การสร้างรหัสผ่านที่คาดเดายาก

เนื่องจากการต้องจำรหัสผ่านที่แตกต่างกันจำนวนมากเป็นเรื่องที่ทำได้ยาก ผู้คนจึงมักใช้รหัสผ่านเพียงไม่กี่รหัสซ้ำไปซ้ำมา สำหรับบัญชีผู้ใช้ ไซต์ และบริการต่างๆ ทุกวันนี้ ผู้ใช้ถูกขอให้ตั้งรหัสผ่านใหม่อยู่ตลอด ผู้ใช้หลายๆ คนจึงใช้รหัสผ่านเดิมซ้ำหลายสิบหรือหลายร้อยครั้ง

การใช้รหัสผ่านเดิมซ้ำเป็นวิธีปฏิบัติในการรักษาความปลอดภัยที่ไม่ดีอย่างมาก เนื่องจากหากผู้โจมตีมีรหัสผ่านเพียงหนึ่งรหัส เธอจะพยายามลองใช้รหัสผ่านนั้นกับบัญชีผู้ใช้อื่นๆ ของบุคคลผู้นั้น ถ้าบุคคลผู้นั้นใช้รหัสผ่านเดิมซ้ำหลายครั้ง ผู้โจมตีจะสามารเข้าถึงบัญชีผู้ใช้ได้หลายบัญชี จึงหมายความว่ารหัสผ่านอาจมีความปลอดภัยได้มากที่สุดแค่สำหรับบริการที่ปลอดภัยน้อยที่สุดที่นำมาใช้เท่านั้น

การหลีกเลี่ยงการใช้รหัสผ่านเดิมซ้ำเป็นการระมัดระวังเรื่องความปลอดภัยที่มีประโยชน์ เพียงแต่คุณจะไม่สามารถจำรหัสผ่านทั้งหมดของคุณได้ หากรหัสผ่านแต่ละรหัสแตกต่างกันออกไป โชคดีที่มีเครื่องมือซอฟต์แวร์ที่สามารถช่วยคุณในเรื่องนี้ได้ โปรแกรมจัดการรหัสผ่าน (หรือที่เรียกว่า โปรแกรมช่วยจำรหัสผ่าน) เป็นซอฟต์แวร์แอปพลิเคชันที่ช่วยจัดเก็บรหัสผ่านจำนวนมากไว้อย่างปลอดภัย จึงทำให้ผู้ใช้สามารถเลี่ยงการใช้รหัสผ่านเดิมซ้ำในหลายๆ บริบท โปรแกรมจัดการรหัสผ่านป้องกันรหัสผ่านทั้งหมดของคุณด้วยรหัสผ่านหลักเพียงรหัสเดียว (หรือที่ดีคือ วลีรหัสผ่านเพียงวลีเดียว กรุณาดูคำอธิบายที่ด้านล่าง) ดังนั้น คุณจึงต้องจำเพียงอย่างเดียว อันที่จริง ผู้ที่ใช้โปรแกรมจัดการรหัสผ่านไม่จำเป็นต้องรู้รหัสผ่านของพวกเขาสำหรับบัญชีผู้ใช้ต่างๆ อีกต่อไป เนื่องจากโปรแกรมจัดการรหัสผ่านสามารถจัดการให้ตลอดทั้งกระบวนการ ตั้งแต่การสร้างไปจนถึงการจดจำรหัสผ่านให้กับพวกเขา

ตัวอย่างเช่น KeePassX เป็นโปรแกรมช่วยจำรหัสผ่านแบบโอเพนซอร์สที่ใช้ได้ฟรีบนเดสก์ท็อปของคุณ สิ่งสำคัญคือคุณต้องทราบว่า ถ้าคุณใช้ KeePassX โปรแกรมจะไม่ได้บันทึกการเปลี่ยนแปลงและการเพิ่มเติมให้โดยอัตโนมัติ จึงหมายความว่า ถ้าโปรแกรมทำงานล้มเหลว หลังจากที่คุณเพิ่มรหัสผ่านใหม่ รหัสผ่านของคุณอาจสูญหายไปอย่างถาวร คุณสามารถเปลี่ยนค่านี้ได้ในการตั้งค่า

การใช้โปรแกรมจัดการรหัสผ่านยังช่วยให้คุณสามารถเลือกรหัสผ่านที่แข็งแกร่งที่ผู้โจมตีคาดเดาได้ยากอีกด้วย ข้อนี้ก็มีความสำคัญเช่นกัน เนื่องจากบ่อยครั้งที่ผู้ใช้คอมพิวเตอร์เลือกรหัสผ่านที่สั้นและเรียบง่าย เช่น 'password1' หรือ '12345' หรือวันเกิด ชื่อของเพื่อน ของคู่สมรส หรือของสัตว์เลี้ยง โปรแกรมจัดการรหัสผ่านสามารถช่วยให้คุณสร้างและใช้รหัสผ่านแบบสุ่มที่ไม่มีรูปแบบหรือโครงสร้าง ดังนั้น จึงไม่สามารถคาดเดาได้ ตัวอย่างเช่น โปรแกรมจัดการรหัสผ่านสามารถเลือกรหัสผ่านอย่างเช่น 'vAeJZ!Q3p$Kdkz/CRHzj0v7' ซึ่งมนุษย์ไม่น่าจะจดจำหรือคาดเดาได้ แต่ไม่ต้องกังวล โปรแกรมจัดการรหัสผ่านสามารถจดจำรหัสผ่านเหล่านี้ให้กับคุณ!

การซิงค์รหัสผ่านของคุณระหว่างอุปกรณ์ต่างๆ Anchor link

คุณอาจใช้รหัสผ่านของคุณบนอุปกรณ์มากกว่าหนึ่งเครื่อง เช่นบนคอมพิวเตอร์และสมาร์ทโฟนของคุณ โปรแกรมจัดการรหัสผ่านหลายโปรแกรมมีคุณลักษณะการซิงค์รหัสผ่านในตัว เมื่อคุณซิงค์ไฟล์รหัสผ่านของคุณ ไฟล์ดังกล่าวจะอัปเดตเป็นเวอร์ชันล่าสุดบนอุปกรณ์ทุกเครื่องของคุณ ดังนั้น เมื่อคุณเพิ่มบัญชีผู้ใช้ใหม่บนคอมพิวเตอร์ของคุณ คุณจะยังคงสามารถเข้าสู่ระบบบัญชีผู้ใช้นั้นได้จากโทรศัพท์ของคุณ โปรแกรมจัดการรหัสผ่านอื่นๆ จะเสนอให้จัดเก็บรหัสผ่านของคุณไว้ 'บนระบบคลาวด์' ซึ่งกล่าวได้ว่าโปรแกรมจะจัดเก็บรหัสผ่านที่เข้ารหัสไว้ของคุณบนเซิร์ฟเวอร์ระยะไกล และเมื่อคุณต้องการใช้บนแล็ปท็อปหรือโทรศัพท์มือถือ โปรแกรมจะดึงข้อมูลรหัสผ่านและถอดรหัสให้กับคุณโดยอัตโนมัติ ตัวจัดการรหัสผ่านที่ใช้เซิร์ฟเวอร์ของตนในการจัดเก็บและช่วยประสานรหัสผ่านของคุณทำให้เกิดความสะดวกมากขึ้น แต่ข้อด้วยประการหนึ่งคือวิธีดังกล่าวค่อนข้างเสี่ยงต่อการถูกโจมตีได้มากกว่า หากคุณแค่เก็บรหัสผ่านไว้บนคอมพิวเตอร์ของตัวเอง เมื่อบุคคลอื่นที่สามารถครอบครองคอมพิวเตอร์ของคุณอาจสามารถค้นพบข้อมูลรหัสผ่านดังกล่าวได้ หากคุณเก็บรหัสผ่านไว้ในคลาวด์ บุคคลที่จ้องโจมตีอาจตั้งเป้าโจมตีการเก็บดังกล่าวด้วยเช่นกัน โดยปกติสิ่งนี้ไม่ได้เป็นอันตรายที่คุณต้องกังวล ยกเว้นในกรณีที่ผู้ที่เป็นฝ่ายโจมตีมีอำนาจทางกฎหมายเหนือบริษัทที่จัดการรหัสผ่านหรือผู้ที่เป็นฝ่ายโจมตีมีชื่อเสียงในการพุ่งเป้าโจมตีบริษัทการจราจรทางอินเทอร์เน็ต หากคุณใช้บริการคลาวด์ บริษัทที่จัดการรหัสผ่านอาจรู้ว่าบริการใดบ้างที่คุณใช้ เวลาที่ใช้ และมาจากที่ไหน

 

การเลือกรหัสผ่านที่คาดเดายาก Anchor link

มีรหัสผ่านไม่กี่รายการที่คุณไม่จำเป็นต้องจำได้ แต่ต้องเป็นรหัสผ่านที่คาดเดาได้ยากมากๆ ซึ่งได้แก่รหัสผ่านที่ใช้ล็อกข้อมูลของคุณเองด้วยการเข้ารหัส ซึ่งรวมถึง (อย่างน้อยที่สุด) รหัสผ่านสำหรับอุปกรณ์ของคุณ การเข้ารหัสอย่างเช่นการเข้ารหัสทั้งดิสก์ และรหัสผ่านหลักสำหรับโปรแกรมจัดการรหัสผ่านของคุณ

ปัจจุบันคอมพิวเตอร์มีความเร็วมากพอที่จะคาดเดารหัสผ่านที่มีตัวอักษรน้อยกว่าสิบตัวได้อย่างรวดเร็ว นั่นหมายความว่ารหัสผ่านที่สั้นไม่ว่าแบบใดก็ตาม แม้กระทั้งแบบสุ่มอย่างเช่น nQ\m=8*x หรือ !s7e&nUY หรือ gaG5^bG ก็ถือว่ายังไม่แน่นหนาพอสำหรับใช้ในการเข้ารหัสในปัจจุบัน"

การสร้างวลีรหัสผ่านที่คาดเดายากและจดจำง่ายมีหลายวิธี แต่วิธีการที่ตรงไปตรงมาและใช้ได้ผลมากที่สุดคือ 'Diceware' ของ Arnold Reinhold

วิธีการของ Reinhold เกี่ยวข้องกับการโยนลูกเต๋าจริงๆ เพื่อสุ่มเลือกคำหลายๆ คำจากรายการคำ เมื่อนำมารวมกัน คำเหล่านั้นจะรวมเข้าเป็นวลีรหัสผ่านของคุณ สำหรับการเข้ารหัสดิสก์ (และโปรแกรมช่วยจำรหัสผ่าน) เราขอแนะนำให้เลือกคำอย่างน้อย 6 คำ

ลองสร้างรหัสผ่านโดยใช้วิธีการ 'Diceware' ของ Reinhold

เมื่อคุณใช้โปรแกรมช่วยจำรหัสผ่าน ความปลอดภัยของรหัสผ่านและรหัสผ่านหลักของคุณจะแข็งแกร่งได้มากที่สุด เท่ากับความปลอดภัยของคอมพิวเตอร์ที่ติดตั้งและใช้งานโปรแกรมจัดการรหัสผ่านนั้นเท่านั้น ถ้าคอมพิวเตอร์หรืออุปกรณ์ของคุณถูกเจาะระบบได้ และถูกติดตั้งสปายแวร์ไว้ สปายแวร์ดังกล่าวจะสามารถเฝ้าติดตามการพิมพ์รหัสผ่านหลักของคุณ และสามารถขโมยเนื้อหาของโปรแกรมช่วยจำรหัสผ่านได้ ดังนั้น จึงยังเป็นสิ่งสำคัญที่คุณต้องดูแลคอมพิวเตอร์และอุปกรณ์อื่นๆ ของคุณ ให้ปราศจากซอฟต์แวร์ที่เป็นอันตราย เมื่อคุณใช้โปรแกรมจัดการรหัสผ่าน

คำแนะนำเกี่ยวกับ 'คำถามรักษาความปลอดภัย' Anchor link

พึงระวังเกี่ยวกับ 'คำถามรักษาความปลอดภัย' (เช่น 'นามสกุลเดิมของแม่คุณคืออะไร?' หรือ 'สัตว์เลี้ยงของคุณชื่ออะไร?') ซึ่งเว็บไซต์ใช้เพื่อยืนยันตัวตนของคุณ ถ้าคุณลืมรหัสผ่านของคุณ คำตอบสำหรับคำถามรักษาความปลอดภัยเป็นข้อเท็จจริงที่สามารถค้นหาได้จากข้อมูลที่เปิดเผยต่อสาธารณะ ซึ่งผู้ไม่หวังดีสามารถค้นพบได้โดยง่าย และสามารถเลี่ยงผ่านรหัสผ่านของคุณได้ทั้งหมด ตัวอย่างเช่น Sarah Palin อดีตผู้รับสมัครรองประธานาธิบดีสหรัฐอเมริกา ถูกแฮกบัญชีผู้ใช้ Yahoo! ของเธอด้วยวิธีนี้ ดังนั้น แทนที่จะตอบตามความจริง ให้ใช้คำตอบในจินตนาการ แบบเดียวกับรหัสผ่านของคุณ ซึ่งไม่มีใครทราบ นอกจากคุณ ตัวอย่างเช่น ถ้าคำถามสำหรับรผัสผ่านถามชื่อของสัตว์เลี้ยงของคุณ คุณอาจได้เคยโพสต์ภาพถ่ายของสัตว์เลี้ยงของคุณไว้บนไซต์การแชร์ภาพถ่ายพร้อมคำอธิบายใต้รูปว่า 'นี่คือภาพถ่ายของแมวน้อยที่น่ารักของฉัน ชื่อ Spot!' ดังนั้น แทนที่จะใช้คำว่า 'Spot' เป็นคำตอบสำหรับการกู้คืนรหัสผ่านของคุณ คุณอาจเลือกใช้คำว่า 'Rumplestiltskin' แทน อย่าใช้คำตอบเดียวกันสำหรับการกู้คืนรหัสผ่านหรือการรักษาความปลอดภัย สำหรับบัญชีผู้ใช้หลายบัญชีบนเว็บไซต์หรือบริการต่างๆ คุณควรจัดเก็บคำตอบในจินตนาการของคุณไว้ในโปรแกรมช่วยจำรหัสผ่านด้วย

นึกถึงไซต์ต่างๆ ที่คุณได้ใช้คำถามรักษาความปลอดภัย พิจารณาตรวจสอบการตั้งค่าของคุณและเปลี่ยนคำตอบของคุณ

อย่าลืมเก็บสำเนาสำรองของโปรแกรมช่วยจำรหัสผ่านของคุณไว้ด้วย! หากโปรแกรมช่วยจำรหัสผ่านสูญหายไปเมื่อเครื่องของคุณเสียหาย (หรือถ้าอุปกรณ์ของคุณถูกขโมยหรือถูกยึดไป) อาจจะเป็นการยากที่คุณจะกู้คืนรหัสผ่านของคุณ โดยปกติ โปรแกรมช่วยจำรหัสผ่านจะมีวิธีการสร้างสำเนาสำรองแยกต่างหาก หรือคุณจะใช้โปรแกรมการสำรองข้อมูลปกติของคุณก็ได้

นอกจากนี้ คุณยังสามารถรีเซ็ตรหัสผ่านของคุณได้ตลอดเวลา โดยขอให้บริการส่งอีเมลการกู้คืนรหัสผ่านไปยังที่อยู่อีเมลที่คุณลงทะเบียนไว้ ด้วยเหตุนี้ คุณจึงอาจต้องจำวลีรหัสผ่านสำหรับบัญชีผู้ใช้อีเมลนี้ไว้ด้วย เพื่อที่คุณจะได้มีวิธีการรีเซ็ตรหัสผ่าน โดยไม่ต้องพึ่งโปรแกรมช่วยจำรหัสผ่านของคุณ

การรับรองความถูกต้องด้วยหลายปัจจัย (Multi-Factor Authentication) และรหัสผ่านแบบครั้งเดียว Anchor link

บริการและเครื่องมือซอฟต์แวร์หลายตัวอนุญาตให้คุณใช้การรับรองความถูกต้องด้วยสองปัจจัย หรือที่เรียกว่า 'การรับรองความถูกต้องแบบสองขันตอน' หรือ 'การเข้าสู่ระบบแบบสองขั้นตอน' แนวคิดของวิธีการนี้คือ ในการที่จะเข้าสู่ระบบ คุณจะต้องครอบครองวัตถุทางกายภาพ อันได้แก่ โทรศัพท์มือถือ แต่ในบางเวอร์ชัน ก็คืออุปกรณ์พิเศษที่เรียกว่าโทเค็นความปลอดภัย การใช้การรับรองความถูกต้องด้วยสองปัจจัย จะช่วยให้แน่ใจว่าได้ ถึงแม้รหัสผ่านของคุณสำหรับบริการนั้นจะถูกแฮกหรือถูกขโมยไป ขโมยก็จะไม่สามารถเข้าสู่ระบบได้ เว้นแต่ขโมยจะได้ครอบครองหรือควบคุมอุปกรณ์เครื่องที่สอง และรหัสพิเศษที่สร้างขึ้นจากอุปกรณ์เครื่องที่สอง

โดยทั่วไป จึงหมายความว่า ขโมยหรือแฮกเกอร์ต้องควบคุมทั้งแล็ปท็อปของคุณและโทรศัพท์ของคุณก่อน จึงจะสามารถเข้าถึงบัญชีผู้ใช้ของคุณได้อย่างสมบูรณ์

เนื่องจากวิธีนี้สามารถตั้งค่าได้ด้วยความร่วมมือจากผู้ให้บริการของคุณเท่านั้น คุณจะไม่สามารถดำเนินการด้วยตัวเองได้เลย ถ้าคุณใช้บริการที่ไม่รองรับ

คุณสามารถทำการรับรองความถูกต้องด้วยสองปัจจัยโดยใช้โทรศัพท์มือถือได้สองวิธี คือ บริการสามารถส่งข้อความ SMS ไปที่โทรศัพท์มือถือของคุณ เมื่อใดก็ตามที่คุณต้องการเข้าสู่ระบบ (โดยคุณต้องกรอกรหัสการรักษษความปลอดภัยพิเศษด้วย) หรืออีกวิธีหนึ่งคือ โทรศัพท์มือถือของคุณสามารถเรียกใช้แอปพลิเคชันการรับรองความถูกต้องที่จะสร้างรหัสความปลอดภัยจากภายในโทรศัพท์เอง วิธีนี้จะช่วยป้องกันบัญชีผู้ใช้ของคุณในสถานการณ์ที่ผู้โจมตีมีรหัสผ่านของคุณ แต่ไม่สามารถเข้าถึงโทรศัพท์มือถือของคุณได้ในทางกายภาพ

บางบริการอย่างเช่น Google ยังอนุญาตให้คุณสร้างรายการของรหัสผ่านแบบครั้งเดียว หรือที่เรียกว่า 'รหัสผ่านแบบใช้ครั้งเดียว' รหัสผ่านเหล่านี้มีวัตถุประสงค์เพื่อให้คุณสั่งพิมพ์หรือจดลงกระดาษ และนำติดตัวไปกับคุณ (ถึงแม้ในบางกรณี คุณอาจสามารถจำรหัสผ่านที่มีตัวเลขเพียงไม่กี่ตัวนั้นได้ก็ตาม) รหัสผ่านเหล่านี้สามารถใช้ได้แค่ครั้งเดียวเท่านั้น ดังนั้น ถ้ารหัสผ่านดังกล่าวถูกสปายแวร์ขโมยไปในตอนที่คุณป้อนรหัสผ่าน ขโมยก็จะไม่สามารถใช้รหัสผ่านนั้นทำอะไรได้อีกในอนาคต

ถ้าคุณหรือองค์กรของคุณจัดการโครงสร้างพื้นฐานของการติดต่อสื่อสารของคุณเอง อาทิ เรียกใช้เซิร์ฟเวอร์อีเมลของคุณเอง คุณสามารถใช้ซอฟต์แวร์ที่เปิดให้ใช้งานได้ฟรี เพื่อเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยสำหรับการเข้าถึงระบบของคุณได้ ขอให้ผู้ดูแลระบบของคุณมองหาซอฟต์แวร์ที่ใช้มาตรฐานแบบเสรี 'Time-Based One-Time Passwords' หรือ 'RFC 6238'

ภัยคุกคามจากการทำร้ายร่างกายหรือการจองจำ Anchor link

ท้ายที่สุด ให้ทำความเข้าใจว่าผู้โจมตีมีหนทางที่จะเอารหัสผ่านของคุณของคุณไปได้เสมอ พวกเขาอาจคุกคามคุณโดยตรง ด้วยการทำร้ืายร่างกายหรือกักขังหน่วงเหนี่ยว ถ้าคุณกลัวว่าอาจจะเกิดสถานการณ์ดังกล่าวนี้ขึ้นได้ ให้ลองพิจารณาวิธีการที่คุณจะสามารถซ่อนข้อมูลหรืออุปกรณ์ที่คุณป้องกันด้วยรหัสผ่านไว้ แทนที่จะเชื่อใจตัวเองว่าคุณจะไม่มีทางบอกรหัสผ่านอย่างเด็ดขาด อีกทางหนึ่งที่สามารถทำได้ คือการมีบัญชีผู้ใช้ที่มีข้อมูลจำนวนมากแต่ไม่ใช่ข้อมูลสำคัญไว้อย่างน้ยหนึ่งบัญชี เพื่อที่คุณจะได้สามารถเปิดเผยรหัสผ่านของบัญชีผู้ใช้นี้ได้อย่างรวดเร็ว

ถ้าคุณมีเหตุผลที่ดีที่จะเชื่อได้ว่าอาจมีคนคุกคามคุณเพื่อให้ได้รหัสผ่านของคุณ วิธีที่ดีคือให้แน่ใจว่าคุณได้กำหนดค่าอุปกรณ์ของคุณไม่ให้แสดงอย่างชัดแจ้งว่าบัญชีผู้ใช้ที่คุณยอมบอกรหัสผ่านไม่ใช่บัญชีผู้ใช้ 'จริง' บัญชีผู้ใช้จริงของคุณแสดงในหน้าจอการเข้าสู่ระบบของคอมพิวเตอร์ของคุณ หรือแสดงขึ้นมาโดยอัตโนมัติเมื่อคุณเปิดเบราว์เซอร์หรือไม่? ถ้าเช่นนั้น คุณอาจต้องกำหนดค่าใหม่ให้บัญชีผู้ใช้ของคุณแสดงอย่างชัดแจ้งน้อยลง

ในบางเขตอำนาจศาล เช่นประเทศสหรัฐอเมริกาหรือประเทศเบลเยียม คุณอาจสามารถปฏิเสธการขอรหัสผ่านของคุณได้ตามกฎหมาย แต่ในเขตอำนาจศาลอื่นๆ อย่างเช่น สหราชอาณาจักรหรือประเทศอินเดีย กฎหมายท้องถิ่นอนุญาตให้รัฐบาลสามารถเรียกร้องให้เปิดเผยข้อมูลได้ EFF มีข้อมูลโดยละเอียดสำหรับทุกคนที่เดินทางข้ามชายแดนของสหรัฐอเมริกา ซึ่งต้องการป้องกันข้อมูลของพวกเขา บนอุปกรณ์ดิจิทัลของพวกเขา ในแนวทางเรื่องการป้องกันความเป็นส่วนตัวที่ชายแดนของสหรัฐอเมริกาของเรา

อย่างไรก็ตาม พึงทราบว่าการเจตนาทำลายหลักฐานหรือขัดขวางการสืบสวนสอบสวนของเจ้าหน้าที่อาจทำให้ผู้ดำเนินการถูกดำเนินคดีในข้อหาแยกต่างหาก และส่วนใหญ่มักต้องโทษร้ายแรง ในบางกรณี ทางรัฐบาลสามารถหาข้อพิสูจน์ของการดำเนินการดังกล่าวนี้ได้ง่ายกว่า และทำให้ต้องรับโทษหนักกว่าข้อหาที่ทำการสืบสวนอยู่แต่เดิมด้วยซ้ำ

อัปเดตครั้งล่าสุด: 
2016-01-13
This page was translated from English. The English version may be more up-to-date.
JavaScript license information