Monday, January 7, 2008

How to Select Strong Password

คำแนะนำในการเลือกใช้ Password ให้ปลอดภัยและจำง่าย
เริ่มต้นเช้าวันทำงานนั้น ผมเชื่อว่าสิ่งที่เราต้องทำเป็นอันดับแรกๆ คือเปิดเครื่องคอมพิวเตอร์หรือโน้ตบุ๊ค จากนั้นก็ต้องทำการล็อกออนโดยใช้ชื่อผู้ใช้ (User name) และรหัสผ่าน (Password) และหลังจากเข้าใช้งานเครื่องได้แล้วผมเชื่อว่าส่วนมากก็จะทำการเช็คว่ามีอีเมลใหม่หรือไม่ ซึ่งในขั้นตอนนี้ก็ต้องใช้ยูสเซอร์เนมและพาสเวิร์ด อีกเช่นกัน ที่เกริ่นเสียยาวก็เพื่อแสดงให้เห็นว่า ในการเข้าใช้งานระบบคอมพิวเตอร์หรือระบบสารสนเทศต่างๆ นั้น อย่างน้อยที่สุดแล้วจะต้องใช้พาสเวิร์ดในการตรวจสอบ และในหลายๆ ระบบจะต้องใช้ยูสเซอร์เนมควบคู่กับพาสเวิร์ด และในระบบที่ต้องการความปลอดภัยสูงมากๆ อาจจะต้องใช้ระบบไบโอเมติค (Biomatic) เช่น การสแกนลายนิ้วมือ เป็นต้น

จากที่กล่าวมาด้านบน จะเห็นได้ว่าก่อนที่เราจะสามารถเข้าใช้งานระบบต่างๆ ได้นั้น จะต้องทำการตรวจสอบตัวตนก่อนว่าเป็นใคร ในกรณีที่ระบบไม่สามารถตรวจสอบตัวตนได้หรือตรวจสอบแล้วไม่ถูกต้อง เช่น ใส่ยูสเซอร์เนมหรือพาสเวิร์ดไม่ถูกต้อง ระบบก็จะปฏิเสธการให้บริการทันที แต่หากการตรวจสอบตัวตนผ่าน จากนั้นระบบก็จะทำการตรวจสอบว่ามีสิทธิ์ (Right) ในการใช้งานระบบตามที่ร้องขอหรือไม่ หากไม่มีสิทธิ์ก็จะปฏิเสธการให้บริการทันที เช่น ใส่ยูสเซอร์เนมหรือพาสเวิร์ดถูกต้องแต่ไม่มีสิทธิ์เข้าใช้งานในเวลาที่ล็อกออน เป็นต้น แต่หากมีสิทธิ์ก็อนุญาตให้เข้าใช้งานตามการร้องขอได้ เช่น ใส่ยูสเซอร์เนมหรือพาสเวิร์ดถูกต้อง และมีสิทธิ์เข้าใช้งานในเวลาที่ล็อกออน เป็นต้น ซึ่งขั้นตอนการตรวจสอบตัวตนนั้นจะเรียกว่าการ Authentication และขั้นตอนการตรวจสอบสิทธิ์ในการใช้งานนั้นจะเรียกว่าการ Authorization

จากประสบการณ์ที่ทำงานด้านไอทีมาหลายปี ผมพบว่ามีหลายองกรค์ที่มีการใช้งานระบบปฏิบัติการวินโดวส์เอ็กซ์พีโดยไม่มีการตั้งรหัสผ่าน (Password) ของแอคเคาท์ Administrator โดยให้เหตุผลว่าไม่สะดวกต่อการใช้งานและขี้เกียจจำ ซึ่งเป็นการกระทำที่เสี่ยงอันตรายอย่างมหันต์ เนื่องจากแฮกเกอร์ทราบดีอยู่แล้วว่าในระบบปฏิบัติการวินโดวส์เอ็กซ์พีจะมีแอคเคาท์ชื่อ Administrator ดังนั้นการไม่กำหนดรหัสผ่านก็เหมือนกับการเปิดประตูตู้เซฟทิ้งไว้ รอวันที่ขโมยจะเดินมาเจอแล้วทำการขโมยสิ่งที่มีค่าไป (แต่สำหรับระบบคอมพิวเตอร์นั้น วันที่ว่าอาจจะไม่นานอย่างที่ท่านคิดก็ได้) เมื่อถึงวันนั้นท่านอาจจะต้องสูญเสียทั้งทรัพย์สินหรือชื่อเสียง ซึ่งมีมูลค่ามากกว่าความไม่สะดวกหรือความขี้เกียจมากมายนัก

หมายเหตุ: สำหรับท่านที่ไม่กำหนดพาสเวิร์ดหลังจากบทความนี้จบแล้ว ผมขอแนะนำให้ท่านทำการกำหนดพาสเวิร์ดทันทีที่ทำได้ เพื่อความปลอดภัยของข้อมูลของท่านเอง

การตรวจสอบตัวตน (Authentication)
โดยทั่วไปแล้ว การตรวจสอบตัวตนในระบบคอมพิวเตอร์หรือระบบสารสนเทศต่างๆ นั้นจะใช้ User name หรือ User ID ควบคู่กับ Password ตัวอย่างเช่น การใช้บริการอีเมล จะต้องใส่ User ID และ Password ก่อนจึงจะเข้าใช้งานได้ เป็นต้น เพื่อให้เข้าใจได้ง่ายขึ้นให้นึกถึงการใช้งานตู้ ATM ซึ่งบัตร ATM เปรียบได้กับ User name และ รหัส ATM ก็เปรียบได้กับ Password

เนื่องจากการ User name และ Password นั้น เป็นเสมือนตัวแทนของยูสเซอร์ ในการเข้าใช้งานระบบต่างๆ แต่เนื่องจาก User name นั้น โดยตัวมันเองแล้วจะไม่ได้เป็นความลับ ตัวอย่างเช่น ในระบบปฏิบัติการวินโดวส์เอ็กซ์พีนั้น จะมี User name ที่ชื่อ Administrator หรือในหน้า Log On Screen ก็จะแสดง User name ของผู้ใช้ หรือในระบบอีเมล ผู้ส่งจะทราบ email address ของผู้รับ และเมื่อผู้รับเช็คอีเมลก็จะทราบ email address ของผู้ที่ส่งมา เป็นต้น

นอกจากนี้ โดยทั่วไปหน่วยงานจะมีการนโยบายเกี่ยวกับการกำหนด User name และ Password ภายในองค์กร เช่น กำหนดให้ใช้งาน User name ตาม ชื่อ หรือ นามสกุล หรือ รหัสพนักงาน หรือ รหัสนักศึกษา เป็นต้น และให้ผู้ใช้เป็นคนกำหนด Password เอง โดยหน่วยงานอาจกำหนดกรอบให้ เช่น Password จะต้องมีความยาวอย่างน้อย 15 ตัว เป็นต้น ดังนั้นการกำหนด Password จึงเป็นตัวกำหนดระดับความปลอดภัยในการใช้งานระบบสารสนเทศ ซึ่งการเลือกรหัสผ่านที่ดีนั้นจะทำให้มีความสะดวกในการใช้งานและขณะเดียวกันก็มีความปลอดภัยในระดับที่ยอมรับได้

ข้อแนะนำพื้นฐานทั่วไปสำหรับผู้ใช้วินโดวส์และระบบสารสนเทศต่างๆ ในการเลือกรหัสผ่านที่ดี คือเลือกรหัสผ่านที่มีความปลอดภัย จากแฮกโดยการเดารหัสผ่าน, การทำ Dictionary Attack, การทำ Brute Force Attack ในขณะเดียวกัยต้องสะดวกในการใช้งาน คือ ต้องสามารถจดจำได้ง่ายด้วย โดยมีรายละเอียดดังนี้

1. ข้อแนะนำพื้นฐานในการกำหนดรหัสผ่านที่ปลอดภัย
ข้อแนะนำพื้นฐานในการกำหนดรหัสผ่านให้มีความความปลอดภัย มีดังนี้
1. การกำหนดรหัสผ่านให้มีความยาวอย่างน้อย 8 อักษร และลักษณะอย่างน้อย 3 ใน 5 ของลักษณะดังนี้
1.1 อักษรตัวพิมเล็ก (Lowercase letters) เช่น a, b, c เป็นต้น
1.2 อักษรตัวพิมใหญ่ (Uppercase letters) เช่น A, B, C เป็นต้น
1.3 ตัวเลข (Numbers) คือ 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
1.4 สัญลักษณ์ (Symbols) เช่น ( ) ` ~ ! @ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , . ? / เป็นต้น
1.5 อักษรแบบยูนิโค้ด (Unicode characters) คือ €, ?, ?, และ ?
2. รหัสผ่านไม่ควรที่ประกอบด้วยตัวอักษรที่มีอยู่ในชื่อ user name เกินกว่า 3 ตัวอักษร
3. เพื่อให้มีความปลอดภัยเพิ่มขึ้นควรทำเปลี่ยนรหัสผ่านเป็นประจำอย่างน้อยทุกๆ 42 วัน
4. ไม่ควรใช้รหัสผ่านซ้ำกับรหัสผ่านที่เคยใช้มาแล้ว
5. อย่าเขียนรหัสผ่านลงกระดาษโดยเด็ดขาด

ตัวอย่างรหัสผ่านให้มีความความปลอดภัย:
L1Verpoo!fc%9 หรือ Ar@na!+fc7 หรือ M@nun!ted?fc1

อย่างไรก็ตาม ถึงแม้ว่าจะทำการเลือกรหัสผ่านตามข้อแนะนำด้านบนแล้วก็ตาม แต่ก็อาจจะยังไม่ปลอดภัยเพียงพอ เนื่องจากปัญหาที่พบได้บ่อย คือ ยูสเซอร์กลัวว่าจะจำรหัสผ่านไม่ได้จึงทำการเขียนรหัสผ่านลงกระดาษโน้ตและติดไว้ตามที่ต่างๆ เช่น ติดไว้กับมอนิเตอร์บ้าง บนโต๊ะทำงานบ้าง ซึ่งเป็นการกระทำที่เสี่ยงต่อความปลอดภัยอย่างมาก เหมือนกับการเก็บของไว้ในตู้เซฟที่แน่นหนาแต่เขียนรหัสแปะไว้หน้าตู้ ซึ่งไม่มีประโยชน์และไม่ช่วยป้องกันความปลอดภัยอะไรได้เลย ดังนั้น นอกจากรหัสผ่านที่กำหนดจะต้องมีปลอดภัยแล้ว รหัสผ่านที่กำหนดนั้นจะต้องจดจำได้ง่ายอีกด้วยจึงจะมีความปลอดภัยสูงสุด โดยคำแนะนำในการรหัสผ่านที่ปลอดภัยและสามารถจดจำได้ง่าย มีดังต่อไปนี้

2. คำแนะนำในการเลือกรหัสผ่านที่ดี
รหัสผ่านที่ดีนั้นจะต้องมีความปลอดภัย คือ ยากต่อการแคร็ก ในขณะเดียวกันต้องสามารถจดจำได้ง่าย โดยการใช้คำวลี (Pass Phrases) เป็นรหัสผ่านนั้น จะทำให้ได้รหัสผ่านที่ดี เนื่องจากการใช้รหัสผ่านที่เป็นคำวลี (Pass Phrases) ที่ประกอบด้วย อักษรตัวเล็ก อักษรตัวใหญ่ ตัวเลข และสัญญลักษณ์ นั้น จะทำการแคร็กได้ยากมากถึงแม้ว่าจะใช้เครื่องมือแคร็กรหัสผ่านที่ดีที่สุด โดยยูสเซอร์ที่ใช้ระบบปฏิบัติการ Windows 2000, Windows XP, และ Windows Server 2003 จะรองรับการใช้รหัสผ่านได้เกิน 15 ตัวอักษร รวมถึงการใช้ช่องไฟ (Space) ในรหัสผ่านได้ โดยทิปในการเลือกรหัสผ่านที่แข็งแกร่ง มีดังนี้

3. ทิปในการเลือกรหัสผ่านที่แข็งแกร่ง
1. ใช้คำมากกว่า 1 คำ
เลือกใช้คำ 2 คำมารวมกันเป็นรหัสผ่านแทนการใช้คำเพียงคำเดียว ตัวอย่างเช่น FergusonPanda หรือ FergiePanda เป็นต้น
2 ใช้สัญลักษณ์แทนตัวอักษร
โดยทั่วไปแล้วยูสเซอร์จะชอบเพิ่มตัวเลขนำหน้าหรือต่อท้ายตัวอักษรในรหัสผ่าน เช่น 1Ronaldo309 เป็นต้น ซึ่งรหัสผ่านนี้จะถูกแคร็กได้โดยไม่ยากนัก ดังนั้นควรใช้สัญลักษณ์แทนตัวอักษรในรหัสผ่าน เช่น การใช้ "@" แทน "A", "!" แทน "l", "0" แทน "O", "$" แทน "S", และ "3" แทน "E" เป็นต้นจะทำให้รหัสผ่านมีความแข็งแกร่งขึ้น ตัวอย่างเช่น Ronaldo อาจใช้เป็น Ron@ld0 เป็นต้น
3. เลือกรหัสผ่านให้ผูกกับเหตุการณ์สำคัญหรือบุคคลต่างๆ ที่ท่านประทับใจ
การใช้รหัสผ่านมีความแข็งแกร่งนั้น อาจจะยากในการจดจำ ดังนั้นควรเลือกรหัสผ่านให้ผูกกับเหตุการณ์สำคัญหรือบุคคลต่างๆเพื่อจะช่วยให้จดจำได้ง่ายขึ้น ตัวอย่างเช่น @rsena!Champ07
4. ใช้คำพ้องเสียงแทนคำจริง
ใช้คำพ้องเสียงแทนคำจริงในรหัสผ่านนั้นช่วยให้รหัสผ่านมีความแข็งแกร่งขึ้นในขณะเดียวกันก็จดจำได้ง่ายอีกด้วย โดยการใช้ "2" แทน "to" หรือ "too" หรือ "two", "4" แทน "for" ตัวอย่างเช่น W@lk2$choo! เป็นต้น
5. ให้ใช้รหัสผ่านที่ยาวที่สุดเท่าที่ท่านทำได้
สำหรับรหัสผ่านนั้น ยิ่งมีความยาวๆ มากขึ้นจะทำให้รหัสผ่านนั้นมีความแข็งแกร่งเพิ่มมากขึ้น
6. ใช้ตัวอักษรตัวแรกขอในแต่ละคำประกอบกัน
การใช้ตัวอักษรตัวแรกขอในแต่ละคำในประโยคประกอบกันเป็นรหัสผ่านนั้น จะทำให้รหัสผ่านมีความแข็งแกร่งและง่ายต่อการจำ เช่น "My favorite song is The Song Remain The Same" อาจใช้รหัสผ่านเป็น Mf@1TsRTs ซึ่งยากในการแคร็กมาก

4. สิ่งที่ควรทำในการเลือกรหัสผ่าน
  • กำหนดรหัสผ่านโดยให้ประกอบด้วย ตัวอักษร, สัญลักษณ์, และตัวเลข ซึ่งง่ายในการจดจำของท่านแต่ยากในการเดาของคนอื่น
  • กำหนดรหัสผ่านให้สามารถอ่านเป็นคำพูดได้ (ถึงแม้ว่าจะไม่ได้เป็นคำจริงๆ) ง่ายในการจดจำของท่าน
  • กำหนดรหัสผ่านโดยใช้วลีที่ท่านชอบหรือพูดบ่อยๆ โดยอย่าลืมเพิ่มตัวเลขหรืออักขระพิเศษเข้าไปด้วย
  • กำหนดรหัสผ่านโดยใช้สิ่งของ 2 อย่างมาร่วมกันด้วยตัวเลขหรืออักขระพิเศษ เช่น "Phone + 4 + you" = "Phone4you" or "Fone4y0u" เป็นต้น

5. สิ่งที่ไม่ควรทำในการเลือกรหัสผ่าน
  • ไม่ใช้ข้อมูลส่วนตัวเช่น รหัสประจำตัวประชาชนหรือใบขับขี่หรือประกันสังคม ชื่อสมาชิกในครอบครัว รถยนต์ หมายเลขโทรศัพท์ ชื่อสัตว์เลี้ยง วันเกิด ที่อยู่ งานอดิเรก หรืออย่างอื่นที่มีคนทราบหลายคน เป็นรหัสผ่าน
  • ไม่ใช้การสะกดคำในภาษาต่างๆ ไม่ว่าจะเป็นแบบการสะกดธรรมดาหรือการสะกดกลับหลัง เป็นรหัสผ่าน
  • ไม่ใช้รหัสผ่านที่ผูกกับเดือนปฏิทิน เช่น ไม่ควรใช้ "Mayday" ในเดือนพฤษภาคม
  • ไม่ควรใช้รหัสผ่านที่มีส่วนหนึ่งส่วนใดเหมือนกับรหัสผ่านก่อนหน้า

บทความโดย: Thai Windows Administrator Blog

แหล่งข้อมูลอ้างอิง
Selecting Secure Passwords

© 2007 Thai Windows Administrator Blog, All Rights Reserved.

0 Comment: