คู่มือความปลอดภัย
เหตุใดคุณไม่ควรใช้รหัสผ่านซ้ำ
ทำความเข้าใจเกี่ยวกับ credential stuffing ความเสี่ยงจากการใช้รหัสผ่านซ้ำ ผลกระทบจากการรั่วไหลของข้อมูล และเหตุผลที่ทุกบัญชีต้องมีรหัสผ่านที่ไม่ซ้ำกัน
สรุป
การใช้รหัสผ่านซ้ำเป็นหนึ่งในวิธีที่พบบ่อยที่สุดที่ทำให้การรั่วไหลเพียงครั้งเดียวกลายเป็นการถูกยึดบัญชีหลายบัญชี รหัสผ่านอาจยาวและสุ่ม แต่ถ้าคุณใช้มันกับบริการมากกว่าหนึ่งบริการ การรั่วไหลจากบริการหนึ่งก็สามารถเปิดเผยบัญชีอื่นๆ ได้
ใช้ ตัวสร้างรหัสผ่านสุ่ม เพื่อสร้างค่าที่ไม่ซ้ำกันสำหรับแต่ละบัญชี
Credential stuffing
ผู้โจมตีรวบรวมคู่ชื่อผู้ใช้และรหัสผ่านที่รั่วไหลจากการละเมิดข้อมูล ฟิชชิง มัลแวร์ และฐานข้อมูลสาธารณะ จากนั้นพวกเขาจะลองใช้ข้อมูลประจำตัวเหล่านั้นกับบริการอีเมล ธนาคาร ช้อปปิ้ง โซเชียล และที่ทำงาน การโจมตีนี้ได้ผลเพราะหลายคนใช้รหัสผ่านซ้ำ
เหตุใดความไม่ซ้ำกันจึงสำคัญ
ความไม่ซ้ำกันช่วยจำกัดความเสียหาย หากบริการหนึ่งเก็บรหัสผ่านไม่ดีหรือถูกละเมิด รหัสผ่านที่รั่วไหลไม่ควรสามารถปลดล็อกอีเมล ธนาคาร ที่เก็บข้อมูลบนคลาวด์ หรือบัญชีที่ทำงานของคุณได้
คำแนะนำเชิงปฏิบัติ
- สร้างรหัสผ่านที่แตกต่างกันสำหรับทุกบัญชี
- ให้ความสำคัญกับอีเมลเป็นอันดับแรก เพราะมันควบคุมการรีเซ็ตรหัสผ่าน
- ใช้ตัวจัดการรหัสผ่านเพื่อหลีกเลี่ยงการจดจำค่าต่างๆ มากมาย
- เปิดใช้งาน MFA หรือ passkeys
- เปลี่ยนรหัสผ่านที่ใช้ซ้ำทันทีเมื่อพบ
คำแนะนำโดยละเอียด
คู่มือนี้เน้นการทำความเข้าใจว่าทำไมการใช้รหัสผ่านซ้ำจึงสร้างความเสี่ยงในการถูกยึดบัญชี เขียนขึ้นสำหรับผู้ใช้ที่ใช้รหัสผ่านโปรดเพียงรหัสเดียวในหลายบริการ ดังนั้นเป้าหมายเชิงปฏิบัติไม่ใช่การสร้างข้ออ้างด้านความปลอดภัยที่รุนแรง เป้าหมายคือการเลือกนิสัยการใช้รหัสผ่านที่สามารถใช้งานได้ในชีวิตประจำวัน: ฟอร์มเข้าสู่ระบบ ตัวจัดการรหัสผ่าน คีย์บอร์ดมือถือ การกู้คืนบัญชี อุปกรณ์ที่ใช้ร่วมกัน และบริการที่มีกฎการตรวจสอบที่แปลกประหลาดเป็นครั้งคราว คำแนะนำที่ปลอดภัยจะมีประโยชน์ก็ต่อเมื่อคนจริงสามารถปฏิบัติตามได้อย่างสม่ำเสมอ
จุดเริ่มต้นที่ปลอดภัยที่สุดคือการสุ่มบวกกับความไม่ซ้ำกัน การสุ่มหมายถึงค่าถูกเลือกจากพื้นที่ขนาดใหญ่โดยแหล่งสุ่มที่เหมาะสมกับการเข้ารหัส ไม่ใช่การคิดขึ้นจากวันเกิด ชื่อสัตว์เลี้ยง รูปแบบคีย์บอร์ด หรือคำพูดโปรด ความไม่ซ้ำกันหมายถึงรหัสผ่านเดียวกันไม่ได้ถูกใช้ที่อื่น รหัสผ่านที่ยาวแต่ใช้ซ้ำอาจล้มเหลวอย่างรวดเร็วหลังจากการละเมิดที่ไม่เกี่ยวข้องเพียงครั้งเดียว ในขณะที่รหัสผ่านสุ่มที่ไม่ซ้ำกันจะจำกัดความเสียหายให้กับบัญชีเดียวที่ใช้รหัสนั้น
สำหรับหัวข้อนี้ ค่าเริ่มต้นที่ใช้งานได้จริงคือรหัสผ่านสุ่มที่ไม่ซ้ำกันสำหรับแต่ละบัญชี เก็บไว้ในตัวจัดการ คุณสามารถใช้ค่าเริ่มต้นนั้นกับ ตัวสร้างรหัสผ่าน 16 ตัวอักษร แล้วเก็บค่าสุดท้ายในตัวจัดการรหัสผ่านที่เชื่อถือได้ PwdGen สร้างค่าในเบราว์เซอร์ด้วย Web Crypto รหัสผ่านที่สร้างขึ้นจะไม่ถูกส่งไปยังเซิร์ฟเวอร์ PwdGen การออกแบบในเครื่องนั้นช่วยลดการเปิดเผยฝั่งเซิร์ฟเวอร์ แต่ไม่ได้ป้องกันทุกภัยคุกคาม ส่วนขยายเบราว์เซอร์ที่เป็นอันตราย อุปกรณ์ที่ถูกบุกรุก หน้าเว็บฟิชชิง หรือการจัดการคลิปบอร์ดที่ไม่ปลอดภัยยังคงสามารถเปิดเผยความลับหลังจากที่สร้างขึ้นได้
ปัญหาที่พบบ่อยที่สุดที่ควรหลีกเลี่ยงคือ credential stuffing การละเมิดเก่า หน้าเว็บฟิชชิง บัญชีที่ใช้ร่วมกัน และรหัสผ่านกู้คืนที่ใช้ซ้ำ ปัญหาเหล่านี้มีความสำคัญเพราะผู้โจมตีแทบไม่จำเป็นต้องเดารหัสผ่านทุกแบบเมื่อนิสัยของมนุษย์ทำให้พวกเขามีทางลัด Credential stuffing ฟิชชิง รายการรหัสผ่านที่รั่วไหล และการละเมิดการกู้คืนบัญชีมักจะเป็นจริงมากกว่าการค้นหาทางคณิตศาสตร์ล้วนๆ นั่นคือเหตุผลที่คำแนะนำที่ดีที่สุดรวมคุณภาพของรหัสผ่านเข้ากับการควบคุมระดับบัญชี เช่น MFA, passkeys, การจัดเก็บรหัสกู้คืน และการตรวจสอบอีเมลหรือหมายเลขโทรศัพท์สำหรับกู้คืนเป็นประจำ
ใช้รายการตรวจสอบนี้เมื่อปฏิบัติตามคำแนะนำ:
- เริ่มต้นด้วยบัญชีอีเมลและธนาคาร
- เปลี่ยนรหัสผ่านที่ใช้ซ้ำทีละน้อย
- ใช้ตัวจัดการเพื่อหลีกเลี่ยงการจดจำค่าต่างๆ มากมาย
- เปิดใช้งานการแจ้งเตือนการละเมิดเมื่อมีให้บริการ
หากเว็บไซต์ปฏิเสธการตั้งค่าที่เหมาะสม อย่าบังคับรหัสผ่านให้เป็นรูปแบบที่อ่อนแอกว่าด้วยตนเอง ปรับเปลี่ยนทีละตัวแปร หากปฏิเสธสัญลักษณ์ ให้เปิดใช้งานตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก และตัวเลข และเพิ่มความยาว หากความยาวสูงสุดต่ำ ให้ใช้ความยาวสูงสุดที่ยอมรับได้และตรวจสอบให้แน่ใจว่าค่านั้นไม่ซ้ำกัน หากต้องอ่านรหัสผ่านออกเสียง พิมพ์ หรือพิมพ์บนหน้าจอทีวีหรือเราเตอร์ ให้พิจารณาไม่รวมอักขระที่สับสนและเพิ่มความยาวเพื่อชดเชยตัวอักษรที่เล็กลง
สุดท้าย จำขอบเขตของคำแนะนำเกี่ยวกับรหัสผ่าน รหัสผ่านที่แข็งแกร่งเป็นชั้นป้องกันหนึ่งชั้น ไม่ใช่การรับประกัน ไม่สามารถทำให้หน้าเว็บฟิชชิงปลอดภัย แก้ไขมัลแวร์ หรือชดเชยบริการที่เก็บข้อมูลประจำตัวไม่ดี นิสัยที่มีประโยชน์นั้นน่าเบื่อแต่ทนทาน: สร้างค่าที่ไม่ซ้ำกัน เก็บไว้อย่างปลอดภัย ป้องกันเส้นทางการกู้คืน และเปลี่ยนอย่างรวดเร็วหากคุณสงสัยว่ามีการเปิดเผย
ขั้นตอนต่อไปที่ปลอดภัย
หลังจากอ่านคู่มือนี้ ให้ตรวจสอบบัญชีเล็กๆ น้อยๆ แทนที่จะพยายามแก้ไขทุกอย่างพร้อมกัน เลือกบัญชีที่จะสร้างปัญหามากที่สุดหากถูกยึด ยืนยันว่ารหัสผ่านของบัญชีนั้นไม่ซ้ำกัน และตรวจสอบอีเมลกู้คืน เบอร์โทรศัพท์กู้คืน วิธี MFA และการจัดเก็บรหัสสำรอง หากส่วนใดในห่วงโซ่นั้นอ่อนแอ ให้ปรับปรุงส่วนนั้นก่อนที่จะไปยังบัญชีที่มีความเสี่ยงต่ำกว่า ลำดับนี้ทำให้งานจัดการได้และปกป้องบัญชีที่ผู้โจมตีมักใช้เป็นบันได สำหรับเหตุผลที่คุณไม่ควรใช้รหัสผ่านซ้ำ ผลลัพธ์ที่ดีที่สุดคือนิสัยที่ทำซ้ำได้: สร้างในเครื่อง เก็บอย่างระมัดระวัง และหลีกเลี่ยงการใช้ซ้ำ
คำถามที่พบบ่อย
Credential stuffing คืออะไร?
Credential stuffing คือการที่ผู้โจมตีลองใช้คู่ชื่อผู้ใช้และรหัสผ่านที่รั่วไหลกับบริการอื่นๆ
การใช้รหัสผ่านซ้ำยังเสี่ยงอยู่หรือไม่หากรหัสผ่านแข็งแกร่ง?
ใช่ รหัสผ่านที่แข็งแกร่งแต่ใช้ซ้ำยังคงสามารถปลดล็อกหลายบัญชีได้หลังจากบริการหนึ่งรั่วไหล
ฉันควรทำอย่างไรหลังจากใช้รหัสผ่านซ้ำ?
เปลี่ยนทุกบัญชีที่ใช้รหัสผ่านนั้น โดยเริ่มจากอีเมล ธนาคาร ที่ทำงาน และบัญชีกู้คืนตัวจัดการรหัสผ่าน