เชื่อไหมครับว่า “พาสเวิร์ด” ที่เราคุ้นเคยกันมาแต่ไหนแต่ไร ในฐานะเป็นเครื่องมือในการบ่งบอก “ตัวตน” ที่แท้จริงของเราในโลกออนไลน์ และคอมพิวเตอร์นั้น ยิ่งนับวันยิ่งไร้ประโยชน์ในแง่ของผู้เชี่ยวชาญด้านความปลอดภัยในระบบคอมพิวเตอร์ มากขึ้นทุกที
ก็บอกยากเหมือนกันว่า สาเหตุจริงๆ เกิดจากตัวเราหรือเกิดจากตัวพาสเวิร์ดกันแน่
ที่แน่ๆ ก็คือ คนทั่วไปมักคิดพาสเวิร์ดในลักษณะที่จำง่าย และใช้กันซ้ำๆ ในหลายๆ บัญชี สุดท้ายก็กลายเป็นเหยื่อของอาชญากรคอมพิวเตอร์ไป
แต่ถ้าจะคิดให้ยาก-ยาวเข้าไว้ และเปลี่ยนบ่อยๆ ซึ่งเป็นคำแนะนำของผู้เชี่ยวชาญ ก็จะเกิดปัญหา
จำไม่ได้ ในที่สุดก็ต้องผ่านกระบวนการระบุตัวบุคคล กลายเป็นปัญหาทั้งเจ้าของพาสเวิร์ดและบริษัทผู้ให้บริการ
พาสเวิร์ดที่ง่ายๆ เดาได้ไม่ยาก มักตกเป็นเหยื่อของคนร้ายที่ใช้วิธีการเก่าแก่ ซึ่งเรียกกันว่า “พาสเวิร์ด สเปรอิง” คือการสุ่มด้วยตัวอย่างพาสเวิร์ดง่ายๆ (อย่างเช่น 12345678 เป็นต้น) แล้วใช้พาสเวิร์ดที่พบได้ “ล็อกอิน” เข้าไปในระบบ จัดการทั้งคัดลอกข้อมูลหรือขโมยอะไรต่อมิอะไรต่อ
หรือบางคนคิดว่าเท่ ใครๆ ก็คิดไม่ถึง เช่นใช้คำว่า พาสเวิร์ด เป็นพาสเวิร์ด…เป็นอันเสร็จทุกราย
เป็นคนธรรมดาอย่างเราๆ ท่านๆ ก็อาจเสียหายนิดหน่อย แต่ถ้าเป็นบริษัทขนาดใหญ่ก็ยิ่งเสียหายหนักหนาสาหัส ชื่อเสียงพาลเสียหายเอาได้
ยิ่งเป็นบริษัทใหญ่เท่าใด ยิ่งเกี่ยวข้องกับระบบพื้นฐานคอมพิวเตอร์มากเท่าใด ยิ่งตกเป็นเป้าอาชญากรพวกนี้มากขึ้นเท่านั้น
ตัวอย่างเช่นบริษัทที่ตกเป็นเป้าโจมตีทางไซเบอร์มากที่สุดในโลกบริษัทหนึ่งก็คือ ไมโครซอฟท์
เห็นตัวเลขที่ไมโครซอฟท์ถูกอาชญากรไซเบอร์โจมตีด้วยสารพัดวิธีในแต่ละปีแล้วน่าตกใจ เฉลี่ยแล้วปีละ 6.5 ล้านล้านครั้งครับ กูเกิล หรือผู้ผลิตอุปกรณ์เครือข่ายอย่าง ซิสโก ก็คงไม่หนีกันเท่าใดนัก เป็น “ล้านล้าน” ครั้งเหมือนกันแน่นอน
มีทั้งที่เป็นสแปม, สแคม, แล้วก็ฟิชชิ่ง เหมือนๆ กับที่เราๆ ทั้งหลายเคยโดนกันนั่นแหละ เป้าหมายเบื้องต้นก็คือ ต้องการพาสเวิร์ดของพนักงานสักคน สำหรับล็อกอินเข้าไปในระบบ ที่จะเป็นขุมทองของคนร้ายไป
วิธีการเจาะระบบเบื้องต้นง่ายๆ เช่นนี้แหละครับที่นำไปสู่การแฮกแบบซับซ้อน หรือมัลติ-เฟซเซทด์
แฮกกิง ที่จะเกิดขึ้นตามมา
ที่น่าสนใจก็คือ ไมโครซอฟท์เป็นบริษัทที่ “ไม่ใช้พาสเวิร์ด” มานานแล้ว พนักงานทุกคนที่นั่น ล็อกอิน เข้าระบบได้โดยไม่ต้องใช้พาสเวิร์ดอีกต่อไป เพราะไม่เพียงล้าสมัย ยังไม่มีประโยชน์ในเชิงป้องกันอย่างที่ว่ามานั่นแหละ
“พาสเวิร์ด สเปรย์” จะทำอะไรไม่ได้ ตราบเท่าที่เราไม่ใช้พาสเวิร์ด ที่ไมโครซอฟท์ หันไปใช้ “เฟซรีค็อกนิชั่น” กับ “ลายนิ้วมือ” แทนพาสเวิร์ดกันมานานแล้ว
มีอีกบางบริษัทที่ดำเนินการไปตามแนวทางเดียวกันนี้ ตัวอย่างเช่นกูเกิล ก็พยายามหาทางเลือกอย่างอื่นที่ปลอดภัยกว่ามาทดแทนหรือมาใช้ควบคู่กับพาสเวิร์ด เช่นการใช้ระบบยืนยันตัวตนสองชั้นผ่าน
ยูเอสบี หรือที่เรียกกันง่ายๆ ว่า “ยูเอสบีคีย์”
เมื่อปีที่ผ่านมา กูเกิลบอกว่า วิธีนี้ลดการฟิชชิ่งต่อคนของตนลงได้อย่างเด็ดขาดเลยทีเดียว
ซิสโก ซื้อกิจการของบริษัทสตาร์ตอัพ ดูโอ ไปเมื่อปีที่แล้วเพราะเล็งเห็นความสำคัญของวิธีการ
ก้าวข้ามการใช้พาสเวิร์ดเช่นเดียวกัน เพราะดูโอเป็นสตาร์ตอัพที่คิดค้นเทคโนโลยีการยืนยันตัวตนแบบควบคู่ (ดูอัล ออเทนติฟิเคชั่น) นั่นเอง
คงอีกไม่นานหรอกครับที่ความสำเร็จในระดับองค์กรเหล่านี้จะแพร่หลายออกมาสู่ผู้ใช้คอมพิวเตอร์ทั่วไป เมื่อถึงตอนนั้นพาสเวิร์ดก็คงหายสาบสูญไปจริงๆ จังๆ หรือไม่ก็ถูกลดความสำคัญในฐานะเป็นเครื่องมือยืนยันตัวตนลงไปมากแล้ว จนอาจไม่ใช่เรื่องจำเป็นอีกต่อไป
แล้วก็น่าจะทำให้ผู้อ่านหลายคงโล่งใจไม่น้อยทีเดียว
