Clear
Lead Graphic Papers

ป้องกันบัญชีผู้ใช้ Gmail / Hotmail จากการถูกแฮ็กด้วยวิธีง่ายๆ

ผู้เขียน: ณราพร ดวงศรี
ผู้ให้คำแนะนำ: เจษฎา ช้างสีสังข์
วันที่เผยแพร่: 1 มิ.ย. 2555
ปรับปรุงล่าสุดวันที่: 1 มิ.ย. 2555

Share on Facebook Share on Twitter Share on Google+

อีเมลนับเป็นสิ่งจำเป็นที่เข้ามามีบทบาทและมีความสำคัญต่อชีวิตประจำวันของเราเป็นอย่างมาก เพราะเป็นวิธีการติดต่อสื่อสารที่รวดเร็วและแทบจะไม่มีต้นทุน หลายคนเก็บข้อมูลสำคัญไว้ในอีเมลหรือใช้อีเมลในการติดต่อทางด้านธุรกิจ ซึ่งหากผู้ใช้เข้าใช้งานอีเมลผ่านการเชื่อมต่อที่ไม่มีความมั่นคงปลอดภัย ก็อาจทำให้บัญชีผู้ใช้นั้นถูกโจรกรรมได้โดยง่าย

Gmail และ Hotmail เป็นบริการฟรีอีเมลที่มีผู้นิยมใช้กันมากเป็นอันดับต้นๆ (ในปี ค.ศ. 2011 ทั่วโลกมีจำนวนของผู้ใช้งาน Hotmail ประมาณ 350 ล้านคน และ Gmail ประมาณ 260 ล้านคน) [1] ผู้เขียนจึงได้เลือกบริการอีเมลเหล่านี้มาแนะนำเพื่อให้ผู้อ่านได้ปฏิบัติ ในปัจจุบันนั้น ถึงแม้ว่าผู้ให้บริการจะมีระบบที่มีความมั่นคงปลอดภัยอยู่แล้ว แต่ตัวผู้ใช้เองก็ควรที่จะเรียนรู้ข้อปฏิบัติเบื้องต้นรวมถึงวิธีการป้องกันแบบต่างๆ เพื่อป้องกันปัญหาที่อาจจะเกิดขึ้น ด้วยวิธีการต่างๆ ดังนี้

1. การตั้งค่า Gmail ให้มีการยืนยันแบบ 2 ขั้นตอน (2-step verification)

เป็นการใช้ Two Factor Authentication [2] ซึ่งเป็นวิธีการพิสูจน์ตัวตนที่ต้องใช้ข้อมูล 2 ส่วนร่วมกัน เพื่อเพิ่มความมั่นคงปลอดภัยให้กับการเข้าสู่ระบบหรือบริการ โดยหลักๆ แล้วจะใช้ข้อมูลจาก 2 ใน 3 ส่วนนี้คือ

  1. สิ่งที่รู้ (Something you know) เช่น รหัสผ่าน
  2. สิ่งที่มี (Something you have) เช่น โทรศัพท์มือถือ, รหัสบัตรเติมเงิน
  3. สิ่งที่เป็น (Something you are) เช่น ลายนิ้วมือ, ม่านตา

การยืนยันอีเมลแบบ 2 ขั้นตอน [3] [4] ช่วยลดโอกาสในการถูกขโมยข้อมูลส่วนตัวในบัญชีอีเมลของเราลงได้ เพราะต่อให้ใส่ชื่อผู้ใช้และรหัสผ่านถูกต้องแล้ว ก็ยังไม่สามารถเข้าถึงบัญชีอีเมลได้ จนกว่าจะใส่รหัส Pin 6 หลักที่ได้รับจาก SMS ผ่านโทรศัพท์มือถือที่ลงทะเบียนไว้กับ Google เสียก่อน การตั้งค่าการยืนยันยืนยันด้วยวิธีนี้สามารถทำได้โดยไปที่ การตั้งค่าบัญชี และเลือก 2-step verification ตามรูปที่ 1 แล้วทำตามขั้นตอนของเว็บไซต์

Pp2012no0010-1.png
รูปที่ 1 แสดงการตั้งค่าการยืนยันแบบ 2 ขั้นตอน
ที่มา http://googleblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html


ในการใช้งาน หากเราตั้งค่าการยืนยันแบบ 2 ขั้นตอนแล้วนั้น เมื่อเราเข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่านที่ถูกต้อง จะมี SMS แจ้งรหัส Pin 6 หลัก เพื่อให้เรานำมาป้อนเข้าระบบก่อนจึงจะสามารถเข้าใช้งานอีเมลได้ ตามรูปที่ 2 และสามารถเลือกบันทึกรหัสผ่านไว้ในเครื่องได้ 30 วัน ส่วน Hotmail นั้นในปัจจุบันนี้ยังไม่มีฟังก์ชันที่รองรับ Two Factor Authentication

Pp2012no0010-2.png
รูปที่ 2 แสดงการเข้าใช้งานเมื่อมีการตั้งค่าการยืนยันแบบ 2 ขั้นตอน
ที่มา http://googleblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html

นอกจากการรับรหัส Pin 6 หลักผ่าน SMS แล้ว ยังสามารถใช้วิธีการรับรหัสด้วยการให้ Google โทรศัพท์เข้ามาแจ้งหมายเลข Pin หรือผู้ที่ใช้ Smart Phone สามารถติดตั้งแอปพลิเคชั่นที่ชื่อ Google Authenticator เพื่อสร้างรหัส Pin สำหรับเข้าใช้งาน Gmail ได้ด้วย

2. การใช้งาน Hotmail แบบ HTTPS

ปัจจุบัน ค่าเริ่มต้นในการใช้งาน Gmail จะเป็นการใช้งานผ่านโพรโทคอล HTTPS แต่สำหรับ Hotmail จะใช้งานผ่านโพรโทคอล HTTP ซึ่งไม่มีการเข้ารหัสลับข้อมูล ดังนั้นการใช้งานให้มีความมั่นคงปลอดภัยควรตั้งค่าให้ใช้งานผ่านโพรโทคอล HTTPS ซึ่งเป็นการเข้ารหัสลับข้อมูลด้วยโพรโทคอล TLS/SSL (Transport Layer Security/Secure Sockets Layer) การตั้งค่าการเชื่อมต่อแบบ HTTPS ทำได้โดยการคลิกที่ ตั้งค่าบัญชีผู้ใช้ (Account) ที่หน้า Account Overview ในหัวข้อ Other options ให้คลิก Connect with HTTPS [5] ตามรูปที่ 3 หลังจากทำการตั้งค่าเสร็จเรียบร้อยแล้ว จะทำให้การรับส่งข้อมูลบนเว็บไซต์ Hotmail ถูกเข้ารหัสลับเสมอ

Pp2012no0010-3.png
รูปที่ 3 (1) แสดงการตั้งค่าการใช้งาน Hotmail แบบ HTTPS เข้ารหัสลับ (2) แสดง URL ที่มีการตั้งค่า HTTPS แล้ว)

3. คำแนะนำในการตั้งค่าโปรแกรมอีเมลไคลเอ็นต์ในการรับส่งอีเมลจาก Gmail

โปรแกรมอีเมลไคลเอ็นต์ (Email client) คือโปรแกรมที่ใช้รับและส่งอีเมล โดยมีโปรแกรมที่ได้รับความนิยม เช่น Microsoft Outlook, Thunderbird เป็นต้น ในการรับส่งอีเมลจากโปรแกรมอีเมลไคลเอ็นต์ จะรับอีเมลด้วยโพรโทคอล POP3, IMAP และส่งอีเมลด้วยโพรโทคอล SMTP โดยการที่จะเชื่อมต่อเพื่อใช้งานเมลไคลเอ็นต์นั้น ควรมีการเชื่อมต่อผ่านช่องทางที่มีการเข้ารหัสลับข้อมูลด้วย ซึ่งในปัจจุบันบริการ Gmail และ Hotmail เองก็มีการเข้ารหัสลับข้อมูลทุกครั้งที่มีการรับส่งด้วยโพรโทคอล SSL/TLS ที่รองรับทั้ง POP, IMAP และ SMTP ซึ่งโพรโทคอลที่รับส่งมีความหมายเบื้องต้นดังนี้

POP (Post Office Protocol)
เป็นโพรโทคอลที่ใช้ในการรับอีเมลจากเซิร์ฟเวอร์ ปัจจุบันเวอร์ชันล่าสุดคือ POP3 การทำงานของ POP เป็นการอ่านอีเมลแบบออฟไลน์ คืออีเมลที่เข้ามาจะถูกเก็บอยู่ในเซิร์ฟเวอร์ เมื่อใช้โปรแกรมอีเมลไคลเอ็นต์ในการเข้าใช้งานอีเมล จะทำการดาวน์โหลดอีเมลมาเก็บไว้ในเครื่องของเราก่อน จึงจะสามารถอ่านอีเมลได้ และสามารถกลับมาอ่านอีเมลเดิมได้ในภายหลัง แม้ไม่ได้เชื่อมต่อกับอินเทอร์เน็ต หรือหากว่าเราทำการลบอีเมลใดในโปรแกรมอีเมลไคลเอ็นต์ อีเมลนั้นทางเซิร์ฟเวอร์ก็จะยังคงอยู่

IMAP (Internet Message Access Protocol) เป็นโพรโทคอลที่ใช้ในการรับอีเมลจากเซิร์ฟเวอร์ ปัจจุบันเวอร์ชันล่าสุดคือ IMAP4 การทำงานของ IMAP จะแตกต่างกับ POP3 เนื่องจาก IMAP เป็นโพรโทคอลที่สนับสนุนการอ่านอีเมล ทั้งแบบออฟไลน์และออนไลน์ โดยแบบออนไลน์นั้น จะเป็นการโต้ตอบกับเซิร์ฟเวอร์ คือเมื่อใช้โปรแกรมอีเมลไคลเอ็นต์ในการเข้าใช้งานอีเมล ก็เหมือนเราเข้าใช้งานผ่านทางเว็บเบราว์เซอร์ หากว่าเราทำการลบอีเมลในเครื่องอีเมลไคลเอ็นต์ ทางเซิร์ฟเวอร์ก็จะลบอีเมลนั้นด้วย นอกจากนี้ยังสามารถเลือกดาวน์โหลดเฉพาะอีเมลที่เราต้องการได้ด้วย

SMTP (Simple Mail Transfer Protocol) เป็นโพรโทคอลที่ใช้ในการส่งอีเมลในเครือข่ายอินเทอร์เน็ต

สำหรับในกรณีที่เราต้องการนำ Gmail หรือ Hotmail ไปใช้กับโปรแกรมอีเมลไคลเอ็นต์นั้น สามารถปฏิบัติตามคำแนะนำ ซึ่งในที่นี้จะยกตัวอย่างการตั้งค่า Thunderbird เพื่อใช้งานร่วมกับ Gmail ส่วน Hotmail นั้นมีการตั้งค่าที่คล้ายคลึงกัน ผู้อ่านสามารถประยุกต์การใช้งาน ดังตัวอย่างดังนี้

ตัวอย่างการตั้งค่า Thunderbird ให้รองรับ POP, IMAP และ SMTP ใน Gmail

ก่อนที่จะทำการตั้งค่าให้กับโปรแกรมไคลเอ็นต์ เราต้องตั้งค่า POP/IMAP ในบัญชีอีเมลของเราก่อน โดยเปิดการใช้งาน SSL จากนั้นจึงทำการตั้งค่าโปรแกรมอีเมลไคลเอนต์ เป็นดังรูปที่ 4, 5 และ 6

การตั้งค่าสำหรับ IMAP
Server Name : imap.gmail.com
User Name : ที่อยู่อีเมล (username@gmail.com หรือ username@your_domain.com)
Port : 993 (ใช้ได้ทั้ง Gmail และ Hotmail)
Password : รหัสผ่าน

Pp2012no0010-4.jpg
รูปที่ 4 แสดงการตั้งค่า IMAP ให้กับโปรแกรมอีเมลไคลเอ็นต์


การตั้งค่าสำหรับ POP
Server Name : pop.gmail.com
User Name : ที่อยู่อีเมล (username@gmail.com หรือ username@your_domain.com)
Port : 995 (ใช้ได้ทั้ง Gmail และ Hotmail)
Password : รหัสผ่าน

Pp2012no0010-5.jpg
รูปที่ 5 แสดงการตั้งค่า POP ให้กับโปรแกรมอีเมลไคลเอ็นต์


การตั้งค่าสำหรับ SMTP
Server Name : smtp.gmail.com
User Name : ที่อยู่อีเมล (username@gmail.com หรือ username@your_domain.com)
Port : 465 หรือ 587 (สำหรับ Gmail) และ 25 (สำหรับ Hotmail)
Password : รหัสผ่าน

Pp2012no0010-6.jpg
รูปที่ 6 แสดงการตั้งค่า SMTP ให้กับโปรแกรมอีเมลไคลเอ็นต์

4. การตรวจสอบข้อมูลกิจกรรมในบัญชีอีเมลอย่างสม่ำเสมอ

การตรวจสอบข้อมูลกิจกรรมในบัญชีอีเมล [6] เป็นบริการของ Gmail ซึ่งทำให้ผู้ใช้สามารถเช็คได้ว่ามีผู้อื่นเข้าใช้งานอีเมลของเราโดยไม่ได้รับอนุญาตหรือไม่ และยังสามารถตรวจสอบ IP Address ของเครื่องที่ใช้ในการเข้าสู่บัญชีอีเมลของเราได้อีกด้วย

การเรียกดูข้อมูลกิจกรรมของบัญชีอีเมล ทำได้โดยการเข้าสู่ระบบ Gmail จากนั้นเลื่อนลงมาที่กิจกรรมล่าสุดของบัญชีและคลิกที่รายละเอียด ภายในกิจกรรมล่าสุดของบัญชีจะแสดงประเภทของการเข้าถึง (เช่น เบราว์เซอร์, มือถือ, POP) ตำแหน่ง ( IP Address ของเครื่องที่ใช้ในการเข้าสู่บัญชีอีเมล) มีการระบุประเทศ และวัน/เวลา ของกิจกรรมที่เกิดขึ้นในอีเมลของเรา ตามรูปที่ 7 หากพบว่ามี IP Address อื่นที่ไม่รู้จัก หรือวัน/เวลา ที่เราไม่ได้เข้าใช้งาน อาจเป็นสัญญาณบอกว่าบัญชีของเราถูกแฮ็ก ให้ทำการเปลี่ยนรหัสผ่านทันที

Pp2012no0010-7.png
รูปที่ 7 แสดงตารางข้อมูลกิจกรรมของบัญชีอีเมล

5. ข้อควรระวังในการเข้าใช้งานจากเครื่องคอมพิวเตอร์สาธารณะ

ในการใช้งานเครื่องคอมพิวเตอร์สาธารณะ เราไม่สามารถรู้ได้เลยว่าเครื่องนั้นมีซอฟต์แวร์อะไรติดตั้งอยู่บ้าง บางเครื่องอาจมีโปรแกรม Keylogger แอบแฝงอยู่ ซึ่งเป็นโปรแกรมที่จะคอยดักจับการใช้งานต่างๆ เช่น การกดปุ่มคีย์บอร์ด [7] หากเราทำการล็อกอินเข้าใช้งานบัญชีอีเมลผ่านเครื่องคอมพิวเตอร์สาธารณะ ที่มีโปรแกรม Keylogger อยู่ ข้อมูลชื่อผู้ใช้และรหัสผ่านของเราหรือทุกอย่างที่เราพิมพ์ลงไปก็จะถูก บันทึกไว้ทั้งหมด หากจำเป็นต้องใช้คอมพิวเตอร์สาธารณะในการเช็คอีเมล ควรใช้วิธีการพิมพ์ผ่าน On-Screen Keyboard [8] ซึ่งเป็นโปรแกรมที่จำลองการทำงานของคีย์บอร์ด โดยการใช้เมาส์คลิกแทนการกดปุ่มในคีย์บอร์ด ทำให้เราสามารถป้อนข้อมูลต่างๆ ได้เหมือนการพิมพ์ในคีย์บอร์ดจริง ซึ่งจะช่วยป้องกันซอฟต์แวร์ Keylogger ได้ โปรแกรม On-Screen Keyboard จะถูกติดตั้งมาพร้อมกับระบบปฏิบัติการ Windows ตั้งแต่ XP ขึ้นไป สามารถเรียกใช้งานได้ตามรูปที่ 8 แต่หากไม่มีก็สามารถดาวน์โหลดโปรแกรม On-Screen Keyboard ของผู้พัฒนาภายนอกมาติดตั้งเพิ่มเติมได้

Pp2012no0010-8.jpg
รูปที่ 8 (1) แสดงการเรียกใช้โปรแกรม On Screen Keyboard ในระบบปฏิบัติการวินโดวส์ 7 (2) ตัวอย่างของโปรแกรม On Screen Keyboard

6. การตั้งรหัสผ่านที่ทำให้คาดเดาได้ยาก

การตั้งรหัสผ่านที่ดีก็เป็นสิ่งสำคัญในการที่จะป้องกันอีเมล เพราะ จะทำให้ยากต่อการคาดเดา หรืออาจต้องใช้เวลานานมาก ส่วนการตั้งรหัสผ่านที่ไม่ดี จะทำให้ผู้ที่ไม่ประสงค์ดี สามารถเข้าสู่ระบบของเราได้โดยง่าย (ศึกษาการตั้งค่ารหัสผ่านเพิ่มเติมได้ที่ http://www.thaicert.or.th/papers/normal/2012/pp2012no0005.html)

คำแนะนำเบื้องต้นในการการตั้งรหัสผ่าน

  1. ใช้อักษรไม่ต่ำกว่า 6-8 ตัวอักษร
  2. ไม่ใช้รหัสผ่านซ้ำกับที่เคยใช้ไปแล้วในระบบอื่นๆ หรือ เหมือนกับชื่อบัญชี หรือ ชื่อ-นามสกุลของผู้ใช้ เป็นต้น
  3. รหัสผ่านควรประกอบด้วยตัวอักษรหลากหลายตัวผสมกันเช่น ตัวพิมพ์เล็ก, ตัวพิมพ์ใหญ่, ตัวเลข และอักขระพิเศษ
  4. ใช้คำที่ไม่ปรากฏในพจนานุกรม หรือหาความหมายไม่ได้
  5. ควรเปลี่ยนรหัสผ่านให้บ่อยที่สุดเท่าที่ทำได้ เช่น อย่างน้อย 3 เดือนต่อครั้ง
นอกจากการตั้งรหัสผ่านที่ดีแล้ว ผู้ใช้เองก็มีส่วนในการป้องกันด้วย เช่น
  • ไม่จดชื่อบัญชี / รหัสผ่าน ใส่กระดาษ
  • ไม่บอก ชื่อบัญชี / รหัสผ่าน กับใคร ไม่ว่าจะทางใดก็ตาม
  • ไม่ใช้ตัวเลือกในเบราว์เซอร์ในการช่วยจำรหัสผ่าน

สรุป

ผู้ที่ใช้งานอีเมล ไม่ว่าจะในด้านธุรกิจ หรือติดต่อสื่อสารข้อมูลทั่วไปก็ ควรที่จะเรียนรู้ข้อปฏิบัติที่เป็นประโยชน์ในการเสริมสร้างความมั่นคง ปลอดภัยในการใช้งาน เพื่อเป็นการป้องกันการถูกแฮ็กอีเมลจากผู้ไม่หวังดี ซึ่งอาจใช้บัญชีของเราในการเข้าถึงข้อมูลส่วนบุคคล หรืออาจนำไปใช้ในการสร้างความเสียหายอื่นๆ ที่ไม่คาดคิดได้

อ้างอิง

  1. http://www.email-marketing-reports.com/metrics/email-statistics.htm
  2. http://www.rsa.com/glossary/default.asp?id=1056
  3. http://support.google.com/accounts/bin/topic.py?hl=en&topic=28786
  4. http://googleblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html
  5. http://windows.microsoft.com/th-TH/hotmail/hacked-account-faq
  6. http://support.google.com/mail/bin/answer.py?hl=th&answer=45938&topic=1669043&ctx=topic
  7. http://compnetworking.about.com/od/networksecurityprivacy/g/keylogger.htm
  8. http://windows.microsoft.com/en-us/windows7/Type-without-using-the-keyboard-On-Screen-Keyboard

Clear