ThaiCERT ไทยเซิร์ต - ข้อแนะนำในการป้องกันบัญชี Gmail, Outlook และ Yahoo จากการถูกแฮกด้วยวิธีง่ายๆ
Clear
Lead Graphic Papers

ข้อแนะนำในการป้องกันบัญชี Gmail, Outlook และ Yahoo จากการถูกแฮกด้วยวิธีง่ายๆ

ผู้เขียน: ณัฐโชติ ดุสิตานนท์
วันที่เผยแพร่: 12 มี.ค. 2558
ปรับปรุงล่าสุด: 12 มี.ค. 2558

Share on Facebook Share on Twitter Share on Google+

อีเมลนับเป็นสิ่งจำเป็นที่เข้ามามีบทบาทและมีความสำคัญต่อชีวิตประจำวันของเราเป็นอย่างมาก เพราะเป็นวิธีการติดต่อสื่อสารที่รวดเร็วและแทบจะไม่มีต้นทุน หลายคนเก็บข้อมูลสำคัญไว้ในอีเมลหรือใช้อีเมลในการติดต่อทางด้านธุรกิจ ซึ่งหากผู้ใช้เข้าใช้งานอีเมลผ่านการเชื่อมต่อที่ไม่มีความมั่นคงปลอดภัย ก็อาจทำให้บัญชีผู้ใช้นั้นถูกโจรกรรมได้โดยง่าย

Gmail, Outook และ Yahoo เป็นบริการฟรีอีเมลที่มีผู้นิยมใช้กันมากเป็นอันดับต้นๆ ผู้เขียนจึงได้เลือกบริการอีเมลเหล่านี้มาแนะนำเพื่อให้ผู้อ่านได้ปฏิบัติ ในปัจจุบันนั้น ถึงแม้ว่าผู้ให้บริการจะมีระบบที่มีความมั่นคงปลอดภัยอยู่แล้ว แต่ตัวผู้ใช้เองก็ควรที่จะเรียนรู้วิธีการป้องกันแบบต่างๆ เพื่อป้องกันปัญหาที่อาจจะเกิดขึ้น ดังนี้

1. ตั้งค่าให้มีการยืนยันแบบ 2 ขั้นตอน (2-step verification)

การยืนยันแบบ 2 ขั้นตอนเป็นวิธีการพิสูจน์ตัวตนที่ต้องใช้ข้อมูล 2 ส่วนร่วมกัน เพื่อเพิ่มความมั่นคงปลอดภัยให้กับการเข้าสู่ระบบหรือบริการ โดยหลักๆ แล้วจะใช้ข้อมูลจาก 2 ใน 3 ส่วนนี้คือ

 1. สิ่งที่รู้ (Something you know) เช่น รหัสผ่าน
 2. สิ่งที่มี (Something you have) เช่น โทรศัพท์มือถือ, รหัสบัตรเติมเงิน
 3. สิ่งที่เป็น (Something you are) เช่น ลายนิ้วมือ, ม่านตา

การยืนยันแบบ 2 ขั้นตอนช่วยลดโอกาสในการถูกขโมยข้อมูลส่วนตัวในบัญชีอีเมลของเราลงได้ เพราะต่อให้ใส่ชื่อผู้ใช้และรหัสผ่านถูกต้องแล้ว ก็ยังไม่สามารถเข้าถึงบัญชีอีเมลได้ จนกว่าจะใส่รหัสผ่านที่ 2 ที่ได้รับจาก SMS ผ่านโทรศัพท์มือถือที่ลงทะเบียนไว้ เสียก่อน

และสำหรับกรณีที่โทรศัพท์เครื่องหลักสำหรับรับรหัสผ่านเกิดสูญหาย ผู้ให้บริการแต่ละรายก็มีฟีเจอร์ให้ใส่หมายเลขโทรศัพท์สำรองหรือสร้างรหัสผ่านสำรองที่ใช้แทนรหัสผ่านที่ได้รับจากโทรศัพท์ สำหรับรายละเอียดในการตั้งค่านั้นศึกษาได้ในหัวข้อที่ 5

5.1 การตั้งค่าให้มีการยืนยันแบบ 2 ขั้นตอนสำหรับบัญชี Gmail

5.2 การตั้งค่าให้มีการยืนยันแบบ 2 ขั้นตอนสำหรับบัญชี Outlook

5.3 การตั้งค่าให้มีการยืนยันแบบ 2 ขั้นตอนสำหรับบัญชี Yahoo

ในการใช้งานการยืนยันตัวตนแบบ 2 ขั้นตอน แอปพลิเคชันบางตัวที่ใช้งานอาจจะไม่รองรับ เช่น แอปพลิชันอีเมลในสมาร์ตโฟน, Outlook 2010 , Thunderbird หากผู้ใช้งานพบปัญหาในการล็อกอินเข้าใช้งาน ก็จำเป็นต้องสร้างรหัสผ่านเฉพาะสำหรับแอปพลิเคชันเหล่านั้นเพื่อใช้แทนรหัสผ่านหลักที่ใช้ล็อกอิน สำหรับรายละเอียดในการสร้างรหัสผ่านนั้นศึกษาได้ในหัวข้อที่ 5

5.4 การสร้างรหัสผ่านเฉพาะสำหรับแอปพลิเคชันสำหรับบัญชี Gmail

5.5 การสร้างรหัสผ่านเฉพาะสำหรับแอปพลิเคชันสำหรับบัญชี Outlook

5.6 การสร้างรหัสผ่านเฉพาะสำหรับแอปพลิเคชันสำหรับบัญชี Yahoo

อย่างไรก็ตามผู้ใช้ควรตระหนักว่า หมายเลขโทรศัพท์สำรอง, รหัสผ่านสำรอง รวมถึงรหัสผ่านเฉพาะสำหรับแอปพลิเคชัน ก็อาจถูกใช้เป็นช่องทางในการเข้าถึงข้อมูลโดยผู้ไม่หวังดีได้เช่นกัน จึงควรใช้งานเท่าที่จำเป็น และเก็บรักษาไว้เป็นความลับ

2. การตรวจสอบประวัติการใช้งานหรือการตั้งค่าที่น่าสงสัยอย่างสม่ำเสมอ

ผู้ใช้งานควรตรวจสอบว่ามีผู้ไม่หวังดีแอบเข้ามาล็อกอินใช้บัญชีของเราหรือไม่จากประวัติการใช้งาน โดยอาจสังเกตความผิดปกติจากช่วงเวลาหรือประเทศที่พบการใช้งาน เช่น พบการล็อกอิน ณ เวลาเที่ยงคืน จากต่างประเทศ

นอกจากนี้ก็ควรตรวจสอบว่าผู้ไม่หวังดีเปลี่ยนค่าต่างๆ อาจเพิ่มอีเมลหรือหมายเลขโทรศัพท์ที่ใช้ในการยืนยันตัวตนเพื่อแอบล็อกอินเข้ามาขโมยข้อมูล หากผู้ใช้งานพบความผิดปกติ ควรเปลี่ยนช่องทางในการเข้าถึงบัญชี เช่น รหัสผ่าน, หมายเลขโทรศัพท์, อีเมลสำหรับกู้คืนบัญชี รวมถึงเพิกถอนรหัสเฉพาะสำหรับแอปพลิเคชัน, สิทธิในการเข้าถึงข้อมูลของแอปพลิเคชันต่างๆ และอุปกรณ์ที่อยู่ในรายการ trusted device ซึ่งเป็นรายการอุปกรณ์ที่ผู้ใช้ไว้ใจ ไม่จำเป็นต้องใส่รหัสผ่านที่ 2 ในการล็อกอิน สำหรับรายละเอียดในการตรวจสอบประวัติการใช้งานและการตั้งค่าที่น่าสงสัยนั้น สามารถศึกษาได้ในหัวข้อที่ 5

5.7 การตรวจสอบประวัติการใช้งานและการตั้งค่าที่น่าสงสัยสำหรับ Gmail

5.8 การตรวจสอบประวัติการใช้งานและการตั้งค่าที่น่าสงสัยสำหรับ Outlook

5.9 การตรวจสอบประวัติการใช้งานและการตั้งค่าที่น่าสงสัยสำหรับ Yahoo

3. ข้อควรระวังในการเข้าใช้งานจากเครื่องคอมพิวเตอร์สาธารณะ

ในการใช้งานเครื่องคอมพิวเตอร์สาธารณะ เราไม่สามารถรู้ได้เลยว่าเครื่องนั้นมีซอฟต์แวร์อะไรติดตั้งอยู่บ้าง บางเครื่องอาจมีโปรแกรม Keylogger แอบแฝงอยู่ ซึ่งเป็นโปรแกรมที่จะคอยดักจับการใช้งานต่างๆ เช่น การกดปุ่มคีย์บอร์ด หากเราทำการล็อกอินเข้าใช้งานบัญชีอีเมลผ่านเครื่องคอมพิวเตอร์สาธารณะ ที่มีโปรแกรม Keylogger อยู่ ข้อมูลชื่อผู้ใช้และรหัสผ่านของเราหรือทุกอย่างที่เราพิมพ์ลงไปก็จะถูก บันทึกไว้ทั้งหมด หากจำเป็นต้องใช้คอมพิวเตอร์สาธารณะในการเช็คอีเมล ควรใช้วิธีการพิมพ์ผ่าน On-Screen Keyboard ซึ่งเป็นโปรแกรมที่จำลองการทำงานของคีย์บอร์ด โดยการใช้เมาส์คลิกแทนการกดปุ่มในคีย์บอร์ด ทำให้เราสามารถป้อนข้อมูลต่างๆ ได้เหมือนการพิมพ์ในคีย์บอร์ดจริง ซึ่งจะช่วยป้องกันซอฟต์แวร์ Keylogger ได้ โปรแกรม On-Screen Keyboard จะถูกติดตั้งมาพร้อมกับระบบปฏิบัติการ Windows ตั้งแต่ XP ขึ้นไป สามารถเรียกใช้งานได้ตามรูปที่ 1 แต่หากไม่มีก็สามารถดาวน์โหลดโปรแกรม On-Screen Keyboard ของผู้พัฒนาภายนอกมาติดตั้งเพิ่มเติมได้


รูปที่ 1 การเรียกใช้โปรแกรม On Screen Keyboard ในระบบปฏิบัติการวินโดวส์ 7

4. การตั้งรหัสผ่านที่ทำให้คาดเดาได้ยาก

การตั้งรหัสผ่านที่ดีก็เป็นสิ่งสำคัญในการที่จะป้องกันอีเมล เพราะ จะทำให้ยากต่อการคาดเดา หรืออาจต้องใช้เวลานานมาก ส่วนการตั้งรหัสผ่านที่ไม่ดี จะทำให้ผู้ที่ไม่ประสงค์ดี สามารถเข้าสู่ระบบของเราได้โดยง่าย (ศึกษาการตั้งค่ารหัสผ่านเพิ่มเติมได้ที่ [1])

คำแนะนำเบื้องต้นในการการตั้งรหัสผ่าน

 1. ใช้อักษรไม่ต่ำกว่า 8 ตัวอักษร
 2. ไม่ใช้รหัสผ่านซ้ำกับที่เคยใช้ไปแล้วในระบบอื่นๆ หรือ เหมือนกับชื่อบัญชี หรือ ชื่อ-นามสกุลของผู้ใช้ เป็นต้น
 3. รหัสผ่านควรประกอบด้วยตัวอักษรหลากหลายตัวผสมกันเช่น ตัวพิมพ์เล็ก, ตัวพิมพ์ใหญ่, ตัวเลข และอักขระพิเศษ
 4. ใช้คำที่ไม่ปรากฏในพจนานุกรม หรือหาความหมายไม่ได้
 5. ควรเปลี่ยนรหัสผ่านให้บ่อยที่สุดเท่าที่ทำได้ เช่น อย่างน้อย 3 เดือนต่อครั้ง

นอกจากการตั้งรหัสผ่านที่ดีแล้ว ผู้ใช้เองก็มีส่วนในการป้องกันด้วย เช่น

 • ไม่จดชื่อบัญชี / รหัสผ่าน ใส่กระดาษ
 • ไม่บอก ชื่อบัญชี / รหัสผ่าน กับใคร ไม่ว่าจะทางใดก็ตาม
 • ไม่ใช้ตัวเลือกในเบราว์เซอร์ในการช่วยจำรหัสผ่าน

5. รายละเอียดสำหรับการตั้งค่าบัญชีของผู้ให้บริการรายต่างๆ

5.1 การตั้งค่าให้มีการยืนยันแบบ 2 ขั้นตอนสำหรับบัญชี Gmail

สำหรับการตั้งค่าการยืนยันยืนยันด้วยวิธีนี้สามารถทำได้โดยไปที่ [2] และทำตามขั้นตอนในรูปที่ 2-7

รูปที่ 2-7 การเปิดการใช้งานการยืนยันตัวตนแบบ 2 ขั้นตอน

นอกเหนือจากการเปิดใช้งานการยืนยันตัวตนแบบ 2 ขั้นตอนแล้ว ผู้ใช้งานก็อาจพิจารณาตั้งค่าหมายเลขโทรศัพท์สำรองในกรณีที่โทรศัพท์เครื่องหลักสำหรับรับรหัสผ่านที่ 2 เกิดสูญหาย ก็สามารถรับรหัสผ่านจากโทรศัพท์เครื่องสำรองได้ โดยการตั้งค่าเป็นไปตามรูปที่ 8-10

รูปที่ 8-10 การตั้งค่าหมายเลขโทรศัพท์เครื่องสำรองเพื่อรับรหัสผ่านที่ 2 สำหรับล็อกอิน

นอกเหนือจากการล็อกอินด้วยรหัสผ่านที่ 2 จากโทรศัพท์เครื่องสำรองกรณีโทรศัพท์เครื่องหลักหายหรือไม่สามารถใช้งานได้ ผู้ใช้งานยังสามารถสร้างรหัสผ่านที่ 2 เก็บไว้ใช้ในกรณีฉุกเฉินดังกล่าวด้วยโดยรหัสผ่านสำรองนี้ถูกเรียกว่า Backup codes โดยวิธีการสร้างรหัสผ่านดังกล่าวเป็นไปตามรูปที่ 11-14

รูปที่ 11-14 การสร้างรหัสผ่านสำรอง

5.2 การตั้งค่าให้มีการยืนยันแบบ 2 ขั้นตอนสำหรับ Outlook

สำหรับการตั้งค่าให้มีการยืนยันแบบ 2 ขั้นตอนสำหรับ Outlook ให้ทำตามรูปที่ 15-23

รูปที่ 15-23 การเปิดการใช้งานการยืนยันแบบ 2 ขั้นตอนสำหรับ Outlook

5.3 การตั้งค่าให้มีการยืนยันแบบ 2 ขั้นตอนสำหรับ Yahoo

สำหรับการตั้งค่าให้มีการยืนยันแบบ 2 ขั้นตอนสำหรับ Yahoo หลังจากล็อกอินแล้วให้ทำตามรูปที่ 24-29

รูปที่24-29 การตั้งค่าให้มีการยืนยันแบบ 2 ขั้นตอนสำหรับ Yahoo

5.4 การสร้างรหัสผ่านเฉพาะสำหรับแอปพลิเคชันสำหรับบัญชี Gmail

การสร้างรหัสผ่านเฉพาะสำหรับแอปพลิเคชันสำหรับบัญชี Gmail สามารถศึกษาได้จากบทความ เปิดใช้ 2-Step Verification ใน google แล้วมีปัญหาใช้แอพบนมือถือ ทำไงดี !! ([3])

5.5 การสร้างรหัสผ่านเฉพาะสำหรับแอปพลิเคชันสำหรับบัญชี Outlook

สำหรับการสร้างรหัสผ่านเฉพาะสำหรับแอปพลิเคชันสำหรับบัญชี Outlook เริ่มจาก Manage advanced security setting (ขั้นตอนที่ 5 ในส่วนของ 5.2 การเปิดการใช้งานการยืนยันแบบ 2 ขั้นตอนสำหรับ Outlook) และทำตามรูปที่ 30-31


รูปที่ 30-31 การสร้างรหัสผ่านเฉพาะสำหรับแอปพลิเคชันสำหรับบัญชี Outlook

5.6 การสร้างรหัสผ่านเฉพาะสำหรับแอปพลิเคชันสำหรับบัญชี Yahoo

สำหรับการสร้างรหัสผ่านเฉพาะสำหรับแอปพลิเคชันสำหรับบัญชี Yahoo ให้ทำตามรูปที่ 32-38

รูปที่ 32-38 การสร้างรหัสผ่านเฉพาะสำหรับแอปพลิเคชันสำหรับบัญชี Yahoo

5.7 การตรวจสอบประวัติการใช้งานและการตั้งค่าที่น่าสงสัยสำหรับ Gmail

สำหรับการตรวจสอบประวัติการใช้งานและการตั้งค่าที่น่าสงสัยสำหรับ Gmail ผู้ใช้งานสามารถตรวจสอบผ่านฟีเจอร์ที่ชื่อ Security Checkup ว่ามีผู้ไม่หวังดีแอบเข้ามาล็อกอินใช้บัญชีของเราหรือไม่จากประวัติการใช้งานและสามารถตรวจสอบว่าผู้ไม่หวังดีเปลี่ยนค่าต่างๆ ตามรูปที่ 39-44


รูปที่ 39-44 การตรวจสอบประวัติการใช้งานหรือการตั้งค่าที่น่าสงสัยสำหรับ Gmail

5.8 การตรวจสอบประวัติการใช้งานและการตั้งค่าที่น่าสงสัยสำหรับ Outlook

ผู้ที่ใช้งาน Outlook ก็สามารถตรวจสอบข้อมูลเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยที่เกิดขึ้นกับบัญชีนี้ เช่น ประวัติการล็อกอิน สถานที่ที่ล็อกอิน ได้เช่นกัน โดยล็อกอินในหน้าเว็บไซต์ Microsoft Account ([4]) ไปยังส่วน Security & Privacy และดำเนินการตามรูปที่ 45-50

รูปที่ 45-50 การตรวจสอบประวัติการใช้งานและการตั้งค่าที่น่าสงสัยสำหรับ Outlook

5.9 การตรวจสอบประวัติการใช้งานและการตั้งค่าที่น่าสงสัยสำหรับ Yahoo

สำหรับการตรวจสอบประวัติการใช้งานและการตั้งค่าที่น่าสงสัยสำหรับ Yahoo ให้ทำตามรูปที่51-60


รูปที่51-60 การตรวจสอบประวัติการใช้งานและการตั้งค่าที่น่าสงสัยสำหรับ Yahoo

สรุป

ผู้ที่ใช้งานอีเมล ไม่ว่าจะในด้านธุรกิจ หรือติดต่อสื่อสารข้อมูลทั่วไปก็ ควรที่จะเรียนรู้ข้อปฏิบัติที่เป็นประโยชน์ในการเสริมสร้างความมั่นคง ปลอดภัยในการใช้งาน เพื่อเป็นการป้องกันการถูกแฮกอีเมลจากผู้ไม่หวังดี ซึ่งอาจใช้บัญชีของเราในการเข้าถึงข้อมูลส่วนบุคคล หรืออาจนำไปใช้ในการสร้างความเสียหายอื่นๆ ที่ไม่คาดคิดได้

อ้างอิง

 1. https://www.thaicert.or.th/papers/general/2012/pa2012ge005.html
 2. https://myaccount.google.com
 3. https://www.thaicert.or.th/papers/general/2013/pa2013ge005.html
 4. https://account.microsoft.com
Clear