Playlist
  • ผู้มีประสบการณ์ด้านการรักษาความปลอดภัยทางออนไลน์?

    แนวทางขั้นสูงในการเพิ่มพูนทักษะของคุณในการป้องกันตัวเองจากการถูกสอดส่อง

    ขอแสดงความยินดี! คุณได้ดำเนินการตามขั้นตอนต่างๆ ในการเพิ่มความปลอดภัยของการติดต่อสื่อสารทางออนไลน์ของคุณแล้ว ในตอนนี้ คุณคงต้องการก้าวสู่ระดับถัดไป และคุณสามารถทำได้ด้วยรายการบทช่วยสอนนี้ คุณจะได้เรียนรู้เกี่ยวกับวิธีการทำความเข้าใจกับภัยคุกคามของคุณ การระบุตัวตนของผู้ที่คุณกำลังติดต่อสื่อสารด้วย และเพิ่มเครื่องมือใหม่ๆ ในรายการของคุณ

  • การประเมินความเสี่ยง

    การพยายามปกป้องข้อมูลทั้งหมดของคุณจากทุกคนอยู่ตลอดเวลาเป็นสิ่งที่ทำได้ยากในความเป็นจริงและน่าเหนื่อยหน่าย แต่ไม่ต้องกลัว! การรักษาความปลอดภัยเป็นกระบวนการอย่างหนึ่ง และการวางแผนอย่างพิถีพิถันจะทำให้คุณสามารถใช้งานได้อย่างเหมาะสม การรักษาความปลอดภัยไม่เกี่ยวข้องกับเครื่องมือที่ใช้หรือซอฟต์แวร์ที่ดาวน์โหลด การรักษาความปลอดภัยเริ่มต้นจากการทำความเข้าใจภัยคุกคามที่คุณพบเจอซึ่งมีลักษณะแตกต่างกันออกไป และวิธีที่คุณจะสามารถรับมือกับภัยเหล่านั้น

    สำหรับการรักษาความปลอดภัยของคอมพิวเตอร์ ภัยคุกคามจะมาในรูปของสถานการณ์ที่มีโอกาสสร้างความเสียหายให้กับความพยายามที่คุณจะป้องกันข้อมูลของตัวเอง คุณสามารถรับมือกับภัยคุกคามที่เจอได้โดยกำหนดหาว่าคุณต้องการปกป้องสิ่งใดและปกป้องสิ่งนั้นจากใคร กระบวนการนี้เรียกว่า “การจัดรูปแบบภัยคุกคาม”

    คู่มือนี้จะสอนวิธีจัดรูปแบบภัยคุกคาม หรือวิธีประเมินความเสี่ยงที่มีโอกาสเกิดขึ้นกับข้อมูลดิจิทัลของคุณและวิธีกำหนดหาแนวทางแก้ไขที่ดีที่สุดสำหรับคุณ

    ลักษณะของการจัดรูปแบบภัยคุกคาม สมมุติว่าคุณต้องการรักษาบ้านช่องและทรัพย์สินที่มีให้ปลอดภัย ต่อไปนี้คือคำถามบางข้อที่คุณอาจต้องหาคำตอบ:

    • ทรัพย์สินใดในบ้านที่มีค่าควรปกป้อง
      • ทรัพย์สินในที่นี้ได้แก่: เครื่องประดับ เครื่องใช้อิเล็กทรอนิกส์ เอกสารด้านการเงิน หนังสือเดินทาง หรือภาพถ่ายต่าง ๆ
    • คุณปกป้องทรัพย์สินเหล่านี้จากใคร
      • ผู้ไม่หวังดีในที่นี้ได้แก่: โจรขโมย เพื่อนร่วมห้อง หรือแขก
    • มีความเป็นไปได้มากน้อยแค่ไหนที่ฉันต้องปกป้องทรัพย์สิน
      • ในละแวกที่อยู่อาศัยมีประวัติของการเกิดเหตุโจรกรรมหรือไม่ เพื่อนร่วมห้อง/แขกที่มาเยี่ยมไว้วางใจได้มากน้อยแค่ไหน ผู้ไม่หวังดีมีความสามารถในด้านใด ความเสี่ยงใดบ้างที่ควรพิจารณา
    • ผลลัพธ์มีความร้ายแรงมากน้อยแค่ไหนถ้าป้องกันไม่สำเร็จ
      • ทรัพย์สินใดบ้างในบ้านที่หายไปแล้วไม่สามารถหามาทดแทนได้ มีเวลาหรือเงินทองที่จะสามารถทดแทนทรัพย์สินเหล่านี้หรือไม่ มีประกันคุ้มครองทรัพย์สินที่ถูกขโมยจากบ้านที่อยู่อาศัยหรือไม่
    • มีความเต็มใจมากน้อยแค่ไหนที่จะพยายามจัดการปัญหาต่าง ๆ เพื่อป้องกันไม่ให้ผลลัพธ์เหล่านี้เกิดขึ้น
      • ยินดีที่จะซื้อที่เซฟนิรภัยเพื่อเก็บเอกสารสำคัญหรือไม่ มีความสามารถที่จะซื้อตัวล็อคคุณภาพสูงหรือไม่ มีเวลาที่จะเปิดบัญชีตู้นิรภัยกับธนาคารในพื้นที่เพื่อฝากของมีค่าหรือไม่

    เมื่อถามคำถามเหล่านี้กับตัวเองแล้ว คุณจะมาถึงขั้นตอนของการประเมินว่าจะใช้วิธีการใด หากทรัพย์สินของคุณเป็นสิ่งของมีค่า แต่มีความเสี่ยงต่ำที่สิ่งของดังกล่าวจะถูกลักขโมย ในกรณีดังกล่าวคุณอาจไม่ต้องการลงทุนที่จะซื้อตัวล็อคที่มีราคาสูงมากนัก แต่ถ้ามีความเสี่ยงสูง คุณจะต้องใช้ตัวล็อคที่ดีที่สุดที่มีจำหน่ายในตลาด และอาจพิจารณาเพิ่มระบบการรักษาความปลอดภัยด้วย

    การสร้างรูปแบบภัยคุกคามช่วยให้คุณเข้าใจภัยคุกคามแบบเฉพาะที่เผชิญอยู่  ทรัพย์สินมีค่าที่คุณมี ผู้ไม่หวังดี ขีดความสามารถของผู้ไม่หวังดี และความเสี่ยงที่มีโอกาสเกิดขึ้น

    การจัดรูปแบบภัยคุกคามคืออะไรและจะเริ่มจากจุดใด Anchor link

    การจัดรูปแบบภัยคุกคามช่วยคุณระบุหาภัยคุกคามที่มีต่อทรัพย์สินมีค่าและกำหนดหาว่าคุณต้องปกป้องทรัพย์สินมีค่าเหล่านั้นจากใคร เมื่อสร้างรูปแบบภัยคุกคาม ให้ตอบคำถามห้าข้อต่อไปนี้:

    1. คุณต้องการปกป้องสิ่งใด
    2. คุณปกป้องทรัพย์สินเหล่านี้จากใคร
    3. ผลลัพธ์มีความร้ายแรงมากน้อยแค่ไหนถ้าป้องกันไม่สำเร็จ
    4. มีความเป็นไปได้มากน้อยแค่ไหนที่คุณต้องปกป้องทรัพย์สินดังกล่าว
    5. คุณเต็มใจมากน้อยแค่ไหนที่จะพยายามจัดการปัญหาต่าง ๆ เพื่อป้องกันไม่ให้ผลลัพธ์ที่มีโอกาสเกิดขึ้นเกิดขึ้นได้

    มาดูคำถามแต่ละข้อเหล่านี้กันแบบละเอียดกัน

     

    คุณต้องการปกป้องสิ่งใด

    ทรัพย์สิน” คือสิ่งมีค่าและเป็นสิ่งที่คุณต้องการรักษาปกป้อง ในแง่ของการรักษาความปลอดภัยในทางดิจิทัล โดยปกติทรัพย์สินหมายถึงข้อมูลบางอย่าง ตัวอย่างเช่น อีเมล รายชื่อผู้ติดต่อ ข้อความสนทนา ข้อมูลด้านตำแหน่งที่ตั้ง และไฟล์ต่าง ๆ ถือได้ว่าเป็นทรัพย์สินมีค่าของคุณ นอกจากนี้ อุปกรณ์ของคุณยังถือเป็นทรัพย์สินด้วย

    จัดทำรายการทรัพย์สินของคุณ: ข้อมูลที่คุณเก็บรักษา สถานที่เก็บรักษาทรัพย์สิน บุคคลที่สามารถเข้าถึงทรัพย์สิน และสิ่งที่จะยับยั้งไม่ให้บุคคลอื่นเข้าถึงทรัพย์สินดังกล่าวได้

     

    คุณปกป้องทรัพย์สินเหล่านี้จากใคร

    เพื่อให้สามารถตอบคำถามนี้ได้ สิ่งสำคัญคือต้องระบุหาว่าใครคือบุคคลที่พุ่งเป้าไปที่ตัวคุณหรือข้อมูลของคุณ บุคคลหรือองค์กรที่เป็นภัยคุกคามhttps://lh6.googleusercontent.com/cAcf0iIY4hnHYiAYNq32LS7VDaO-XjdQfRdntNPkq2klHNSSZEBwlSeyHZxjYHQBst1YYexVP7wSno94BY3F9kWd8Pms6nDKUg8rVVwAXSQZJPJcyYT-IQVEe0re6kcgTXuWKWuyต่อทรัพย์สินของคุณ ถือเป็น “ผู้ไม่หวังดี” ตัวอย่างที่อาจถือเป็นผู้ไม่หวังดี ได้แก่ เจ้านายของคุณ อดีตพาร์ทเนอร์ของคุณ คู่แข่งทางธุรกิจ รัฐบาล หรือแฮ็คเกอร์ที่อยู่ในเครือข่ายสาธารณะ

    จัดทำรายชื่อของผู้ไม่หวังดี หรือรายชื่อของบุคคลที่อาจต้องการเข้าถือครองทรัพย์สินของคุณ สามารถรวมข้อมูลของบุคคล หน่วยงานรัฐบาล หรือองค์กรไว้ในรายชื่อได้

    [คำเตือน]: ทั้งนี้ขึ้นอยู่กับว่าใครคือผู้ไม่หวังดีของคุณ ในบางสถานการณ์คุณอาจต้องการทำลายรายชื่อนี้หลังจากจัดรูปแบบภัยคุกคามเสร็จเรียบร้อยแล้ว

     

    ผลลัพธ์มีความร้ายแรงมากน้อยแค่ไหนถ้าป้องกันไม่สำเร็จ

    มีหลายวิธีที่ผู้ไม่หวังดีสามารถทำให้ข้อมูลของคุณตกอยู่ในอันตรายได้ ตัวอย่างเช่น ผู้ไม่หวังดีสามารถอ่านข้อความการติดต่อสื่อสารส่วนตัวของคุณ เมื่อพวกเขาผ่านเข้ามาในเครือข่าย หรือสามารถลบหรือสร้างความเสียหายให้เกิดขึ้นกับข้อมูลของคุณได้

    จุดมุ่งหมายของผู้ไม่หวังดีแตกต่างกันออกไปอย่างมาก รวมถึงการโจมตีที่พวกเขาใช้ด้วยเช่นกัน รัฐบาลที่พยายามป้องกันไม่ให้วิดีโอที่แสดงความรุนแรงของตำรวจแพร่กระจายออกไป อาจเพียงแค่ลบหรือลดความสามารถในการใช้งานของวิดีโอดังกล่าวเท่านั้น ในทางกลับกัน ฝ่ายตรงข้ามทางการเมืองอาจต้องการเข้าถึงเนื้อหาที่เป็นความลับและเผยแพร่เนื้อหาดังกล่าวโดยไม่ให้คุณรู้ตัว

    การจัดรูปแบบภัยคุกคามเกี่ยวข้องกับการทำความเข้าใจระดับความเสียหายของผลลัพธ์ที่สามารถเกิดขึ้นได้ หากผู้ไม่หวังดีโจมตีหนึ่งในทรัพย์สินของคุณได้สำเร็จ ในการกำหนดหาข้อมูลนี้ คุณควรพิจารณาขีดความสามารถhttps://lh4.googleusercontent.com/d2BbGqdnGllk7EX-Stj1Hqn_vPieQ9t8XSl6OmZhofcc9XjwI-Yp1GJ2PlxuFVZs5eMJWI-oQOFkUZNV-2RjgRmuy03z7hM2gD8C7OB_i4b9GrOdzFPvTaT9mggnBN2HxCFl7_8Bของผู้ไม่หวังดี ตัวอย่างเช่น ผู้ให้บริการมือถือของคุณสามารถเข้าถึงประวัติการใช้งานของคุณทั้งหมด และสิ่งนั้นทำให้พวกเขามีขีดความสามารถที่จะสร้างความเสียหายให้กับคุณได้โดยใช้ข้อมูลดังกล่าว แฮ็คเกอร์ที่อยู่ในเครือข่าย Wi-Fi แบบเปิด สามารถเข้าถึงข้อมูลการสื่อสารที่ไม่มีการเข้ารหัสได้ รัฐบาลของคุณอาจมีขีดความสามารถที่เหนือกว่า

    ระบุว่าผู้ไม่หวังดีอาจต้องการใช้ข้อมูลส่วนตัวของคุณเพื่อทำสิ่งใด

     

    มีความเป็นไปได้มากน้อยแค่ไหนที่คุณต้องปกป้องทรัพย์สินดังกล่าว

    ความเสี่ยงคือความเป็นไปได้ที่ภัยคุกคามบางอย่างที่มีต่อทรัพย์สินจะมีโอกาสเกิดขึ้นจริง ความเสี่ยงจะควบคู่ไปกับขีดความสามารถ ขณะที่ผู้ให้บริการโทรศัพท์มือถือมีขีดความสามารถในการเข้าถึงข้อมูลทั้งหมดของคุณ แต่ความเสี่ยงในการที่พวกเขาจะโพสต์ข้อมูลส่วนตัวของคุณออนไล์เพื่อสร้างความเสียหายให้กับชื่อเสียงของคุณมีอยู่ในระดับต่ำ

    การแยกแยะระหว่างภัยคุกคามและความเสี่ยงเป็นสิ่งสำคัญ ขณะที่ภัยคุกคามคือสิ่งเลวร้ายที่สามารถเกิดขึ้น แต่ความเสี่ยงคือความเป็นไปได้ที่ภัยคุกคามจะมีโอกาสเกิดขึ้น ตัวอย่างเช่น มีภัยคุกคามที่ตึกของคุณอาจพังทลายลงมา แต่มีความเสี่ยงที่ภัยคุกคามนี้จะเกิดขึ้นในซาน ฟรานซิสโก (เมืองที่มีแผ่นดินไหวเกิดขึ้นบ่อย) มากกว่าที่จะเกิดขึ้นในสต็อกโฮล์ม (เมืองที่ไม่มีแผ่นดินไหวเกิดขึ้นบ่อย)

    การทำการวิเคราะห์ความเสี่ยงhttps://lh3.googleusercontent.com/zWjUeUhYYw4hRVXy6w8A3H_KyX14ZzrE_CBK4uC-Q2EEOwJhwzzzGAG6_qCR2kqoO4qtit474RFuvVO680Tz1gZid1QuMOvzer5BykkTICobsEUzqO7e1vfihKRgF-ubHQ3NBId3เป็นกระบวนการส่วนตัวและตามความรู้สึกส่วนตัว เราทุกคนต่างให้ความสำคัญในสิ่งที่แตกต่างกันออกไปหรือมองเห็นภัยคุกคามในมุมมองที่ต่างกันออกไป หลาย ๆ คนมองว่าภัยคุกคามบางอย่างยอมรับไม่ได้ ไม่ว่าจะมีความเสี่ยงหรือไม่ เนื่องจากการปรากฏขึ้นของภัยคุกคามไม่ว่าจะมีความเป็นไปได้มากน้อยแค่ไหนจะไม่คุ้มกับความเสียหายที่จะเกิดขึ้น ส่วนในกรณีอื่น ๆ ผู้คนอาจไม่ใส่ใจต่อความเสี่ยงที่มีโอกาสเกิดขึ้่นในระดับสูง เนื่องจากพวกเขาไม่ได้มองว่าภัยคุกคามดังกล่าวเป็นปัญหา

    ระบุว่าภัยคุกคามใดที่คุณจะใส่ใจอย่างจริงจัง และภัยคุกคามใดที่มีโอกาสเกิดขึ้นน้อยมากหรือไม่ส่งผลเสียมากนัก (หรือยากเกินไปที่จะต่อสู้ด้วย) ที่จะต้องกังวล

     

    คุณเต็มใจมากน้อยแค่ไหนที่จะพยายามจัดการปัญหาต่าง ๆ เพื่อป้องกันไม่ให้ผลลัพธ์ที่มีโอกาสเกิดขึ้นเกิดขึ้นได้

    ในการตอบคำถามนี้จำเป็นต้องมีการทำการวิเคราะห์ความเสี่ยง เราทุกคนต่างให้ความสำคัญในสิ่งที่แตกต่างกันออกไปหรือมองเห็นภัยคุกคามในมุมมองที่ต่างกันออกไป

    ตัวอย่างเช่น ทนายความที่เป็นตัวแทนว่าความให้ลูกความในคดีการรักษาความปลอดภัยในประเทศจะให้ความสำคัญต่อการปกป้องข้อมูลการติดต่อสื่อสารเกี่ยวกับคดีดังกล่าวโดยใช้อย่างเช่นอีเมลที่มีการเข้ารหัส มากกว่าคุณแม่ที่ส่งอีเมลวิดีโอแมวตลก ๆ ให้ลูกสาวอยู่ประจำ

    ระบุตัวเลือกที่คุณสามารถใช้ได้ เพื่อช่วยบรรเทาภัยคุกคามบางอย่างเฉพาะ หมายเหตุไว้หากคุณมีความขัดข้องทางการเงิน ทางเทคนิค หรือทางสังคม

    การใช้การจัดรูปแบบภัยคุกคามเป็นแนวทางปฏิบัติอย่างสม่ำเสมอ Anchor link

    โปรดทราบว่ารูปแบบภัยคุกคามสามารถเปลี่ยนแปลงได้ตามสถานการณ์ที่เปลี่ยนแปลงไป ดังนั้นการประเมินการจัดรูปแบบภัยคุกคามบ่อยครั้งสม่ำเสมอถือเป็นแนวทางปฏิบัติที่ดี

    [เคล็ดลับ]: สร้างรูปแบบภัยคุกคามของตัวเอง ตามสถานการณ์ที่แตกต่างออกไปของตัวเอง จากนั้นกำหนดวันที่ที่จะดำเนินการในอนาคตลงในปฏิทิน วิธีนี้จะช่วยเตือนให้คุณตรวจทบทวนรูปแบบภัยคุกคามและกลับมาตรวจสอบเพื่อประเมินว่ารูปแบบดังกล่าวยังใช้ได้ดีกับสถานการณ์ของคุณหรือไม่

    อัปเดตครั้งล่าสุด: 
    2017-09-07
    This page was translated from English. The English version may be more up-to-date.
  • เลือกเครื่องมือของคุณ

    เครื่องมือดิจิทัลทั้งหมด ไม่ว่าจะเป็นฮาร์ดแวร์หรือซอฟต์แวร์ ควรที่จะมีความปลอดภัย คือเครื่องมือเหล่านี้ควรป้องกันคุณจากการถูกสอดส่อง และไม่ให้คนอื่นๆ มาควบคุมอุปกรณ์ของคุณได้ น่าเสียดาย ที่เครื่องมือเหล่านี้ยังไม่สามารถทำได้ในปัจจุบัน สำหรับกิจกรรมมากมายบนโลกดิจิทัล คุณอาจต้องลงเลยด้วยการหาโปรแกรมหรืออุปกรณ์ที่ได้รับออกแบบมาสำหรับการรักษาความปลอดภัยที่เฉพาะเจาะจง ตัวอย่างที่เราใช้ในแนวทางนี้ ได้แก่ซอฟต์แวร์ที่ช่วยให้คุณเข้ารหัสข้อความหรือไฟล์ของคุณได้ อย่างเช่น PGP

    แต่เนื่องจากมีบริษัทและเว็บไซต์จำนวนมากที่เสนอโปรแกรมหรือฮาร์ดแวร์การรักษาความปลอดภัย แล้วคุณจะเลือกโปรแกรมหรือฮาร์ดแวร์ที่เหมาะสมสำหรับคุณได้อย่างไร?

    การรักษาความปลอดภัยเป็นเรื่องของกระบวนการ ไม่ใช่เรื่องของการซื้อ Anchor link

    ข้อแรกที่คุณต้องจำ ก่อนที่จะเปลี่ยนซอฟต์แวร์ที่คุณใช้ หรือซื้อเครื่องมือใหม่ๆ ก็คือ ไม่มีเครื่องมือใดที่สามารถป้องกันคุณจากการถูกสอดส่องได้อย่างสมบูรณ์แบบ ในทุกสถานการณ์ การใช้ซอฟต์แวร์การเข้ารหัสโดยทั่วไปจะทำให้คนอื่นๆ อ่านการติดต่อสื่อสารของคุณ หรือค้นหาไฟล์ในเครื่องคอมพิวเตอร์ของคุณได้ยากขึ้น แต่ผู้โจมตีการรักษาความปลอดภัยบนโลกดิจิทัลของคุณมักจะหาองค์ประกอบที่เป็นจุดอ่อนมากที่สุดของวิธีการรักษาความปลอดภัยของคุณได้เสมอ เมื่อคุณซื้อเครื่องมือรักษาความปลอดภัยใหม่ คุณควรคิดว่า การใช้งานเครื่องมือนั้นอาจส่งผลกระทบต่อวิธีการอื่นๆ ที่ผู้ไม่หวังดีมุ่งเป้ามาที่คุณได้อย่างไรบ้าง ตัวอย่างเช่น ถ้าคุณตัดสินใจใช้โปรแกรมการรับส่งข้อความอย่างปลอดภัย เพื่อคุยกับผู้ติดต่อ เนื่องจากคุณทราบว่าโทรศัพท์ของคุณอาจโดนแฮก แต่ข้อเท็จจริงที่ว่าคุณกำลังใช้โปรแกรมนี้ ก็อาจเป็นการบอกผู้ไม่หวังดีเป็นนัยๆ ว่าคุณกำลังพูดคุยเกี่ยวกับข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับ

    ข้อที่สองคือ จดจำโมเดลภัยคุกคามของคุณ คุณไม่จำเป็นต้องซื้อระบบโทรศัพท์ที่เข้ารหัสได้ ซึ่งอ้างว่าสามารถ "ป้องกันการสอดส่องของ NSA ได้" และมีราคาแพง ถ้าภัยคุกคามที่ใหญ่ที่สุดของคุณคือ การถูกสอดส่องทางกายภาพจากนักสืบเอกชน ที่ไม่มีสิทธิเข้าถึงเครื่องมือการสอดส่องทางอินเทอร์เน็ต หรืออีกทางหนึ่ง หากรัฐบาลในประเทศของคุณสั่งจำขังผู้ที่มีความเห็นไม่ลงรอยกับรัฐบาลอยู่เป็นประจำ เนื่องจากทางรัฐบาลใช้เครื่องมือการเข้ารหัส ก็ดูสมเหตุสมผลหากคุณจะใช้กลอุบายที่เรียบง่ายกว่า เช่นการใช้ชุดของรหัสที่ได้ตกลงกันไว้ล่วงหน้า แทนที่จะเสี่ยงต่อการทิ้งหลักฐานว่าคุณใช้ซอฟต์แวร์การเข้ารหัสไว้บนแล็ปท็อปของคุณ

    นอกเหนือจากวิธีการเหล่านี้ ยังมีคำถามที่คุณสามารถสอบถามเกี่ยวกับเครื่องมือ ก่อนที่จะดาวน์โหลด ซื้อ หรือใช้งานเครื่องมือนั้น

    เครื่องมือนั้นมีความโปร่งใสแค่ไหน? Anchor link

    ถึงแม้ว่าการรักษาความปลอดภัยบนโลกดิจิทัลโดยส่วนใหญ่จะเป็นเรื่องของการเก็บความลับ ในกลุ่มนักวิจัยด้านความปลอดภัยมีความเชื่อกันว่า การเปิดเผยและความโปร่งใสจะสามารถนำไปสู่เครื่องมือที่มีความปลอดภัยมากขึ้น

    ซอฟต์แวร์จำนวนมากที่ชุมชนการรักษาความปลอดภัยบนโลกดิจิทัลใช้งานและแนะนำให้ผู้อื่นใช้ เป็นซอฟต์แวร์โอเพนซอร์สและฟรี ซึ่งกล่าวได้ว่าโค้ดที่กำหนดวิธีการทำงานของซอฟต์แวร์ดังกล่าวได้เปิดเผยต่อสาธารณะ เพื่อให้คนอื่นๆ สามารถตรวจสอบ แก้ไข และแชร์กันได้ ในการเปิดเผยวิธีการทำงานของโปรแกรม ผู้สร้างเครื่องมือเหล่านี้ได้เชิญให้คนอื่นๆ ช่วยมองหาข้อบกพร่องด้านความปลอดภัย และช่วยปรับปรุงโปรแกรมให้ดียิ่งขึ้น

    ซอฟต์แวร์เสรีเปิดโอกาสสำหรับการรักษาความปลอดภัยที่ดียิ่งขึ้น แต่ไม่ได้รับประกันเรื่องความปลอดภัย ข้อได้เปรียบของโอเพนซอร์สส่วนหนึ่งขึ้นอยู่กับว่าชุมชนของนักเทคโนโลยีต้องลงมือตรวจสอบโค้ดอย่างจริงจัง ซึ่งสำหรับโครงการเล็กๆ (และแม้แต่โครงการซึ่งเป็นที่นิยม แต่มีความซับซ้อน) อาจเป็นเรื่องยากที่จะบรรลุผล เมื่อคุณพิจารณาที่จะใช้เครื่องมือ ให้ดูว่าเครื่องมือนั้นมีซอร์สโค้ดที่ใช้ได้หรือไม่ และซอร์สโค้ดดังกล่าวมีหน่วยงานหรือผู้ตรวจสอบความปลอดภัยอิสระที่ยืนยันคุณภาพในการรักษาความปลอดภัยของเครื่องมือนั้นหรือไม่ อย่างน้อยที่สุด ซอฟต์แวร์หรือฮาร์ดแวร์ควรมีคำอธิบายด้านเทคนิคโดยละเอียด ว่าซอฟต์แวร์หรือฮาร์ดแวร์นั้นทำงานอย่างไร เพื่อให้ผู้เชี่ยวชาญคนอื่นๆ สามารถตรวจสอบได้

    ผู้สร้างได้อธิบายถึงข้อดีและข้อเสียของเครื่องมือนั้นไว้อย่างชัดเจนเพียงใด? Anchor link

    ไม่มีซอฟต์แวร์หรือฮาร์ดแวร์ตัวใดที่มีความปลอดภัยเต็มร้อย ผู้สร้างหรือผู้ขายที่มีความซื่อสัตย์เกี่ยวกับข้อจำกัดของผลิตภัณฑ์ของพวกเขา จะช่วยให้คุณตัดสินใจได้ดีขึ้น ว่าแอปพลิเคชันของพวกเขาเหมาะสมสำหรับคุณหรือไม่

    อย่าหลงเชื่อคำแถลงที่ตีวงกว้าง ซึ่งบอกว่าโค้ดนั้น 'เป็นเกรดที่ใช้ทางการทหาร' หรือ 'ป้องกันการสอดส่องของ NSA ได้' เพราะคำแถลงนั้นไม่ได้มีความหมายอะไร และยังเป็นสัญญาณเตือนด้วยว่าผู้สร้างเชื่อมั่นในตัวเองมากเกินไป หรือไม่เต็มใจที่จะพิจารณาถึงโอกาสที่จะเกิดความล้มเหลวกับผลิตภัณฑ์ของพวกเขา

    เนื่องจากผู้โจมตีมักพยายามที่จะหาวิธีการใหม่ๆ ในการเจาะระบบความปลอดภัยของเครื่องมือ ดังนั้น จึงจำเป็นต้องอัปเดตซอฟต์แวร์และฮาร์ดแวร์บ่อยครั้ง เพื่อแก้ไขช่องโหว่ใหม่ๆ ที่เสี่ยงต่อการถูกโจมตี ข้อนี้อาจเป็นปัญหาร้ายแรง หากผู้สร้างเครื่องมือไม่เต็มใจที่จะทำดังกล่าว ไม่ว่าเนื่องจากพวกเขากลัวว่าจะเสียชื่อเสียง หรือเนื่องจากพวกเขาไม่ได้สร้างโครงสร้างพื้นฐานมาเพื่อแก้ไขปัญหา

    คุณไม่สามารถทำนายอนาคตได้ แต่ข้อบ่งชี้ที่ดีว่าผู้สร้างเครื่องมือจะทำตัวดีในอนาคตหรือไม่ ก็คือการกระทำในอดีตของพวกเขานั่นเอง ถ้าเว็บไซต์ของเครื่องมือแสดงรายการของปัญหาที่ผ่านๆ มา และลิงก์ไปยังการอัปเดตประจำ และมีข้อมูล อย่างเช่น ซอฟต์แวร์มีการอัปเดตครั้งล่าสุดเมื่อใด คุณก็สามารถเชื่อมั่นได้ว่าพวกเขาจะยังคงให้บริการนี้ต่อไปในอนาคต

    จะเกิดอะไรขึ้นหากผู้สร้างกลายเป็นผู้เจาะระบบเสียเอง? Anchor link

    เมื่อผู้สร้างเครื่องมือการรักษาความปลอดภัยได้พัฒนาซอฟต์แวร์และฮาร์ดแวร์ขึ้นมา พวกเขา (เช่นเดียวกันกับคุณ) ต้องมีโมเดลภัยคุกคามที่ชัดเจน ผู้สร้างที่ดีที่สุดจะอธิบายไว้ในเอกสารของพวกเขาอย่างชัดแจ้ง ว่าพวกเขาสามารถป้องกันคุณจากผู้โจมตีประเภทใดได้บ้าง

    แต่มีผู้โจมตีอยู่ประเภทหนึ่งที่ผู้ผลิตทั้งหลายไม่อยากจะนึกถึง จะเกิดอะไรขึ้นถ้าผู้สร้างยอมเป็นผู้เจาะระบบเสียงเอง หรือตัดสินใจที่จะโจมตีผู้ใช้ของพวกเขาเอง ตัวอย่างเช่น ศาลหรือรัฐบาลอาจบังคับให้บริษัทส่งมอบข้อมูลส่วนบุคคล หรือสร้าง 'แบ็คดอร์' ที่จะถอดการป้องกันที่เครื่องมือของพวกเขาเสนอให้ออกทั้งหมด คุณอาจต้องพิจารณาถึงเขตอำนาจศาลที่สามารถบังคับผู้สร้่างได้ด้วย ตัวอย่างเช่น หากภัยคุกคามมาจากรัฐบาลของอิหร่าน บริษัทที่มีฐานอยู่ในสหรัฐฯ จะสามารถต่อต้านคำสั่งศาลของอิหร่านได้ แต่ต้องปฏิบัติตามคำสั่งของศาลสหรัฐฯ

    ถึงแม้ผู้สร้างจะสามารถต่อต้านแรงกดดันของรัฐบาลได้ แต่ผู้โจมตีก็อาจบรรลุผลลัพธ์ที่ต้องการได้ โดยการเจาะเข้าระบบของผู้สร้างเครื่องมือ เพื่อที่จะโจมตีลูกค้าของผู้สร้าง

    เครื่องมือที่ยืดหยุ่นมากที่สุด ก็คือเครื่องมือที่พิจารณาเรื่องดังกล่าวนี้ว่ามีแนวโน้มจะเป็นการโจมตี และได้รับการออกแบบมาเพื่อป้องกันการโจมตีดังกล่าวนี้ มองหาข้อความที่ยืนยันว่าผู้สร้างไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ มากกว่าคำสัญญาว่าผู้สร้างจะไม่เข้าถึงข้อมูลส่วนบุคคล มองหาสถาบันที่มีชื่อเสียงว่าเคยต่อต้านคำสั่งศาลที่ให้ส่งมอบข้อมูลส่วนบุคคล

    ตรวจดูข้อมูลย้อนหลังและคำวิจารณ์ทางออนไลน์ Anchor link

    แน่นอนว่าบริษัทที่ขายผลิตภัณฑ์ และผู้ที่พยายามโฆษณาซอฟต์แวร์ล่าสุดของพวกเขา อาจถูกทำให้เข้าใจผิด หรือทำให้ผู้อื่นเข้าใจผิด หรือโกหกอย่างสิ้นเชิง ผลิตภัณฑ์ที่แต่เดิมมีความปลอดภัยก็อาจมีข้อบกพร่องที่ร้ายแรงได้ในอนาคต ให้แน่ใจว่าคุณได้รับข่าวสารล่าสุดอย่างต่อเนื่องเกี่ยวกับเครื่องมือที่คุณใช้งาน

    คุณรู้จักคนอื่นๆ ที่ใช้เครื่องมือเดียวกันหรือไม่? Anchor link

    การที่คุณต้องคอยติดตามข่าวสารล่าสุดเกี่ยวกับเครื่องมือตัวหนึ่งดูจะเป็นงานที่หนักพอสมควร ถ้าคุณมีเพื่อนร่วมงานที่ใช้ผลิตภัณฑ์หรือบริการตัวเดียวกัน ให้ร่วมมือกับพวกเขาเพื่อติดตามข่าวสารล่าสุดเกี่ยวกับผลิตภัณฑ์หรือบริการนั้น

    ผลิตภัณฑ์ที่กล่าวถึงในแนวทางนี้ Anchor link

    เราพยายามตรวจสอบให้แน่ใจว่าซอฟต์แวร์และฮาร์ดแวร์ที่เรากล่าวถึงในแนวทางนี้สอดคล้องตามเกณฑ์ที่เราได้แสดงไว้ในรายการข้างต้น เราได้ใช้ความพยายามโดยสุจริต ในการแสดงเฉพาะรายการของผลิตภัณฑ์ที่มีรากฐานที่มั่นคง ในเรื่องที่เราทราบเกี่ยวกับการรักษาความปลอดภัยบนโลกดิจิทัล ผลิตภัณฑ์ที่มีความโปร่งใสโดยทั่วๆ ไป เกี่ยวกับการทำงาน (และความล้มเหลว) ผลิตภัณฑ์ที่มีการป้องกันโอกาสที่ผู้สร้างจะกลายเป็นผู้เจาะระบบเสียเอง และผลิตภัณฑ์ที่มีฐานผู้ใช้ที่มีความรู้ในเรื่องของเทคนิคเป็นจำนวนมาก และในขณะที่ผู้เขียนกำลังเขียนแนวทางนี้อยู่ ก็ยังมีสายตาของผู้ชมจำนวนมากที่คอยตรวจสอบหาข้อบกพร่องของผลิตภัณฑ์ดังกล่าว และพวกเขาจะแจ้งเรื่องที่เป็นกังวลให้สาธารณชนได้ทราบอย่างรวดเร็ว กรุณาเข้าใจว่าเราไม่ได้มีทรัพยากรในการตรวจสอบหรือรับประกันความปลอดภัยของผลิตภัณฑ์ดังกล่าวได้อย่างอิสระ และเราไม่ให้การรับรองผลิตภัณฑ์เหล่านี้ และไม่สามารถรับประกันได้ว่าผลิตภัณฑ์เหล่านี้จะสามารถรักษาความปลอดภัยได้อย่างสมบูรณ์

    ฉันควรซื้อโทรศัพท์อะไรดี? ฉันควรซื้อคอมพิวเตอร์อะไร? Anchor link

    คำถามข้อหนึ่งที่ผู้ฝึกอบรมเรื่องการรักษาความปลอดภัยพบบ่อยที่สุดคือ 'ฉันควรซื้อโทรศัพท์ Android หรือ iPhone?' หรือ 'ฉันควรใช้ PC หรือ Mac ดี?' หรือ 'ฉันควรใช้ระบบปฏิบัติการอะไร?' ไม่มีคำตอบที่เรียบง่ายสำหรับคำถามเหล่านี้ ความปลอดภัยของซอฟต์แวร์และอุปกรณ์มีการเปลี่ยนแปลงอยู่ตลอด เนื่องจากมีข้อบกพร่องใหม่ๆ เกิดขึ้นเรื่อยๆ ในขณะที่จุดบกพร่อมเก่าๆ ก็ได้รับการแก้ไข บริษัทต่างๆ อาจพยายามแข่งขันกัน เพื่อนำเสนอการรักษาความปลอดภัยที่ดีกว่าให้กับคุณ หรือพวกเขาอาจกำลังถูกกดดันจากรัฐบาลให้ลดประสิทธิภาพในการรักษาความปลอดภัย

    แต่มีคำแนะนำทั่วๆ ไปที่เป็นจริงเกือบทุกครั้ง เมื่อคุณซื้ออุปกรณ์หรือระบบปฏิบัติการ ให้ซื้อรุ่นที่มีการอัปเดตซอฟต์แวร์ล่าสุด การอัปเดตมักจะแก้ไขปัญหาด้านความปลอดภัยของโค้ดที่เก่ากว่า ซึ่งอาจถูกโจมตีได้ ผู้สร้างมักไม่ได้สนับสนุนโทรศัพท์และระบบปฏิบัติการรุ่นเก่าๆ อีกต่อไป และไม่มีการอัปเดตด้านความปลอดภัย ตัวอย่างเช่น Microsoft ได้แถลงอย่างชัดแจ้งว่าบริษัทจะหยุดการสนับสนุน Windows XP และ Windows เวอร์ชันเก่ากว่า และจะไม่มีการแก้ไขแม้แต่ปัญหาด้านความปลอดภัยที่ร้ายแรง ถ้าคุณใช้ XP คุณจะไม่สามารถคาดหวังได้ว่าระบบของคุณจะปลอดภัยจากผู้โจมตี (และกรณีคล้ายๆ กันนี้เช่นกันสำหรับ OS X รุ่นก่อนหน้า 10.7.5 หรือ "Lion")

    อัปเดตครั้งล่าสุด: 
  • การยืนยันความถูกต้องของคีย์

    เมื่อใช้การเข้ารหัสอย่างเหมาะสม การติดต่อสื่อสารหรือข้อมูลของคุณควรสามารถอ่านได้เฉพาะตัวคุณและบุคคล (หรือผู้คน) ที่คุณติดต่อสื่อสารด้วยเท่านั้น การเข้ารหัสตั้งแต่ต้นทางถึงปลายทางช่วยป้องกันข้อมูลของคุณจากการถูกสอดส่องโดยบุคคลภายนอก แต่ถ้าคุณไม่แน่ใจเกี่ยวกับตัวตนของบุคคลที่คุณกำลังพูดด้วย ประโยชน์ของการเข้ารหัสก็จะจำกัด นี่คือส่วนที่การยืนยันความถูกต้องของคีย์เข้ามามีส่วนเกี่ยวข้อง ในการยืนยันคีย์สาธารณะ คุณและบุคคลที่คุณกำลังติดต่อสื่อสารด้วยได้เพิ่มเลเยอร์ในการป้องกันอีกชั้นหนึ่งในการติดต่อสื่อสารของคุณ ด้วยการยืนยันตัวตนของอีกฝ่ายหนึ่ง เพื่อทำให้คุณคุณมั่นใจได้มากขึ้นว่าคุณกำลังพูดอยู่กับคนที่คุณคิดจริงๆ

    การยืนยันความถูกต้องของคีย์เป็นคุณลักษณะทั่วไปของโพรโทคอลที่ใช้การเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง อย่างเช่น PGP และโอทีอาร์ (OTR) สัญญาณที่พวกเขากำลังเรียกว่า "safety numbers." ในการยืนยันความถูกต้องของคีย์โดยไม่ให้เสี่ยงต่อการถูกแทรกแซง เราขอแนะนำให้คุณใช้วิธีการอื่นในการติดต่อสื่อสาร ซึ่งไม่ใช่ช่องทางที่คุณกำลังจะเข้ารหัส วิธีนี้เรียกว่าการยืนยันความถูกต้องแบบสำรอง (Out of Band) ตัวอย่างเช่น ถ้าคุณกำลังจะยืนยันความถูกต้องของลายนิ้วมือแบบโอทีอาร์ของคุณ คุณอาจส่งอีเมลลายนิ้วมือของคุณไปให้กับอีกฝ่ายหนึ่ง จากตัวอย่างนี้ อีเมลคือช่องทางการติดต่อสื่อสารสำรอง

    การยืนยันความถูกต้องของคีย์แบบสำรอง (Out of Band) Anchor link

    คุณสามารถเลือกทำได้หลายวิธี ถ้าคุณสามารถทำได้อย่างปลอดภัยและสะดวก วิธีที่ดีทีุ่สุดคือการยืนยันความถูกต้องของคีย์แบบนัดพบกันตัวเป็นๆ วิธีนี้ส่วนใหญ่จะทำกันที่การพบกันเพื่อเซ็นชื่อคีย์หรือในหมู่เพื่อนร่วมงาน

    แต่ถ้าคุณไม่สามารถนัดพบกันจริงๆ คุณสามารถติดต่อกับผู้ติดต่อของคุณผ่านช่องทางการติดต่อสื่อสารอื่น ที่ไม่ใช่ช่องทางที่คุณกำลังจะยืนยันความถูกต้องของคีย์ ตัวอย่างเช่น ถ้าคุณพยายามจะยืนยันความถูกต้องของคีย์ PGP กับใครสักคน คุณสามารถใช้โทรศัพท์ หรือการแชทแบบโอทีอาร์ก็ได้

    ไม่ว่าคุณจะใช้โปรแกรมอะไร คุณจะสามารถค้นหาทั้งคีย์ของคุณและคีย์ของผู้ที่คุณติดต่อสื่อสารด้วยได้เสมอ

    ถึงแม้วิธีการค้นหาคีย์ของแต่ละโปรแกรมจะแตกต่างกันออกไป แต่วิธีการยืนยันความถูกต้องของคีย์ก็ยังคงคล้ายๆ กัน คุณสามารถอ่านลายนิ้วมือของคีย์ของคุณให้อีกฝ่ายหนึ่งทราบ (ถ้าคุณพบกันแบบตัวเป็นๆ หรือทางโทรศัพท์) หรือคุณอาจคัดลอกและวางคีย์ในโปรแกรมการติดต่อสื่อสาร แต่ไม่ว่าคุณจะเลือกใช้วิธีใด สิ่งสำคัญที่สุด คือคุณต้องตรวจสอบว่าตัวอักษรและตัวเลขทุกเลขทุกตัวตรงกันทั้งหมด

    เคล็ดลับ: ให้ลองยืนยันความถูกต้องของคีย์กับเพื่อนของคุณคนหนึ่งก่อน หากคุณต้องการทราบวิธีการยืนยันความถูกต้องของคีย์สำหรับโปรแกรมใด ให้ดูวิธีการใช้งานของโปรแกรมนั้น

    อัปเดตครั้งล่าสุด: 
  • ความรู้เบื้องต้นเกี่ยวกับวิธีเข้ารหัสคีย์สาธารณะ (Public-Key Cryptography) และ PGP

    PGP ย่อมาจาก Pretty Good Privacy ซึ่งจริง ๆ แล้วเป็นการป้องกันความเป็นส่วนตัวที่ดีมาก ถ้าใช้งานอย่างถูกต้องจะสามารถช่วยป้องกันเนื้อหาของ SMS ข้อความ และแม้แต่ไฟล์ของคุณ ไม่ให้ใครเข้าใจได้ แม้แต่โปรแกรมการสอดส่องของรัฐบาลที่มีเงินทุนมหาศาลก็ตาม เมื่อ Edward Snowden พูดถึงว่า 'การเข้ารหัส' ใช้งานได้ดี การเข้ารหัสที่เขาหมายถึงคือ PGP และซอฟต์แวร์อื่น ๆ ที่เกี่ยวข้อง ทั้งนี้ควรตระหนักว่าการที่รัฐบาลขโมยคีย์ส่วนบุคคลจากคอมพิวเตอร์ของประชาชน (โดยยึดคอมพิวเตอร์ หรือโดยการติดตั้งมัลเวร์ลงในคอมพิวเตอร์โดยใช้การเข้าถึงโดยตรงหรือด้วยการโจมตีในรูปแบบฟิชชิ่ง) เป็นสิ่งที่ไม่เคยมีการกระทำมาก่อน ซึ่งการกระทำดังกล่าวจะทำให้การปกป้องไม่ทำงานและแม้กระทั่งทำให้สามารถอ่านอีเมลเก่า ๆ ได้ด้วย การกระทำในลักษณะดังกล่าวอาจเปรียบเทียบได้กับการที่คุณมีแม่กุญแจล็อคประตูที่ไม่สามารถสะเดาะได้ แต่มีใครบางคนที่อาจจะล้วงกระเป๋าของคุณตามถนนเพื่อขโมยลูกกุญแจ จากนั้นทำสำเนาลูกกุญแจดังกล่าวและแอบใส่ลูกกุญแจตัวจริงกลับเข้าในกระเป๋าของคุณตามเดิมโดยที่คุณไม่รู้ตัว และทำให้สามารถเข้าไปในบ้านของคุณได้โดยไม่ต้องสะเดาะกุญแจ

    น่าเสียดายที่ PNG เป็นโปรแกรมที่เข้าใจยากหรือใช้งานได้ยาก การเข้ารหัสแบบแข็งแกร่งที่ PGP ใช้ ซึ่งได้แก่การเข้ารหัสคีย์สาธารณะ ถือเป็นวิธีที่ฉลาดแต่ซับซ้อนและยากที่จะทำความเข้าใจ ส่วนซอฟต์แวร์ของ PGP เองได้รับการพัฒนาขึ้นตั้งแต่ปี 1991 ซึ่งถือเป็นซอฟต์แวร์ในยุคเดียวกันกับ Microsoft Windows รุ่นแรก ๆ และรูปลักษณ์ของซอฟต์แวร์ก็ไม่ได้เปลี่ยนแปลงมากนักตั้งแต่ต้น

    ข่าวดีคือในปัจจุบันมีโปรแกรมที่สามารถใช้งานได้มากมาย ซึ่งสามารถซ่อนดีไซน์ยุคโบราณของ PGP และทำให้ใช้งานได้ง่ายขึ้น โดยเฉพาะอย่างยิ่งสำหรับการเข้ารหัสและการรับรองความถูกต้องของอีเมล ซึ่งเป็นการทำงานหลักของ PGP เราได้รวมแนวทางในการติดตั้งและใช้งานซอฟต์แวร์นี้ไว้ด้วยในหัวข้ออื่น

    ก่อนที่จะลองใช้ PGP หรือโปรแกรมอื่น ๆ ที่ใช้ PGP เราคิดว่าจะเป็นประโยชน์อย่างมาก หากคุณใช้เวลาสักครู่เพื่อทำความเข้าใจเกี่ยวกับพื้นฐานของการเข้ารหัสคีย์สาธารณะ เช่น โปรแกรมสามารถทำอะไรได้บ้าง และไม่สามารถทำอะไรได้บ้าง และเมื่อใดที่ควรใช้ PGP

    A Tale of Two Keys (เรื่องราวของสองคีย์) Anchor link

    เมื่อเราใช้การเข้ารหัสเพื่อต่อสู้กับการถูกสอดส่อง:

    เรารับข้อความที่อ่านได้อย่างชัดเจน เช่น "hello mum" เราเข้ารหัสข้อความดังกล่าวให้เป็นข้อความที่เข้ารหัสไว้ และบุคคลที่เห็นข้อความดังกล่าวก็ไม่สามารถเข้าใจได้ (เช่น "OhsieW5ge+osh1aehah6") เราส่งข้อความที่เข้ารหัสไว้ดังกล่าวผ่านทางอินเทอร์เน็ต ซึ่งคนจำนวนมากสามารถอ่านได้ แต่หวังว่าจะไม่มีใครที่เข้าใจข้อความนี้ หลังจากนั้นเมื่อข้อความไปถึงปลายทาง ผู้รับที่เราตั้งใจส่งข้อความไปให้และเฉพาะผู้รับที่เราส่งข้อความให้เท่านั้น ที่จะมีวิธีในการถอดรหัสข้อความกลับไปเป็นข้อความดั้งเดิมได้

    แล้วผู้รับของเรารู้วิธีการถอดรหัสข้อความได้อย่างไร ในเมื่อคนอื่น ๆ ไม่สามารถรู้ได้ คำตอบน่าจะเนื่องมาจากผู้รับดังกล่าวทราบข้อมูลพิเศษที่บุคคลอื่นไม่ทราบ เราจะเรียกข้อมูลพิเศษนี้ว่าคีย์การถอดรหัส เนื่องจากเราใช้คีย์นี้เพื่อปลดล็อคข้อความภายในรหัส

    แล้วผู้รับของเราทราบคีย์นี้ได้อย่างไร โดยส่วนใหญ่แล้วเนื่องจากผู้ส่งได้บอกคีย์ให้ผู้รับทราบก่อนหน้านี้แล้ว เช่น "ลองถือข้อความแล้วส่องดูในกระจก" หรือ "แปลงตัวอักษรแต่ละตัวให้เป็นตัวอักษรถัดไปในลำดับตัวอักษร" แต่วิธีนี้ก็ยังมีปัญหาอยู่ดี ถ้ากังวลว่าจะถูกสืบความลับเมื่อคุณส่งข้อความที่เข้ารหัสไว้ แล้วคุณจะส่งคีย์ให้กับผู้รับโดยไม่ให้คนอื่นมาสอดส่องการสนทนานั้นได้อย่างไร คงไม่มีประโยชน์ที่จะส่งข้อความที่เข้ารหัสลับไว้อย่างแยบยลให้กับผู้รับ ถ้าผู้โจมตีทราบคีย์ที่จะถอดรหัสข้อความนั้นแล้ว และถ้าคุณมีวิธีลับในการส่งคีย์การถอดรหัส ทำไมไม่ใช้วิธีนั้นเพื่อส่งข้อความลับทั้งหมดของคุณล่ะ

    วิธีเข้ารหัสด้วยคีย์สาธารณะมีวิธีแก้ที่แนบเนียบสำหรับปัญหานี้ บุคคลแต่ละคนที่อยู่ในการสนทนาสามารถสร้างคีย์ได้สองแบบ คีย์แรกคือคีย์ส่วนตัวของตนเอง ซึ่งพวกเขาจะเก็บไว้กับตัวและไม่ให้ใครรู้ทั้งสิ้น อีกคีย์หนึ่งคือคีย์สาธารณะ ซึ่งพวกเขาต้องส่งให้กับบุคคลที่ต้องการติดต่อสื่อสารด้วย ทั้งนี้ไม่ต้องสนใจว่าใครจะมองเห็นคีย์สาธารณะ คุณสามารถใส่ข้อมูลคีย์สาธารณะทางออนไลน์ ซึ่งทุกคนสามารถมองเห็นได้

    โดยแก่นแท้แล้ว "คีย์" ก็คือตัวเลขจำนวนมากซึ่งมีคุณสมบัติเฉพาะทางคณิตศาสตร์ คีย์สาธารณะและคีย์ส่วนตัวมีความเชื่อมโยงซึ่งกันและกัน ถ้าคุณเข้ารหัสอะไรก็ตามโดยใช้คีย์สาธารณะ บุคคลอื่นก็สามารถถอดรหัสได้โดยใช้คีย์ส่วนตัวที่ตรงกัน

    มาดูว่าวิธีดังกล่าวทำงานได้ผลอย่างไร คุณต้องการส่งข้อที่เป็นความลับให้ Aarav ทั้งนี้ Aarav มีคีย์ส่วนตัว แต่ก็เช่นเดียวกันกับผู้ใช้การเข้ารหัสคีย์สาธารณะที่ดี เขาได้ใส่คีย์สาธารณะที่เชื่อมโยงไว้ในเว็บเพจของตนเอง คุณดาวน์โหลดคีย์สาธารณะ ทำการเข้ารหัสข้อความโดยใช้คีย์สาธารณะและส่งให้เขา เขาสามารถถอดรหัสได้ เนื่องจากเขามีคีย์ส่วนตัวที่สัมพันธ์กัน แต่คนอื่นจะไม่สามารถถอดรหัสได้

    สัญลักษณ์แห่งกาลเวลา Anchor link

    วิธีเข้ารหัสด้วยคีย์สาธารณะขจัดปัญหาการลักลอบขโมยคีย์ถอดรหัสที่ส่งให้กับบุคคลที่คุณต้องการส่งข้อความถึง เนื่องจากบุคคลดังกล่าวที่เป็นผู้รับมีคีย์อยู่แล้ว เพียงแต่คุณต้องมีคีย์สาธารณะสำหรับการถอดรหัสที่ตรงกันไว้เท่านั้น ซึ่งผู้รับสามารถส่งให้ใครก็ได้ รวมทั้งพวกสอดแนมด้วย เพราะคีย์สาธารณะดังกล่าวมีประโยชน์สำหรับการเข้ารหัสข้อความเท่านั้น แต่ไม่มีประโยชน์สำหรับผู้ที่พยายามถอดรหัสข้อความนั้น

    แต่ยังมีอะไรมากกว่านั้น! ถ้าคุณเข้ารหัสข้อความด้วยคีย์สาธารณะที่เฉพาะเจาะจง ข้อความดังกล่าวจะสามารถถอดรหัสได้ด้วยคีย์ส่วนตัวที่ตรงกันเท่านั้น แต่ถ้าคีย์ไม่ตรงกันก็จะไม่สามารถถอดรหัสได้ ถ้าคุณเข้ารหัสข้อความด้วยคีย์ส่วนตัวที่เฉพาะเจาะจง ข้อความนั้นจะสามารถถอดรหัสได้ด้วยคีย์สาธารณะที่ตรงกันเท่านั้น

    ทำไมวิธีการในลักษณะนี้ถึงมีประโยชน์ หากดูผิวเผินในตอนแรก การสร้างข้อความลับด้วยคีย์ส่วนตัวที่ทุกคนในโลก (หรืออย่างน้อยทุกคนที่มีคีย์สาธารณะของคุณ) สามารถเจาะได้อาจดูเหมือนจะไม่มีประโยชน์ แต่สมมุติว่าฉันเขียนข้อความว่า "ฉันสัญญาว่าจะจ่ายเงินให้ Aazul จำนวน 100 เหรียญ" แล้วแปลงสิ่งที่เขียนให้เป็นข้อความลับโดยใช้คีย์ส่วนตัวของตัวเอง ไม่ว่าใครก็สามารถถอดรหัสข้อความนั้นได้ แต่มีเพียงคนเดียวเท่านั้นที่สามารถเป็นผู้เขียนข้อความนั้นได้ ซึ่งก็คือบุคคลที่มีคีย์ส่วนตัวของฉัน ถ้าฉันสามารถเก็บรักษาคีย์ส่วนตัวไว้ได้อย่างปลอดภัย นั่นหมายความว่าบุคคลที่เขียนข้อความคือตัวฉันและตัวฉันคนเดียวเท่านั้น ในทางปฏิบัติแล้วการเข้ารหัสข้อความโดยใช้คีย์ส่วนตัวของฉันเอง เท่ากับว่าฉันได้ทำให้อีกฝ่ายมั่นใจว่าข้อความดังกล่าวส่งมาจากตัวฉันเองเท่านั้น กล่าวอีกอย่างหนึ่งคือ ฉันได้ดำเนินการกับข้อความดิจิทัลนี้ในแบบเดียวกันกับที่เราเซ็นชื่อท้ายข้อความในการปฏิบัติจริง

    นอกจากนี้การเซ็นชื่อยังเป็นการป้องกันการปรับเปลี่ยนเพื่อทำลายข้อความได้ด้วย หากมีใครบางคนพยายามที่จะเปลี่ยนแปลงข้อความที่ระบุว่า “ฉันสัญญาที่จะจ่ายเงินให้ Aazul จำนวน 100 ดอลลาร์” เป็น “ฉันสัญญาที่จะจ่ายเงินให้ Bob จำนวน 100 ดอลลาร์” บุคคลที่พยายามปรับเปลี่ยนข้อความดังกล่าวจะไม่สามารถเซ็นชื่อซ้ำโดยใช้คีย์ส่วนตัวของฉันได้ ดังนั้นเป็นการรับประกันว่าข้อความที่เซ็นชื่อไว้มาจากแหล่งเฉพาะและไม่ได้ถูกรบกวนในระหว่างการส่ง

    สรุปคือวิธีเข้ารหัสคีย์สาธารณะช่วยให้คุณสามารถเข้ารหัสและส่งข้อความให้บุคคลใดก็ตามที่คุณทราบคีย์สาธารณะของบุคคลดังกล่าวได้อย่างปลอดภัย ถ้าบุคคลอื่นทราบคีย์สาธารณะของคุณ พวกเขาก็สามารถส่งข้อความให้คุณ ซึ่งคุณเพียงคนเดียวเท่านั้นที่สามารถถอดรหัสได้ และถ้าผู้คนทราบคีย์สาธารณะของคุณ คุณสามารถเซ็นชื่อข้อความเพื่อให้บุคคลเหล่านั้นทราบว่าข้อความดังกล่าวส่งมาจากคุณเท่านั้น และถ้าคุณทราบคีย์สาธารณะของใครบางคน คุณสามารถถอดรหัสข้อความที่บุคคลนั้นเซ็นชื่อไว้ และรู้ได้ว่าข้อความดังกล่าวส่งมาจากพวกเขาเท่านั้น

    เมื่อถึงจุดนี้คงมีความชัดเจนมากขึ้นแล้วว่า ยิ่งวิธีการเข้ารหัสคีย์สาธารณะมีประโยชน์มากขึ้นเท่าไร บุคคลที่ทราบคีย์สาธารณะของคุณก็มีมากขึ้นเท่านั้น นอกจากนี้คงเป็นที่ประจักษ์แล้วว่าคุณต้องเก็บรักษาคีย์ส่วนตัวไว้ให้ปลอดภัยที่สุด หากบุคคลอื่นได้สำเนาคีย์ส่วนตัวของคุณ พวกเขาสามารถปลอมตัวเป็นคุณและเซ็นชื่อข้อความโดยอ้างว่าคุณเป็นผู้เขียนข้อความดังกล่าว PGP มีคุณสมบัติที่ให้คุณสามารถ “เพิกถอน” คีย์ส่วนตัวและเตือนให้บุคคลอื่นทราบว่าคีย์ส่วนตัวดังกล่าวไม่สามารถเชื่อถือได้อีกต่อไป แต่คุณสมบัติดังกล่าวไม่ใช่วิธีแก้ปัญหาที่ดีนัก สิ่งสำคัญที่สุดของการใช้ระบบวิธีเข้ารหัสคีย์สาธารณะคือปกป้องคีย์ส่วนตัวของคุณอย่างระมัดระวังที่สุด

    วิธีการทำงานของ PGP Anchor link

    Pretty Good Privacy ส่วนใหญ่เกี่ยวข้องกับรายละเอียดปลีกย่อยของการสร้างและใช้งานคีย์สาธารณะและ คีย์ส่วนตัว คุณสามารถสร้างคู่ของคีย์สาธารณะ/คีย์ส่วนตัวด้วย PGP ปกป้องคีย์ส่วนตัวด้วยรหัสผ่านและใช้คีย์ส่วนตัวและคีย์สาธารณะของคุณเพื่อเซ็นชื่อและเข้ารหัสข้อความ นอกจากนี้ PGP ยังช่วยให้คุณสามารถดาวน์โหลดคีย์สาธารณะของบุคคลอื่น และอัปโหลดคีย์สาธารณะของคุณไว้บน “เซิร์ฟเวอร์คีย์สาธารณะ” ซึ่งเป็นที่เก็บคีย์สาธารณะ เพื่อให้คนอื่น ๆ สามารถค้นหาคีย์ของคุณได้ ดูคู่มือของเราเพื่อติดตั้งซอฟต์แวร์ที่เข้ากันได้กับ PGP ในซอฟต์แวร์อีเมลของคุณ

    หากมีสิ่งเดียวที่คุณจำเป็นต้องจดจำจากข้อมูลภาพรวมนี้ สิ่งนั้นคือ คุณควรจัดเก็บคีย์ส่วนตัวของคุณไว้ในที่ปลอดภัยและปกป้องคีย์ดังกล่าวโดยใช้รหัสผ่านที่ยาว คุณสามารถให้คีย์สาธารณะของคุณกับบุคคลใดก็ได้ที่คุณต้องการให้ติดต่อสื่อสารด้วย หรือกับบุคคลที่ต้องการทราบว่าข้อความนั้นส่งมาจากคุณจริง ๆ

    PGP ขั้นสูง: Web of Trust (โครงข่ายความไว้วางใจ) Anchor link

    คุณอาจสังเกตเห็นข้อบกพร่องที่อาจเกิดขึ้นได้ในวิธีการทำงานของวิธีการเข้ารหัสคีย์สาธารณะ สมมุติว่าฉันได้เริ่มต้นแจกจ่ายคีย์สาธารณะ ซึ่งฉันบอกว่าเป็นของประธานาธิบดี Barack Obama ถ้าผู้คนเชื่อฉัน พวกเขาอาจเริ่มส่งข้อความลับให้กับประธานาธิบดี Barack และเข้ารหัสข้อความไว้โดยใช้คีย์นั้น หรือพวกเขาอาจหลงเชื่อว่าข้อความใดก็ตามที่เซ็นชื่อโดยใช้คีย์นั้นเป็นแถลงการณ์ของประธานาธิบดี Barack กรณีนี้เกิดขึ้นได้ค่อนข้างยาก แต่ได้เกิดขึ้นกับคนบางคนในชีวิตจริง รวมถึงผู้เขียนบทความเอกสารนี้บางคนด้วย บางคนที่เขียนข้อความถึงพวกเขาได้ถูกหลอก! (เราไม่ทราบแน่นอนในสถานการณ์เหล่านี้ว่าผู้ที่สร้างคีย์ปลอมขึ้นสามารถดักจับข้อความในระหว่างการส่งและอ่านข้อความได้หรือไม่ หรือว่านั่นเป็นแค่การเล่นตลกเพื่อสร้างความไม่สะดวกให้กับผู้คนในการติดต่อสื่อสารที่มีการรักษาความปลอดภัย)

    การลอบโจมตีอีกอย่างหนึ่งคือ การที่ผู้โจมตีเข้ามาแทรกกลางระหว่างคนสองคนที่กำลังสนทนากันทางออนไลน์ เพื่อดักฟังการสนทนาทั้งหมด และบางครั้งก็ใส่ข้อความของผู้โจมตีเพื่อทำให้เกิดการเข้าใจผิดในการสนทนานั้น ทั้งนี้เนื่องจากอินเทอร์เน็ตได้รับการออกแบบให้เป็นระบบรับส่งข้อความระหว่างคอมพิวเตอร์และบุคคลต่าง ๆ จำนวนมาก ทำให้การโจมตีดังกล่าวนี้มีความเป็นไปได้ ภายใต้สภาวะเหล่านี้ (ซึ่งเรียกว่า "การโจมตีแบบแทรกกลางการสื่อสาร" (man-in-the-middle attack) ทำให้การแลกเปลี่ยนคีย์โดยที่ไม่ได้ตกลงกันไว้ล่วงหน้าสามารถก่อให้เกิดความเสี่ยงได้อย่างมาก บุคคลที่ดูเหมือนจะเป็นประธานาธิบดี Barack Obama ได้ประกาศว่า "นี่คือคีย์ของผม" และส่งไฟล์คีย์สาธารณะให้กับคุณ แต่แล้วถ้ามีคนบางคนที่ไม่ต้องการรอจนถึงเวลาดังกล่าว ได้เข้ามาแทรกแซงการส่งคีย์ของประธานาธิบดี Barack  และแทรกคีย์ของเขาหรือของเธอเองเข้าไปล่ะ

    เราจะพิสูจน์ได้อย่างไรว่าคีย์ที่ระบุนั้นเป็นของผู้นั้นจริง วิธีหนึ่งที่ทำได้คือการรับคีย์จากพวกเขาโดยตรง แต่วิธีนี้ก็ไม่ได้ดีไปกว่าปัญหาท้าทายเดิมของเราในการรับคีย์ลับโดยไม่ให้มีใครรู้ได้ ผู้คนยังคงแลกเปลี่ยนคีย์สาธารณะเมื่อพวกเขาพบกัน ทั้งในแบบที่เป็นส่วนตัวและด้วยวิธีการเข้ารหัสแบบสาธาณะ

    PGP มีวิธีแก้ปัญหาที่เรียกว่า "Web of Trust" (“โครงข่ายความไว้วางใจ”) ซึ่งเป็นวิธีที่ดีกว่าเล็กน้อย ใน Web of Trust ถ้าฉันเชื่อว่าคีย์เป็นของบุคคลคนหนึ่งแน่นอน ฉันสามารถเซ็นชื่อคีย์นั้นได้และจากนั้นอัปโหลดคีย์ (พร้อมกับลายเซ็น) ไปที่เซิร์ฟเวอร์คีย์สาธารณะ จากนั้นเซิร์ฟเวอร์คีย์จะแจกจ่ายคีย์ที่เซ็นชื่อไว้นั้น ให้กับบุคคลที่ขอคีย์

    กล่าวโดยคร่าว ๆ คือยิ่งมีจำนวนคนที่ฉันไว้ใจเซ็นชื่อคีย์นั้นมากเท่าใด ก็ยิ่งมีแนวโน้มมากขึ้นที่ฉันจะเชื่อว่าคีย์นั้นเป็นของผู้ที่กล่าวอ้างจริง ๆ PGP ช่วยให้คุณสามารถเซ็นชื่อคีย์ของบุคคลอื่น ๆ และช่วยให้คุณไว้วางใจคนที่เซ็นชื่อคนอื่น ๆ ได้ เพื่อที่ถ้าพวกเขาเซ็นชื่อคีย์ ซอฟต์แวร์ของคุณจะเชื่อโดยอัตโนมัติว่าคีย์ดังกล่าวเป็นของจริง

    อย่างไรก็ดี "Web of Trust" (โครงข่ายความไว้วางใจ) ยังคงมีปัญหาอยู่ในตัวเช่นกัน และปัจจุบันองค์กรต่าง ๆ อย่างเช่น EFF ก็กำลังหาวิธีแก้ไขที่ดีกว่ากันอยู่ แต่สำหรับตอนนี้ ถ้าคุณต้องการทางเลือกในการส่งคีย์ให้กับบุคคลอื่นด้วยตัวเอง การใช้ "Web of Trust" (โครงข่ายความไว้วางใจ) และเครือข่ายเซิร์ฟเวอร์คีย์สาธารณะคือทางเลือกที่ดีที่สุด

    เมตาดาต้า (Metadata): สิ่งที่ PGP ไม่สามารถทำได้ Anchor link

    PGP เกี่ยวข้องกับการสร้างความมั่นใจว่าเนื้อหาของข้อความจะเป็นความลับ เป็นของแท้ และไม่มีการแก้ไขดัดแปลง แต่นั่นอาจไม่ใช่ปัญหากังวลเพียงอย่างเดียวเกี่ยวกับความเป็นส่วนตัว ตามที่เราตั้งข้อสังเกต ข้อมูลเกี่ยวกับข้อความสามารถเปิดเผยให้เห็นข้อมูลได้มากเท่ากับเนื้อหาของข้อความเอง (ดูที่ “เมทาเดตา”) ถ้าคุณรับส่งข้อความ PGP กับผู้ที่มีความเห็นขัดแย้งที่เป็นที่รู้จักในประเทศของคุณ คุณอาจตกอยู่ในอันตรายได้เพียงแค่ติดต่อสื่อสารกับบุคคลดังกล่าวเท่านั้น ถึงแม้ว่าจะไม่มีการถอดรหัสข้อความเหล่านั้นก็ตาม อันที่จริงในบางประเทศคุณสามารถต้องโทษจำคุก ในข้อหาปฏิเสธที่จะถอดรหัสข้อความที่เข้ารหัสไว้

    PGP ไม่ได้กระทำสิ่งใดที่เป็นการแอบซ่อนบุคคลที่คุณกำลังพูดคุยด้วย หรือให้คุณใช้ PGP เพื่อกระทำการแอบซ่อนดังกล่าวได้ อันที่จริงถ้าคุณอัปโหลดคีย์สาธารณะของคุณขึ้นบนเซิร์ฟเวอร์คีย์ หรือเซ็นชื่อคีย์ของบุคคลอื่น ในทางปฏิบัติเท่ากับว่าคุณกำลังบอกให้โลกรู้ว่าคีย์นั้นเป็นของคุณและคุณรู้จักใครบ้าง

    ทั้งนี้ไม่จำเป็นต้องดำเนินการดังกล่าว คุณสามารถเก็บคีย์สาธารณะ PGP ของคุณไว้เป็นความลับ และมอบคีย์ดังกล่าวให้กับบุคคลที่คุณรู้สึกว่ามีปลอดภัยด้วยเท่านั้น และบอกกล่าวบุคคลเหล่านั้นว่าอย่าอัปโหลดคีย์สาธารณะของคุณขึ้นบนเซิร์ฟเวอร์คีย์ คุณไม่จำเป็นต้องแนบชื่อของตัวเองกับคีย์

    การปิดบังว่าคุณกำลังติดต่อสื่อสารอยู่กับบุคคลใดบุคคลหนึ่งเป็นสิ่งที่ทำได้ยากมากขึ้น วิธีหนึ่งที่ทำได้คือให้คุณทั้งสองคนใช้บัญชีผู้ใช้อีเมลแบบไม่ระบุชื่อและเข้าใช้งานบัญชีผู้ใช้อีเมลดังกล่าวโดยใช้ Tor หากทำได้ PGP จะยังคงมีประโยชน์ ทั้งสำหรับการรักษาความลับของข้อความอีเมลของคุณจากบุคคลอื่น และการพิสูจน์ซึ่งกันและกันว่าข้อความดังกล่าวไม่ได้มีการแก้ไขปรับเปลี่ยนใด ๆ ทั้งสิ้น

    อัปเดตครั้งล่าสุด: 
  • วิธีการ: ใช้งานโอทีอาร์สำหรับ Mac

    Adium คือโปรแกรมการรับส่งข้อความโต้ตอบแบบทันที ชนิดโอเพนซอร์สและใช้งานได้ฟรี สำหรับ OS X ช่วยให้คุณสามารถแชทกับผู้อื่นข้ามโพรโทคอลการแชทมากมาย อาทิ Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ และ XMPP

    โอทีอาร์ (การเข้ารหัสคำสนทนา) คือโพรโทคอลที่ทำให้ผู้คนสามารถสนทนากันแบบเป็นความลับได้ โดยใช้เครื่องมือการรับส่งข้อความที่พวกเขาคุ้นเคย ทั้งนี้ อย่าสับสนกับคุณลักษณะ "Off the record" ของ Google ซึ่งเพียงแค่ปิดใช้งานการบันทึกรายการสนทนา และไม่มีขีดความสามารถในการเข้ารหัสหรือการยืนยันความถูกต้อง สำหรับผู้ใช้ Mac โอทีอาร์ได้ถูกติดตั้งมาให้พร้อมกับโปรแกรม Adium

    โอทีอาร์ใช้การเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง จึงหมายความว่า คุณสามารถใช้โปรแกรมนี้เพื่อสนทนากับบริการต่างๆ อย่างเช่น Google Hangouts โดยบริษัทเหล่านี้ไม่สามารถเข้าถึงเนื้อหาของการสนทนาได้ แต่ความจริงที่ว่าคุณกำลังมีการสนทนาจะมองเห็นได้ในการให้บริการ

    เหตุใดฉันจึงควรใช้ Adium + โอทีอาร์? Anchor link

    เมื่อคุณสนทนาโดยแชทผ่านทาง Google Hangouts หรือโปรแกรมแชทของ บนเว็บไซต์ Google การสนทนาดังกล่าวจะถูกเข้ารหัสไว้ โดยใช้ HTTPS ซึ่งหมายความว่า เนื้อหาของการสนทนาของคุณจะได้รับการป้องกันจากแฮกเกอร์และบุคคลภายนอกอื่นๆ ขณะกำลังรับส่งข้อความ อย่างไรก็ตาม การสนทนาของคุณไม่ได้ถูกป้องกันจาก Google  ซึ่งถือกุญแจการสนทนาของคุณไว้ และสามารถส่งให้กับเจ้าหน้าที่ได้ หรือใช้พวกเขาสำหรับการตลาด

    หลังจากที่คุณติดตั้ง Adium แล้ว คุณสามารถลงชื่อเข้าใช้ Pidgin โดยใช้บัญชีผู้ใช้หลายบัญชีพร้อมกันได้ ยกตัวอย่างเช่น คุณสามารถใช้ Google Hangouts และ XMPP พร้อมกันได้ นอกจากนี้ Adium ยังอนุญาตให้คุณแชท โดยใช้เครื่องมือเหล่านี้แบบไม่มีโอทีอาร์ได้ด้วย เนื่องจากโอทีอาร์จะสามารถทำงานได้ เมื่อทั้งสองฝั่งใช้ปลั๊กอินนี้เท่านั้น จึงหมายความว่า คุณยังสามารถแชทโดยใช้ Adium ได้ ถึงแม้อีกฝ่ายหนึ่งจะไม่ได้ติดตั้งปลั๊กอินนี้ก็ตาม

    นอกจากนี้ Adium ยังอนุญาตให้คุณทำการยืนยันความถูกต้องแบบสำรอง (Out of Band) เพื่อให้แน่ใจว่าคุณกำลังพูดอยู่กับคนที่คุณคิดจริงๆ และคุณไม่ได้ตกเป็นเป้าหมายของการโจมตีจากคนกลาง (Man-in-the-Middle Attack) ที่เข้ามาแทรกกลางในการสนทนา ในการสนทนาทุกครั้ง โปรแกรมจะแสดงตัวเลือกให้แสดงลายนิ้วมือของคีย์ที่โปรแกรมมี สำหรับคุณและผู้ที่คุณกำลังสนทนาด้วย 'ลายนิ้วมือของคีย์' คือสตริงของอักขระ อย่างเช่น '342e 2309 bd20 0912 ff10 6c63 2192 1928' ที่ใช้เพื่อยืนยันความถูกต้องของคีย์สาธารณะที่ยาวกว่า แลกเปลี่ยนลายนิ้วมือของคุณผ่านช่องทางการติดต่อสื่อสารอื่นๆ อาทิ Twitter DM หรืออีเมล เพื่อให้แน่ใจว่าจะไม่มีผู้ไม่หวังดีเข้ามาแทรกกลางในการสนทนาของคุณ ถ้าคีย์ไม่ตรงกับคุณจะไม่สามารถให้แน่ใจว่าคุณกำลังพูดคุยกับคนที่เหมาะสม ในทางปฏิบัติผู้คนมักจะใช้ปุ่มหลายหรือสูญเสียและมีการสร้างคีย์ใหม่จึงไม่ต้องแปลกใจถ้าคุณต้องตรวจสอบอีกครั้งคีย์ของคุณกับเพื่อนของคุณในบางครั้ง

    ขีดจำกัด: เมื่อใดที่ฉันไม่ควรใช้ Adium + โอทีอาร์? Anchor link

    นักเทคโนโลยีมีคำที่ใช้อธิบาย เมื่อโปรแกรมหรือเทคโนโลยีอาจมีช่องโหว่ที่ทำให้ถูกโจมตีจากภายนอกได้ง่าย ซึ่งพวกเขาเรียกว่าพื้นหน้าของการโจมตี (Attack Surface) ขนาดใหญ่ Adium มีพื้นหน้าของการโจมตีขนาดใหญ่ เนื่องจากโปรแกรมนี้มีความซับซ้อน และไม่ได้เขียนขึ้นโดยให้ความสำคัญสูงสุดในเรื่องของความปลอดภัย ดังนั้น เราจึงค่อนข้างแน่ใจว่าโปรแกรมมีจุดบกพร่อง ซึ่งรัฐบาลหรือแม้แต่บริษัทใหญ่ๆ อาจใช้เพื่อบุกรุกเข้าคอมพิวเตอร์ที่ใช้งานโปรแกรมนี้อยู่ การใช้ Adium เพื่อเข้ารหัสการสนทนาของคุณเป็นวิธีการป้องกันที่ดี เพื่อป้องกันการถูกสอดส่องเพื่อการไล่ล่าผู้ร้าย ซึ่งผู้โจมตีใช้เพื่อสืบความลับการสนทนาบนอินเทอร์เน็ตของทุกคน โดยไม่ีมีเป้าหมายที่เฉพาะเจาะจง แต่ถ้าคุณคิดว่าคุณตกเป็นเป้าหมายส่วนตัวของผู้โจมตีที่มีเครื่องมือและทรัพยากรพร้อม (เช่น จากภาครัฐหรือรัฐบาล) คุณควรพิจารณาใช้เครื่องมือป้องกันที่แข็งแกร่งกว่านี้ อย่างเช่น อีเมลที่เข้ารหัสด้วย PGP

    การติดตั้ง Adium + โอทีอาร์บนเครื่อง Mac ของคุณ Anchor link

    ขั้นตอนที่ 1: ติดตั้งโปรแกรม

    ขั้นแรก ให้ไปที่ https://adium.im/ ในเบราว์เซอร์ของคุณ แล้วเลือก "Download Adium 1.5.9" (ดาวน์โหลด Adium 1.5.9) ไฟล์จะถูกดาวน์โหลดในรูปแบบ .dmg หรือดิสก์อิมเมจ และอาจบันทึกอยู่ในโฟลเดอร์ "Downloads" (การดาวน์โหลด) ของคุณ

    ให้คลิกสองครั้งที่ไฟล์นั้น ระบบจะเปิดหน้าต่างขึ้นมาดังรูปด้านล่างนี้:

    ย้ายไอคอน 'Adium' ไปที่โฟลเดอร์ "Applications" (แอปพลิเคชัน) เพื่อติดตั้งโปรแกรม เมื่อติดตั้งโปรแกรมเสร็จแล้ว ให้ดูโปรแกรมในโฟลเดอร์ "Applications" (แอปพลิเคชัน) ของคุณ แล้วคลิกสองครั้ง เพื่อเปิดโปรแกรม

    ขั้นตอนที่ 2: ตั้งค่าบัญชีผู้ใช้ของคุณ

    ขั้นแรก คุณต้องตัดสินใจว่าต้องการใช้เครื่องมือหรือโพรโทคอลการแชทตัวใดกับ Adium ขั้นตอนในการตั้งค่าจะคล้ายกัน แต่จะไม่เหมือนกันเสียทีเดียวสำหรับเครื่องมือแต่ละชนิด คุณจะต้องทราบชื่อบัญชีผู้ใช้ของคุณสำหรับเครื่องมือหรือโพรโทคอลแต่ละตัว และต้องทราบรหัสผ่านสำหรับบัญชีผู้ใช้แต่ละบัญชีด้วย

    หากต้องการตั้งค่าบัญชีผู้ใช้ ให้ไปที่เมนู Adium ที่ตรงด้านบนสุดของหน้าจอของคุณ แล้วคลิก "Adium" จากนั้นคลิก "Preferences" (การกำหนดลักษณะ) โปรแกรมจะเปิดหน้าต่างที่แสดงเมนูอื่นขึ้นมาที่ด้านบนสุด เลือก "Accounts" (บัญชีผู้ใช้) แล้วคลิกเครื่องหมาย "+" ที่ด้านล่างสุดของหน้าต่าง คุณจะเห็นเมนูที่มีหน้าตาคล้ายกับรูปด้านล่างนี้:

    เลือกโปรแกรมที่คุณต้องการลงชื่อเข้าใช้ จากจุดนี้ โปรแกรมจะแสดงหน้าต่างเพื่อขอให้คุณป้อนชื่อผู้ใช้และรหัสผ่านของคุณ หรือให้ใช้เครื่องมือการอนุญาตของ Adium เพื่อลงชื่อเข้าใช้บัญชีผู้ใช้ของคุณ ทำตามคำแนะนำของ Adiumอย่างระมัดระวัง

    วิธีการเริ่มต้นการแชทผ่านโอทีอาร์ Anchor link

    เมื่อคุณลงชื่อเข้าใช้บัญชีผู้ใช้ของคุณอย่างน้อยหนึ่งบัญชีแล้ว คุณสามารถเริ่มต้นใช้งานโอทีอาร์ได้

    ข้อควรจำ: หากต้องการสนทนาโดยใช้โอทีอาร์ คู่สนทนาทั้งสองฝั่งต้องใช้โปรแกรมแชทที่รองรับโอทีอาร์

    ขั้นตอนที่ 1: เริ่มต้นการแชทผ่านโอทีอาร์

    ก่อนอื่น ให้ระบุตัวผู้ที่กำลังใช้งานโอทีอาร์ แล้วเริ่มต้นการสนทนากับพวกเขาใน Adium โดยคลิกสองครั้งที่ชื่อของพวกเขา เมื่อคุณเปิดหน้าต่างแชทขึ้นมาแล้ว คุณจะเห็นไอคอนรูปแม่กุญแจที่เปิดล็อกอยู่ ตรงมุมซ้ายบนของหน้าต่างแชท คลิกที่ไอคอนรูปแม่กุญแจนี้ แล้วเลือก "Initiate Encrypted OTR Chat" (เริ่มต้นการแชทผ่านโอทีอาร์แบบเข้ารหัส)

    ขั้นตอนที่ 2: ยืนยันความถูกต้องของการเชื่อมต่อของคุณ

    เมื่อคุณได้เริ่มต้นการแชทและคู่สนทนาของคุณได้ยอมรับคำเชิญแล้ว คุณจะสังเกตเห็นว่าไอคอนรูปแม่กุญแจจะปิดล็อกลงมา นี่คือวิธีที่คุณจะได้ทราบว่าการแชทของคุณได้ถูกเข้ารหัสแล้วในตอนนี้ (ยินดีด้วย!) – แต่เดี๋ยวก่อน ยังมีอีกขั้นตอนหนึ่ง!

    ตอนนี้ คุณได้เริ่มต้นการแชทที่เข้ารหัสไว้ แต่ยังไม่ได้ยืนยันความถูกต้อง ซึ่งหมายความว่า ถึงแม้การติดต่อสื่อสารของคุณจะถูกเข้ารหัสไว้ แต่คุณยังไม่ได้ตัดสินใจและยืนยันตัวตนของผู้ที่คุณกำลังแชทด้วย เว้นแต่ว่าคุณจะอยู่ในห้องเดียวกัน และสามารถมองเห็นหน้าจอของอีกฝ่ายหนึ่งได้ มิเช่นนั้น คุณต้องยืนยันตัวตนของอีกฝ่ายหนึ่ง หากต้องการข้อมูลเพิ่มเติม กรุณาอ่านในหัวข้อการยืนยันความถูกต้องของคีย์

    ในการยืนยันตัวตนของผู้ใช้อีกคนหนึ่ง โดยใช้ Adium ให้คลิกที่ไอคอนรูปแม่กุญแจอีกครั้ง แล้วเลือก "Verify" (ยืนยันความถูกต้อง) โปรแกรมจะเปิดหน้าต่างที่แสดงทั้งคีย์ของคุณและคีย์ของผู้ใช้อีกคนหนึ่ง Adium บางเวอร์ชันรองรับเฉพาะการยืนยันความถูกต้องของลายนิ้วมือด้วยตัวเองเท่านั้น จึงหมายความว่า คุณและผู้ที่คุณกำลังแชทด้วยจะต้องตรวจสอบด้วยวิธีการใดก็ตาม เพื่อให้แน่ใจว่าคีย์ของคุณทั้งสองคนที่โปรแกรม Adium กำลังแสดงอยู่ตรงกันทุกประการ

    วิธีที่ง่ายที่สุดคือการอ่านคีย์ดังๆ ให้อีกฝ่ายฟังแบบตัวต่อตัว แต่วิธีก็อาจไม่สามารถทำได้ทุกครั้ง นอกจากนี้ ก็มีวิธีการยืนยันความถูกต้องของคีย์ได้หลายวิธี ซึ่งมีระดับของความน่าเชื่อถือแตกต่างกันออกไป ตัวอย่างเช่น คุณสามารถอ่านคีย์ของคุณให้อีกฝ่ายหนึ่งทราบทางโทรศัพท์ ถ้าพวกคุณจำเสียงของคู่สนทนาอีกฝั่งหนึ่งได้ หรือส่งคีย์โดยใช้วิธีการติดต่อสื่อสารที่ได้รับการรับรอง เช่น PGP บางคนเผยแพร่คีย์ของพวกเขาบนเว็บไซต์ บัญชีผู้ใช้ Twitter หรือนามบัตร

    สิ่งสำคัญที่สุด คือคุณต้องตรวจสอบว่าตัวอักษรและตัวเลขทุกเลขทุกตัวตรงกันทั้งหมด

    ขั้นตอนที่ 3: ปิดใช้งานการบันทึกรายการ

    ตอนนี้ เมื่อคุณได้เริ่มต้นการแชทแบบเข้ารหัส และยืนยันตัวตนของคู่สนทนาของคุณแล้ว ยังมีอีกอย่างหนึ่งที่คุณต้องทำ เนื่องจาก Adium จะบันทึกการแชทที่เข้ารหัสผ่านโอทีอาร์ไว้ตามค่าเริ่มต้น โดยบันทึกการแชทดังกล่าวไว้ในฮาร์ดไดรฟ์ของคุณ จึงหมายความว่า ถึงแม้การแชทจะถูกเข้ารหัสผ่านไว้ แต่ก็ยังถูกบันทึกไว้ในรูปแบบข้อความล้วนบนฮาร์ดไดรฟ์ของคุณ

    หากต้องการปิดใช้งานการบันทึก ให้คลิก "Adium" ในเมนูด้านบนสุดของหน้าจอของคุณ แล้วคลิก "Preferences" (การกำหนดลักษณะ) ในหน้าต่างใหม่ ให้เลือก "General" (ทั่วไป) จากนั้น ให้ปิดใช้งาน "Log messages" (บันทึกข้อความ) และ "Log OTR-secured chats" (บันทึกการแชทที่เข้ารหัสผ่านโอทีอาร์ไว้) โปรดจำไว้ว่าคุณไม่ได้มีการควบคุมของคนที่คุณกำลังพูดคุยกับ - เธออาจจะใช้ภาพของการสนทนาของคุณแม้ว่าคุณจะมีการเข้าสู่ระบบแชทสำหรับผู้พิการ

    การตั้งค่าของคุณควรจะเหมือนดังรูปด้านล่างนี้:

    นอกจากนี้ เมื่อ Adium แสดงการแจ้งเตือนข้อความใหม่ เนื้อหาของข้อวามเหล่านั้นอาจถูกบันทึกได้โดยศูนย์แจ้งเตือนข้อมูลของ OS X จึงหมายความว่าถึงแม้ Adium จะไม่ทิ้งร่องรอยของการติดต่อสื่อสารของคุณไว้บนคอมพิวเตอร์ของคุณหรือของคู่สนทนาของคุณ แต่เวอร์ชันของ OS X ของคุณหรือของคู่สนทนาของคุณก็อาจจัดเก็บเร็กคอร์ดไว้ เพื่อป้องกันสิ่งนี้ คุณอาจต้องการปิดใช้งานการแจ้งเตือน

    หากต้องการปิดใช้งานการแจ้งเตือน ให้เลือก "Events" (เหตุการณ์) ในหน้าต่าง "Preferences" (การกำหนดลักษณะ) แล้วมองหารายการ "Display a notification" (แสดงการแจ้งเตือน) คุณสามารถขยายแต่ละรายการได้ โดยคลิกที่รูปสามเหลี่ยมสีเทา จากนั้น คลิกบรรทัดที่แสดงขึ้นมาใหม่ที่มีข้อความว่า "Display a notification" (แสดงการแจ้งเตือน) จากนั้น ให้คลิกไอคอนรูปเครื่องหมายลบ ("-") ที่ตรงมุมซ้ายล่างของหน้าต่าง เพื่อลบบรรทัดนั้นออกไป ถ้าคุณกังวลว่าจะมีเร็กคอร์ดหลงเหลืออยู่บนคอมพิวเตอร์ของคุณ คุณควรเปิดใช้งานการเข้ารหัสทั้งดิสก์ด้วย เพื่อจะได้ช่วยป้องกันไม่ให้บุคคลภายนอกได้ข้อมูลนี้ไปโดยไม่มีรหัสผ่านของคุณ

    อัปเดตครั้งล่าสุด: 
  • วิธีการ: ใช้งานโอทีอาร์สำหรับ Windows

    โอทีอาร์ (การเข้ารหัสคำสนทนา) คือโพรโทคอลที่ทำให้ผู้ที่ใช้โปรแกรมรับส่งข้อความแบบโต้ตอบทันทีหรือเครื่องมือแชทอื่นๆ สามารถสนทนากันแบบเป็นความลับได้ ในแนวทางนี้ คุณจะได้เรียนรู้วิธีการใช้งานโอทีอาร์ โดยใช้ Pidgin ซึ่งเป็นโปรแกรมโอเพนซอร์สที่ใช้งานได้ฟรี สำหรับพีซีที่ใช้ระบบปฏิบัติการ Windows

    โอทีอาร์ (OTR - Off the Record) คือะไร? Anchor link

    โอทีอาร์ (การเข้ารหัสคำสนทนา) คือโพรโทคอลที่ทำให้ผู้คนสามารถสนทนากันแบบเป็นความลับได้ โดยใช้เครื่องมือการรับส่งข้อความที่พวกเขาคุ้นเคย โอทีอาร์ช่วยให้คุณสนทนาได้อย่างปลอดภัย โดย:

    • การเข้ารหัสการสนทนาของคุณ
    • จัดหาวิธีการในการตรวจสอบให้แน่ใจว่าคนที่คุณสนทนาด้วย เป็นบุคคลนั้นจริงๆ
    • ไม่อนุญาตให้เซิร์ฟเวอร์บันทึกรายการหรือเข้าถึงการสนทนาของคุณ

    อย่าสับสนกับคุณลักษณะ 'Off the record' ของ Google ซึ่งเพียงแค่ปิดใช้งานการบันทึกรายการสนทนา และไม่มีขีดความสามารถในการเข้ารหัสหรือการยืนยันความถูกต้อง ถึงแม้คุณจะสามารถใช้งานโอทีอาร์ได้หลายวิธีบน Microsoft Windows เราพบว่าโปรแกรมการสนทนาที่เสถียรที่สุดและใช้งานง่ายที่สุดคือ Pidgin ที่มีปลั๊กอิน Pidgin-OTR

    Pidgin เป็นโปรแกรมการส่งข้อความโต้ตอบแบบทันทีสำหรับคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows โดยโปรแกรมนี้จะบันทึกรายการสนทนาโดยอัตโนมัติ แต่คุณสามารถปิดใช้งานคุณลักษณะนี้ได้ แต่ผู้พัฒนาได้ประกาศไว้ว่า พวกเขาไม่ได้มีการควบคุมผู้ที่คุณกำลังสนทนาด้วย ดังนั้น คู่สนทนาของคุณอาจบันทึกรายการหรือจับภาพหน้าจอการสนทนาของคุณไว้ก็ได้ ถึงแม้คุณจะปิดใช้งานการบันทึกรายการไปแล้วก็ตาม

    เหตุใดฉันจึงควรใช้ Pidgin + โอทีอาร์? Anchor link

    เมื่อคุณสนทนาโดยแชทผ่านทาง Google Hangouts หรือโปรแกรมแชทของ Facebook บนเว็บไซต์ Google หรือ Facebook การสนทนาดังกล่าวจะถูกเข้ารหัสไว้ โดยใช้ HTTPS ซึ่งหมายความว่า เนื้อหาของการสนทนาของคุณจะได้รับการป้องกันจากแฮกเกอร์และบุคคลภายนอกอื่นๆ ขณะกำลังรับส่งข้อความ อย่างไรก็ตาม การสนทนาของคุณไม่ได้ถูกป้องกันจาก Google หรือ Facebook ซึ่งถือกุญแจการสนทนาของคุณไว้ และสามารถส่งให้กับเจ้าหน้าที่ได้ หรือใช้พวกเขาเพื่อวัตถุประสงค์ทางการตลาด

    หลังจากที่คุณติดตั้ง Pidgin แล้ว คุณสามารถลงชื่อเข้าใช้ Pidgin โดยใช้บัญชีผู้ใช้หลายบัญชีพร้อมกันได้ ยกตัวอย่างเช่น คุณสามารถใช้ Google Hangouts, Facebook และ XMPP พร้อมกันได้ นอกจากนี้ Pidgin ยังอนุญาตให้คุณแชท โดยใช้เครื่องมือเหล่านี้แบบไม่มีโอทีอาร์ได้ด้วย เนื่องจากโอทีอาร์จะสามารถทำงานได้ เมื่อทั้งสองฝั่งใช้ปลั๊กอินนี้เท่านั้น จึงหมายความว่า คุณยังสามารถแชทโดยใช้ Pidgin ได้ ถึงแม้อีกฝ่ายหนึ่งจะไม่ได้ติดตั้งปลั๊กอินนี้ก็ตาม

    นอกจากนี้ Pidgin ยังอนุญาตให้คุณทำการยืนยันความถูกต้องแบบสำรอง (Out of Band) เพื่อให้แน่ใจว่าคุณกำลังพูดอยู่กับคนที่คุณคิดจริงๆ และคุณไม่ได้ตกเป็นเป้าหมายของการโจมตีจากคนกลาง (Man-in-the-Middle Attack) ที่เข้ามาแทรกกลางในการสนทนา ในการสนทนาทุกครั้ง โปรแกรมจะแสดงตัวเลือกให้แสดงลายนิ้วมือของคีย์ที่โปรแกรมมี สำหรับคุณและผู้ที่คุณกำลังสนทนาด้วย 'ลายนิ้วมือของคีย์' คือสตริงของอักขระ อย่างเช่น '342e 2309 bd20 0912 ff10 6c63 2192 1928' ที่ใช้เพื่อยืนยันความถูกต้องของคีย์สาธารณะที่ยาวกว่า แลกเปลี่ยนลายนิ้วมือของคุณผ่านช่องทางการติดต่อสื่อสารอื่นๆ อาทิ Twitter DM หรืออีเมล เพื่อให้แน่ใจว่าจะไม่มีผู้ไม่หวังดีเข้ามาแทรกกลางในการสนทนาของคุณ

    ขีดจำกัด: เมื่อใดที่ฉันไม่ควรใช้ Pidgin + โอทีอาร์? Anchor link

    นักเทคโนโลยีมีคำที่ใช้อธิบาย เมื่อโปรแกรมหรือเทคโนโลยีอาจมีช่องโหว่ที่ทำให้ถูกโจมตีจากภายนอกได้ง่าย ซึ่งพวกเขาเรียกว่าพื้นหน้าของการโจมตี (Attack Surface) ขนาดใหญ่ Pidgin มีพื้นหน้าของการโจมตีขนาดใหญ่ เนื่องจากโปรแกรมนี้มีความซับซ้อน และไม่ได้เขียนขึ้นโดยให้ความสำคัญสูงสุดในเรื่องของความปลอดภัย ดังนั้น เราจึงค่อนข้างแน่ใจว่าโปรแกรมมีจุดบกพร่อง ซึ่งรัฐบาลหรือแม้แต่บริษัทใหญ่ๆ อาจใช้เพื่อบุกรุกเข้าคอมพิวเตอร์ที่ใช้งานโปรแกรมนี้อยู่ การใช้ Pidgin เพื่อเข้ารหัสการสนทนาของคุณเป็นวิธีการป้องกันที่ดี เพื่อป้องกันการถูกสอดส่องเพื่อการไล่ล่าผู้ร้าย ซึ่งผู้โจมตีใช้เพื่อสืบความลับการสนทนาบนอินเทอร์เน็ตของทุกคน โดยไม่ีมีเป้าหมายที่เฉพาะเจาะจง แต่ถ้าคุณคิดว่าคุณตกเป็นเป้าหมายส่วนตัวของผู้โจมตีที่มีเครื่องมือและทรัพยากรพร้อม (เช่น จากภาครัฐหรือรัฐบาล) คุณควรพิจารณาใช้เครื่องมือป้องกันที่แข็งแกร่งกว่านี้ อย่างเช่น อีเมลที่เข้ารหัสด้วย PGP

    การดาวน์โหลด Pidgin Anchor link

    คุณสามารถดาวน์โหลดโปรแกรม Pidgin บน Windows โดยดาวน์โหลดตัวติดตั้งจากเพจการดาวน์โหลดของ Pidgin

    คลิกที่แท็บสีม่วงที่มีเลเบลว่า "DOWNLOAD" (ดาวน์โหลด) อย่าคลิกที่ปุ่มสีเขียวที่มีข้อความว่า "Download Now" (ดาวน์โหลดเดี๋ยวนี้) เนื่องจากคุณจะต้องการเลือกไฟล์ตัวติดตั้งที่แตกต่างออกไป คุณจะถูกนำไปที่เพจการดาวน์โหลด

    อย่าคลิกที่ปุ่มสีเขียวที่มีข้อความว่า "ดาวน์โหลดเดี๋ยวนี้" เนื่องจากเราต้องการเลือกไฟล์ตัวติดตั้งที่แตกต่างออกไป ตัวติดตั้งเริ่มต้นสำหรับ Pidgin มีขนาดเล็ก เนื่องจาก ไม่ได้มีข้อมูลทั้งหมด และตัวติดตั้งจะดาวน์โหลดไฟล์ให้กับคุณ บางครั้ง การดาวน์โหลดไม่สำเร็จ ดังนั้น คุณอาจชอบ 'ตัวติดตั้งแบบออฟไลน์' มากกว่า เนื่องจากมีไฟล์การติดตั้งที่ต้องใช้อยู่ทั้งหมด คลิกที่ลิงก์ "offline installer" (ตัวติดตั้งแบบออฟไลน์) คุณจะถูกนำไปที่เพจใหม่ที่ชื่อ "Sourceforge" และหลังจากนั้นไม่กี่วินาที ระบบจะแสดงหน้าต่างขนาดเล็ก เพื่อถามว่าคุณต้องการบันทึกไฟล์หรือไม่

    หมายเหตุ: ถึงแม้เพจการดาวน์โหลดของ Pidgin ใช้ 'HTTPS' ซึ่งน่าจะปลอดภัยจากการถูกแก้ไขข้อมูลโดยประสงค์ร้าย เว็บไซต์ที่นำคุณไปดาวน์โหลด Pidgin เวอร์ชัน Windows ในปัจจุบันคือ Sourceforge ซึ่งใช้ 'HTTP' แบบไม่เข้ารหัส ดังนั้น จึงไม่มีการป้องกัน ดังนั้น จึงหมายความว่าซอฟต์แวร์ที่คุณดาวน์โหลดอาจถูกแก้ไขข้อมูลโดยประสงค์ร้าย ก่อนที่คุณจะดาวน์โหลดมาเสียอีก

    ความเสี่ยงนี้ โดยส่วนใหญ่มาจาก ผู้ที่มีสิทธิเข้าถึงโครงสร้างพื้นฐานของอินเทอร์เน็ตภายในองค์กร พยายามสอดส่องคุณเป็นการส่วนตัว (อย่างเช่น ผู้ให้บริการฮอตสปอตที่ประสงค์ร้าย) หรือทางภาครัฐหรือรัฐบาลที่ต้องการแจกจ่ายซอฟต์แวร์ที่ถูกปรับเปลี่ยนแล้วให้กับผู้ใช้ให้มากที่สุด ส่วนขยาย HTTPS Everywhere สามารถเขียน URL การดาวน์โหลด Sourceforge ใหม่ให้เป็น HTTPs ได้ ดังนั้น เราขอแนะนำให้คุณติดตั้ง HTTPS Everywhere ก่อนที่จะดาวน์โหลดซอฟต์แวร์อื่นๆ นอกจากนี้ จากประสบการณ์ของเรา Sourceforge มักมีโฆษณาแบบแสดงเต็มเพจอยู่บนเพจการดาวน์โหลด ซึ่งทำให้คนสับสน และอาจลวงให้คนติดตั้งโปรแกรมอะไรที่พวกเขาไม่ต้องการ  คุณสามารถติดตั้งตัวบล็อกโฆษณาก่อนที่จะติดตั้งซอฟต์แวร์อื่นๆ เพื่อหลีกเลี่ยงโฆษณาที่ทำให้สับสนดังกล่าว อย่าลืมคิดเกี่ยวกับโมเดลภัยคุกคามของคุณ ก่อนที่จะดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่มีการป้องกัน

    เบราว์เซอร์หลายตัวจะถามคุณเพื่อให้ยืนยันว่า คุณต้องการดาวน์โหลดไฟล์นี้หรือไม่ Internet Explorer 11 จะแสดงแถบที่ด้านล่างสุดของหน้าต่างเบราว์เซอร์ด้วยขอบสีส้ม

    ไม่ว่าจะเป็นเบราว์เซอร์ใด วิธีที่ดีที่สุดคือการบันทึกไฟล์ไว้ ก่อนที่จะดำเนินการต่อ ดังนั้น ให้คลิกปุ่ม "Save" (บันทึก) ตามค่าเริ่มต้น เบราว์เซอร์ส่วนใหญ่จะบันทึกไฟล์ที่ดาวน์โหลดไว้ในโฟลเดอร์ "Downloads" (การดาวน์โหลด)

    การดาวน์โหลดโอทีอาร์ Anchor link

    คุณสามารถดาวน์โหลด pidgin-otr ซึ่งเป็นปลั๊กอินโอทีอาร์สำหรับ Pidgin ได้ โดยดาวน์โหลดตัวติดตั้งจาก เพจการดาวน์โหลดโอทีอาร์

    คลิกที่แท็บ "Downloads" (การดาวน์โหลด) เพื่อไปที่ส่วน "Downloads" (การดาวน์โหลด) ของเพจ คลิกลิงก์ "Win32 installer for pidgin" (ตัวติดตั้ง Win32 สำหรับ Pidgin)

    เบราว์เซอร์หลายตัวจะถามคุณเพื่อให้ยืนยันว่า คุณต้องการดาวน์โหลดไฟล์นี้หรือไม่ Internet Explorer 11 จะแสดงแถบที่ด้านล่างสุดของหน้าต่างเบราว์เซอร์ด้วยขอบสีส้ม

    ไม่ว่าจะเป็นเบราว์เซอร์ใด วิธีที่ดีที่สุดคือการบันทึกไฟล์ไว้ ก่อนที่จะดำเนินการต่อ ดังนั้น ให้คลิกปุ่ม "Save" (บันทึก) ตามค่าเริ่มต้น เบราว์เซอร์ส่วนใหญ่จะบันทึกไฟล์ที่ดาวน์โหลดไว้ในโฟลเดอร์ "Downloads" (การดาวน์โหลด)

    หลังจากที่ดาวน์โหลด Pidgin และ pidgin-otr คุณควรมีไฟล์ใหม่ 2 ไฟล์ อยู่ในโฟลเดอร์ "Downloads" (การดาวน์โหลด) ของคุณ:

    การติดตั้ง Pidgin Anchor link

    เปิดหน้าต่าง Windows Explorer ค้างไว้ แล้วคลิกสองครั้งที่ไฟล์ pidgin-2.10.9-offline.exe ชื่อไฟล์ใช้ในโมดูลนี้อาจไม่จำเป็นต้องตรงกับสิ่งที่คุณเห็นบนคอมพิวเตอร์ของคุณเอง ระบบจะถามว่าคุณจะอนุญาตให้ติดตั้งโปรแกรมนี้หรือไม่ คลิกปุ่ม "Yes" (ใช่)

    โปรแกรมจะแสดงหน้าต่างขนาดเล็ก เพื่อขอให้คุณเลือกภาษา คลิกปุ่ม "OK" (ตกลง)

    โปรแกรมจะแสดงหน้าต่างที่ให้ภาพรวมคร่าวๆ เกี่ยวกับกระบวนการติดตั้ง คลิกปุ่ม "Next" (ถัดไป)

    ตอนนี้ โปรแกรมจะแสดงภาพรวมของใบอนุญาตให้ใช้งาน คลิกปุ่ม "Next" (ถัดไป)

    ตอนนี้ โปรแกรมจะแสดงคอมโพเนนต์ต่างๆ ที่จะติดตั้ง อย่าเปลี่ยนการตั้งค่า คลิกปุ่ม "Next" (ถัดไป)

    ตอนนี้ โปรแกรมจะแสดงพาธสำหรับการติดตั้ง อย่าเปลี่ยนข้อมูลนี้ คลิกปุ่ม "Next" (ถัดไป)

    โปรแกรมจะแสดงหน้าต่างที่มีข้อความเลื่อนขึ้นเรื่อยๆ จนกระทั่งโปรแกรมแจ้งว่า "การติดตั้งเสร็จสมบูรณ์" คลิกปุ่ม "Next" (ถัดไป)

    ท้ายสุด โปรแกรมจะแสดงหน้าต่างสุดท้ายของตัวติดตั้ง Pidgin คลิกปุ่ม "Finish" (เสร็จสิ้น)

    การติดตั้ง pidgin-otr Anchor link

    กลับไปที่หน้าต่าง Windows Explorer แล้วเปิดไฟล์ โดยคลิกสองครั้งที่ pidgin-otr-4.0.0-1.exe ระบบจะถามว่าคุณจะอนุญาตให้ติดตั้งโปรแกรมนี้หรือไม่ คลิกปุ่ม "Yes" (ใช่)

    โปรแกรมจะแสดงหน้าต่างที่ให้ภาพรวมคร่าวๆ เกี่ยวกับกระบวนการติดตั้ง คลิกปุ่ม "Next" (ถัดไป)

     

    ตอนนี้ โปรแกรมจะแสดงภาพรวมของใบอนุญาตให้ใช้งาน คลิกปุ่ม "I Agree" (ฉันยอมรับ)

    โปรแกรมจะแสดงพาธสำหรับการติดตั้ง pidgin-otr อย่าเปลี่ยนข้อมูลนี้ คลิกปุ่ม "Install" (ติดตั้ง)

    ท้ายสุด โปรแกรมจะแสดงหน้าต่างสุดท้ายของตัวติดตั้ง pidgin-otr คลิกปุ่ม "Finish" (เสร็จสิ้น)

    การกำหนดค่า Pidgin Anchor link

    ไปที่เมนู "Start" (เริ่ม) คลิกไอคอน Windows แล้วเลือก Pidgin จากเมนู

    การเพิ่มบัญชีผู้ใช้ Anchor link

    เมื่อเปิดใช้ Pidgin เป็นครั้งแรก โปรแกรมจะแสดงหน้าต่างต้อนรับ ซึ่งมีตัวเลือกให้คุณเพิ่มบัญชีผู้ใช้ เนื่องจากคุณยังไม่ได้กำหนดค่าบัญชีผู้ใช้ไว้ ดังนั้น ให้คลิกปุ่ม "Add" (เพิ่ม)

    ตอนนี้ โปรแกรมจะแสดงหน้าต่าง "Add Account" (เพิ่มบัญชีผู้ใช้) Pidgin สามารถทำงานกับระบบแชทได้หลายระบบ แต่เราจะเน้นที่ XMPP หรือที่รู้จักกันในชื่อก่อนหน้านี้คือ Jabber

    ที่ช่อง "Protocol" (โพรโทคอล) ให้เลือกตัวเลือก "XMPP"

    ที่ช่อง "Username" (ชื่อผู้ใช้) ให้ป้อนชื่อผู้ใช้ XMPP ของคุณ

    ที่ช่อง "Domain" (โดเมน) ให้ป้อนโดเมนของบัญชีผู้ใช้ XMPP ของคุณ

    ที่ช่อง "Password" (รหัสผ่าน) ให้ป้อนรหัสผ่าน XMPP ของคุณ

    การเลือกกล่องกาเครื่องหมาย "Remember password" (จำรหัสผ่าน) จะทำให้คุณสามารถเข้าใช้งานบัญชีผู้ใช้ของคุณได้ง่ายขึ้น แต่พึงระวังว่าเมื่อคุณคลิกเลือกกล่องกาเครื่องหมาย "Remember password" (จำรหัสผ่าน) ระบบจะบันทึกรหัสผ่านของคุณไว้ในคอมพิวเตอร์ ซึ่งทำให้ใครก็ตามที่เข้าถึงคอมพิวเตอร์ของคุณได้สามารถเข้าใช้งานบัญชีผู้ใช้ของคุณได้ด้วย ถ้าคุณกังวลเรื่องนี้ อย่าเลือกกล่องกาเครื่องหมายนี้ โดยคุณจะต้องป้อนรหัสผ่านของบัญชีผู้ใช้ XMPP ของคุณ ทุกครั้งที่คุณเปิดใช้งาน Pidgin

    การเพิ่มเพื่อน (Buddy) Anchor link

    ตอนนี้ คุณจะต้องเพิ่มคนที่คุณจะแชทด้วย คลิกที่เมนู "Buddies" (เพื่อน) แล้วเลือก "Add Buddy" (เพิ่มเพื่อน) โปรแกรมจะแสดงหน้าต่าง "Add Buddy" (เพิ่มเพื่อน)

    ในหน้าต่าง "Add Buddy" (เพิ่มเพื่อน) คุณสามารถป้อนชื่อผู้ใช้ของผู้ที่คุณต้องการแชทด้วย ผู้ใช้ดังกล่าวนี้ไม่จำเป็นต้องมาจากเซิร์ฟเวอร์เดียวกันกับคุณก็ได้ แต่เขา/เธอต้องใช้โพรโทคอลเดียวกัน เช่น XMPP

    ที่ช่อง "Buddy's username" (ชื่อผู้ใช้ของเพื่อน) ให้ป้อนชื่อผู้ใช้ของเพื่อนโดยใส่ชื่อโดเมนด้วย ชื่อผู้ใช้ของเพื่อนจะดูเหมือนกับที่อยู่อีเมล

    ที่ช่อง "(Optional) Alias" (นามแฝง (ตัวเลือกเพิ่มเติม)) คุณสามารถป้อนชื่อของเพื่อนที่คุณตั้งเองได้ คุณไม่จำเป็นต้องป้อนนามแฝงนี้เลย แต่นามแฝง (เช่น Boris ดังในตัวอย่างด้านล่างนี้) จะช่วยให้คุณจำได้ ถ้าบัญชีผู้ใช้ XMPP ของคนผู้นี้จำได้ยาก

    คลิกปุ่ม "Add" (เพิ่ม)

    เมื่อคุณคลิกปุ่ม "Add" (เพิ่ม) แล้ว Boris จะได้รับข้อความถามว่า เขาอนุญาตให้คุณเพิ่มเขาเป็นเพื่อนหรือไม่ ถ้า Boris อนุญาต เขาจะเพิ่มบัญชีผู้ใช้ของคุณ และคุณจะได้รับคำขอแบบเดียวกัน คลิกปุ่ม "Authorize" (อนุญาต)

    การกำหนดค่าปลั๊กอินโอทีอาร์ Anchor link

    ตอนนี้ คุณจะต้องกำหนดค่าปลั๊กอินโอทีอาร์ เพื่อที่คุณจะได้สามารถแชทอย่างปลอดภัย คลิกเมนู "Tools" (เครื่องมือ) แล้วเลือกตัวเลือก "Plugins" (ปลั๊กอิน)

    เลื่อนลงมาที่ตัวเลือก "Off-the-Record Messaging" (การรับส่งข้อความแบบเข้ารหัสคำสนทนา) แล้วเลือกกล่องกาเครื่องหมายนี้ หลังจากเลือกกล่องกาเครื่องหมาย "Off-the-Record Messaging" (การรับส่งข้อความแบบเข้ารหัสคำสนทนา) แล้ว ให้คลิกปุ่ม "Configure Plugin" (กำหนดค่าปลั๊กอิน)

    ตอนนี้ โปรแกรมจะแสดงหน้าต่างการกำหนดค่า "Off-the-Record Messaging" (การรับส่งข้อความแบบเข้ารหัสคำสนทนา) สังเกตว่าหน้าต่างนี้จะมีข้อความว่า "No key present" (ไม่มีคีย์อยู่) คลิกปุ่ม "Generate" (สร้าง)

    โปรแกรมจะแสดงหน้าต่างขนาดเล็ก และสร้างคีย์ให้กับคุณ เมื่อดำเนินการเสร็จแล้ว ให้คลิกปุ่ม "OK" (ตกลง)

    คุณจะเห็นข้อมูลใหม่ ซึ่งเป็นสตริงอักขระที่มีความยาว 40 อักขระ แบ่งออกเป็น 5 กลุ่ม กลุ่มละ 8 อักขระ นี่คือลายนิ้วมือแบบโอทีอาร์ของคุณ คลิกปุ่ม "Close" (ปิด)

    ตอนนี้ ให้คลิกปุ่ม "Close" (ปิด) บนหน้าต่าง "Plugins" (ปลั๊กอิน)

    การแชทอย่างปลอดภัย Anchor link

    ตอนนี้ คุณสามารถแชทกับ Boris ได้แล้ว คุณสองคนสามารถส่งข้อความไปมาถึงกันได้ แต่คุณไม่ได้แชทกันอย่างปลอดภัย ถึงแม้ว่าคุณกำลังเชื่อมต่อกับเซิร์ฟเวอร์ XMPP การเชื่อมต่อระหว่างคุณกับ Boris ก็ยังไม่ได้ปลอดภัยจากการสอดแนม ถ้าคุณดูที่หน้่าต่างแชท คุณจะสังเกตเห็นข้อความตัวอักษรสีแดงว่า "Not private" (ไม่เป็นส่วนตัว) ที่ตรงมุมขวาล่างของหน้าต่าง ให้คลิกปุ่ม "Not private" (ไม่เป็นส่วนตัว)

    จากเมนูที่แสดงขึ้นมา ให้เลือก "Authenticate buddy" (รับรองความถูกต้องของเพื่อน)

    โปรแกรมจะแสดงหน้าต่างใหม่ ซึ่งถามว่า: "How would you like to authenticate your buddy?" (คุณต้องการรับรองความถูกต้องของเพื่อนของคุณในแบบใด?)

    กล่องรายการแบบดรอปดาวน์มีตัวเลือก 3 แบบ:

    "Shared secret" (ข้อความลับร่วมกัน) Anchor link

    ข้อความลับร่วมกันคือข้อความที่คุณและคนที่คุณต้องการแชทด้วยได้ตกลงกันไว้ล่วงหน้าว่าจะใช้ในการรับรองความถูกต้อง คุณควรแลกเปลี่ยนข้อความลับนี้ด้วยตนเอง และไม่ส่งข้อความนี้ผ่านทางช่องทางที่ไม่ปลอดภัย อย่างเช่น อีเมล หรือ Skype

    คุณและเพื่อนของคุณต้องป้อนข้อความลับนี้ทั้งสองคน คลิกปุ่ม "Authenticate" (รับรองความถูกต้อง)

    การยืนยันความถูกต้องด้วยการใช้ข้อความลับร่วมกันจะมีประโยชน์ เมื่อคุณและเพื่อนของคุณได้ตกลงกันไว้ว่าจะแชทกันในอนาคต แต่ยังไม่ได้สร้างลายนิ้วมือแบบโอทีอาร์บนคอมพิวเตอร์ที่คุณกำลังใช้งาน นี้ทำงานได้เฉพาะในกรณีที่คุณทั้งสองกำลังใช้ Pidgin

    "Manual fingerprint verification" (การยืนยันความถูกต้องของลายนิ้วมือด้วยตัวเอง) Anchor link

    การยืนยันความถูกต้องของลายนิ้วมือด้วยตัวเองจะมีประโยชน์ เมื่อคุณได้ส่งลายนิ้วมือให้กับเพื่อนของคุณแล้ว และตอนนี้กำลังเชื่อมต่อกับ Pidgin แต่ตัวเลือกนี้จะไม่มีประโยชน์ ถ้าเพื่อนของคุณเปลี่ยนคอมพิวเตอร์ หรือต้องสร้างลายนิ้วมือใหม่

    ถ้าลายนิ้วมือที่คุณให้ไว้กับลายนิ้วมือบนหน้าจอตรงกัน ให้เลือก "I have" (ฉันได้) แล้วคลิกปุ่ม "Authenticate" (รับรองความถูกต้อง)

    "Question and answer" (คำถามและคำตอบ) Anchor link

    การยืนยันความถูกต้องด้วยคำถามและคำตอบจะมีประโยชน์ เมื่อคุณรู้จักเพื่อนของคุณ แต่ยังไม่ได้กำหนดข้อความลับร่วมกันไว้ หรือยังไม่มีโอกาสได้ส่งลายนิ้วมือให้กับเพื่อนของคุณ วิธีนี้จะมีประโยชน์ เมื่อคุณยืนยันความถูกต้อง โดยใช้สิ่งคุณทั้งสองคนทราบ เช่น เหตุการณ์หรือความทรงจำที่มีร่วมกัน
    นี้ทำงานได้เฉพาะในกรณีที่คุณทั้งสองกำลังใช้ Pidgin

    ป้อนคำถามที่คุณต้องการถาม อย่าตั้งคำถามที่ธรรมดาเสียจนใครๆ ก็สามารถตอบได้ง่ายๆ แต่ก็อย่าให้ยากเสียจนไม่มีใครตอบได้ ตัวอย่างคำถามที่ดี เช่น 'เราไปกินอาหารมื้อค่ำกันที่ร้านไหนในเมืองมินนีแอโพลิส?' และตัวอย่างคำถามที่ไม่ดี เช่น 'คุณสามารถซื้อแอปเปิ้ลในประเทศญี่ปุ่นได้หรือไม่?'

    อย่าลืมว่าคำตอบของคุณทั้งสองคนต้องตรงกันทั้งหมด ดังนั้น เลือกคำตอบให้ดีๆ สำหรับคำถามของคุณ คำตอบต้องตรงตามตัวอักษรใหญ่เล็กด้วย ดังนั้น คุณอาจเลือกใส่หมายเหตุไว้ในวงเล็บ (เช่น ป้อนอักษรนำเป็นตัวพิมพ์ใหญ่ทั้งหมด หรือใช้ตัวพิมพ์เล็ก)

    ป้อนคำถามและคำตอบ แล้วคลิกปุ่ม "Authenticate" (รับรองความถูกต้อง)

    โปรแกรมจะแสดงหน้าต่างในหน้าจอเพื่อนของคุณ เพื่อแสดงคำถามให้เพื่อนของคุณป้อนคำตอบ เพื่อนของคุณจะต้องป้อนคำตอบ แล้วคลิกปุ่ม "Authenticate" (รับรองความถูกต้อง) จากนั้น เพื่อนของคุณจะได้รับข้อความที่แจ้งให้ทราบว่าการรับรองความถูกต้องสำเร็จหรือไม่

    เมื่อเพื่อนของคุณดำเนินการในขั้นตอนการรับรองความถูกต้องเสร็จแล้ว โปรแกรมจะแสดงหน้าต่างเพื่อแจ้งให้คุณทราบว่าการรับรองความถูกต้องสำเร็จแล้ว

    เพื่อนของคุณเองก็ควรยืนยันความถูกต้องของบัญชีผู้ใช้ของคุณด้วย เพื่อพวกคุณทั้งสองคนจะได้แน่ใจว่าการติดต่อสื่อสารของพวกคุณปลอดภัย ด้านล่างนี้คือหน้าต่างแชทของ Akiko และ Boris คุณจะสังเกตเห็นไอคอนที่มีตัวอักษรสีเขียวว่า "Private" (เป็นส่วนตัว) ที่ตรงมุมขวาล่างของหน้าต่างแชท

    การทำงานกับซอฟต์แวร์อื่นๆ Anchor link

    กลไกในการยืนยันความถูกต้องของควรทำงานระหว่างซอฟต์แวร์การแชทต่างๆ อย่างเช่น Jitsi, Pidgin, Adium และ Kopete คุณไม่จำเป็นต้องใช้ซอฟต์แวร์การแชทตัวเดียวกัน เพื่อใช้งานการแชทผ่าน XMPP และโอทีอาร์ แต่บางครั้งซอฟต์แวร์ก็อาจมีข้อผิดพลาด Adium ซึ่งเป็นซอฟต์แวร์การแชทสำหรับ OS X มีข้อผิดพลาดในการรับการยืนยันความถูกต้องด้วยคำถามและคำตอบ ถ้าคุณพบว่าคุณยืนยันความถูกต้องของผู้อื่นไม่สำเร็จ เมื่อคุณยืนยันความถูกต้องด้วยคำถามและคำตอบ ให้ตรวจสอบว่าพวกเขาใช้งาน Adium หรือไม่ และดูว่าคุณสามารถใช้วิธีการยืนยันความถูกต้องแบบอื่นได้หรือไม่

    อัปเดตครั้งล่าสุด: 
JavaScript license information