เวลาเราเห็นตามข่าวหรือมีเพื่อนมาโวยวายว่า "ถูกแฮ็กบัญชี" บ่อยครั้งมักเกิดจากความผิดพลาดของตัวเจ้าของบัญชีเองที่ไปล็อกอินค้างไว้หรือจดรหัสต่างๆ เก็บไว้แล้วมีผู้อื่นเข้าถึงได้ หรือเกิดเหตุการณ์ใดๆ ที่ทำให้รหัสผ่านหลุด เช่นผู้ให้บริการไม่ได้เก็บรหัสผ่านของผู้ใช้แบบเข้ารหัส หากบริการเหล่านั้นมีช่องโหว่ก็สามารถทำให้ผู้ไม่ประสงค์ดีเข้าถึงรหัสผ่านได้

วิธีแก้ปัญหา "รหัสหลุด" ที่ได้รับความนิยมสูงคือการยืนยันตัวตนหลายปัจจัย หรือ multi-factor authentication (MFA) เช่นที่เราคุ้นเคยกันคือการส่งรหัส OTP มาทาง SMS (ปัจจุบันไม่ค่อยปลอดภัยแล้วเพราะเสี่ยงต่อการออกซิมปลอม หรือ SIM Swapping/SIM Hijacking)

การทำ MFA อีกวิธีที่ยังถือว่าปลอดภัยอยู่คือการใช้กุญแจยืนยันตัวตน U2F ตามมาตรฐาน FIDO ที่เราต้องกดปุ่มจริงๆ บนกุญแจที่เสียบเข้าพอร์ต USB เพื่อเป็นการยืนยันว่าเราเป็นคนล็อกอินเข้าบัญชี ไม่ใช่คนที่รู้รหัสผ่านของเรา หรือหากไม่มีกุญแจ U2F ในแอนดรอยด์ก็มีป๊อปอัพให้กด Yes เวลาเราล็อกอินเข้าบัญชีกูเกิล หรือใน Pixel 3/3a สามารถกดปุ่ม power ของโทรศัพท์เพื่อยืนยันตนได้เช่นกัน

ด้าน Alex Weinert ผู้จัดการฝ่ายความปลอดภัยบุคคลของไมโครซอฟท์ออกมาบอกว่า "จากการศึกษาของเรา บัญชีผู้ใช้มีโอกาสถูกแฮ็กสำเร็จน้อยลงกว่า 99.9% หากเปิดใช้งาน MFA" และยังให้คำแนะนำว่าห้ามใช้รหัสผ่านที่เคยรั่วออกมาสู่สาธารณะ รวมถึงการใช้รหัสผ่านยาวมากๆ ก็ไม่ได้ช่วยสักเท่าไร

รหัสผ่านยาวๆ นั้นไม่มีประโยชน์มากนักเพราะปัจจุบันมีเทคนิคมากมายที่จะเอารหัสผ่านของผู้ใช้มาได้ เช่น phishing (หลอกให้ผู้ใช้กรอกรหัส) หรือ Credential Stuffing คือการนำรหัสผ่านที่หลุดจากบริการหนึ่งไปลองใช้กับบริการอื่นๆ หากผู้ใช้คนนั้นใช้รหัสผ่านซ้ำกันก็สามารถขโมยบัญชีได้ทั้งหมด

ไมโครซอฟท์ระบุว่ามีการพยายามล็อกอินโดยมิชอบมากกว่า 300 ล้านครั้งต่อวัน (เฉพาะบริการของไมโครซอฟท์เอง) และหากผู้ใช้เปิดใช้งาน MFA จะสามารถป้องกันการล็อกอินแบบนี้ได้

ที่มา - ZDNet

ภาพจาก Yubico