การจัดการรหัสผ่านออนไลน์

ผู้ใช้จำนวนมากมักรู้สึกว่าความปลอดภัยทางออนไลน์เป็นเรื่องวุ่นวาย Mark Risher และ Stephan Micklitz แห่ง Google จะมาพูดคุยถึงการพัฒนามาตรการรักษาความปลอดภัยที่ตอบรับความรู้สึกเช่นนี้ของผู้ใช้

คุณ Risher คุณเป็นผู้อำนวยการฝ่ายการจัดการผลิตภัณฑ์ที่ Google ซึ่งดูแลเรื่องความปลอดภัยบนอินเทอร์เน็ต แล้วคุณเคยตกเป็นเหยื่อกลโกงทางออนไลน์ไหม

Mark Risher: ผมนึกตัวอย่างที่ชัดเจนไม่ออกตอนนี้ แต่คิดว่าเคยนะ ผมก็เคยพลาดบ้างเวลาท่องเว็บเหมือนคนอื่นๆ อย่างเช่น ผมเพิ่งใส่รหัสผ่าน Google ของผมในเว็บไซต์อื่นไป โชคดีที่ติดตั้งปลั๊กอิน Password Alert ใน Chrome ไว้ ซึ่งชี้จุดผิดพลาดให้ผมได้ แล้วผมก็รีบเปลี่ยนรหัสผ่านทันที

Stephan Micklitz ผู้อำนวยการฝ่ายวิศวกรรมของทีมความเป็นส่วนตัวและความปลอดภัยของ Google: มนุษย์ย่อมทำผิดพลาด พอเราจำรหัสผ่านได้แล้ว เราก็อาจเผลอพิมพ์โดยไม่ใส่ใจมากพอว่ากำลังพิมพ์ใส่ในเว็บไหน

Risher: เราอยากยกเลิกระบบรหัสผ่านมาก แต่มันไม่ง่ายเลย

"หลายๆ มาตรการความปลอดภัยทำงานอยู่เบื้องหลัง"

Mark Risher

รหัสผ่านไม่ดีตรงไหนหรือครับ

Risher: มีข้อด้อยเยอะเลย เช่น จำยากแต่ถูกขโมยได้ง่าย แล้วการจัดการรหัสผ่านก็น่าเบื่อมาก ผู้ใช้หลายคนเชื่อว่ารหัสผ่านจะต้องยาวและซับซ้อนให้มากที่สุด แต่จริงๆ แล้วนั่นเป็นการเพิ่มความเสี่ยง รหัสผ่านที่ซับซ้อนจะทำให้เราอยากนำมาใช้ซ้ำเกิน 1 บัญชี จึงทำให้บัญชีเหล่านั้นยิ่งเสี่ยงมากขึ้น

Micklitz: ยิ่งใส่รหัสผ่านน้อยครั้งเท่าไรก็ยิ่งดี คุณจึงไม่ควรลงชื่อเข้าใช้และออกจากระบบบัญชีบ่อยๆ เพราะพอนานเข้า ผู้ใช้จะไม่ใส่ใจว่าตัวเองกำลังอยู่ที่หน้าเว็บอะไร ซึ่งทำให้รหัสผ่านถูกขโมยได้ง่ายขึ้น ดังนั้น เราจึงแนะนำให้ผู้ใช้เข้าสู่ระบบค้างไว้

เว็บไซต์ธนาคารของผมจะนำผมออกจากระบบโดยอัตโนมัติถ้าผมนิ่งไปสัก 2-3 นาที

Micklitz: แย่หน่อยที่หลายบริษัทยังทำตามกฎที่ล้าสมัยอยู่ การแนะนำให้ออกจากระบบทันทีนั้นมาจากสมัยที่ผู้คนส่วนใหญ่ออนไลน์ในร้านอินเทอร์เน็ตหรือใช้คอมพิวเตอร์ร่วมกับคนอื่น งานวิจัยของเราพบว่า ยิ่งใส่รหัสผ่านบ่อยครั้งเท่าไร ก็ยิ่งมีโอกาสตกเป็นเหยื่อของการโจมตีทางไซเบอร์มากขึ้นเท่านั้น การใช้ฟังก์ชันล็อกหน้าจอในโทรศัพท์มือถือหรือคอมพิวเตอร์ และการใช้รหัสผ่านที่รัดกุม จึงเป็นเรื่องปลอดภัยกว่า

Risher: ถูกต้องครับ โชคไม่ดีที่ยังมีคำแนะนำผิดๆ หรือใช้ไม่ได้จริงแพร่หลายไปทั่วอยู่ ทำให้ผู้ใช้หลายคนสับสน ในกรณีที่แย่ที่สุด ผู้คนจะเกิดความรู้สึกไม่มั่นคงจนล้มเลิกไปง่ายๆ ประมาณว่า "ถ้าการปกป้องตัวเองมันยากนัก ก็พอแค่นี้แล้วกัน" ซึ่งก็เหมือนกับเปิดประตูหน้าบ้านทิ้งไว้เพราะรู้ว่ามีโจรอยู่แถวนั้น

Mark Risher
USB Sicherheitsschlüssel

Mark Risher เป็นผู้อำนวยการฝ่ายจัดการผลิตภัณฑ์เพื่อความปลอดภัยและความเป็นส่วนตัวที่ Google ในปี 2010 เขาก่อตั้ง Impermium สตาร์ทอัพด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ซึ่ง Google เข้าซื้อในปี 2014 ตั้งแต่นั้นมา Risher ก็ทำงานที่สำนักงานใหญ่ของบริษัทในเมาน์เทนวิว แคลิฟอร์เนีย ขวา: คีย์ความปลอดภัยที่ใช้ในโปรแกรมการปกป้องขั้นสูง พร้อมจำหน่ายในราคาไม่แพง และใช้ได้กับเว็บไซต์หลายๆ แบบ

Google จะรักษาความปลอดภัยของผู้ใช้ได้อย่างไรถ้าไม่ใช้รหัสผ่านอีกต่อไป

Risher: เรามีมาตรการความปลอดภัยเพิ่มเติมมากมายคอยทำงานเบื้องหลังอยู่แล้ว แฮ็กเกอร์อาจรู้รหัสผ่านและเบอร์มือถือของคุณ แต่เราก็ยังรับประกันความปลอดภัยให้บัญชี Google ของคุณได้ 99.9 เปอร์เซ็นต์ เช่น เราจะตรวจสอบว่าคนที่เข้าสู่ระบบนั้นใช้อุปกรณ์อะไรหรือดำเนินการจากประเทศไหน ถ้ามีคนพยายามจะล็อกอินเข้าบัญชีของคุณหลายครั้งติดๆ กันด้วยรหัสผ่านที่ไม่ถูกต้อง สัญญาณเตือนในระบบความปลอดภัยของเราจะเริ่มทำงาน

Micklitz: แล้วเรายังพัฒนาการตรวจสอบความปลอดภัยด้วย ซึ่งช่วยให้ผู้ใช้เข้าไปตั้งค่าความปลอดภัยส่วนบุคคลในบัญชี Google ได้แบบทีละขั้นตอน และด้วยโปรแกรมการปกป้องขั้นสูง เราก็ก้าวล้ำขึ้นไปอีก

โปรแกรมนี้ได้ไอเดียมาจากไหน

Micklitz: เริ่มแรกเลย เราพัฒนาเป็นโปรแกรมสำหรับบุคคล เช่น นักการเมือง, CEO หรือนักข่าว ที่อาจตกเป็นเป้าหมายของอาชญากรได้ง่าย แต่ตอนนี้ทุกคนที่ต้องการการปกป้องบนโลกออนไลน์เป็นพิเศษก็สามารถใช้บริการได้แล้ว เฉพาะคนที่มี USB หรือดองเกิลบลูทูธพิเศษเท่านั้นจะมีสิทธิ์เข้าถึงบัญชี Google ที่ได้รับการปกป้อง

Risher: เรารู้จากประสบการณ์ว่าระบบนี้มีประสิทธิภาพแค่ไหน พนักงาน Google ทุกคนล้วนใช้คีย์ความปลอดภัยเพื่อรักษาความปลอดภัยให้บัญชีบริษัทของตัวเอง ตั้งแต่นำมาตรการความปลอดภัยนี้มาใช้ เราก็ไม่เคยพบกรณีฟิชชิงที่เกิดจากความผิดพลาดในการยืนยันรหัสผ่านเลยแม้แต่ครั้งเดียว โทเค็นนี้ปรับปรุงการรักษาความปลอดภัยของบัญชี Google ให้รัดกุมขึ้นมาก เพราะต่อให้ผู้โจมตีรู้รหัสผ่านก็จะเข้าถึงบัญชีไม่ได้ถ้าไม่มีโทเค็น โดยทั่วไปแล้ว บัญชีออนไลน์จะถูกแฮ็กจากที่ไหนก็ได้บนโลก แต่ไม่ใช่สำหรับบัญชีที่ได้รับการป้องกันด้วยโทเค็นความปลอดภัยที่จับต้องได้

Micklitz: แล้วโทเค็นความปลอดภัยเหล่านี้ก็นำมาใช้กับเว็บไซต์ได้มากมาย ไม่ใช่เฉพาะโปรแกรมการปกป้องขั้นสูงของ Google เท่านั้น คุณสามารถซื้อจากเราหรือผู้ให้บริการรายอื่นก็ได้ในราคาที่ไม่แพงเลย ดูรายละเอียดทั้งหมดได้ที่ g.co/advancedprotection

"บางทีคนเราก็ประเมินความเสี่ยงบนอินเทอร์เน็ตต่ำเกินไป"

Stephan Micklitz

คุณคิดว่าสิ่งอันตรายที่สุดที่แอบแฝงอยู่ในอินเทอร์เน็ตทุกวันนี้คืออะไร

Risher: ปัญหาหนึ่งคือการมีรายชื่อผู้ใช้และรหัสผ่านมากมายอยู่ปรากฏอยู่บนอินเทอร์เน็ต เพื่อนร่วมงานของเรา Tadek Pietraszek และทีมของเขาใช้เวลา 6 สัปดาห์ค้นหาทางออนไลน์ แล้วก็พบชื่อผู้ใช้ที่เข้าคู่กับรหัสผ่านรวมเป็นจำนวนทั้งสิ้น 3.5 พันล้านคู่ ซึ่งไม่ใช่ข้อมูลจากการแฮ็กบัญชี Google แต่เป็นข้อมูลที่ถูกขโมยมาจากผู้ให้บริการรายอื่น อย่างไรก็ตาม เนื่องจากผู้ใช้หลายคนใช้รหัสผ่านเดียวกันสำหรับหลายบัญชี รายชื่อเหล่านี้จึงเป็นปัญหาสำหรับเราด้วย

Micklitz: ผมมองว่าฟิชชิงแบบพุ่งเป้าหมายเป็นปัญหาใหญ่ คือเมื่อผู้โจมตีแต่งข้อความให้เข้ากับเหยื่อได้อย่างแนบเนียน เหยื่อก็จะจับพิรุธถึงเจตนาฉ้อโกงได้ยาก เราเห็นแฮ็กเกอร์ใช้วิธีนี้มากขึ้นเรื่อยๆ แล้วก็ทำสำเร็จด้วย

Risher: ผมเห็นด้วยกับ Stephan นอกจากนี้ ฟิชชิงแบบพุ่งเป้าหมายไม่ได้ใช้เวลามากมายอย่างที่คิด การปรับอีเมลสแปมให้เข้ากับเหยื่อใช้เวลาแค่ไม่กี่นาทีเท่านั้น แฮ็กเกอร์สามารถใช้ข้อมูลที่ผู้ใช้เผยแพร่เกี่ยวกับตัวเองไว้ทางออนไลน์ได้ ตรงนี้เป็นปัญหาของสกุลเงินดิจิทัล ยกตัวอย่างเช่น คนที่เปิดเผยว่าเป็นเจ้าของบิตคอยน์อยู่ 10,000 เหรียญ ก็ไม่ควรแปลกใจถ้าข้อมูลนี้จะดึงดูดความสนใจของเหล่าอาชญากรไซเบอร์

Micklitz: ทำแบบนั้นก็เหมือนถือโทรโข่งยืนอยู่กลางตลาดแล้วป่าวประกาศยอดเงินในบัญชีของตัวเอง ในโลกความเป็นจริงใครจะไปทำอย่างนั้น ไม่มีหรอก แต่บางทีคนเราก็ประเมินความเสี่ยงบนอินเทอร์เน็ตต่ำเกินไป

แล้วอีเมลสแปมทั่วไปยังเป็นปัญหาอยู่ไหม

Risher: การเชื่อมโยงอุปกรณ์และบริการเข้าด้วยกันเป็นสิ่งท้าทายสำคัญสำหรับเรา ผู้คนไม่เพียงใช้แล็ปท็อปกับสมาร์ทโฟนเพื่อออนไลน์ แต่ยังใช้ทีวี สมาร์ทวอทช์ และลำโพงอัจฉริยะด้วย หลายแอปก็ทำงานบนอุปกรณ์เหล่านี้ได้หมด ทำให้แฮ็กเกอร์มีจุดโจมตีให้เลือกหลายจุด และเนื่องจากมีอุปกรณ์หลายเครื่องเชื่อมต่ออยู่ แฮ็กเกอร์ก็สามารถเจาะเข้าอุปกรณ์เครื่องเดียวแล้วเข้าถึงข้อมูลที่เก็บไว้ในเครื่องอื่นได้ ในตอนนี้เราจึงต้องแก้ปัญหาที่ว่า เราจะรับประกันความปลอดภัยของผู้ใช้ได้อย่างไรในขณะที่พฤติกรรมการใช้งานหลากหลายขึ้น

Micklitz: เริ่มจากเราถามตัวเองก่อนว่า ข้อมูลไหนที่จำเป็นสำหรับแต่ละบริการ และข้อมูลไหนที่ต้องแลกเปลี่ยนระหว่างบริการต่างๆ

คุณใช้ปัญญาประดิษฐ์ (AI) เพื่อช่วยปกป้องผู้ใช้อย่างไร

Micklitz: Google ใช้ AI มาสักระยะหนึ่งแล้ว

Risher: เป็นเทคโนโลยีที่ใส่ไว้ในบริการอีเมล Gmail ของเราตั้งแต่แรกเริ่ม Google ยังพัฒนาไลบรารีแมชชีนเลิร์นนิงของตัวเองด้วยที่ชื่อว่า TensorFlow ซึ่งอำนวยความสะดวกให้การทำงานของโปรแกรมเมอร์ที่เกี่ยวข้องกับแมชชีนเลิร์นนิง Gmail จะได้ใช้ประโยชน์จาก TensorFlow เป็นพิเศษเนื่องจากเป็นบริการการจดจำรูปแบบทั่วไปที่มีความสามารถ

ช่วยอธิบายหน่อยได้ไหมว่าการจดจำรูปแบบทำงานอย่างไร

Risher: สมมติว่าเราสังเกตเห็นกิจกรรมที่น่าสงสัยจากผู้ใช้หลายรายซึ่งเราจัดประเภทไม่ได้ แมชชีนเลิร์นนิงที่เรียนรู้ด้วยตัวเองจะสามารถเปรียบเทียบกิจกรรมเหล่านี้ได้ และในสถานการณ์ที่ดีที่สุด ก็จะตรวจพบรูปแบบการฉ้อโกงใหม่ๆ ก่อนที่จะเริ่มแพร่กระจายบนโลกออนไลน์เสียอีก

Micklitz: แต่ก็มีข้อจำกัดนะ คือตัวแมชชีนเลิร์นนิงจะฉลาดได้ไม่มากไปกว่าคนที่ใช้มันอยู่เท่านั้น ถ้าผมป้อนข้อมูลผิดๆ หรือข้อมูลด้านเดียว รูปแบบที่เครื่องจดจำก็จะเป็นข้อมูลผิดๆ หรือข้อมูลด้านเดียวเช่นกัน ไม่ว่าใครจะโฆษณาชวนเชื่อเกี่ยวกับ AI อย่างไร ประสิทธิภาพก็จะขึ้นอยู่กับคนที่ใช้เสมอ มันขึ้นอยู่กับว่าผู้ใช้จะฝึกเครื่องด้วยข้อมูลคุณภาพสูงและตรวจสอบผลลัพธ์ภายหลังหรือไม่

Risher: ครั้งหนึ่งตอนผมทำงานให้ผู้ให้บริการอีเมลรายอื่น เราได้รับข้อความจากพนักงานธนาคารในเมืองลากอส ประเทศไนจีเรีย ตอนนั้นอีเมลฉ้อโกงมีมากมายและกำลังแพร่หลาย ซึ่งก็มักมาจากไนจีเรียนั่นละ พนักงานคนนั้นบ่นว่าอีเมลที่เขาส่งได้เข้าไปอยู่ในโฟลเดอร์จดหมายขยะของผู้รับตลอดทั้งที่เขาทำงานให้ธนาคารที่มีชื่อเสียง นี่เป็นกรณีที่พบบ่อยของการสรุปข้อมูลผิดในการจดจำรูปแบบเนื่องจากข้อมูลไม่เพียงพอ ซึ่งเราก็ช่วยแก้ไขปัญหานี้ได้ด้วยการเปลี่ยนอัลกอริทึม

ภาพถ่าย: Conny Mirbach

ความก้าวหน้าด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

ดูว่าเราช่วยให้ผู้คนออนไลน์อย่างปลอดภัยเป็นจำนวนมากกว่าใครๆ ในโลกได้อย่างไร

ดูข้อมูลเพิ่มเติม