Wednesday, October 12, 2016

บทเรียนจากการรั่วไหลของรหัสผ่าน Yahoo


บทเรียนจากการรั่วไหลของรหัสผ่าน Yahoo!

เมื่อประมาณ 2 สัปดาห์ก่อน มีข่าวใหญ่ด้าน Security ที่น่าตกใจก็คือการรั่วไหลของฐานข้อมูลรหัสผ่านกว่า 500 ล้านบัญชีของ Yahoo ซึ่งนี่เป็นสิ่งที่ตอกย้ำว่า ไม่ว่าจะเป็นองค์กรใหญ่ขนาดไหน มีมาตรการปกป้องความมั่นคงปลอดภัยที่แข็งแกร่งเพียงใด แต่หากมีช่องโหว่แค่เพียงน้อยนิด ก็อาจจะเปิดโอกาสให้ถูกลอบโจมตีได้ และในเหตุการณ์นี้แฮ็กเกอร์ก็เป็นฝ่ายชนะเสียด้วย

เรื่องร้ายที่เกิดขึ้นกับ Yahoo ทำให้ผู้ใช้งานบัญชีทุกคนต้องให้ความสำคัญกับการปกป้องตนเองให้มากยิ่งขึ้น ผมอยากจะแนะนำให้ทุกองค์กรถือโอกาสนี้ สร้างหรือเน้นย้ำความตระหนักรู้กับพนักงาน เกี่ยวกับการตั้งรหัสผ่านที่มีคุณภาพ รวมถึงวิธีการปกป้องรักษา และควรที่จะกลับมาทบทวนมาตรการและเครื่องมือด้าน Security ของตน ว่าทันสมัยและเหมาะสมกับสถานการณ์ที่ประเมินในปัจจุบันแล้วหรือยัง


สำหรับการสื่อสารไปยังผู้ใช้งานที่เป็น End-User นั้น ผมได้สรุปข้อสังเกตที่จำเป็น เพื่อให้บุคคลทั่วไปสามารถจับผิดภัยคุกคามในเบื้องต้น และสามารถระมัดระวังตนเองได้ครับ

  • อีเมล์หลอกลวงจำพวก Phishing ส่วนใหญ่มักจะแนบ URL ที่ดูปกติทั่วไป แต่เมื่ออ่านดีๆ แล้วจะพบว่ามีการสะกดผิด ซึ่งอาจจะเป็นจุดเล็กๆ เพียง 1 หรือ 2 ตัวอักษรเท่านั้น ผมจึงขอย้ำให้ทุกท่านสังเกตความถูกต้องของ URL ทุกครั้งก่อนคลิกนะครับ
  • เว็บไซต์ประเภท Phishing มักจะมีข้อความเร่งเร้าให้ผู้ใช้รีบดำเนินการอย่างใดอย่างหนึ่งในทันที เช่น “บัญชีการใช้งานของคุณมีปัญหา ล๊อคอินทันทีเพื่อดำเนินการแก้ไข”
  • สมัยนี้มีหลาย Service ที่นำเสนอการลงชื่อเข้าใช้งานบัญชีด้วยเทคนิค 2 ขั้นตอน (2-step Authentication) เช่น i-Banking ของบางธนาคารที่ต้องใช้ Token ควบคู่กับการป้อนรหัสผ่านเข้าระบบ ดังนั้น ทางที่ดีเลือกใช้บริการแบบนี้จะปลอดภัยกว่านะครับ
  • ข้อสุดท้ายนี้สำคัญมาก นั่นก็คือการตั้งรหัสผ่านที่เข้มแข็ง คาดเดาได้ยาก ผสมทั้งตัวเลข ตัวอักษร และอักขระพิเศษ และจำเป็นต้องมีการเปลี่ยนรหัสผ่านใหม่อย่างสม่ำเสมอ รวมถึงจะต้องเก็บรหัสผ่านเป็นความลับ ห้ามบอกใครแม้แต่คนในครอบครัว ถึงภรรยาจะขู่เข็ญอย่างไร ก็ห้ามใจอ่อนนะครับ!


ดูแลตัวเอง สังเกตหาความผิดปกติ และตั้งมั่นบนความปลอดภัยไว้ก่อนเสมอนะครับ!


 

Content Cr: DestinationOne Counselor
Photo Cr: Yahoo