Default Password กับภัยอันตรายมากกว่าที่คิด
By Arnon Puitrakul - 16 กรกฎาคม 2025
หลาย ๆ ครั้งที่เราซื้ออุปกรณ์ใหม่เข้ามา เรามักจะคาดหวังว่า เราน่าจะ Setup เล็ก ๆ น้อย ๆ แปบเดียว แล้วสามารถใช้งานได้เลย กลายเป็นว่า การตั้งค่า Password สำหรับการเข้าควบคุมเครื่องยังคงใช้ Default Password เฉยเลย เชื่อมั้ยว่า เรื่องเล็ก ๆ แค่นี้แหละ สร้างความชิบหายระดับประเทศกันได้แล้ว
Default Password น่ากลัวกว่าที่คิด
Default Password หรือ Password ที่เป็นค่าเริ่มต้นสำหรับอุปกรณ์ต่าง ๆ บางตัวอาจจะเป็น admin หรือ 1234 อะไรก็ว่ากันไปที่มันใส่มาในอุปกรณ์ และ Software ต่าง ๆ เยอะแยะมากมายเต็มไปหมด แน่นอนว่ามันเป็นสิ่งที่เมื่อเหล่า Hacker เห็น ก็คือ รูดปาก ร้องหวานเจี๊ยบกันเป็นแถวแน่นอน เพราะมันเหมือนเราล๊อคประตูบ้าน แต่เราเอากุญแจเสียบคาไว้แบบนั้นเลย
หากเรามองอุปกรณ์ในบ้านของเรา Router อินเตอร์เน็ตที่มากับผู้ให้บริการอินเตอร์เน็ตส่วนใหญ่ ก็ไม่ได้มีการตั้งรหัสผ่านใหม่กันเลย เราสามารถใช้ Default Password เพื่อเข้าตั้งค่าได้เลย ความพีคคือ มันมีการโจมตีบางอย่าง เพื่อแปลงร่าง Router ของเรา ให้กลายเป็น Botnet เพื่อไปโจมตีคนอื่นได้ด้วยนะ และเหตุการณ์นี้เคยเกิดขึ้นมาแล้ว ตัวอย่างที่โดนกันฉ่ำ ๆ คือ Mirai Botnet ที่มุ่งเป้าโจมตีอุปกรณ์ IoT ที่ไม่ยอมเปลี่ยน Default Username/Password โดยสามารถเข้าควบคุมอุปกรณ์ได้ถึง 6 แสนตัวกันเลยทีเดียว ผลก็คือ การนำไปใช้โจมตีแบบ DDoS ถึง 1 Tbps ที่ทำให้ผู้ให้บริการรายใหญ่ ๆ อย่าง Twitter และ Netflix แตกกันยับ ๆ
หรืออีกเรื่องที่เกิดขึ้นจริงเมื่อหลายปีก่อนหน้านี้คือ iPhone ที่ผ่านการ Jailbreak มันดันเปิดช่องทางสำหรับการ SSH เข้าไป โดยตั้งค่า Default Password ว่า "alpine" ก็คือเรียกว่า อ้าขารออ่อยเลยละ เพราะเมื่อเรา Jailbreak iPhone ไปเท่ากับว่า เราสามารถเข้าถึง Root หรือสิทธิ์สูงสุดของเครื่องได้ และ Default Password นี้เป็นของ Root เจ้าค่ะ ก็คือ ถ้าเข้าได้ เท่ากับว่า ยึดเครื่องโดยสมบูรณ์จะเอาไปทำอะไรต่อก็ได้ละ
สูงขึ้นมาอีกหน่อย ในระดับองค์กร Hacker สามารถใช้ Default Password ของอุปกรณ์ Network เพื่อเปลี่ยนการตั้งค่าการเข้าถึง ทำให้ Hacker สามารถเดินเข้าสู่เครือข่ายของเราได้อย่างง่ายดาย โดยเราไม่รู้ตัวเลย และเขาอาจจะใช้มันเป็นจุดเริ่มต้นของการปล่อย Ransomware เข้าสู่เครือข่ายทำให้ข้อมูลที่เราเก็บไว้ภายในอาจจะโดนเข้ารหัสจนหมดเลยก็เป็นได้เหมือนกัน
หรืออันที่เด็ดสุด ๆ คือ Stuxnet ลองไปหาอ่านเพิ่มเติมดูได้ เป็นงาน Malware ที่น่ากลัวมาก ๆ ใช้ Zero-day หลายตัวสุด ๆ คาดมุ่งเป้าไปที่การโจมตีโครงการนิวเคลียร์ของอิหร่าน แต่จุดที่มันเกี่ยวข้องกับ Default Password คือมันพุ่งเป้าไปที่การโจมตีระบบควบคุมของ Siemens โดยเมื่อมันหา Controller เจอมันจะทดลองเข้าควบคุมระบบด้วยการใช้ Default Password ของ Controller
อย่างที่เรายกตัวอย่างไปทั้งหมดนี้ เราจะเห็นว่า การใช้ Default Password น่ากลัวกว่าที่เราคิดมาก ๆ มันส่งผลกระทบได้ตั้งแต่ในระดับครัวเรือน ลามไปถึงระดับองค์กรขนาดใหญ่ จนไปถึงโครงการนิวเคลียร์ของอิหร่านได้เลยทีเดียว
ทำไมผู้ผลิตถึงยอมปล่อยให้มี Default Password อยู่
เราจะเห็นว่า การที่เราใช้งาน Default Password มันน่ากลัวมาก ๆ ถามว่า ทำไมผู้ผลิต Software และอุปกรณ์ต่าง ๆ ถึงยังยอมปล่อยให้มีสิ่งนี้เกิดขึ้นอยู่เรื่อย ๆ เราเลยลองไปหาข้อมูล และสอบถามคนที่ออกแบบอุปกรณ์บางประเภท หลัก ๆ เราได้เหตุผลทั้งหมด 3 เรื่องดังนี้
เหตุผลที่ 1 คือ ผู้ผลิตขาด แนวคิดการออกแบบ Secure-by-design มาตั้งแต่แรก หรือพูดง่าย ๆ คือ ผู้ผลิตไม่ได้ให้ความสำคัญกับการออกแบบ Software หรืออุปกรณ์อย่างปลอดภัย ซึ่งอาจจะเกิดจากความไม่รู้ หรืออาจจะทำเพื่อเป็นการลดขั้นตอนการผลิตและต้นทุนก็เป็นได้
เหตุผลที่ 2 คือ อุปกรณ์อาจจะมีการใช้ Software ที่เก่า หรือไม่สามารถแก้ไขได้ ทำให้ผู้ผลิตเสมือนจำยอมว่า เราก็ต้องใช้แบบนี้ต่อไป ส่วนใหญ่ที่เราจะเจอลักษณะนี้คือ บริษัทที่เน้นการผลิต Hardware เป็นหลัก และพึ่ง Software จากข้างนอก ซึ่งเขาอาจจะมี Bargining Power ในการไปดีลให้บริษัท Software ทำระบบให้ปลอดภัยมากกว่านี้
เหตุผลที่ 3 คือ มีความต้องการให้สามารถ Setup ได้ง่าย การเพิ่มขั้นตอนการสร้างรหัสผ่านใหม่ มันทำให้การ Setup อุปกรณ์ครั้งแรกยุ่งยากมากขึ้นกว่าเดิม เช่นกลุ่มอุปกรณ์ที่ใช้งานตามบ้าน ผู้ใช้ส่วนใหญ่ ไม่ค่อยชอบการตั้งรหัสผ่านอุปกรณ์สักเท่าไหร่ หรือกระทั่งในองค์กรที่จะต้อง Onboarding อุปกรณ์จำนวนมาก ๆ เป็นชุดพร้อม ๆ กัน การมีขั้นตอนสร้างรหัสผ่านขึ้นมาเพิ่ม ถือว่าเป็นการเพิ่มความยุ่งยากเป็นอย่างมากเลยทีเดียว
เราจะมีกลไกอย่างไร เพื่อป้องกันการใช้งาน Default Password
หากเราเป็นผู้ผลิต Software และ Hardware เราจะมีวิธีการป้องกันไม่ให้ผู้ใช้ของเราใช้ Default Password ได้อย่างไร เราขอยกตัวอย่าง 2 วิธีการง่าย ๆ
วิธีที่ 1 คือ การสร้างรหัสผ่านเฉพาะของแต่ละเครื่องไปเลย จากเดิมที่เราใช้รหัสเดิม ๆ ทุกอุปกรณ์ที่ผลิต เราแค่สร้างรหัสผ่านเฉพาะใส่เข้าไปในแต่ละเครื่อง และอาจจะแปะเอาไว้ที่ใต้เครื่องก็ได้
วิธีที่ 2 คือ บังคับให้ผู้ใช้สร้างรหัสผ่านเมื่อเข้าใช้งานครั้งแรก วิธีการนี้คือ เราพยายามบังคับให้การเปลี่ยนรหัสผ่านเป็นขั้นตอนพื้นฐานสำหรับการใช้งานอุปกรณ์ไปเลย
และหากเราเป็นผู้ใช้งานอุปกรณ์ การมี Onboarding Protocol สำหรับการนำอุปกรณ์และ Software ต่าง ๆ เข้ามาใช้งาน และ การ Audit อย่างสม่ำเสมอ สามารถลดการมีอยู่ของอุปกรณ์ที่ไม่ผ่านการตั้งค่าระบบรักษาความปลอดภัยอย่างเหมาะสมได้ นั่นช่วยลด Attack Surface ที่อาจจะใช้เป็นช่องทางสำคัญสำหรับการเข้าโจมตีของ Hacker ได้ดีมาก ๆ เลยทีเดียว



