ถามว่า “รหัสผ่านที่แข็งแกร่ง” หน้าตาเป็นยังไง คนส่วนใหญ่ตอบได้ถูก — ยาว ผสมตัวเลข ตัวพิมพ์ใหญ่ สัญลักษณ์ แต่พอให้ลงมือสร้างเอง กลับได้รหัสผ่านที่เดาได้ไม่ยาก
มีเหตุผลอยู่เบื้องหลังนั้น
ปัญหาของรหัสผ่านที่สมองคิด
นักวิจัยด้านความปลอดภัยพบว่ามนุษย์มีรูปแบบคาดเดาได้เวลาสร้างรหัสผ่าน:
ใช้คำจริงเป็นฐาน — P@ssw0rd, Sunshine2024!, Bangkok#1 ล้วนผ่านเกณฑ์ “ยาก” ของเว็บไซต์ แต่โปรแกรม brute force ที่ใช้ dictionary attack จะลองคำเหล่านี้เป็นอันดับแรก
เพิ่มตัวเลขท้าย — เวลาเว็บบังคับเปลี่ยนรหัสผ่าน คนส่วนใหญ่เพิ่มตัวเลขต่อท้ายหรือเพิ่มขึ้น 1 จาก Password1 ไป Password2 พฤติกรรมนี้พบบ่อยมากจน Hacker ออกแบบ rule เฉพาะไว้แล้ว
ใช้ข้อมูลส่วนตัว — วันเกิด ชื่อสัตว์เลี้ยง ชื่อเมืองที่ชอบ ข้อมูลพวกนี้ขุดได้จาก Facebook, Instagram และ LinkedIn ที่คนส่วนใหญ่เปิดเป็น Public
รหัสผ่านที่ดีต้องไม่มีรูปแบบที่มนุษย์หรือโปรแกรมเดาได้ — ซึ่งสมองคนสร้างไม่ได้ตามธรรมชาติ
Random จริงๆ หน้าตาเป็นยังไง
xK7#mQ2!pL9@nR5& — อ่านแล้วไม่มีความหมาย จำไม่ได้ แต่นี่คือ “แข็งแกร่ง” จริงๆ
ลองใช้ เครื่องสร้างรหัสผ่าน ตั้งค่าความยาว 16 ตัวอักษรขึ้นไป เปิดใช้ทุกประเภทอักขระ แล้วสร้าง — ได้รหัสผ่านแบบนี้ทันทีโดยไม่ต้องคิดเอง
เหตุที่ใช้เครื่องดีกว่าคิดเอง: Random ของคอมพิวเตอร์ใช้ Cryptographically Secure Random Number Generator (CSPRNG) ซึ่งสถิติการกระจายของอักขระไม่มีรูปแบบจริงๆ ต่างจาก Random ของสมองที่มักเน้นอักขระบางตัวมากกว่าตัวอื่น
ยาวสำคัญกว่าซับซ้อน
ในทางคณิตศาสตร์ความยาวสำคัญกว่า:
| รหัสผ่าน | ประเภท | เวลาเดาโดยทั่วไป |
|---|---|---|
dog | 3 ตัว lowercase | ทันที |
D0g! | 4 ตัว, ซับซ้อน | ไม่กี่วินาที |
correcthorsebatterystaple | 25 ตัว lowercase | หลายร้อยปี |
xK7#mQ2!pL9@nR5& | 16 ตัว random | ล้านๆ ปี |
Passphrase ยาวๆ ที่จำง่าย เช่น “elephant-coffee-Bangkok-sunrise” ก็ปลอดภัยพอสมควร แต่ถ้าอยากแน่นอนที่สุด ยาว + random ยังดีกว่า
ปัญหาหลักของรหัสผ่าน random: จำไม่ได้
คำตอบของวงการ security ตอนนี้คืออย่าจำ — ให้ Password Manager จำแทน
เครื่องมืออย่าง Bitwarden (ฟรี, open source), 1Password, หรือ iCloud Keychain ทำงานโดยเก็บรหัสผ่าน random ทุกเว็บไว้ แล้วต้องจำแค่รหัสผ่านหลักตัวเดียวที่แข็งแกร่ง
workflow ในทางปฏิบัติ:
- สร้าง Master Password ที่จำได้ด้วย Passphrase ยาวๆ เช่น “ช้างดำวิ่งเร็วบนดาวอังคาร” หรือ
Elephant-Run-Fast-2024! - สมัครทุกเว็บใหม่ด้วยรหัสผ่าน random ที่สร้างจาก เครื่องสร้างรหัสผ่าน แล้วบันทึกใน Password Manager
- ไม่ต้องทำอะไรอีก — Browser Plugin ช่วย Autofill เองเวลาเข้าใช้
MFA สำคัญกว่าที่คิด
แม้รหัสผ่านจะแข็งแกร่งแค่ไหน ถ้าเว็บ Data Breach เกิดขึ้น รหัสผ่านก็อาจถูกขโมยเป็นชุด Multi-Factor Authentication (MFA) เป็น safety net ชั้นสอง
เว็บสำคัญอย่าง Gmail, Facebook, ธนาคาร ควรเปิด MFA ผ่าน App Authenticator เช่น Google Authenticator หรือ Authy ดีกว่า SMS เพราะ SIM Swapping attack เกิดได้จริงในไทย
รหัสผ่านที่ดีที่สุดคือรหัสผ่านที่ตัวเองก็จำไม่ได้ ให้เครื่องสร้าง แล้วให้ Password Manager จำแทน เริ่มได้จาก เครื่องสร้างรหัสผ่าน แล้วค่อยๆ เปลี่ยนทีละเว็บ ไม่จำเป็นต้องทำพร้อมกันทุกบัญชีในวันเดียว