Tags:
Node Thumbnail

หลายเว็บทุกวันนี้จะมีมิเตอร์วัดความแข็งแรงของรหัสผ่านเพื่อจูงใจให้ผู้ใช้ตั้งรหัสผ่านให้ยากขึ้นกว่าเดิม แม้มิเตอร์นี้จะเตือนคนที่ระวังตัวได้ว่าให้ตั้งรหัสผ่านที่คาดเดาได้ยาก แต่ไม่เคยมีการศึกษาในวงกว้างว่ากับคนทั่วไปแล้วรหัสผ่านนั้นเดายากง่ายเพียงใดเทียบกับรหัสผ่านที่ไม่มีมิเตอร์บอกระดับความแข็งแรง

ทีมวิจัยร่วมระหว่างมหาวิทยาลัยแคลิฟอร์เนียเบิร์กลีย์, มหาวิทยาลัยบริติชโคลัมเบีย, และไมโครซอฟท์ ร่วมกันทำวิจัยวัดผลของการใส่มิเตอร์วัดความแข็งแรงเช่นนี้ลงในหน้าตั้งรหัสผ่าน โดยการทำหน้าเว็บพอร์ทัลสำหรับนักศึกษาของมหาวิทยาลัยบริติชโคลัมเบียให้แจ้งนักศึกษาให้เปลี่ยนรหัสผ่าน

นักศึกษาที่ได้รับแจ้งให้เปลี่ยนรหัสผ่านจะได้รับหน้าจอต่างกันไปสามแบบได้แก่ หน้าจอเปลี่ยนรหัสผ่านไม่มีมิเตอร์ใดๆ, หน้าจอเปลี่ยนรหัสแบบมีมิเตอร์วัดความแข็งแรง (existing motivator - EM), และหน้าจอเปลี่ยนรหัสแบบบอกความแข็งแรงของรหัสเทียบกับผู้ใช้ทั้งหมดในระบบ (peer pressure motivator - PPM)

ผลการทดสอบการบอกให้ผู้ใช้ตั้งรหัสใหม่โดยไม่มีเงื่อนไขใดๆ ทำให้ผู้ใช้ตั้งรหัสที่มีความซับซ้อนเท่าเดิม วัดเป็นค่า entropy ได้เฉลี่ย 49.3 บิต ขณะที่การบอกความแข็งแรงแบบ EM ทำให้ผู้ใช้ตั้งรหัสที่แข็งแรงขึ้นเป็นเฉลี่ย 60.8 บิต และการวัดความแข็งแรงแบบ PPM ทำให้ผู้ใช้ตั้งรหัสแข็งแรงขึ้นเฉลี่ยเป็น 64.9 บิต

ทีมวิจัยวัดความสามารถในการจำรหัสผ่านที่ตั้งขึ้นใหม่ด้วยการให้ผู้ทดสอบเข้ามาล็อกอินใหม่ในสองสัปดาห์ต่อมาและพบว่ารหัสที่ตั้งใหม่แม้จะมีความแข็งแรงต่างกัน แต่ผู้ใช้กลับสามารถจำได้ไม่ต่างกันมากนัก

ความท้าทายอย่างหนึ่งคือการหาสูตรวัดความแข็งแรงของรหัสผ่านที่ได้ผลจริง แนวทางทุกวันนี้ที่ใช้การให้คะแนนด้วยการวัดการใช้สัญลักษณ์และตัวเลขอาจจะไม่ใช่แนวทางที่ดีนักเพราะการใช้งานจริงผู้ใช้มักใช้สัญลักษณ์ที่สามารถสื่อแทนตัวอักษรได้ง่าย เช่น "$" แทน "S" ซึ่งเป็นแนวทางที่รู้กันดี และเพิ่มความแข็งแรงได้ไม่มากนัก

ที่มา - ArsTechnica

Get latest news from Blognone

Comments

By: ตะโร่งโต้ง
WriterAndroidWindows
on 15 May 2013 - 14:21 #573389
ตะโร่งโต้ง's picture

ถ้าต่อไปมีการวิจัย ให้ทดสอบการแฮครหัสผ่าน หรือเจาะรหัสด้วยวิธีการอื่นใด ก็น่าจะบ่งบอกถึงคุณภาพในการตั้งรหัสผ่านได้ดีกว่านี้อีก

  • นวงกว้าง --> ในวงกว้าง

ช่างไฟสมัครเล่น (- -")

By: put4558350
ContributorAndroidUbuntuWindows
on 15 May 2013 - 14:33 #573402
put4558350's picture

peer pressure mmotivator

มี m เกินมาหรือปล่าว


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: iammeng
ContributoriPhoneAndroidWindows
on 15 May 2013 - 14:43 #573409
iammeng's picture

แหม...แบบ PPM นี่เหมือนกับจะทำให้เกิดการแข่งขันนะ

ปล.ถ้าใช้วิธีวัดตัวอักษรสัญลักษณ์มาเจอคนไทยมีหวังค่าความยากของ Password ทะลุปลอด

งั้นจัดไป Password:cv;v6Is4^,bshv'dy[86Iso^ ฑนสำป

By: hisoft
ContributorWindows PhoneWindows
on 15 May 2013 - 15:04 #573417 Reply to:573409
hisoft's picture

แอวอุณหภูมิห้องกับคุณหนู Solex ???

By: nat3738
ContributorAndroidRed HatUbuntu
on 15 May 2013 - 18:57 #573495 Reply to:573417

แอวอุณหภูมิห้องกับคุณหนู Rolex ต่างหาก

By: xenogew
ContributorAndroidWindows
on 15 May 2013 - 14:55 #573413
xenogew's picture

พารากราฟแรก วรรคที่ 2 "... แต่ไม่เคยมีการศึกษานวงกว้างว่า..." => ในวงกว้าง

By: hisoft
ContributorWindows PhoneWindows
on 15 May 2013 - 15:03 #573414
hisoft's picture

จริง ๆ ดูแค่ว่าพิมพ์รหัสมารอบแรก พอหันไปเห็นว่าเกจยังต่ำอยู่แล้วพิมพ์เพิ่มหรือเปลี่ยนใหม่รึเปล่าก็ได้นะครับ ถึงจะดูยากก็เถอะ

By: doanga2007
AndroidSymbianUbuntu
on 15 May 2013 - 15:24 #573428 Reply to:573414
doanga2007's picture

เพราะระบบเกจบังคับว่าหลอดไม่ตรงกลาง ไม่ให้ตั้งรหัสผ่านครับ

By: saratlim
ContributorAndroid
on 15 May 2013 - 16:00 #573439
saratlim's picture

ผมใช้ภาษาไทยพิมพ์เป็นภาษาอังกฤษเมื่อก่อน แต่ตอนนี้ไม่รู้จะใช้คำว่าอะไรดีเลยใช้เว็บสุ่มระหัสผ่านแทน :D


บล็อกติงต๊อง

By: Yone on 15 May 2013 - 21:31 #573555 Reply to:573439

สมัยนี้ใช้วิธีนี้ไม่ได้แล้ว พอจะพิมพ์รหัสผ่านในมือถือ ลมจับเลยทีเดียว

By: ตะโร่งโต้ง
WriterAndroidWindows
on 15 May 2013 - 22:31 #573575 Reply to:573555
ตะโร่งโต้ง's picture

จริงแท้ที่สุดคับ - -"


ช่างไฟสมัครเล่น (- -")

By: put4558350
ContributorAndroidUbuntuWindows
on 15 May 2013 - 22:45 #573582 Reply to:573439
put4558350's picture

เลื่อนไปด้านข้าง เช่น blognone เลื่อนไปทางซ้ายจะออกมาเป็น vkifbibw เลื่อนขึ้น-ขวาเป็น hp0yj0j4


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: specimen
Windows PhoneAndroid
on 15 May 2013 - 16:15 #573441
specimen's picture

คนละเรื่องกับในข่าวนะครับ

แต่มีคนเคยเตือนว่า เว็บที่ให้เราเอารหัสผ่านไปกรอก แล้วทดสอบความแข็งแรงของรหัสผ่านของเรา

ออกมาเป็นความแข็งแรงเป็นคะแนน

จริง ๆ แล้ว มันเป็นการหลอกเอารหัสผ่าน เข้าไปใส่ใน dictionary ของโปรแกรมเจาะรหัส

เพราะโดยปกติแล้ว โปรแกรมเจาะรหัส จะไล่พยายามจากคำศัพท์ใน dictionary password ก่อน

ถ้าไม่เจอ จึงจะ brute force

ดังนั้น จึงมีการสร้างเว็บแบบนี้ขึ้นมา เพื่อเก็บรหัสผ่านใน dictionary ให้มากที่สุด

เพราะใช้ dictionary ใช้เวลาน้อยกว่าการ brute force แบบเทียบกันไม่ได้เลย

ดังนั้น อย่าได้เอารหัสผ่านจริง ๆ ที่ใช้ ไปทดลองเด็ดขาดครับ

By: napalm.potter
iPhoneAndroidWindows
on 15 May 2013 - 16:27 #573448

วัดเป็น entropy เลยเรอะ

By: pingkunga
iPhoneWindows PhoneAndroidRed Hat
on 15 May 2013 - 17:20 #573460 Reply to:573448

ช่ายครับ มันจะมีสูตรที่ใช้ประเมินกับรหัสผ่าน แต่ละรูปแบบเลยครับ อาทิ เช่น แบบตัวอักษร กับ แบบ pattern unlock ของ Android ครับ

By: Aoun
AndroidWindows
on 15 May 2013 - 17:55 #573471

งงสถานเดียว จากคนนอกวงการ

By: chayaninw
WriterMEconomicsAndroidIn Love
on 15 May 2013 - 18:29 #573483
chayaninw's picture

ประสบการณ์ส่วนตัว: เดิมทีตั้งใจว่าจะตั้งรหัสผ่านแบบง่ายๆ สำหรับบัญชี Blognone (เพราะ impact ต่ำ เลยขี้เกียจใช้แบบยากๆ)

เจอมันขึ้นว่า low เลยเปลี่ยนเป็นรหัสผ่านเวอร์ชันซับซ้อนแทน

By: Go-Kung
iPhoneWindows PhoneAndroidBlackberry
on 15 May 2013 - 18:30 #573484

P@ssw0rd

ผมเชื่อว่ามีหลายคนใช้แบบนี้

By: asakuraong
AndroidWindows
on 15 May 2013 - 18:38 #573486
asakuraong's picture

เมื่อก่อนใช้แบบภาษาไทยพิมพ์เป็นภาษาอังกฤษแต่ชีวิตลำบากมากตอนจะเข้าด้วยมือถือตอนนี้เลยเลือกตัวอักษณที่ไม่เกี่ยวกันเลยมาแล้วหัดจำแทน

By: neonicus
Android
on 15 May 2013 - 18:59 #573497 Reply to:573486

ผมก็ใช้อยู่นะ บนมือถือandroidก็สลับไปใช้ Thai English keyboard ชั่วคราวครับ
พิมพ์ password เสร็จก็ใช้keyboardเดิมตัวอื่นแทน

By: EThaiZone
ContributorAndroidUbuntuWindows
on 15 May 2013 - 18:56 #573494
EThaiZone's picture

อย่าใส่ความหมายให้รหัสผ่าน ใส่เมื่อไรเจาะง่ายขึ้นได้จมเลย


มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB