คู่มือความปลอดภัย

วิธีสร้างรหัสผ่านที่แข็งแกร่ง

คู่มือปฏิบัติสำหรับการสร้างรหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน พร้อมการสร้างแบบโลคัล ตัวจัดการรหัสผ่าน MFA และนิสัยการกู้คืนที่ปลอดภัย

สรุป

รหัสผ่านที่แข็งแกร่งไม่ใช่แค่สตริงที่ “ดูซับซ้อน” เท่านั้น แต่ต้องยาวพอสำหรับการใช้งาน สร้างแบบสุ่ม ไม่ซ้ำกันในแต่ละบัญชี และจัดเก็บอย่างปลอดภัย ขั้นตอนการทำงานประจำวันที่น่าเชื่อถือที่สุดนั้นง่าย: สร้างค่าสุ่มที่ไม่ซ้ำกัน บันทึกในตัวจัดการรหัสผ่าน และเปิดใช้งาน MFA หรือพาสคีย์เมื่อบริการรองรับ

ใช้ เครื่องสร้างรหัสผ่านสุ่มฟรี หรือ เครื่องสร้างรหัสผ่าน 16 ตัวอักษร เมื่อคุณต้องการรหัสผ่านสำหรับบัญชีใหม่

อะไรทำให้รหัสผ่านแข็งแกร่ง

รหัสผ่านที่แข็งแกร่งที่สุดในทางปฏิบัติถูกเลือกโดยกระบวนการสุ่ม ไม่ใช่การคิดค้นโดยมนุษย์ รหัสผ่านที่มนุษย์สร้างขึ้นมักประกอบด้วยชื่อ วันที่ เส้นทางบนคีย์บอร์ด แบรนด์ เนื้อเพลง หรือการแทนที่ที่คุ้นเคย ผู้โจมตีรู้รูปแบบเหล่านี้และลองใช้ก่อน

การสร้างแบบสุ่มเปลี่ยนสถานการณ์ รหัสผ่านที่สร้างขึ้น เช่น ค่า 16, 20 หรือ 32 ตัวอักษร ไม่มีเรื่องราวส่วนตัว ไม่มีวันที่ในปฏิทิน และไม่มีโครงสร้างพจนานุกรมที่สะดวก แต่มันจะมีประโยชน์ก็ต่อเมื่อยังคงไม่ซ้ำกันและเป็นส่วนตัว

คำแนะนำเชิงปฏิบัติ

1. สร้างรหัสผ่านใหม่สำหรับทุกบัญชี
2. เลือกใช้ตัวอักษรสุ่มอย่างน้อย 15–16 ตัวสำหรับบัญชีทั่วไป
3. ใช้ 20 ตัวอักษรขึ้นไปสำหรับอีเมล ธนาคาร ที่ทำงาน และการเข้าถึงผู้ดูแลระบบเมื่อรองรับ
4. รวมสัญลักษณ์เมื่อปลายทางรองรับ
5. จัดเก็บรหัสผ่านในตัวจัดการรหัสผ่านที่เชื่อถือได้
6. เปิดใช้งาน MFA หรือพาสคีย์
7. ตรวจสอบการตั้งค่าการกู้คืนบัญชี เนื่องจากผู้โจมตีมักกำหนดเป้าหมายเส้นทางการกู้คืน

การสร้างแบบโลคัลแก้ไขและไม่แก้ไขอะไร

PwdGen สร้างค่าแบบโลคัลด้วย Web Crypto และไม่อัปโหลดรหัสผ่านที่สร้างขึ้น ซึ่งป้องกันไม่ให้เว็บไซต์เก็บค่าที่สร้างขึ้นโดยเจตนา แต่ไม่ได้ป้องกันส่วนขยายเบราว์เซอร์ที่ถูกบุกรุก ตัวจัดการคลิปบอร์ดที่ไม่ปลอดภัย มัลแวร์ หน้า phishing หรือบริการที่จัดการจัดเก็บรหัสผ่านไม่ถูกต้อง

คำแนะนำโดยละเอียด

คู่มือนี้อธิบายการสร้างรหัสผ่านที่แข็งแกร่งจากศูนย์ เขียนขึ้นสำหรับผู้ที่ต้องการเปลี่ยนรหัสผ่านบัญชีที่อ่อนแอหรือใช้ซ้ำ ดังนั้นเป้าหมายในทางปฏิบัติไม่ใช่การสร้างข้ออ้างด้านความปลอดภัยที่รุนแรง แต่เป็นการเลือกรูปแบบรหัสผ่านที่สามารถใช้งานได้ในชีวิตประจำวัน: ฟอร์มเข้าสู่ระบบ ตัวจัดการรหัสผ่าน คีย์บอร์ดมือถือ การกู้คืนบัญชี อุปกรณ์ที่ใช้ร่วมกัน และบริการที่มีกฎการตรวจสอบที่แปลกประหลาด คำแนะนำที่ปลอดภัยจะมีประโยชน์ก็ต่อเมื่อคนจริงสามารถปฏิบัติตามได้อย่างสม่ำเสมอ

จุดเริ่มต้นที่ปลอดภัยที่สุดคือความสุ่มบวกกับความเป็นเอกลักษณ์ ความสุ่มหมายถึงค่าที่ถูกเลือกจากพื้นที่ขนาดใหญ่โดยแหล่งสุ่มที่เหมาะสมกับการเข้ารหัส ไม่ใช่การคิดค้นจากวันเกิด ชื่อสัตว์เลี้ยง รูปแบบคีย์บอร์ด หรือคำพูดโปรด ความเป็นเอกลักษณ์หมายถึงรหัสผ่านเดียวกันไม่ได้ใช้ที่อื่น รหัสผ่านที่ยาวแต่ใช้ซ้ำอาจล้มเหลวอย่างรวดเร็วหลังจากการละเมิดที่ไม่เกี่ยวข้องครั้งเดียว ในขณะที่รหัสผ่านสุ่มที่ไม่ซ้ำกันจะจำกัดความเสียหายไว้เฉพาะบัญชีที่ใช้

สำหรับหัวข้อนี้ ค่าที่ตั้งไว้ล่วงหน้าในทางปฏิบัติคือ 20 ตัวอักษร ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์เมื่อรองรับ คุณสามารถใช้ค่าที่ตั้งไว้ล่วงหน้านี้กับ เครื่องสร้างรหัสผ่าน 20 ตัวอักษร แล้วจัดเก็บค่าสุดท้ายในตัวจัดการรหัสผ่านที่เชื่อถือได้ PwdGen สร้างค่าแบบโลคัลในเบราว์เซอร์ด้วย Web Crypto รหัสผ่านที่สร้างขึ้นจะไม่ถูกส่งไปยังเซิร์ฟเวอร์ PwdGen การออกแบบแบบโลคัลนี้ช่วยลดการเปิดเผยฝั่งเซิร์ฟเวอร์ แต่ไม่ได้ป้องกันทุกภัยคุกคาม ส่วนขยายเบราว์เซอร์ที่เป็นอันตราย อุปกรณ์ที่ถูกบุกรุก หน้า phishing หรือการจัดการคลิปบอร์ดที่ไม่ปลอดภัยยังคงเปิดเผยความลับหลังจากสร้างได้

ปัญหาที่พบบ่อยที่สุดที่ควรหลีกเลี่ยงคือชื่อส่วนตัว วันเกิด รูปแบบคีย์บอร์ด การลงท้ายที่ใช้ซ้ำ และการแทนที่ที่คาดเดาได้ เช่น การแทนที่ a ด้วย @ ปัญหาเหล่านี้สำคัญเพราะผู้โจมตีไม่ค่อยต้องเดารหัสผ่านทุกแบบเมื่อนิสัยของมนุษย์ทำให้มีทางลัด Credential stuffing, phishing, รายการรหัสผ่านที่รั่วไหล และการละเมิดการกู้คืนบัญชีมักเป็นจริงมากกว่าการค้นหาทางคณิตศาสตร์ล้วนๆ นั่นคือเหตุผลที่คำแนะนำที่ดีที่สุดรวมคุณภาพรหัสผ่านเข้ากับการควบคุมระดับบัญชี เช่น MFA, พาสคีย์, การจัดเก็บรหัสกู้คืน และการตรวจสอบอีเมลหรือหมายเลขโทรศัพท์สำหรับกู้คืนเป็นประจำ

ใช้รายการตรวจสอบนี้เมื่อใช้คำแนะนำ:

• ใช้ค่าที่แตกต่างกันสำหรับทุกบัญชี
• เลือกการสร้างแบบสุ่มมากกว่ารูปแบบส่วนตัว
• จัดเก็บผลลัพธ์ในตัวจัดการรหัสผ่าน
• เปิดใช้งาน MFA หรือพาสคีย์เมื่อมีให้

หากเว็บไซต์ปฏิเสธการตั้งค่าที่เหมาะสม อย่าบังคับรหัสผ่านให้เป็นรูปแบบที่อ่อนแอกว่าด้วยตนเอง ปรับเปลี่ยนทีละตัวแปร หากปฏิเสธสัญลักษณ์ ให้เปิดใช้งานตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก และตัวเลขไว้ และเพิ่มความยาว หากความยาวสูงสุดต่ำ ให้ใช้ความยาวสูงสุดที่ยอมรับและตรวจสอบให้แน่ใจว่าค่าไม่ซ้ำกัน หากต้องอ่านรหัสผ่านออกเสียง พิมพ์ หรือพิมพ์บนหน้าจอทีวีหรือเราเตอร์ ให้พิจารณาไม่รวมตัวอักษรที่สับสนและเพิ่มความยาวเพื่อชดเชยตัวอักษรที่น้อยลง

สุดท้าย จำขอบเขตของคำแนะนำรหัสผ่าน รหัสผ่านที่แข็งแกร่งเป็นชั้นป้องกันหนึ่งชั้น ไม่ใช่การรับประกัน ไม่สามารถทำให้หน้า phishing ปลอดภัย แก้ไขมัลแวร์ หรือชดเชยบริการที่จัดเก็บข้อมูลรับรองไม่ถูกต้อง นิสัยที่มีประโยชน์นั้นน่าเบื่อแต่ทนทาน: สร้างค่าที่ไม่ซ้ำกัน จัดเก็บอย่างปลอดภัย ป้องกันเส้นทางการกู้คืน และเปลี่ยนอย่างรวดเร็วหากสงสัยว่าถูกเปิดเผย

คำถามที่พบบ่อย

กฎรหัสผ่านที่แข็งแกร่งที่ง่ายที่สุดคืออะไร?

ใช้รหัสผ่านที่ยาว สุ่ม และไม่ซ้ำกันสำหรับทุกบัญชี และจัดเก็บในตัวจัดการรหัสผ่านที่เชื่อถือได้

รหัสผ่านสั้นที่ซับซ้อนดีกว่ารหัสผ่านยาวแบบสุ่มหรือไม่?

โดยทั่วไปไม่ ความยาวและความไม่สามารถคาดเดาได้สำคัญกว่าการแทนที่ที่คุ้นเคย เช่น การแทนที่ตัวอักษรด้วยสัญลักษณ์

ฉันควรใช้ MFA ร่วมกับรหัสผ่านที่แข็งแกร่งหรือไม่?

ใช่ MFA หรือพาสคีย์เพิ่มการป้องกันเมื่อรหัสผ่านถูกฟิชชิ่ง ใช้ซ้ำที่อื่น หรือถูกเปิดเผยจากการละเมิดบริการ