ทุกวันนี้ เราเห็นข่าวการแฮ็กข้อมูล หรือข้อมูลส่วนตัวรั่วไหลกัน บทความนี้ ผมขอนำเสนอเทคนิคง่ายๆ 5 ข้อ ในการรักษาความปลอดภัยให้กับบัญชีออนไลน์ของเรา

อย่าตั้งรหัสผ่านง่าย คาดเดาได้
การตั้งรหัสผ่าน เป็นเรื่องยากเพราะต้องจำไปใช้ต่อในอนาคต คนจำนวนมาก จึงตั้งรหัสผ่านง่ายๆ เพื่อให้ตัวเองจำได้ เช่น password, 123456, hello ปัญหาคือเมื่อคนส่วนใหญ่ใช้รหัสผ่านเหล่านี้กันมากเข้า บรรดาแฮ็กเกอร์ผู้ประสงค์ร้ายก็คาดเดารหัสผ่านของผู้ใช้กันได้ไม่ยากเลย

เราควรเลี่ยงการใช้คำที่พบได้บ่อยเหล่านี้ และควรเลี่ยงข้อมูลส่วนตัวที่คนอื่นรู้หรือหาข้อมูลได้ไม่ยาก เช่น เบอร์โทรศัพท์ วันเกิด เลขที่บ้าน

ข้อแนะนำในการตั้งรหัสผ่านที่ดีพอในระดับหนึ่งและยังจดจำได้ คือใช้คำหรือตัวเลขหลายๆ ชุดพิมพ์ต่อกัน เราอาจเลือกคำศัพท์ที่ชอบมา ผสมด้วยตัวเลขที่เราจดจำได้ เช่น Mongolia2357Excel บางคนใช้วิธีตั้งเป็นวลีในภาษาไทยที่จดจำได้ แล้วพิมพ์ด้วยแป้นภาษาอังกฤษก็ได้เช่นกัน

อย่าใช้รหัสผ่านซ้ำกันทุกเว็บ
คนจำนวนมากยังใช้รหัสผ่านชุดเดียวกันสำหรับทุกเว็บไซต์ แต่ไม่ใช่ว่าเว็บไซต์ทุกแห่งจะปลอดภัยเสมอไป เว็บไซต์เหล่านี้มีโอกาสโดนแฮ็ก เมื่อแฮ็กเกอร์ได้รหัสผ่านของเราที่เก็บไว้บนเว็บไซต์เหล่านี้ไป จะลองใช้รหัสผ่านชุดเดียวกันกับเว็บไซต์อื่น เพราะมีโอกาสสูงที่ใช้ด้วยกันได้

วิธีป้องกันคือไม่ใช้รหัสผ่านเดียวกันกับทุกเว็บ ข้อเสียคือเราเองจะจำรหัสผ่านแต่ละชุดไม่ได้ ทางแก้คือลองเติมโค้ดบางอย่างจที่มีความเชื่อมโยงกับเว็บไซต์เหล่านั้น เช่น นำตัวอักษรตัวที่สองและสามของชื่อเว็บต่อท้ายไปด้วย (อย่างเว็บไซต์ Gooogle ก็เติม oo ต่อท้ายรหัสผ่านปกติ ถ้าเป็น Yahoo ก็เติม ah) ช่วยให้รหัสผ่านไม่ซ้ำกันเลย แต่ยังจดจำได้ง่าย

ใช้โปรแกรมช่วยจัดการรหัสผ่าน
ปัญหารหัสผ่านที่แข็งแรงต้องยาว ซับซ้อน ไม่ซ้ำกัน ส่งผลให้จดจำลำบาก ทางออกคือ ใช้โปรแกรมจดจำรหัสผ่าน (Password Manager) คอยช่วย ในเบราว์เซอร์แทบทุกตัว มีระบบช่วยจำรหัสผ่านอยู่แล้ว หรือจะใช้โปรแกรมเฉพาะทางอย่าง LastPass, 1Password, Dashlane, True Key, RoboForm ช่วยจำรหัสผ่านได้เช่นกัน  (โปรแกรมเหล่านี้จะช่วยจำรหัสผ่านและตั้งรหัสผ่านที่ซับซ้อนให้เรา โดยที่เราจำเพียงรหัสชุดเดียวที่ใช้เข้าโปรแกรม)

ใช้ระบบล็อกอินสองชั้น
การมีรหัสผ่าน เป็นเครื่องยืนยันตัวตนเพียงอย่างเดียวถือว่า ไม่ปลอดภัยแล้วในปัจจุบัน เพราะเราอาจถูกขโมยรหัสผ่านโดยไม่รู้ตัว โลกไอทียุคนี้จึงมองว่า ต้องหาสิ่งยืนยันตัวตนอย่างที่สอง มาช่วยยืนยันว่าเป็นตัวเราจริงๆ แนวคิดนี้เรียกว่า 2-Factor Authentication

ชื่อ 2-Factor Authentication อาจฟังดูซับซ้อน แต่ทุกวันนี้เราใช้งานมันอยู่แล้ว คนที่โอนเงินผ่านเน็ตคงรู้จักระบบ OTP (One Time Password) ซึ่งเป็นตัวอย่างของการล็อกอินสองชั้น นอกจากมีรหัสผ่านตามปกติแล้ว ยังมีรหัสผ่านชุดที่สองทาง SMS ยืนยันตัวตนจากความเป็นเจ้าของโทรศัพท์อีกชั้นหนึ่ง

เว็บไซต์ยอดนิยมของโลกอย่าง Google, Microsoft, Apple, Facebook, Twitter ต่างมีระบบ 2-Factor Authentication กันหมดแล้ว เราสามารถเปิดใช้ได้ทันทีในหน้า Settings แถมเราไม่จำเป็นต้องรอรับ SMS แต่สามารถเลือกใช้แอพสุ่มรหัสติดตั้งไว้ในโทรศัพท์แทนได้

อย่าโดนอีเมลหลอกให้กรอกรหัสผ่าน
แม้ระบบรักษาความปลอดภัยทางไอทีจะปลอดภัยแค่ไหน แต่ถ้าตัวผู้ใช้เองเผลอบอกรหัสผ่านแก่ผู้อื่น ก็เอาตัวไม่รอดอยู่ดี บรรดาแฮ็กเกอร์จึงพยายามหลอกล่อเราทุกวิถีทางให้เราเผลอป้อนรหัสผ่าน

วิธีที่เนียนที่สุดคือปลอมเป็นเว็บไซต์ต้นฉบับ หน้าตาเหมือนกันทุกอย่าง เมื่อเราเผลอป้อนรหัสผ่านลงในเว็บปลอมเหล่านี้ แฮ็กเกอร์จะนำรหัสผ่านไปล็อกอินเข้าระบบจริงอีกทีหนึ่ง เทคนิคแบบนี้เรียกว่า phishing แฮ็กเกอร์มักหลอกให้เราเข้าเว็บปลอมๆ ด้วยอีเมลปลอมจากธนาคาร บอกว่าบัญชีของเรามีปัญหาบางอย่าง ต้องล็อกอินใหม่เพื่อยืนยันตัวตน พร้อมกับให้ลิงก์ (ปลอม) มาด้วย

ทางแก้คือหลีกเลี่ยงการคลิกลิงก์ใดๆ ในอีเมล เข้าเว็บไซต์ธนาคารหรือสถาบันการเงินด้วยการพิมพ์เองเสมอ (หรือจะบันทึกเป็น favorite ก็ได้) ธนาคารส่วนใหญ่มีนโยบายไม่ส่งอีเมลเกี่ยวกับบัญชีผู้ใช้งานอยู่แล้ว ถ้าได้รับมาก็ตั้งธงไว้ก่อนเลยว่าน่าจะเป็นของปลอม