คู่มือความปลอดภัย

รหัสผ่านแบบสุ่มตัวอักษร (Password) vs รหัสผ่านแบบวลี (Passphrase)

เปรียบเทียบรหัสผ่านแบบสุ่มตัวอักษรและรหัสผ่านแบบสุ่มคำ รวมถึงความจำง่าย เอนโทรปี การจัดเก็บ และกรณีการใช้งานที่ปลอดภัย

สรุป

รหัสผ่าน (password) โดยทั่วไปคือชุดตัวอักษรที่สุ่มขึ้นมา ส่วนรหัสผ่านแบบวลี (passphrase) มักจะเป็นลำดับของคำ ทั้งสองแบบสามารถแข็งแรงได้หากถูกสุ่มขึ้นมา ไม่ซ้ำใคร และจัดเก็บหรือจดจำอย่างปลอดภัย ตัวเลือกที่เหมาะสมขึ้นอยู่กับว่าคุณต้องการความกะทัดรัดสูงสุด การพิมพ์ง่าย หรือการจดจำ

ใช้ เครื่องสร้างรหัสผ่านแบบวลี เมื่อคุณต้องการคำสุ่ม หรือ เครื่องสร้างรหัสผ่าน เมื่อเว็บไซต์คาดหวังรหัสผ่านแบบตัวอักษรที่กะทัดรัด

รหัสผ่านแบบสุ่มตัวอักษร

รหัสผ่านแบบสุ่มตัวอักษรมีประสิทธิภาพ: ทุกตัวอักษรสามารถเพิ่มพื้นที่การค้นหาได้ เหมาะสำหรับตัวจัดการรหัสผ่าน แผงผู้ดูแลระบบ WiFi ธนาคาร อีเมล และความลับของนักพัฒนา ข้อเสียคือจดจำยากและพิมพ์ไม่สะดวกบนแป้นพิมพ์ขนาดเล็ก

รหัสผ่านแบบวลีสุ่มคำ

รหัสผ่านแบบวลีอ่านและพิมพ์ง่ายกว่า คำสำคัญคือ “สุ่ม” ประโยคที่คุณแต่งขึ้น คำพูด เนื้อเพลง หรือวลีที่คุ้นเคยอาจถูกเดาได้โดยเครื่องมือที่ใช้รูปแบบ รหัสผ่านแบบวลีควรประกอบด้วยคำที่เลือกอย่างอิสระจากรายการที่มีขนาดใหญ่เพียงพอ

คำแนะนำเชิงปฏิบัติ

ใช้รหัสผ่านแบบสุ่มตัวอักษรสำหรับบัญชีส่วนใหญ่ที่เก็บในตัวจัดการ
ใช้รหัสผ่านแบบวลีสำหรับข้อมูลประจำตัวที่คุณอาจต้องจำ
อย่าใช้รูปแบบใดซ้ำ
หลีกเลี่ยงวลีส่วนตัว คำพูด ชื่อ และวันที่
ตรวจสอบว่าปลายทางยอมรับช่องว่างหรือตัวคั่นหรือไม่

คำแนะนำโดยละเอียด

คู่มือนี้เน้นการตัดสินใจระหว่างรหัสผ่านแบบสุ่มตัวอักษรและรหัสผ่านแบบวลีสุ่ม เขียนขึ้นสำหรับผู้ที่ต้องการทั้งรหัสผ่านที่เก็บอย่างปลอดภัยและความลับในการเข้าสู่ระบบที่จำง่าย ดังนั้นเป้าหมายเชิงปฏิบัติไม่ใช่การสร้างข้ออ้างด้านความปลอดภัยที่รุนแรง แต่เป็นการเลือกนิสัยการใช้รหัสผ่านที่สามารถอยู่รอดในการใช้งานประจำวัน: แบบฟอร์มเข้าสู่ระบบ ตัวจัดการรหัสผ่าน แป้นพิมพ์มือถือ การกู้คืนบัญชี อุปกรณ์ที่ใช้ร่วมกัน และบริการที่มีกฎการตรวจสอบที่แปลกประหลาดเป็นครั้งคราว คำแนะนำที่ปลอดภัยจะมีประโยชน์ก็ต่อเมื่อคนจริงสามารถปฏิบัติตามได้อย่างสม่ำเสมอ

จุดเริ่มต้นที่ปลอดภัยที่สุดคือการสุ่มบวกกับความเป็นเอกลักษณ์ การสุ่มหมายถึงค่าที่ถูกเลือกจากพื้นที่ขนาดใหญ่โดยแหล่งสุ่มที่เหมาะสมทางการเข้ารหัส ไม่ใช่การคิดขึ้นจากวันเกิด ชื่อสัตว์เลี้ยง รูปแบบแป้นพิมพ์ หรือคำพูดโปรด ความเป็นเอกลักษณ์หมายถึงรหัสผ่านเดียวกันไม่ได้ใช้ที่อื่น รหัสผ่านที่ยาวแต่ใช้ซ้ำอาจล้มเหลวอย่างรวดเร็วหลังจากการรั่วไหลที่ไม่เกี่ยวข้องครั้งเดียว ในขณะที่รหัสผ่านสุ่มที่ไม่ซ้ำจะจำกัดความเสียหายให้กับบัญชีเดียวที่ใช้

สำหรับหัวข้อนี้ ค่าเริ่มต้นที่ใช้งานได้จริงคือสี่ถึงหกคำสุ่มเพื่อความจำง่าย หรือตัวอักษรสุ่มสำหรับการจัดเก็บในตัวจัดการรหัสผ่าน คุณสามารถใช้ค่าเริ่มต้นนั้นกับ เครื่องสร้างรหัสผ่านแบบวลี แล้วเก็บค่าสุดท้ายในตัวจัดการรหัสผ่านที่เชื่อถือได้ PwdGen สร้างค่าในเบราว์เซอร์ด้วย Web Crypto; รหัสผ่านที่สร้างขึ้นจะไม่ถูกส่งไปยังเซิร์ฟเวอร์ PwdGen การออกแบบในเครื่องนี้ลดความเสี่ยงฝั่งเซิร์ฟเวอร์ แต่ไม่ได้ป้องกันทุกภัยคุกคาม ส่วนขยายเบราว์เซอร์ที่เป็นอันตราย อุปกรณ์ที่ถูกบุกรุก หน้า phishing หรือการจัดการคลิปบอร์ดที่ไม่ปลอดภัยยังสามารถเปิดเผยความลับหลังจากสร้างได้

ปัญหาที่พบบ่อยที่สุดที่ควรหลีกเลี่ยงคือวลีที่เขียนด้วยมือ คำพูดที่มีชื่อเสียง เนื้อเพลง สโลแกนส่วนตัว และวลีในพจนานุกรมที่มนุษย์เลือก ปัญหาเหล่านี้มีความสำคัญเพราะผู้โจมตีแทบไม่ต้องเดารหัสผ่านทุกแบบเมื่อนิสัยของมนุษย์ทำให้พวกเขามีทางลัด Credential stuffing, phishing, รายการรหัสผ่านที่รั่วไหล และการละเมิดการกู้คืนบัญชีมักเป็นจริงมากกว่าการค้นหาทางคณิตศาสตร์ล้วนๆ นั่นคือเหตุผลที่คำแนะนำที่ดีที่สุดรวมคุณภาพรหัสผ่านเข้ากับการควบคุมระดับบัญชี เช่น MFA, passkeys, การจัดเก็บรหัสกู้คืน และการตรวจสอบอีเมลหรือหมายเลขโทรศัพท์สำหรับกู้คืนเป็นประจำ

ใช้รายการตรวจสอบนี้เมื่อใช้คำแนะนำ:

ใช้คำที่สุ่มเลือก ไม่ใช่ประโยคที่คุณแต่งขึ้น
รักษาความสอดคล้องของตัวคั่นกับแบบฟอร์มปลายทาง
อย่าใช้วลีซ้ำข้ามบัญชี
ใช้ตัวจัดการสำหรับรหัสผ่านยาวแบบสุ่ม

หากเว็บไซต์ปฏิเสธการตั้งค่าที่เหมาะสม อย่าบังคับรหัสผ่านให้เป็นรูปแบบที่อ่อนแอกว่าด้วยตนเอง ปรับเปลี่ยนทีละตัวแปร หากปฏิเสธสัญลักษณ์ ให้เปิดใช้ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก และตัวเลข และเพิ่มความยาว หากความยาวสูงสุดต่ำ ให้ใช้ความยาวสูงสุดที่ยอมรับและตรวจสอบให้แน่ใจว่าค่าไม่ซ้ำ หากต้องอ่านรหัสผ่านออกเสียง พิมพ์ หรือพิมพ์บนหน้าจอทีวีหรือเราเตอร์ ให้พิจารณาไม่รวมตัวอักษรที่สับสนและเพิ่มความยาวเพื่อชดเชยตัวอักษรที่น้อยลง

สุดท้าย จำขอบเขตของคำแนะนำรหัสผ่าน รหัสผ่านที่แข็งแรงเป็นชั้นป้องกันหนึ่งชั้น ไม่ใช่การรับประกัน ไม่สามารถทำให้หน้า phishing ปลอดภัย แก้ไขมัลแวร์ หรือชดเชยบริการที่จัดเก็บข้อมูลประจำตัวอย่างไม่ดี นิสัยที่มีประโยชน์นั้นน่าเบื่อแต่ทนทาน: สร้างค่าที่ไม่ซ้ำ จัดเก็บอย่างปลอดภัย ป้องกันเส้นทางการกู้คืน และเปลี่ยนอย่างรวดเร็วหากคุณสงสัยว่ามีการเปิดเผย

คำถามที่พบบ่อย

รหัสผ่านแบบวลีแข็งแรงกว่ารหัสผ่านแบบสุ่มตัวอักษรเสมอหรือไม่?

ไม่ รหัสผ่านแบบวลีสุ่มสามารถแข็งแรงได้ แต่คำพูดหรือประโยคที่คุ้นเคยไม่เทียบเท่ากับคำที่สุ่มเลือก

เมื่อใดควรเลือกรหัสผ่านแบบวลี?

เลือกรหัสผ่านแบบวลีเมื่อคุณอาจต้องจำหรือพิมพ์ด้วยตนเอง โดยเฉพาะสำหรับข้อมูลประจำตัวหลักของตัวจัดการรหัสผ่าน

รหัสผ่านแบบวลีควรใช้กี่คำ?

สี่คำสุ่มเป็นจุดเริ่มต้นที่ใช้งานได้จริง เพิ่มคำสำหรับการใช้งานที่มีมูลค่าสูงกว่าหรือรายการคำที่เล็กกว่า

แหล่งที่มา

NIST Digital Identity Guidelines