เวลาที่องค์กรตั้งบริการออนไลน์สักอย่างไม่ว่าจะเพื่อให้บริการภายในกันเองหรือให้บริการลูกค้าภายนอก ขั้นตอนหนึ่งที่ต้องทำเสมอคือการยืนยันตัวตนผู้ใช้ หรือ authentication ซึ่งกระบวนการปกติก็คงเป็นการล็อกอินด้วยรหัสผ่าน ที่หลายองค์กรก็มีเงื่อนไขความซับซ้อนรหัสผ่านไม่เท่ากัน ไม่ว่าจะเป็นการกำหนดความยาว, บังคับใช้ตัวเลข หรืออักษรพิเศษ
แต่ความเสี่ยงใหม่ของการใช้รหัสผ่านคือผู้ใช้จำนวนมากเลือกที่จะล็อกอินบริการต่างๆ ไม่ว่าจะนอกหรือในองค์การด้วยรหัสผ่านซ้ำๆ กัน เพื่อความสะดวก ทำให้หากผู้ใช้นำรหัสไปใช้งานเว็บที่รักษาความปลอดภัยไม่ดีพอ เมื่อถูกแฮกขึ้นมาแฮกเกอร์ได้รหัสผ่าน สิ่งที่แฮกเกอร์ทำแทนที่จะนำรหัสผ่านไปใช้ในเว็บที่ถูกแฮกเท่านั้น ก็นำไปทดลองล็อกอินที่อื่นๆ ไปด้วย หากผู้ใช้ใช้รหัสซ้ำกัน ไม่ว่ารหัสจะซับซ้อนแค่ไหนแฮกเกอร์ก็ล็อกอินเข้ามาแทนโดยง่าย
มาตรฐานความปลอดภัยสมัยใหม่เริ่มตระหนักถึงความเสี่ยงนี้ และแนะนำให้องค์กรตรวจสอบฐานข้อมูลรหัสผ่านรั่วไหลตลอดเวลา องค์กรอาจะต้องเทียบว่าผู้ใช้ได้ใช้งานรหัสผ่านที่เคยรั่วที่อื่นมาแล้วหรือไม่ หากพบรหัสผ่านในฐานข้อมูลก็อาจจะต้องแจ้งให้เปลี่ยนรหัสแม้จะซับซ้อนพอสมควรแล้วก็ตามที
– – –
โดยคุณ วสันต์ ลิ่วลมไพศาล
Chief Technology Officer, MFEC
