คู่มือความปลอดภัย
ข้อผิดพลาดเกี่ยวกับรหัสผ่านทั่วไปที่ควรหลีกเลี่ยง
หลีกเลี่ยงการใช้รหัสผ่านซ้ำ รูปแบบที่คาดเดาได้ การจัดเก็บที่ไม่ปลอดภัย การกู้คืนที่อ่อนแอ และความมั่นใจที่ผิดพลาดจากความซับซ้อนที่มองเห็น
สรุป
ความล้มเหลวของรหัสผ่านส่วนใหญ่มาจากพฤติกรรมของมนุษย์ที่คาดเดาได้: การใช้ซ้ำ ความยาวสั้น ข้อมูลส่วนตัว การแทนที่ที่คุ้นเคย การจัดเก็บที่ไม่ปลอดภัย และการตั้งค่าการกู้คืนที่อ่อนแอ เครื่องมือสร้างรหัสผ่านในเครื่องจะช่วยได้ก็ต่อเมื่อผลลัพธ์ถูกนำไปใช้และจัดเก็บอย่างถูกต้อง
ข้อผิดพลาดที่ 1: การใช้รหัสผ่านซ้ำ
การใช้รหัสผ่านซ้ำทำให้การรั่วไหลครั้งเดียวส่งผลกระทบต่อหลายบัญชี สร้างรหัสผ่านที่ไม่ซ้ำกันสำหรับทุกบริการ
ข้อผิดพลาดที่ 2: ความซับซ้อนที่คาดเดาได้
P@ssw0rd! ดูซับซ้อนแต่เป็นไปตามรูปแบบทั่วไป การสุ่มดีกว่าการตกแต่ง
ข้อผิดพลาดที่ 3: การจัดเก็บที่ไม่ปลอดภัย
อย่าเก็บรหัสผ่านจริงในภาพหน้าจอ สเปรดชีต ข้อความแชท อีเมลฉบับร่าง ใบสั่งงาน ซอร์สโค้ด หรือประวัติเชลล์ ใช้ตัวจัดการรหัสผ่านหรือตัวจัดการความลับ
ข้อผิดพลาดที่ 4: การละเลยการกู้คืน
ผู้โจมตีอาจกำหนดเป้าหมายอีเมลกู้คืน หมายเลขโทรศัพท์ รหัสสำรอง หรืออุปกรณ์ที่เชื่อถือได้ ตรวจสอบการตั้งค่าการกู้คืนหลังจากเปลี่ยนรหัสผ่านสำคัญ
คำแนะนำเชิงปฏิบัติ
- ใช้อักขระสุ่ม 16–32 ตัว
- ทำให้รหัสผ่านทุกอันไม่ซ้ำกัน
- ใช้ MFA หรือพาสคีย์
- จัดเก็บข้อมูลรับรองอย่างปลอดภัย
- เปลี่ยนรหัสผ่านหลังจากสงสัยว่ามีการเปิดเผย
คำแนะนำโดยละเอียด
คู่มือนี้เน้นการหลีกเลี่ยงนิสัยรหัสผ่านในชีวิตประจำวันที่นำไปสู่การถูกโจมตี เขียนขึ้นสำหรับผู้ใช้ที่ต้องการรายการตรวจสอบเชิงปฏิบัติแทนทฤษฎี ดังนั้นเป้าหมายเชิงปฏิบัติไม่ใช่การสร้างข้ออ้างด้านความปลอดภัยที่รุนแรง เป้าหมายคือการเลือกนิสัยรหัสผ่านที่สามารถอยู่รอดในการใช้งานประจำวัน: แบบฟอร์มเข้าสู่ระบบ ตัวจัดการรหัสผ่าน คีย์บอร์ดมือถือ การกู้คืนบัญชี อุปกรณ์ที่ใช้ร่วมกัน และบริการบางครั้งที่มีกฎการตรวจสอบที่แปลกประหลาด คำแนะนำที่ปลอดภัยจะมีประโยชน์ก็ต่อเมื่อบุคคลจริงสามารถปฏิบัติตามได้อย่างสม่ำเสมอ
จุดเริ่มต้นที่ปลอดภัยที่สุดคือการสุ่มบวกกับความเป็นเอกลักษณ์ การสุ่มหมายถึงค่าที่ถูกเลือกจากพื้นที่ขนาดใหญ่โดยแหล่งสุ่มที่เหมาะสมกับการเข้ารหัส ไม่ใช่การคิดค้นจากวันเกิด ชื่อสัตว์เลี้ยง รูปแบบคีย์บอร์ด หรือคำพูดโปรด ความเป็นเอกลักษณ์หมายถึงรหัสผ่านเดียวกันไม่ได้ถูกใช้ที่อื่น รหัสผ่านที่ยาวแต่ใช้ซ้ำอาจล้มเหลวอย่างรวดเร็วหลังจากการรั่วไหลที่ไม่เกี่ยวข้องครั้งเดียว ในขณะที่รหัสผ่านสุ่มที่ไม่ซ้ำกันจะจำกัดความเสียหายให้กับบัญชีเดียวที่ใช้
สำหรับหัวข้อนี้ ค่าเริ่มต้นที่ใช้งานได้จริงคือรหัสผ่านสุ่มที่ไม่ซ้ำกัน การจัดเก็บที่ปลอดภัยยิ่งขึ้น และสุขอนามัยในการกู้คืน คุณสามารถใช้ค่าเริ่มต้นนั้นกับ เครื่องสร้างรหัสผ่าน 20 ตัวอักษร จากนั้นจัดเก็บค่าสุดท้ายในตัวจัดการรหัสผ่านที่เชื่อถือได้ PwdGen สร้างค่าในเครื่องในเบราว์เซอร์ด้วย Web Crypto รหัสผ่านที่สร้างขึ้นจะไม่ถูกส่งไปยังเซิร์ฟเวอร์ PwdGen การออกแบบในเครื่องนั้นช่วยลดการเปิดเผยฝั่งเซิร์ฟเวอร์ แต่ไม่ได้ป้องกันทุกภัยคุกคาม ส่วนขยายเบราว์เซอร์ที่เป็นอันตราย อุปกรณ์ที่ถูกบุกรุก หน้า phishing หรือการจัดการคลิปบอร์ดที่ไม่ปลอดภัยยังคงสามารถเปิดเผยความลับหลังจากสร้างได้
ปัญหาที่พบบ่อยที่สุดที่ควรหลีกเลี่ยงคือการใช้ซ้ำ การแก้ไขที่คาดเดาได้ การแชร์ในแชท การบันทึกภาพหน้าจอ การละเลยการตั้งค่าการกู้คืน และการสมมติว่าความยาวเพียงอย่างเดียวแก้ไขรูปแบบของมนุษย์ได้ ปัญหาเหล่านี้มีความสำคัญเพราะผู้โจมตีแทบไม่ต้องเดารหัสผ่านทุกแบบเมื่อนิสัยของมนุษย์ทำให้พวกเขามีทางลัด Credential stuffing, phishing, รายการรหัสผ่านที่รั่วไหล และการละเมิดการกู้คืนบัญชีมักจะสมจริงมากกว่าการค้นหาทางคณิตศาสตร์ล้วนๆ นั่นคือเหตุผลที่คำแนะนำที่ดีที่สุดรวมคุณภาพรหัสผ่านเข้ากับการควบคุมระดับบัญชี เช่น MFA, พาสคีย์, การจัดเก็บรหัสสำรอง และการตรวจสอบอีเมลหรือโทรศัพท์กู้คืนเป็นประจำ
ใช้รายการตรวจสอบนี้เมื่อใช้คำแนะนำ:
- อย่าใช้รหัสผ่านซ้ำ
- อย่าสร้างรหัสผ่านจากข้อเท็จจริงส่วนตัว
- อย่าเก็บไว้ในบันทึกข้อความธรรมดา
- อย่าละเลยวิธีการกู้คืนและ MFA
หากเว็บไซต์ปฏิเสธการตั้งค่าที่เหมาะสม อย่าบังคับรหัสผ่านให้เป็นรูปแบบที่อ่อนแอกว่าด้วยตนเอง ปรับเปลี่ยนทีละตัวแปร หากปฏิเสธสัญลักษณ์ ให้เปิดใช้ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก และตัวเลข และเพิ่มความยาว หากความยาวสูงสุดต่ำ ให้ใช้ความยาวสูงสุดที่ยอมรับได้และตรวจสอบให้แน่ใจว่าค่าไม่ซ้ำกัน หากต้องอ่านรหัสผ่านออกเสียง พิมพ์ หรือพิมพ์บนหน้าจอทีวีหรือเราเตอร์ ให้พิจารณาไม่รวมอักขระที่สับสนและเพิ่มความยาวเพื่อชดเชยตัวอักษรที่เล็กลง
สุดท้าย จำขอบเขตของคำแนะนำรหัสผ่าน รหัสผ่านที่แข็งแกร่งคือชั้นป้องกันชั้นเดียว ไม่ใช่การรับประกัน ไม่สามารถทำให้หน้า phishing ปลอดภัย แก้ไขมัลแวร์ หรือชดเชยบริการที่จัดเก็บข้อมูลรับรองไม่ดี นิสัยที่มีประโยชน์คือ น่าเบื่อแต่ทนทาน: สร้างค่าที่ไม่ซ้ำกัน จัดเก็บอย่างปลอดภัย ป้องกันเส้นทางการกู้คืน และเปลี่ยนอย่างรวดเร็วหากสงสัยว่ามีการเปิดเผย
ขั้นตอนต่อไปที่ปลอดภัย
หลังจากอ่านคู่มือนี้ ให้ตรวจสอบบัญชีเล็กๆ น้อยๆ แทนที่จะพยายามแก้ไขทุกอย่างพร้อมกัน เลือกบัญชีที่จะสร้างปัญหามากที่สุดหากถูกยึดครอง ยืนยันว่ารหัสผ่านไม่ซ้ำกัน และตรวจสอบอีเมลกู้คืน โทรศัพท์กู้คืน วิธีการ MFA และการจัดเก็บรหัสสำรอง หากส่วนใดของห่วงโซ่นั้นอ่อนแอ ให้ปรับปรุงส่วนนั้นก่อนที่จะย้ายไปยังบัญชีที่มีความเสี่ยงต่ำกว่า ลำดับนี้ทำให้งานจัดการได้และปกป้องบัญชีที่ผู้โจมตีมักใช้เป็นบันได สำหรับข้อผิดพลาดรหัสผ่านทั่วไปที่ควรหลีกเลี่ยง ผลลัพธ์ที่ดีที่สุดคือนิสัยที่ทำซ้ำได้: สร้างในเครื่อง จัดเก็บอย่างระมัดระวัง และหลีกเลี่ยงการใช้ซ้ำ
คำถามที่พบบ่อย
ข้อผิดพลาดรหัสผ่านที่ใหญ่ที่สุดคืออะไร?
การใช้รหัสผ่านซ้ำเป็นหนึ่งในข้อผิดพลาดที่ใหญ่ที่สุด เพราะการรั่วไหลครั้งเดียวสามารถปลดล็อกหลายบัญชี
การแทนที่เช่น P@ssw0rd ปลอดภัยหรือไม่?
ไม่ ผู้โจมตีรู้จักการแทนที่ทั่วไปและทดสอบตั้งแต่เนิ่นๆ
การเขียนรหัสผ่านในบันทึกปลอดภัยหรือไม่?
โดยทั่วไปมีความเสี่ยง ให้ใช้ตัวจัดการรหัสผ่านหรือตัวจัดการความลับที่เชื่อถือได้แทน