360 ล้านเหตุผลว่าทำไมเราควรทำลายรหัสผ่านทั้งหมดซะ!

บทความนี้เป็นการนำบทความ “360 million reasons to destroy all passwords” โดย Quincy Larson เจ้าของ Free Code Camp มาเล่าใหม่ อ่านต้นฉบับได้ที่นี่ครับ

https://medium.freecodecamp.com/360-million-reasons-to-destroy-all-passwords-9a100b2b5001

มีอะไรกับรหัสผ่าน?

เรื่องมีอยู่ว่า LinkedIn Tumblr และ Myspace เพิ่งโดนแฮกและปล่อยรหัสผ่านออกมา (ใครใช้บริการพวกนี้อยู่รีบไปเปลี่ยนรหัสเลยนะครับ) คุณ Quincy ก็เลยคิดว่ารหัสผ่านมันมีความปลอดภัยแค่ไหนกัน

ความปลอดภัยของรหัสผ่าน

ถ้าใครใช้ตัวจัดการรหัสผ่าน (เช่น LastPass) รหัสผ่านที่ได้จะเป็นข้อความสุ่ม ซึ่ง แน่นอน ปลอดภัยมาก ไม่น่ามีใครเดารหัสผ่านได้ แต่ถ้าไปใช้เครื่องอื่นหละ? เราจะต้องลง LastPass ที่เครื่องนั้น เพียงเพื่อจะใช้ LinkedIn เนี่ยนะ? และถ้าใครยังจำกันได้ เมื่อเร็วๆ นี้ LastPass ก็เพิ่งโดนแฮกไป ถ้าขนาด LastPass ยังโดนแฮกได้ แล้วบริการอื่นจะไปเหลือเหรอ

สำหรับคนที่ไม่ได้ใช้ตัวจัดการรหัสผ่าน เดี๋ยวนี้หลายๆ คน (รวมทั้งผมด้วย) เริ่มใช้เทคนิคการเอาคำ 4 คำหรือมากกว่ามาต่อกัน (เช่น CorrectHorseBatteryStaple) ซึ่งวิธีนี้ก็เหมือนจะดี แต่ว่ามันก็ไม่ได้จำง่ายมาก และเวลาพิมพ์มันก็ค่อนข้างยากอยู่

และหลายๆ ที่ก็บังคับให้ต้องตั้งรหัสผ่านที่มีตัวพิมพ์ใหญ่บ้าง ตัวเลขบ้าง อักษรพิเศษบ้าง ก็ชักจะจำยากแล้ว หลายคนคิดว่าการเขียนรหัสผ่านแล้วแปะข้างจอนั้นแย่แล้ว แต่ปรากฏว่าการใช้รหัสผ่านซ้ำกันหลายๆ เว็บนั้นแย่กว่า เพราะถ้าเว็บนึงโดนแฮก คนแฮกก็สามารถเอารหัสผ่านนี้ไปล็อกอินที่อื่นได้ แต่เนื่องจากการจำรหัสผ่านหลายๆ ที่เป็นเรื่องยาก ฉะนั้น คนมากกว่าครื่งจึงยังใช้รหัสผ่านซ้ำกันอยู่ (ผมก็ใช้ T_T)

เมื่อลืมรหัสผ่าน

ทีนี้ ถ้าสมมุติว่าเราลืมรหัสผ่านขึ้นมา เว็บส่วนมากจะมีปุ่มให้กดลืมรหัสผ่านได้ ซึ่งสิ่งที่เกิดขึ้นก็คือ

  1. กดปุ่ม “ลืมรหัสผ่าน” แล้วใส่อีเมล
  2. เว็บนั้นจะส่งอีเมลมาให้เรา ให้เรากดลิงค์ในอีเมล
  3. เว็บนั้นก็จะล็อกอินเราอัตโนมัติ และบังคับให้เราเปลี่ยนรหัสผ่าน

(ปล. แต่ถ้าใครรีเซ็ตรหัสผ่านแล้วเว็บนั้นส่งรหัสผ่านมาให้เราละก็ เลิกใช้ซะเถอะครับ เว็บแบบนั้นถ้าโดนแฮกหนึ่งทีนี่จบกันเลยนะครับ เพราะคนแฮกจะได้รหัสผ่านไปง่ายๆ เลย)

ซึ่งถ้าลองคิดดูให้ดี จริงๆ เราไม่ต้องจำรหัสผ่านก็ได้ ถ้าเรายังเข้าอีเมลได้ เราก็รีเซ็ตรหัสผ่านได้เรื่อยๆ นั่นก็หมายความว่าทุกเว็บรองรับ “Password-less Login” หรือการล็อกอินโดยไม่ใช้รหัสผ่านอยู่แล้ว แค่ไม่มีใครเรียกอย่างนั้นเท่านั้นเอง

แล้วจะมีรหัสผ่านไปทำไม? (วะ!)

งั้นเว็บต่างๆ ก็ไม่ต้องใช้รหัสผ่านเลยก็ได้ ก็แค่ใช้วิธีเดียวกันกับการรีเซ็ตรหัสผ่านในการล็อกอิน แทนที่จะต้องคอยสร้างรหัสผ่านใหม่ไปเรื่อย ก็แค่

  1. เวลาจะล็อกอิน ก็ใส่อีเมล
  2. เว็บนั้นจะส่งอีเมลมาให้เรา ให้เรากดลิงค์ในอีเมล
  3. แล้วเราก็ล็อกอิน จบ

ปลอดภัยเท่ากับการรีเซ็ตรหัสผ่าน แต่ไม่ต้องมานั่งจำรหัสผ่านอยู่ แล้วเวลาเว็บโดนแฮ็กก็ไม่ต้องรีบไปเปลี่ยนรหัสผ่านอีก

บางคนอาจจะเถียงว่าถ้าใครเข้าอีเมลเราได้ เค้าก็ล็อกอินเป็นเราได้เลยสิ ซึ่งก็ถูก แต่ว่าก่อนหน้านี้มันก็เป็นแบบนี้อยู่แล้ว และถ้าเค้าเข้าอีเมลเราได้ เค้าก็รีเซ็ตรหัสผ่านและล็อกอินเข้าเว็บอื่นได้อยู่ดี ดังนั้น อีเมลอาจจะเป็นสิ่งเดียวที่ยังต้องใช้รหัสผ่านอยู่ (และอาจจะรวมถึงเทคโนโลยีอื่นที่ใช้ยืนยันตัวตนด้วย อันที่จริง ใครที่ยังไม่ได้ทำ 2 – Factor authentication รีบไปทำนะครับ ทั้ง Hotmail Gmail Yahoo! ต่างก็รองรับกันอยู่แล้ว)

ทำไมยังใช้รหัสผ่าน?

ถามว่าทำไมเรายังใช้รหัสผ่านกันอยู่? อาจจะเพราะว่าเราใช้ๆ กันมาโดยตลอด หรือเพราะมันทำให้เรารู้สึกว่าปลอดภัย บางคนคิดว่าใช้รหัสผ่านเร็วกว่าเปิดอีเมลแล้วคลิกลิ้งค์ ซึ่งจริงๆ แล้วไม่ใช่เลย เพราะถ้าเราต้องรีเซ็ตรหัสผ่าน เวลาที่ใช้รีเซ็ตรหัสผ่านอาจจะคิดเป็น 10-20 เท่าของการล็อกอินแบบนี้เลยก็เป็นได้

บางเว็บก็ไม่เคยที่จะล็อกเอาต์ผู้ใช้เลย เพราะเค้ารู้ว่าเดี๋ยวผู้ใช้ก็ต้องลืมรหัสผ่าน แล้วเค้าก็จะไม่ล็อกอินกลับมาอีก ถามจริงๆ ครั้งสุดท้ายที่คุณใส่รหัสผ่าน Facebook คือเมื่อไหร่? (ลองคอมเมนต์กันมาด้านล่างนะครับ)

สัปดาห์นี้ Microsoft ประกาศว่าจะไม่ให้ผู้ใช้ตั้งรหัสผ่านที่เดาง่ายอีกแล้ว ทุกวันนี้ รหัสผ่านที่ใช้บ่อยที่สุดยังคงเป็น “123456” และ “password” โดยมี “starwars” และ “ncc1701” ตามมาไม่ไกล

เส้นทางสู่เว็บที่ไร้รหัสผ่าน

วันนี้ Free Code Camp เริ่มหันมาใช้แนวทางนี้แล้ว อันที่จริง Free Code Camp ก็ไม่ใช่เว็บแรกที่ใช้แนวทางนี้ เพราะเว็บ Medium ก็เริ่มใช้แนวทางนี้แล้วเหมือนกัน

ดังนั้น นักพัฒนาครับ เลิกใช้รหัสผ่านกันเถอะ

เว็บจะน่ารำคาญน้อยลง และปลอดภัยมากขึ้น

เริ่มตั้งแต่วันนี้นะครับ