ตัวสร้างรหัสผ่าน
ให้เลือกความยาวของรหัสผ่าน จากนั้นตั้งค่ารูปแบบตัวอักษร (ตัวพิมพ์ใหญ่/เล็ก) และตัวเลขหรือสัญลักษณ์ โดยเครื่องสร้างรหัสผ่านนี้จะใช้เครื่องกำเนิดตัวเลขสุ่มเชิงเข้ารหัสในเบราว์เซอร์ของคุณ — ซึ่งเป็นแหล่งผลิตเอนโทรปีเดียวกันกับที่ใช้ในการสร้างกุญแจ SSL และกระเป๋าเงินคริปโตเคอร์เรนซี ไม่มีการใช้ข้อมูลนำทาง (seeded pseudo-random) และไม่ต้องผ่านกระบวนการส่งข้อมูลไป-กลับระหว่างเซิร์ฟเวอร์ รหัสผ่านขนาด 16 ตัวอักษรที่ครอบคลุมทั้งสี่ประเภทของตัวอักษรจะให้ระดับเอนโทรปีประมาณ 95 บิต ซึ่งเพียงพอที่จะต้านทานการแฮ็กแบบออฟไลน์ด้วยฮาร์ดแวร์ในปัจจุบัน
รหัสผ่านที่มีความแข็งแกร่งนั้นถูกออกแบบขึ้นอย่างไร
-
1
เลือกความยาว
ค่าเริ่มต้น: 16 หากค่าน้อยกว่า 12 จะถือว่าอ่อนแอสำหรับบัญชีที่สำคัญ
-
2
เลือกประเภทตัวอักษร
ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์ ยิ่งมีคลาสมากเท่าไร ก็ยิ่งทำให้ระดับเอนโทรปีของแต่ละตัวอักษรสูงขึ้นเท่านั้น
-
3
ตัวเลือก: ไม่รวมตัวอักษรที่มีความคลุมเครือ
ให้ลบค่า 0/O และ 1/l/I หากรหัสผ่านจะถูกส่งจากหน้าจอไปยังเทอร์มินัล
-
4
สร้างขึ้น
crypto getRandomValues() จะสุ่มเลือกตัวอักษรแต่ละตัวอย่างสม่ำเสมอจากชุดตัวอักษรที่อนุญาต
-
5
คัดลอกและเก็บไว้
ให้ติดตั้งข้อมูลลงในโปรแกรมจัดการรหัสผ่านของคุณทันที อย่าใช้ซ้ำ
เอนโทรปีตามความยาวและชุดตัวอักษร
| ความยาว | ตัวพิมพ์เล็กเท่านั้น | ตัวพิมพ์เล็ก + ตัวเลข | ตัวพิมพ์เล็ก + ใหญ่ + ตัวเลข | ทั้งสี่ประเภท |
|---|---|---|---|---|
| 8 | 38 บิต | 41 บิต | 48 บิต | 52 บิต |
| 12 | 57 บิต | 62 บิต | 71 บิต | 79 บิต |
| 16 | 75 บิต | 83 บิต | 95 บิต | 105 บิต |
| 20 | 94 บิต | 103 บิต | 119 บิต | 131 บิต |
| 24 | 113 บิต | 124 บิต | 143 บิต | 158 บิต |
เอนโทรปีหมายความว่าอย่างไรในทางปฏิบัติ
- 40 บิต — สามารถแฮ็กได้ภายในไม่กี่วันด้วย GPU เพียงตัวเดียวในปัจจุบัน เหมาะสำหรับบัญชีที่ใช้งานแล้วจะทิ้งไป
- 60 บิต — สามารถต้านทานการโจมตีทางออนไลน์ได้ แต่เปราะบางต่อการแฮ็กแบบออฟไลน์เฉพาะเจาะจง
- 80 บิต — มีความทนทานสูงต่อการแฮกแบบออฟไลน์บนฮาร์ดแวร์ในปัจจุบัน
- 100 บิต — ในทางปฏิบัติไม่สามารถถอดรหัสได้จนกว่าเทคโนโลยีการคำนวณควอนตัมจะพัฒนาจนสมบูรณ์
- 128 บิต — เทียบเท่ากับความแข็งแกร่งของกุญแจในมาตรฐาน AES-128
สำหรับบัญชีออนไลน์ส่วนใหญ่ การใช้ตัวอักษร 16 ตัวจากชุดตัวอักษรเต็มจำนวน (105 บิต) ก็เพียงพออย่างมากแล้ว ส่วนบัญชีธนาคาร โปรแกรมจัดการรหัสผ่าน และกระเป๋าเงินคริปโตนั้นควรใช้ตัวอักษรมากกว่า 20 ตัว
ทำไมระดับตัวละครจึงสำคัญ
แต่ละคลาสจะเพิ่มตัวเลือกตามจำนวนตัวอักษร โดยใช้ตัวพิมพ์เล็ก 26 ตัว ตัวอักษรหนึ่งตัวจะใช้พิกัดข้อมูลประมาณ log₂(26) = 4.7 บิต เมื่อรวมตัวอักษรพิมพ์ใหญ่เข้ามา จะได้ทั้งหมด 52 ตัวอักษร และใช้พิกัด 5.7 บิตต่อตัวอักษร หากเพิ่มตัวเลข จะได้ 62 ตัวอักษร และใช้พิกัด 5.95 บิต ส่วนการเพิ่มสัญลักษณ์จะให้จำนวนตัวอักษรถึง 94 ตัว และใช้พิกัด 6.55 บิต เมื่อมีตัวอักษรมากกว่า 16 ตัว ความแตกต่างนี้จะสะสมเป็นประมาณ 30 บิต ซึ่งเท่ากับความแตกต่างระหว่างกรณีที่ “สามารถแก้ไขได้ง่าย” กับกรณีที่ “ไม่คุ้มค่าในการพยายาม”
เวลาที่ควรตัดตัวอักษรที่ไม่ชัดเจนออก
หากต้องป้อนรหัสผ่านจากหน้าจอไปยังอุปกรณ์โดยไม่มีช่องทางสำหรับการคัดลอกและวาง ซึ่งพบได้ในโปรแกรมติดตั้งบนคอนโซล กระเป๋าเงินฮาร์ดแวร์บางประเภท หรือผู้ใช้สูงอายุที่อ่านรหัสผ่านออกเสียง เช่น 0, O, 1, l และ I การใช้รหัสเหล่านี้จะช่วยลดความผิดพลาดในการถอดรหัสได้อย่างมีนัยสำคัญ โดยต้นทุนของเอนโทรปีมีค่าต่ำมาก เพียง 2–3 บิต จากทั้งหมดกว่า 80 บิต
กระบวนการทำงานของโปรแกรมจัดการรหัสผ่าน
- ติดตั้งโปรแกรมจัดการรหัสผ่าน (เช่น Bitwarden, 1Password, KeePass)
- ตั้งรหัสผ่านหลักที่เข้มแข็ง (ใช้คำสุ่ม 6–8 คำ — ดูเครื่องสร้างรหัสผ่าน)
- ใช้เครื่องกำเนิดของผู้จัดการสำหรับแต่ละไซต์ โดยใช้การตั้งค่ามาตรฐานที่เข้มงวด
- อย่าใช้รหัสผ่านซ้ำกันระหว่างเว็บไซต์ต่างๆ เลย แม้แต่รหัสผ่านที่ใช้แล้วทิ้งก็ตาม
- ให้การยืนยันตัวตนสองขั้นตอน (2FA) ใช้งานได้บนทุกอุปกรณ์ที่รองรับ
รหัสผ่านที่ป้อนด้วยตนเองควรใช้น้อยมาก โดยควรจำกัดเฉพาะสำหรับผู้ดูแลระบบหลัก การเข้ารหัสข้อมูลบนดิสก์ทั้งหมด และอาจรวมถึงการล็อกอินเข้าคอมพิวเตอร์ทำงานของคุณด้วย
สิ่งต่างๆ ที่ไม่ช่วยได้เลย
- เปลี่ยนทุก 90 วัน การหมุนแบบบังคับจะช่วยส่งเสริมรูปแบบที่สามารถคาดการณ์ได้ (เช่น ฤดูร้อน 2024 → ฤดูใบไม้ร่วง 2024) อย่างไรก็ตาม มาตรฐาน NIST SP 800-63B ได้แนะนำอย่างชัดเจนว่าไม่ควรใช้วิธีนี้
- การเขียนรหัสผ่านลงบนกระดาษในกระเป๋าเงิน ปลอดภัยกว่าการใช้รหัสผ่านที่อ่อนแอซ้ำแล้วซ้ำเล่า แต่ยังไม่ดีเท่าโปรแกรมจัดการรหัสผ่าน
- คำถามด้านความปลอดภัยที่มีคำตอบจริง “โรงเรียนแห่งแรก” สามารถค้นหาได้เพียงไม่กี่ครั้งผ่าน Google สำหรับคนส่วนใหญ่ ให้สร้างคำตอบปลอมแบบสุ่มขึ้นมาและจัดเก็บไว้ในระบบของคุณ
คำถามที่พบบ่อย
การใช้ตัวอักษรทั้งหมด 16 ตัวจากทั้งสี่ประเภท (ตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ ตัวเลข และสัญลักษณ์) ถือว่าเพียงพอสำหรับบัญชีเกือบทุกประเภท ส่วนผู้ใช้งานโปรแกรมจัดการรหัสผ่าน กระเป๋าเงินดิจิทัล และระบบเข้ารหัสข้อมูลบนดิสก์เต็ม จะต้องใช้ตัวอักษรมากกว่า 20 ตัว ขณะที่หากใช้น้อยกว่า 12 ตัวจะถือว่าอ่อนแอไม่ว่ากฎการกำหนดความซับซ้อนจะเป็นอย่างไรก็ตาม
รหัสผ่านจะถูกสร้างขึ้นโดยตรงในเบราว์เซอร์ของคุณโดยใช้ Web Crypto API และจะไม่ถูกส่งไปยังที่ใดเลย หากต้องการตรวจสอบ ให้เปิดแผงเครือข่ายของ Open DevTools จากนั้นควรคัดลอกรหัสผ่านไปยังโปรแกรมจัดการรหัสผ่านทันที แทนที่จะถ่ายภาพหน้าจอหรือส่งทางอีเมล
การรั่วไหลของข้อมูล: เมื่อเว็บไซต์ใดเว็บไซต์หนึ่งเปิดเผยรหัสผ่าน ผู้โจมตีจะรีบใช้ชุดอีเมลและรหัสผ่านเดียวกันนั้นลงบนเว็บไซต์อื่นอีกหลายร้อยแห่งทันที (การโจมตีแบบใส่ข้อมูลผู้ใช้จำนวนมากพร้อมรหัสผ่านเดียวกัน) โดยแต่ละเว็บไซต์จะใช้รหัสผ่านที่แตกต่างกัน เพื่อจำกัดความเสียหายที่เกิดขึ้นกับบัญชีแต่ละบัญชี
สร้างรหัสผ่านสุ่มยาว 16 ตัวอักษรสำหรับเว็บไซต์นั้น โดยทั่วไป หากจำนวนตัวอักษรไม่เกิน 16 ตัว แสดงว่าเว็บไซต์นั้นจัดเก็บรหัสผ่านในรูปแบบที่ไม่สามารถปรับขนาดได้อย่างเหมาะสม ซึ่งถือเป็นสัญญาณเตือนภัยสำคัญ — โดยเฉพาะอย่างยิ่งควรเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA)