หมกมุ่นกับความปลอดภัย? อย่าดูที่รหัสผ่านเหล่านี้

เมื่อเราพูดถึงความปลอดภัยของคอมพิวเตอร์ เรามักจะอ้างถึงความจำเป็นในการอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุดอยู่เสมอ คอมพิวเตอร์รุ่นล่าสุดมีความปลอดภัยสูงสุดได้อย่างไรด้วยการรวมตัวเลือกต่างๆ เช่น Windows hello หรือ Face ID ที่ปรับปรุงการเข้าถึง แต่ จะเกิดอะไรขึ้นเมื่อช่องโหว่ความปลอดภัยถูกสร้างขึ้นโดยตัวเราเอง

"

นั่นคือสิ่งที่เกิดขึ้นกับรหัสผ่านความปลอดภัยที่ใช้ในการเข้าถึงเทอร์มินัลของเรา ไม่ว่าจะเป็นรูปแบบมือถือหรือพีซี รวมถึงบริการจำนวนมากที่เราเชื่อมต่อด้วยมันไม่มีประโยชน์ที่จะมีความปลอดภัยล่าสุดในการเข้าถึงคอมพิวเตอร์ ถ้าเราใช้ 1234 เป็นรหัสผ่าน"

และไม่ใช่ อย่าคิดว่านี่เป็นเหตุการณ์ที่เกิดขึ้นเพียงลำพัง แม้จะมีสิ่งที่เราอ่านอยู่เสมอแม้จะมีคำแนะนำให้เราก็ตาม รหัสผ่านที่เข้าถึงได้ (มากเกินไป) ยังคงใช้กันอย่างแพร่หลาย แม้ว่าปีที่เรากำลังจะสิ้นสุด ได้สอนเราถึงวิธีการกรองข้อมูลนับพันบนเครือข่ายซึ่งรหัสผ่าน รหัสการเข้าถึง และชื่อปรากฏขึ้น แม้ว่าข้อเท็จจริงที่ว่าความปลอดภัยจะมีความสำคัญมากขึ้นเรื่อยๆ แต่ก็ยังมีผู้ใช้ที่ใช้รหัสผ่านที่เราอาจเรียกว่าไร้สาระ

"

เราไม่ได้พูดถึงคุณปู่ที่ปฏิบัติหน้าที่โดยเขียน PIN มือถือลงบน _stick_ ในเคส เราได้พูดคุยเกี่ยวกับข้อเท็จจริงที่ว่ามีผู้ใช้ทุกประเภทจำนวนมากที่ใช้รหัสผ่านที่ถอดรหัสได้ยากด้วย การผสมตัวเลข เช่น “123456” หรือคำอย่างเช่น “รหัสผ่าน” หรือรหัสผ่าน "

ผู้ใช้ที่เปลี่ยนจากการใช้รหัสผ่านที่รวมตัวเลข ตัวอักษร และสัญลักษณ์ ไม่ควรยาว (ผู้เชี่ยวชาญบางคนแนะนำว่า ไม่จำเป็น) แต่เหนือสิ่งอื่นใด คุณควรพยายามรวมอักขระ "หายาก" เข้าด้วยกัน โดยหลีกเลี่ยงการใช้วันที่หรือคำที่เกี่ยวข้องกับเรา

และตัวอย่างที่ผู้ใช้ส่วนใหญ่ไม่ปฏิบัติในทางที่เหมาะสมที่สุดนั้นแสดงให้เห็นโดยการศึกษาที่ดำเนินการโดย SplashData บริษัทรักษาความปลอดภัยที่ ได้รวบรวมซึ่งอาจ เป็น 100 รหัสผ่านที่แย่ที่สุดของปี 2017 อันที่จริงแล้ว พวกเขาระบุว่ามีผู้ใช้อย่างน้อย 10% เคยใช้หนึ่งใน 25 รหัสผ่านที่แนะนำน้อยที่สุด นี่คือรหัสผ่านที่ไม่แนะนำให้ใช้น้อยที่สุด 25 รายการ:

• 123456
• รหัสผ่าน
• 12345678
• QWERTY
• 12345
• 123456789
• ให้ฉันเข้าไป
• 1234567
• ฟุตบอล
• ผมรักคุณ
• แอดมิน
• ยินดีต้อนรับ
• ลิง
• เข้าสู่ระบบ
• abc123
• starwars
• 123123
• มังกร
• passw0rd
• ผู้เชี่ยวชาญ
• สวัสดี
• เสรีภาพ
• อะไรก็ตาม
• qazwsx
• trustno1

"

A รายการที่ร่วมกับการใช้คลาสสิกเช่น 123456 อื่น ๆ ปรากฏเป็น "รหัสผ่าน" หรือ "12345678" ครอบครองสามตำแหน่งแรกบน _podium_ คลาสสิกอื่นๆ ที่เราเห็นคือ admin, login หรือ abc123 หรือ passw0rd โดยที่ตัวอักษร or ถูกแทนที่ด้วย 0อีกทางเลือกหนึ่งที่พวกเขาพูดใน SplashData ว่าไม่มีประโยชน์ นี่คือ 100 รหัสผ่านที่แย่ที่สุดของปี 2017"

ขั้นตอนสร้างรหัสผ่านที่ปลอดภัย

ในการสร้างรหัสผ่านที่ปลอดภัย เราสามารถทำตามขั้นตอนต่างๆ ซึ่งจะทำให้เราเก็บไว้ในนั้นได้ง่ายขึ้น ใจและอย่าลืมเธอ

"
• ขั้นตอนแรกคือ ตัวอักษรสองตัวแรกของรหัสผ่านจะเป็นสองตัวแรกของเว็บไซต์ที่เราลงทะเบียน ถ้าเราจะลงทะเบียนใน Spotify มันจะเป็น sp."
"
• เราจะตามรหัสผ่านด้วย ตัวอักษรสองตัวสุดท้ายของชื่อผู้ใช้ ถ้าเราลงทะเบียนเป็น Pepito ก็จะได้ spto แล้ว"
"
• ต่อไปนี้จะเป็น จำนวนตัวอักษรของชื่อไซต์ Spotify มี 7 รายการ เราจึงเพิ่มเรื่อยๆ: spto7"
"
• หากเลขก่อนหน้าเป็นเลขคี่ เราจะเพิ่มเครื่องหมายดอลลาร์ หากเป็นเลขคู่หนึ่งตัว เนื่องจาก 7 เป็นเลขคี่ เราจึงเหลือ spto7$"
"
• เราใช้ตัวอักษรกลางของรหัสผ่านและ เราเขียนอีกครั้งโดยใช้ตัวอักษรถัดไปของตัวอักษร คุณจะเข้าใจด้วย ตัวอย่าง: ใช่ เรามี spto เราเขียนสองตัวกลางใหม่โดยใช้ตัวอักษรถัดไปของตัวอักษร แล้วเราจะเหลืออะไร ด้วยวิธีนี้ รหัสผ่านของเราคือ spto7$qu."
"
• เรานับจำนวนสระในรหัสผ่าน เราเพิ่มสี่และเราเขียนมัน แต่กดปุ่ม Shift เพื่อให้ เราได้รับสัญลักษณ์ ในกรณีนี้ เรามีสระ 2 ตัว สัญลักษณ์จะเป็น & ซึ่งอยู่เหนือคีย์ 6 เรามีรหัสผ่าน spto7$qu& แล้ว"
"
• และขั้นตอนสุดท้ายอาจเป็นการ แทนที่ตัวอักษรบางตัวด้วยตัวพิมพ์ใหญ่ เราสามารถระบุได้ว่าตัวที่สองและตัวที่สี่สามารถเป็นตัวพิมพ์ใหญ่ได้ ผลลัพธ์ที่ได้คือ sPtO7$qu&."

การตรวจสอบสองปัจจัย

"

อีกทางเลือกหนึ่งอาจได้รับจากการใช้งานที่ เราสามารถสร้างการรับรองความถูกต้องแบบสองขั้นตอน (หรือที่เรียกว่าการรับรองความถูกต้องด้วยสองปัจจัย) . เป็นตัวเลือกในการเพิ่มชั้นความปลอดภัยเพิ่มเติมให้กับบัญชีที่เราจะใช้ ด้วยวิธีนี้ คุณจะเข้าสู่ระบบด้วยข้อมูลที่คุณทราบ (รหัสผ่าน) และข้อมูลที่คุณมี (รหัสที่คุณได้รับทางโทรศัพท์)"

ระบบที่ ต้องการเพิ่มการยืนยันว่าเป็นคุณและไม่ใช่บุคคลที่สาม ที่กำลังเข้าถึงบัญชีของคุณ ในการดำเนินการนี้ บริการจะตรวจสอบว่าคุณมีบางอย่างจริงๆ (มือถือ โทเค็น) ที่คุณควรจะมีเท่านั้น กระบวนการที่มีจุดอ่อนเนื่องจากการใช้ SMS เพื่อส่งคีย์

ปัญหาคือ SMS มีช่องโหว่ ดังนั้นการยืนยันตัวตนแบบสองขั้นตอนควรใช้วิธีที่แตกต่างกัน และบริษัทเช่น Google ได้แก้ไขแล้ว ด้วยการเปิดตัว Google Prompt ซึ่งเป็นระบบที่หมายความว่าการยืนยันนี้ไม่ได้ส่งผ่านข้อความ SMS แต่ส่งมาจากเซิร์ฟเวอร์ของ Google ซึ่งเป็นสิ่งที่ทำให้การสกัดกั้นมีความซับซ้อนมากขึ้น มาตรการที่คล้ายกับข้อเสนอของผู้สร้างโทเค็นที่ใช้ในธนาคารบางแห่ง

ที่มา | เมนบอร์ดใน Xataka | การยืนยันตัวตนแบบสองปัจจัย: คืออะไร ทำงานอย่างไร และทำไมคุณควรเปิดใช้งาน