สมัยผมเรียน มีวิชาหนึ่งต้องล็อกอินเข้าเซิร์ฟเวอร์เพื่อทำงาน แต่เซิร์ฟเวอร์สามารถส่งข้อความถึงกันเองได้ ทำให้รบกวนเพื่อนตอนทำงานเพราะหน้าจอเต็มไปด้วยข้อความของเพื่อนคนอื่นๆ
อาจารย์สั่งให้ปิดฟีเจอร์รับข้อความนี้เสีย หลายคนเล่นง่ายด้วยการส่งข้อความหาเพื่อนทุกคนแล้วบอกว่า “อย่าส่งข้อความมา”
ความปลอดภัยในโลกความเป็นจริงคงไม่ต่างจากนี้ ผู้ใช้ต้องการใช้งานในรูปแบบที่ตัวเองใช้งานอยู่ โดยไม่ได้สนใจว่ามีวิธีใช้งาน “ที่ควรเป็น” หรือไม่ ถ้ามันทำงานได้ เขาจะทำแบบนั้น
การโทษผู้ใช้ว่าทำแบบนี้แล้วไม่ปลอดภัยก็คงโทษได้ แต่สุดท้ายมันก็ไม่ได้อะไรขึ้นมา เราอาจจะต้องอาศัยแนวคิด บังคับให้ปลอดภัย
- เว็บเมลบังคับเข้ารหัสเป็นจุดเริ่มที่ดี แอพแชตทั้งหลายก็เริ่มเข้ารหัสเป็นธรรมดาแล้ว
- เบราว์เซอร์ในอนาคตอาจจะต้องมี SSL Enforcer เปิดมาในตัวเสมอ และหากใช้งานไม่ได้จะกลายเป็นความผิดของเว็บ
- HTTP2.0 เข้ารหัสโดยไม่ต้องถามล่วงหน้า เข้ารหัสให้มากที่สุดเท่าที่เป็นไปได้
- เว็บในอนาคตอาจจะต้องมี password generator ให้บริการ password 6 ตัวแรกสุ่มให้จากเว็บ เพื่อรับประกันว่าจะได้รหัสผ่านที่ปลอดภัยเสมอ
- แอพแชตอาจจะต้องบังคับแชตได้ไม่เกิน 3 วันก่อนจะต้องแลก public key เพื่อยืนยันตัวตน
เราทำกระบวนการเหล่านี้ให้กลายเป็นเรื่องธรรมดา เป็นสิ่งที่ต้องทำ วันหนึ่งโลกอาจจะปลอดภัยเป็นค่ามาตรฐาน