By: mk
เวป Blognone
8 May 2016
ข่าวการเมืองในช่วงนี้ สร้างความตื่นตัวเรื่องความปลอดภัยในการใช้งาน Facebook และบริการออนไลน์อื่นๆ ในหมู่ผู้ใช้งานอินเทอร์เน็ตชาวไทยขึ้นมาก บทความนี้เขียนขึ้นเพื่ออธิบายฟีเจอร์ความปลอดภัยต่างๆ ของ Facebook ที่มีอยู่แล้ว ที่ช่วยให้บัญชีผู้ใช้งานของเราแข็งแกร่ง ทนทานต่อการแฮ็กหรือการถูกเจาะมากขึ้น
ผู้ใช้ Facebook ทุกคนสามารถใช้งานฟีเจอร์เหล่านี้ได้ทันที และ Blognone แนะนำว่าเป็นสิ่งที่ผู้ใช้ Facebook ทุกคนควรทำ
อ่านตรงนี้ก่อน - ตั้งรหัสผ่านให้แข็งแกร่ง เสริมความปลอดภัยให้อีเมล
ก่อนเข้าสู่เนื้อหาเกี่ยวกับระบบความปลอดภัยของ Facebook ขอแจ้งให้ทราบก่อนว่าการรักษาความปลอดภัยบนอินเทอร์เน็ตต้องทำทุกจุด ไม่ใช่แค่ Facebook เพียงอย่างเดียว และเนื่องจากบัญชี Facebook ผูกกับอีเมลของเรา ดังนั้นเราต้องทำให้บัญชีอีเมลของเราแข็งแกร่งพอซะก่อน
อย่างแรกสุดคือ รหัสผ่าน (password) ต้องแข็งแกร่งพอ คนที่รู้ข้อมูลส่วนตัวของเราต้องไม่สามารถคาดเดารหัสผ่านจากข้อมูลเหล่านี้ได้ ดังนั้นควรหลีกเลี่ยงการตั้งรหัสโดยใช้
หมายเลขโทรศัพท์
วันเกิด
ชื่อเล่น ชื่อจริง ชื่อ username
ตัวเลขที่คาดเดาได้ง่าย เช่น 123456
ต่อมา การใช้รหัสผ่านเพียงอย่างเดียวไม่ใช่มาตรการรักษาความปลอดภัยที่ดีพออีกแล้ว เพราะใครก็ตามที่รู้รหัสผ่านของเรา ย่อมสามารถล็อกอินเข้าบัญชีของเราได้ทันที ปัจจุบันบริการออนไลน์ยอดนิยม มักมีฟีเจอร์ที่เรียกว่า Two-Step Verification หรือ Two-Factor Authentication (แล้วแต่จะเรียก แต่ความหมายประมาณนี้) มันคือระบบการล็อกอินสองชั้น โดยใช้รหัสผ่านตามปกติควบคู่กับโค้ดอีกหนึ่งตัวที่เปลี่ยนไปเรื่อยๆ ซึ่งอาจส่งมาให้เราทาง SMS หรือสุ่มโค้ดด้วยแอพบนมือถือ ผลคือกระบวนการล็อกอินจะปลอดภัยขึ้นมาก
Blognone เคยมีบทความสอน เปิดใช้งานระบบล็อกอินสองชั้นของ Gmail และ Microsoft Account (Hotmail)ใครที่ยังไม่เคยเปิดใช้งาน ก็ควรทำให้เสร็จก่อน โดยอ่านข้อมูลจากบทความเหล่านี้
ตั้งค่าความปลอดภัย ใน Facebook Account Settings
เชื่อว่าผู้ใช้ Facebook หลายคนคงไม่รู้ว่าหน้าจอตั้งค่าของ Facebook อยู่ตรงไหน ถ้าใช้งานบนมือถือ ให้เลือกปุ่มสามขีดด้านขวาสุด แล้วเลื่อนลงไปล่างสุด จะเห็นตัวเลือก Account Settings
ส่วนผู้ที่ใช้บนคอมพิวเตอร์ ให้เลือกลูกศรชี้ลงที่อยู่มุมขวาบนของหน้าจอ แล้วเลือกเมนู Settings
หมายเหตุ: ภาพหน้าจอจากนี้ไปจะใช้เวอร์ชันคอมพิวเตอร์เป็นหลัก แต่บนมือถือก็มีวิธีการเรียงเมนูแบบเดียวกัน ในตัวอย่างจะใช้เมนูภาษาอังกฤษ ซึ่งถ้าใครใช้เมนูภาษาไทยก็สามารถเทียบตำแหน่งเมนูเดียวกันได้ หรือไม่ก็เปลี่ยนเมนูเป็นภาษาอังกฤษจากหมวด Language ได้
จากนั้นให้เลือกการตั้งค่าหมวด Security จากเมนูด้านซ้ายมือดังภาพ ฝั่งขวาจะเห็นตัวเลือกชื่อ Security Settings ซึ่งเอาไว้ตั้งค่าเกี่ยวกับระบบความปลอดภัยทั้งหมดของ Facebook
เนื่องจากหน้าจอนี้มีตัวเลือกค่อนข้างมาก เราจะขอแนะนำเฉพาะตัวเลือกที่สำคัญ 6 อย่างตามหมายเลขที่เขียนกำกับไว้ โดยจะแยกอธิบายทีละหัวข้อ ดังนี้
1. Login Alerts แจ้งเตือนเมื่อมีคนล็อกอินบัญชีของเรา
ฟีเจอร์นี้เป็นความปลอดภัยพื้นฐานของบัญชี Facebook ที่ทุกคนควรเปิดใช้งานไว้ เพราะไม่ยุ่งยากอะไร และช่วยให้เรารู้ว่ามีคนอื่นมาล็อกอินบัญชีของเราได้ตลอดเวลา
แนวคิดของฟีเจอร์ Login Alerts คือผู้ใช้มักใช้งาน Facebook จากอุปกรณ์ชิ้นเดิม คอมพิวเตอร์เครื่องเดิม ถ้ามีการล็อกอินจากคอมพิวเตอร์เครื่องใหม่ที่ Facebook ไม่เคยเห็นมาก่อน ย่อมมีโอกาสสูงที่จะเป็นผู้อื่นล็อกอินเข้ามา ตัวเลือกนี้จะแจ้งเตือนผู้ใช้ผ่าน 2 ช่องทางคือ
ระบบแจ้งเตือนของ Facebook เอง (ทั้งเว็บและแอพ เช่น กรณีที่เราใช้งาน Facebook ในเครื่องอื่นอยู่ มันจะขึ้นเตือน)
อีเมลที่เราสมัครใช้งาน Facebook
Blognone แนะนำให้เปิดใช้งานทั้งสองระบบ
ถ้าเราเปิดตัวเลือกนี้ไว้ และมีอุปกรณ์อื่นพยายามล็อกอินเข้าบัญชีของเรา จะเห็นการแจ้งเตือนแบบนี้โผล่ขึ้นมา
ส่วนการแจ้งเตือนทางอีเมล จะมีหน้าตาดังภาพ (อีเมลจะถูกส่งมาจาก security@facebookmail.com)
ในกรณีที่เราล็อกอินจากมือถือหรือคอมพิวเตอร์เครื่องใหม่ แล้วจะใช้งานเครื่องนี้ต่อไปในระยะยาว เราก็สามารถตั้งให้ Facebook จดจำ (Remember Browser หรือ Save Browser) เพื่อที่มันจะได้ไม่ต้องเตือนทุกครั้งให้รำคาญได้ด้วย
2. Login Approvals ระบบล็อกอินสองชั้น ใส่รหัสผ่านจากมือถือ
ในหัวข้อแรก เรากล่าวถึงระบบล็อกอินสองชั้นไปแล้ว Facebook ก็มีระบบล็อกอินสองชั้น โดยใช้ชื่อว่า Login Approvals และใช้คู่กับ Code Generator
แนวคิดของ Facebook คือผู้ใช้ส่วนใหญ่มีแอพ Facebook บนมือถืออยู่แล้ว ดังนั้นแทนที่จะรับโค้ดยืนยันตัวตนจาก SMS เหมือนกับที่พวกธนาคารออนไลน์ทำ ก็ให้แอพ Facebook ของเราเป็นตัวสุ่มโค้ดให้แทน (กระบวนการสุ่มโค้ดจะได้ผลเป็นโค้ดเฉพาะของตัวเราเท่านั้น ซึ่งจะไม่อธิบายในบทความนี้)
ตามปกติแล้ว บัญชี Facebook จะไม่เปิดใช้งาน Login Approvals ดังนั้นขั้นแรกเราต้องเปิดใช้ก่อน ให้ติ๊กหน้าคำว่า Require a security code แล้วกด Save Changes
จากนั้น Facebook จะขึ้นหน้าจอมาอธิบายสั้นๆ ว่า Login Approvals คืออะไร ให้กด Get Started เพื่อไปต่อ
Facebook จะถามเราว่าใช้แอพ Facebook บน Android/iPhone หรือไม่ ให้เลือกอันบนแล้วกด Continue
ขั้นต่อไปเราต้องใช้แอพ Facebook บนมือถือเพื่อเรียกตัวสุ่มโค้ด (Code Generator) แล้ว ตามคำอธิบายข้างล่าง ให้กด Continue บนหน้าจอคอมพิวเตอร์ก่อน
วิธีการคือให้เปิดแอพ Facebook บนมือถือขึ้นมา เลือกเมนูสามขีดเหมือนเดิม เลื่อนลงไปหาคำว่า Code Generator
ระบบจะแจ้งให้เราเปิดใช้งาน Code Generator เป็นครั้งแรก โดยกดปุ่ม Activate
หน้าจอของเราจะเปลี่ยนเป็นสีเข้ม พร้อมแสดงโค้ด 6 หลักที่เปลี่ยนไปทุก 30 วินาที นี่คือโค้ดชั้นที่สองของเรา ที่ใช้แทนการรับโค้ดทาง SMS
นำโค้ดที่ได้ไปกรอกในหน้าเว็บบนคอมพิวเตอร์เพื่อยืนยันว่าเรามีโค้ดจริง ถ้าโค้ดถูกต้องจะเห็นคำว่า It worked!
ขั้นสุดท้าย Facebook จะยืนยันตัวตนของเราอีกรอบ โดยส่ง SMS มายังเบอร์มือถือของเรา เพื่อใช้เป็นช่องทางรับโค้ดสำรอง หากไม่สามารถเปิดโค้ดจาก Code Generator ก็จะยังสามารถรับโค้ดทาง SMS แทนได้ อันนี้ก็ทำตามกระบวนการปกติคือรอโค้ดจาก SMS ส่งมา แล้วกรอกลงในช่อง แค่นี้ก็เรียบร้อย
หมายเหตุ: ในอดีต Facebook เคยมีปัญหากับการส่ง SMS เข้ามายังเบอร์มือถือในประเทศไทย แต่ผมลองล่าสุดวันนี้ 8 พ.ค. 59 ก็พบว่าทำงานได้ปกติดีครับ
ถ้าหากมีคนพยายามล็อกอินเข้าบัญชีของเรา (หรือเราจะลองเองก็ได้) เมื่อผ่านชั้นของรหัสผ่านไปแล้ว จะเจอชั้นของการใส่โค้ด 6 หลักตามภาพ
เท่านี้ถือว่าเราตั้งค่าล็อกอินสองชั้นของ Facebook เสร็จเรียบร้อยแล้ว คนที่พยายามล็อกอินเข้าบัญชีเราจะทำงานยากขึ้นมาก เพราะต่อให้รู้รหัสผ่าน ก็ต้องหาโค้ดชุดนี้มาล็อกอินควบคู่ไปด้วย (อาจยกเว้นกรณีนี้มือถือหาย โดนขโมย หรือโดนยึด ซึ่งคนที่เข้าถึงมือถือของเราได้ ก็จะเข้าถึงโค้ดชุดนี้ได้เช่นกัน ซึ่งเป็นสิ่งที่ต้องระวัง)
3. Trusted Contacts เพื่อนที่ไว้ใจได้
ในกรณีที่บัญชี Facebook ของเราโดนแฮ็ก สิ่งที่เราต้องทำคือขอบัญชีคืนผ่านระบบของ Facebook ที่แสนจะยุ่งยาก ทางแก้ทางหนึ่งที่ Facebook เตรียมไว้ให้เรา (แต่คนไม่ค่อยรู้จักเท่าไร) คือ Trusted Contacts ซึ่งเป็นการให้เพื่อนใน Facebook ที่เรารู้จักในโลกจริง มาช่วยยืนยันตัวตนให้เราแทน
การทำงานของ Trusted Contacts คือเราต้องเลือกเพื่อนสนิท 3-5 คน (แนะนำให้เลือกญาติหรือเพื่อนสนิทจริงๆ ที่เราไว้ใจได้) เลือกเก็บไว้เฉยๆ เพื่อบอก Facebook ว่าคนที่เราไว้ใจได้คือใคร ถ้าในอนาคตเรามีปัญหาล็อกอินเข้าบัญชีตัวเองไม่ได้ เราสามารถร้องขอให้ Facebook ส่งโค้ดยืนยันตัวตนไปให้เพื่อนของเรา (ที่ล็อกอินเข้าระบบได้ตามปกติ) แล้วให้เพื่อนบอกโค้ดเรามาเพื่อยืนยันว่าเราเป็นเจ้าของบัญชีนี้จริงๆ
ขั้นตอนการใช้งานก็ไม่มีอะไรยาก กรอกชื่อเพื่อน 3-5 คน แค่นี้ก็เรียบร้อยแล้ว (กรอกเก็บไว้เฉยๆ เอาไว้ใช้งานเมื่อยามยาก) เพื่อนของเราจะได้รับแจ้งว่าเป็น Trusted Contacts ด้วย ดังนั้นควรบอกเพื่อนไว้ล่วงหน้า จะได้ไม่ตกใจเกินเหตุ
ในการกู้บัญชีกลับคืน เราจำเป็นต้องขอโค้ดยืนยันตัวตนจากเพื่อนทุกคนใน Trusted Contacts (ถ้าเลือกไว้ 5 ก็ต้องโทรขอให้ครบ) รายละเอียดสามารถอ่านได้จาก Facebook: Introducing Trusted Contacts (ฟีเจอร์นี้มีตั้งแต่ปี 2013)
4. Your Browsers and Apps ย้อนดูสิทธิการเข้าถึงบัญชี
เมื่อใดก็ตามที่เราล็อกอิน Facebook ผ่านเว็บเบราว์เซอร์ หรือมีแอพขอสิทธิใช้งานบัญชีของเรา (โดยเฉพาะพวกเกม) หลายคนคงเคยเห็นหน้าจอยืนยันขอสิทธิการเข้าถึงบัญชี ซึ่งโดยส่วนใหญ่แล้วเราก็ให้สิทธิไป
ประวัติการขอสิทธิทั้งหมดของแอพต่างๆ จะถูกเก็บไว้ในหน้าจอตั้งค่า Your Browsers and Apps ย้อนไปตั้งแต่อดีตชาติของเรา (ของผมลองแล้วย้อนไปถึงปี 2012)
เพื่อความปลอดภัยของเราเอง ขอแนะนำให้เราสั่ง Remove ลบแอพเก่าๆ ทิ้งให้หมด (ถ้าเผลอลบแอพที่ใช้งานอยู่ก็ไม่เสียหาย เพราะมันจะขอสิทธิเราใหม่) ให้เหลือเฉพาะการใช้งานเพียง 3-4 อันล่าสุดเท่านั้นพอ หรือง่ายๆ คืออะไรเก่ากว่าปีปัจจุบัน ลบออกให้หมด
5. Where You're Loggen In ล็อกอินมาจากที่ไหนบ้าง
ข้อ 5. คล้ายกับข้อ 4. แต่จะแสดงให้เราดูว่าเราล็อกอิน Facebook มาจากคอมพิวเตอร์ มือถือ แท็บเล็ต ฯลฯ เครื่องไหน เมื่อไร จากตำแหน่งไหนของโลก
หน้าจอนี้จะช่วยให้เราตรวจสอบประวัติย้อนหลังได้ว่า มีการล็อกอินแปลกๆ จากที่อื่นที่เราไม่รู้จักหรือไม่ (เช่น ไม่ได้ไปต่างประเทศเลย แต่ถ้าพบการล็อกอินจากนอกประเทศไทย ก็แปลว่าไม่ใช่เรา)
ประวัติการล็อกอินเหล่านี้คือการล็อกอินที่เราทำค้างเอาไว้ แนะนำให้กดปุ่ม End Activity เพื่อล็อกเอาท์ออกจากระบบให้หมด (กด End All Activity) หรือจะเหลือไว้เฉพาะอันใหม่ล่าสุดก็ได้ เพื่อความปลอดภัยที่ดีของบัญชีเราเอง
6. Legacy Contact ถ้าหากเป็นอะไรขึ้นมา ฝากบัญชีไว้ที่ใคร
ข้อนี้อาจไม่ได้ใช้งานในตอนนี้ แต่ควรรับรู้และตั้งค่าไว้เผื่อจำเป็น หน้าจอ Legacy Contact คือการระบุว่าถ้าหากเราในฐานะเจ้าของบัญชีเกิดเสียชีวิตขึ้นมา เราจะยกสิทธิการดูแลบัญชี (บางส่วน) ให้ใครแทน ซึ่งตรงนี้ควรเลือกญาติหรือคนในครอบครัวที่ไว้ใจได้จริงๆ
คนที่ดูแลบัญชีจะทำได้เฉพาะบางอย่างเท่านั้น เช่น ปักหมุดโพสต์ กดรับคำขอเป็นเพื่อน หรือเปลี่ยนภาพประจำตัว แต่ไม่สามารถล็อกอิน และโพสต์หรือแชทแทนเจ้าของบัญชีได้ และในกรณีที่เราไม่อยากให้ใครดูแลบัญชีแทน จะเลือก Account Deletion หรือให้ลบบัญชีทิ้งไปเลยก็ได้เช่นกัน
ข้อนี้จะตั้งค่าเลยหรือไม่ก็ได้ แล้วแต่ความต้องการของเจ้าของบัญชี รายละเอียดอ่านได้จาก Legacy Contact
สรุป: ควรทำอะไรบ้างเพื่อเสริมความปลอดภัยให้บัญชี Facebook
จากที่กล่าวมาทั้งหมด ขอแนะนำให้
เปิดใช้ฟีเจอร์ Login Alerts เพื่อแจ้งเตือนเมื่อการล็อกอินบัญชีที่น่าสงสัย ทั้งทางระบบแจ้งเตือนของ Facebook และทางอีเมล
เปิดใช้ฟีเจอร์ Login Approvals เพื่อบังคับให้ต้องล็อกอินสองชั้น ผ่านตัวสุ่มโค้ด Code Generator ในแอพ Facebook บนมือถือ
เพิ่มชื่อ Trust Contacts เผื่อไว้ สำหรับโอกาสที่ล็อกอินเข้าบัญชีตัวเองไม่ได้
ตรวจสอบสิทธิการเข้าถึงบัญชีในหน้า Your Browsers and Apps และลบการขอสิทธิเก่าๆ ที่ไม่ต้องใช้แล้ว
ตรวจสอบประวัติการล็อกอินในหน้า Where You're Logged In และล็อกเอาท์การล็อกอินเก่าๆ ที่ค้างเอาไว้ และไม่ต้องใช้แล้ว
ทั้งนี้ ผู้ใช้ควรรับทราบว่า การตั้งค่าความปลอดภัยตามที่อธิบายในบทความนี้ เป็นการป้องกัน "บัญชี" (Account) จากบุคคลอื่นที่อาจเจาะบัญชีของเรา จากการรู้รหัสผ่านของเรา และพยายามล็อกอินเข้ามาใช้งานจากคอมพิวเตอร์หรือมือถือเครื่องอื่นเท่านั้น แต่ระบบความปลอดภัยเหล่านี้ไม่สามารถคุ้มครองเราได้มากนัก ถ้าหากฝ่ายผู้ประสงค์ร้ายเข้าถึงคอมพิวเตอร์หรือมือถือของเราได้โดยตรง
ผู้ที่สนใจสามารถอ่านคำแนะนำของ Facebook ในการรักษาบัญชีให้ปลอดภัยได้ที่ How to Keep Your Account Secure