การตั้งรหัสผ่าน

Gmail blog ให้คำแนะนำเกี่ยวกับการตั้ง password

Line Sticker

  1. ไม่ใช้รหัสผ่านเดียวกันสำหรับทุกเว็บ
  2. ใช้รหัสผ่านที่เกิดจากการผสมกันของตัวอักษร ตัวเลข และสัญลักษณ์ ต่างๆ
  3. ไม่ใช้รหัสผ่านที่เป็นข้อมูลเกี่ยวกับตัวเรา เช่น ชื่อลูก ชื่อแฟน
  4. กรณีที่เราจดรหัสไว้ ให้เก็บรักษารหัสผ่านไว้ในที่ปลอดภัย
  5. กรณีที่เราอาจจะใช้บริการ forgot password ให้ตรวจสอบอีเมลและคำถามเพื่อความปลอดภัย (security question) เป็นระยะๆ ว่าถูกต้องอยู่ไหม

สำหรับข้อที่ 2 ผมเสนอว่าเราอาจจะตั้งรหัสผ่านเป็นภาษาไทย แต่เวลาพิมพ์ไม่ต้องสลับภาษา เช่น สมมุติว่ารหัสผ่านคือ “ความลับ” ก็พิมพ์ว่า “8;k,]y[” ก็จะได้การผสมกันระหว่างตัวอักษร ตัวเลข และสัญลักษณ์ อย่างง่ายดาย

สำหรับข้อ 1 ถ้ามีหนึ่งรหัสสำหรับหนึ่งเว็บ เราอาจจะจำไม่ไหว ปัญหานี้มีแนวทางการแก้ไขดังต่อไปนี้ (หลายวิธีเป็นวิธีที่ไม่ work)

เติม prefix ไปข้างหน้า เช่น สมมุติว่ารหัสผ่านหลักคือ secret ถ้าเราใช้กับ hotmail ก็ใช้รหัสคือ hotsecret ถ้าเป็น yahoo ก็ใช้ yasecret แต่วิธีนี้ไม่ปลอดภัยถ้ามีคนรู้รหัสผ่านเข้าไปที่เว็บใดเว็บหนึ่งของเรา เขาก็สามารถเดารหัสผ่านของเว็บอื่นได้ไม่ยาก

ใช้การผวนคำ เช่น สมมุติว่ารหัสผ่านหลักคือ secret ถ้าเราใช้กับ hotmail ให้ผวนคำว่า hotsecret เป็น hetsecrot ถ้าใช้กับ gmail ให้ผวนคำว่า gmailsecret เป็น getmesailcra แต่วิธีนี้ไม่ปลอดภัยถ้ามีคนรู้รหัสผ่านของเราและรู้ว่าเราใช้การผวนคำเพื่อสร้างรหัสผ่านดังกล่าว

ใช้ prefix ภาษาไทย, ผวน, และพิมพ์โดยไม่สลับภาษา เช่น สมมุติว่ารหัสผ่านหลักคือ “ความลับ” และเราใช้ที่ Hotmail ก็ผวนคำว่า ฮอทความลับ เป็น ฮับความลอท และพิมพ์ว่า Vy[8;k,]vm ถ้าใช้ที่ ยาฮู ก็เป็น ยาฮูความลับ ยับฮามควูลา py[Vk,8;^]k เป็นต้น แต่วิธีนี้ไม่ปลอดภัยถ้ามีคนรู้รหัสผ่านเข้าไปที่เว็บใดเว็บหนึ่งของเราและรู้วิธีการที่เราใช้

ใช้ Password Hasher

Password Hasher is a Firefox security extension for generating site-specific strong passwords from one (or a few) master key(s).

ผมไม่เคยใช้ add on ตัวนี้ แต่เท่าที่ดูจาก review ผู้ใช้ส่วนใหญ่ก็ happy กับ add on ตัวนี้

การใช้ hash ดีตรงที่เดารหัสผ่านหลักได้ยาก คือรู้รหัสผ่านของเว็บใดเว็บหนึ่ง ก็ยากมากที่จะรู้ว่ารหัสผ่านหลักคืออะไร

ผู้ใช้คนหนึ่ง review ดังนี้

This tool appears to use a SHA1 hash plus some custom code to ensure passwords meet specified restrictions. Yeah, I know SHA1 has been ‘cracked’, but who really cares? It’s still more than good enough to generate website passwords.

Technically, SHA1 is still pretty solid, and if you care enough about security to use this tool, you’re already in the top .00001% of all internet users. Any hacker would skip trying to attack you and go for all accounts out there whose password matches their user name.

ปัญหาคือถ้าเราไปใช้เครื่องที่ไม่มี Firefox หรือไม่มี add on นี้จะทำอย่างไร ผู้พัฒนา add on นี้ทำเว็บเพจสำหรับสร้างรหัสผ่านแบบเดียวกันที่ http://wijjo.com/passhash/passhash.html

ตัวอย่าง master key คือ “secret” ลองผสมกับคำว่า hotmail จะได้รหัสคือ 4YLo”Ahv และผสมคำว่า yahoo ได้รหัสคือ Vlp+P1Wi

หากจะนำข้อความไปใช้ ต้องแสดงที่มา และห้ามใช้ในเชิงพาณิชย์

2 thoughts on “การตั้งรหัสผ่าน

  1. ไม่ชอบพวกเว็บที่ขอ hint question ไว้ในกรณีที่เราลืมพาสเวิร์ด

    เพราะ hint question ที่นิยมถามแต่ละอัน คนใกล้ตัวเดาได้ง่ายมาก

    และส่วนใหญ่ถ้าตอบถูก ระบบจะส่งพาสเวิร์ดให้เลย

    นับว่าเป็นช่องโหว่ของความปลอดภัยที่เปราะบางที่สุด

  2. wannik says:

    ใช่ครับ แล้วพลอยทำให้ระบบทั้งหมดมันเปราะตามไปด้วย ดังที่คนกล่าวว่า Security is only as strong as the weakest link. ผมใช้วิธีตอบคำถามมั่วๆไปเลยครับ เช่น ถามว่าชื่อสัตว์เลี้ยงตัวโปรด ผมอาจจะตอบเป็นชื่อต้นไม้ แต่ก็จะมีปัญหาเวลากู้คืน เพราะตอบไม่ตรงคำถาม

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s