทุก ๆ บัญชีต้องใช้รหัสผ่านที่ไม่ซ้ำกัน
เครื่องมือจัดการรหัสผ่านจะทำหน้าที่เป็นตู้เซฟซึ่งคอยจัดเก็บรหัสผ่านของเราทั้งหมด เพราะเราไม่มีทางที่จะจำรหัสผ่านเหล่านี้ได้ ซึ่งแน่นอนว่าตู้เซฟนั้นก็จำเป็นที่จะต้องมีรหัสผ่านเพื่อเข้าถึงข้อมูลข้างใน (Master Password) ดังนั้นแทนที่เราจะต้องจำรหัสผ่านทั้งหมด (ไม่ควรจดใส่มือถือ เพราะระบบรักษาความปลอดภัยของ Note หรือแอปพลิเคชั่นต่าง ๆ บนมือถือนั้นไม่แน่นหนาเท่าเครื่องมือจัดการรหัสผ่าน) เราแค่จำ Master Password รหัสเดียวก็เพียงพอ (ซึ่ง Master Password ของเราก็ควรจะต้องแน่นหนาเช่นกัน)
เครื่องมือจัดการรหัสผ่านมีหลายรูปแบบ และมีผู้ให้บริการอยู่หลายเจ้า สามารถเลือกใช้ได้ตามจริตและความชอบได้เลย
ในยุคที่แทบจะทุกสิ่งนั้นถูกแปรสภาพให้มาอยู่บนโลกดิจิทัลและกลายเป็นชีวิตประจำวัน ความปลอดภัยบนโลกออนไลน์ควรจะเป็นสิ่งที่ทุกคนคำนึงถึง หาใครสนใจข้อมูลเชิงลึกกว่านี้สามารถตามไปอ่านได้บทความก่อนหน้านี้ของผม (เป็นภาษาอังกฤษนะ) ที่ What Could Go Wrong by Using the Same Password for All Accounts
Pingback: - Little Things Worth Sharing, MintPrin