ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ วง โหาวเจิ่ง ได้รับเชิญสัมภาษณ์โดย เฉิง ปั่วเอิน เพื่อวิเคราะห์ปัญหาความปลอดภัยทางไซเบอร์ในปัจจุบันอย่างลึกซึ้ง วง โหาวเจิ่ง ชี้ว่าเมื่อปัญญาประดิษฐ์ได้รับความนิยมเพิ่มขึ้น แฮกเกอร์ก็สามารถใช้งานเครื่องมืออัตโนมัติเพื่อค้นหาเหตุผลและบริบทของการคิดแบบมนุษย์ แล้วบุกเข้าไปในบัญชีได้ ทำให้แนวคิดการป้องกันความปลอดภัยทางไซเบอร์แบบเดิมต้องเผชิญกับความท้าทายอย่างรุนแรง เขาระบุว่า ความซับซ้อนของรหัสผ่านไม่สำคัญอีกต่อไป สิ่งสำคัญคือ “ต้องโดดเด่น” และเขาเสนอว่าระบบป้องกันที่ค่อนข้างได้ผลจนถึงตอนนี้ คือการใช้เครื่องมือจัดการรหัสผ่านที่อาศัย “ไบโอเมตริกซ์” หรือ “การเข้ารหัส”
หลอดไฟอัจฉริยะจะกลายเป็นอาวุธของประเทศที่ถูกโจมตีด้วยไหม?
ในสภาพแวดล้อมที่อินเทอร์เน็ตแพร่หลาย เช่น อุปกรณ์ใช้ในบ้านอย่างหลอดไฟอัจฉริยะ ก็อาจกลายเป็น “สะพาน” ที่แฮกเกอร์ใช้เพื่อก่อการโจมตีทางไซเบอร์ขนาดใหญ่ได้ หากผู้ใช้ไม่ได้เปลี่ยนรหัสผ่านเริ่มต้น หรือใช้รหัสผ่านอ่อนแออย่าง “12345678” แฮกเกอร์ก็จะสามารถได้สิทธิ์ควบคุมได้อย่างง่ายดายผ่านเครื่องมือสแกนแบบอัตโนมัติ
เมื่อได้สิทธิ์ควบคุมแล้ว แฮกเกอร์ไม่ได้โจมตีแค่อุปกรณ์นั้นโดยตรง แต่จะใช้เป็นฐานซ่อนตัวตนที่แท้จริง จากนั้นจึงโจมตีเป้าหมายสำคัญ เช่น หน่วยงานด้านกลาโหมหรือหน่วยงานภาครัฐ การกระทำเช่นนี้จะทำให้หน่วยงานบังคับใช้กฎหมายเวลาติดตามร่องรอยดิจิทัล โดยตรงไปยังที่อยู่ IP ของผู้ครอบครองอุปกรณ์ไอโอทีดังกล่าว ส่งผลให้ประชาชนทั่วไปโดยไม่รู้ตัวกลายเป็นแพะรับบาปของการกระทำของแฮกเกอร์ เนื่องจากผู้ใช้ส่วนใหญ่ขาดความระวังต่อความปลอดภัยของอุปกรณ์ใช้ในบ้านเหล่านี้ อุปกรณ์อัจฉริยะสำหรับบ้านจึงกลายเป็นเส้นทางการโจมตีที่ซ่อนเร้นสูงมากในอาชญากรรมทางอินเทอร์เน็ตยุคปัจจุบัน
รหัสผ่านเริ่มต้นที่ยิ่งยาว ยิ่งแปลว่าระบบปลอดภัยและล้ำหน้า!
วง โหาวเจิ่ง วิจารณ์ระบบความปลอดภัยทางไซเบอร์แบบดั้งเดิม โดยเฉพาะข้อกำหนดอย่าง “เปลี่ยนรหัสผ่านเป็นประจำ” หรือ “บังคับให้มีอักขระพิเศษ” เขาย้ำว่า “ความยาว” และ “ความไม่สามารถคาดเดาได้” ของรหัสผ่าน มีผลเชิงปฏิบัติมากกว่าสำหรับการป้องกันการโจมตีของแฮกเกอร์ในปัจจุบัน ข้อเสนอแนะในตอนนี้คือความยาวของรหัสผ่านควรอยู่ระหว่าง 14 ถึง 20 อักขระ หรือใช้การรวมเป็นวลี ย้อนกลับไปในยุคเว็บเก่าก่อนสมัยของอินเทอร์เน็ตวิศวกรจะตั้งรหัสผ่านเริ่มต้นไว้ไม่เกิน 8 ตัวอักษร เมื่อผู้ใช้เลือกแบบแผนที่คาดเดาได้ เช่น เติมเครื่องหมายอัศเจรีย์เพิ่มขึ้นต่อท้ายรหัสผ่านเดิม ในเทคนิคการถอดรหัสยุคปัจจุบันแทบไม่มีพลังในการป้องกันด้วยเหตุผลหลักคือ แฮกเกอร์สามารถทำความเข้าใจตรรกะของผู้ใช้ผ่านวิธีอื่นได้ เช่น แค่ใช้ 1234567 แล้วตามด้วยสัญลักษณ์พิเศษ ก็จะถูกรวมหาคำตอบได้ง่ายด้วยการคำนวณ
เครื่องมือจัดการรหัสผ่าน และการยืนยันตัวตนหลายปัจจัย ช่วยสร้างสมดุลระหว่างความสะดวกและความปลอดภัย
สำหรับการป้องกันบัญชีส่วนบุคคล ผู้เชี่ยวชาญแนะนำให้ใช้เครื่องมือจัดการรหัสผ่าน (Password Manager) และการยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication, MFA) เครื่องมือจัดการรหัสผ่านสามารถสร้างรหัสผ่านที่เป็นอิสระและแบบสุ่มได้หลายพันชุดสำหรับบัญชีที่แตกต่างกัน หลีกเลี่ยงผลกระทบลูกโซ่ที่เกิดจากการที่บัญชีเดียวถูกบุกรุก แม้ว่าแฮกเกอร์ระดับสูงอาจพยายามหลีกเลี่ยงการยืนยันหลายปัจจัย แต่สำหรับการกันการโจมตีแบบ SIM Swapping “การสลับซิม” หรือการโจมตีฟิชชิ่งอัตโนมัติที่ขับเคลื่อนด้วย AI การยืนยันตัวตนหลายปัจจัยยังคงเป็นวิธีที่มีประสิทธิภาพที่สุดในปัจจุบันสำหรับการสร้างสมดุลระหว่างความสะดวกและความปลอดภัย
ความเหนื่อยล้าทางจิตใจก็ทำให้เกิดช่องโหว่ได้
ในขณะที่เทคโนโลยีด้านความปลอดภัยทางไซเบอร์พัฒนาอย่างต่อเนื่อง ความประมาทโดยมนุษย์ที่เกิดจากความเหนื่อยล้าทางจิตใจก็ยังเป็นช่องโหว่ที่ใหญ่ที่สุด ในช่วงไม่กี่ปีที่ผ่านมา การโจมตีที่พบบ่อยคือ Push Fatigue Attack “การโจมตีด้วยความล้าในการแจ้งเตือน” ซึ่งใช้การส่งคำขอการยืนยันการเข้าสู่ระบบจำนวนมากอย่างต่อเนื่อง เพื่อพยายามให้ผู้เสียหายอยู่ในสภาวะที่ไม่อดทนหรือฟุ้งซ่าน แล้วจึงเผลอกด “ยินยอม” หรือ “อนุญาต” การโจมตีรูปแบบนี้ที่มุ่งเป้าไปที่พฤติกรรมของมนุษย์ แสดงให้เห็นว่าแค่การป้องกันด้วยเทคโนโลยีอย่างเดียวไม่เพียงพอ
เมื่อผู้ใช้จัดการความเสี่ยงทางดิจิทัล ควรมีสติรู้ตัวอย่างชัดเจน โดยสำหรับบัญชีที่มีความสำคัญสูง (เช่น ธนาคารออนไลน์หรืออีเมล) ต้องตั้งค่าความปลอดภัยระดับสูงสุด ไม่ใช่ตั้งบริการทั้งหมดให้ได้รับการป้องกันในระดับเดียวกัน ผู้เชี่ยวชาญเตือนว่า ระหว่างความปลอดภัยกับความสะดวกย่อมมีการแลกเปลี่ยนกัน ภัยคุกคามที่ใหญ่ที่สุดมักเกิดจากการมองข้ามการตั้งค่าอุปกรณ์หรือการพึ่งพาขั้นตอนการใช้งานมากเกินไป จุดอ่อนแบบมนุษย์เหล่านี้เป็นส่วนที่เครื่องมืออัตโนมัติมักจะเจาะทะลุได้ง่ายที่สุด
จะเลือกเครื่องมือจัดการรหัสผ่านอย่างไร
ปัจจุบันมีโซลูชันการจัดการรหัสผ่านหลายแบบในท้องตลาด รวมถึงแอปพลิเคชันแบบแยกต่างหาก (เช่น 1Password) และฟังก์ชันการจัดเก็บที่มีในเบราว์เซอร์ (เช่นเครื่องมือที่มีใน Google Chrome หรือ Firefox) แม้ว่าเครื่องมือจัดการในเบราว์เซอร์จะมีความสะดวกสูง แต่หากผู้อื่นได้สิทธิ์ควบคุมตัวเครื่องคอมพิวเตอร์จริง ก็มีความเสี่ยงที่รหัสผ่านจะรั่วไหล เครื่องมือจัดการรหัสผ่านระดับมืออาชีพไม่จำเป็นต้องให้ผู้ใช้จำมากนัก เพียงแค่ใช้รหัสผ่านหลักที่แข็งแกร่งหนึ่งชุด (Master Password) ที่เหลือกระบวนการเข้ารหัสที่ซับซ้อนต่างๆ จะให้ซอฟต์แวร์เป็นผู้จัดการ
นอกจากการเก็บรหัสผ่านแล้ว เครื่องมือเหล่านี้ยังมีข้อได้เปรียบอย่างชัดเจนในการป้องกันการฟิชชิ่ง (Phishing) เมื่อผู้ใช้เผลอพิมพ์เว็บไซต์หลอกหรือหน้าฟิชชิ่งผิด เครื่องมือจัดการรหัสผ่านจะปฏิเสธการใส่ข้อมูลรับรองโดยอัตโนมัติเนื่องจาก URL ไม่ตรงกัน ซึ่งช่วยป้องกันไม่ให้ผู้ใช้หลุดข้อมูลส่วนบุคคลเพราะมองเห็นไม่ออกว่าเป็น URL ที่ปลอมแปลง ผู้เชี่ยวชาญย้ำว่า ไม่ว่าคุณจะเลือกซอฟต์แวร์จัดการรหัสผ่านแบบใดที่มีชื่อเสียงดี ความปลอดภัยของมันย่อมสูงกว่าความเคยชินแบบเก่าที่ใช้รหัสผ่านง่ายๆ ชุดเดียวซ้ำในหลายเว็บไซต์เสมอ
บทความนี้ รับชมได้เลย ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ วง โหาวเจิ่ง ได้รับเชิญในรายการของ โบอุน เพื่อแชร์ว่า “แฮกเกอร์” จะขโมยรหัสผ่านของผู้ใช้ในอินเทอร์เน็ตได้อย่างไร! เผยแพร่ครั้งแรกใน ข่าว ABMedia。
