เมื่อปลายปีที่แล้ว Blognone ได้ขอความร่วมมือสมาชิกเว็บร่วมทำแบบทดสอบความจำรหัสผ่าน ซึ่งก็ได้รับความร่วมมือจากสมาชิกเว็บเป็นอย่างดี งานวิจัยนี้ได้เข้าสัมมนาในงาน ACIIDS 2014 ที่ผ่านมาครับ

งานของเราเกิดขึ้นมาจากข้อจำกัดด้านความจำรหัสผ่านของมนุษย์ การตั้งรหัสผ่านให้ปลอดภัยมากๆ อาจส่งผลให้ผู้ใช้ไม่สามารถจำรหัสผ่านที่ตั้งได้ เราเชื่อว่าการใช้รูปภาพและเรื่องราวสามารถช่วยแก้ไขปัญหาด้านความจำของมนุษย์ได้

เรานำเสนอแนวทางของเราภายใต้ชื่อ "รหัสผ่านท่องเที่ยว" ซึ่งมันเปลี่ยนแนวคิดว่ารหัสผ่านต้องเป็นตัวอักษรพิมพ์เล็กพิมพ์ใหญ่และอักขระพิเศษหลายๆ ตัวอักษร ไปใช้เรื่องราวกิจกรรมการท่องเที่ยว ณ เมืองต่างๆ แทน กิจกรรมเหล่านี้จะถูกแทนที่ด้วยรูปภาพบนแผนที่ ดังตัวอย่างในภาพ 1

ภาพ 1 รหัสผ่านท่องเที่ยวที่ประกอบไปด้วยเมือง-กิจกรรมทั้งหมด 6 เหตุการณ์

เพื่อพิสูจน์ว่าแนวทางของเราช่วยให้ผู้ใช้จำรหัสผ่านได้ดีขึ้นกว่าเดิม เราสร้างเกมทดสอบความจำรหัสผ่านขึ้นมา เกมจะสุ่มให้ผู้เล่นได้รับการทดสอบความจำรหัสผ่านตัวอักษรหรือรหัสผ่านท่องเที่ยว ความยากของเกมนี้มีทั้งหมด 4 ระดับ แต่ละระดับความยากเมื่อนำไปเทียบกับรหัสผ่านอีกแบบ จะได้ค่าความยุ่งเหยิงในการเดารหัสผ่านใกล้เคียงกัน

ในแต่ละระดับความยาก จะแบ่งเป็นช่วงฝึกและช่วงทดสอบจริง ผู้เล่นสามารถทดลองใส่รหัสผ่านกี่ครั้งก็ได้จนกว่าจะใส่รหัสผ่านได้ถูกต้องในช่วงฝึก หลังจากนั้นเมื่อผู้เล่นพร้อม ก็จะเข้าสู่ช่วงทดสอบจริง ผู้เล่นจะได้รับชมวิดีโอก่อนเป็นเวลา 3 นาที แล้วจึงใส่รหัสผ่าน ในช่วงนี้ถ้าผู้เล่นใส่รหัสผ่านถูกต้องก็จะเลื่อนขั้นไปเล่นที่ความยากถัดไป แต่ถ้าใส่รหัสผ่านผิดครบ 3 ครั้งก็ถือว่าสิ้นสุดการทดสอบ อนึ่ง ในช่วงฝึกถ้าหากผู้ใช้ใส่รหัสผิดบ่อยครั้ง ก็สามารถเลือกยอมแพ้เพื่อจบการทดสอบได้เช่นกัน

ภาพ 2 ตัวอย่างรหัสผ่านตัวอักษรที่ความยาก 2 ซึ่งเป็นรหัสผ่านที่อยู่ในความยากระดับเดียวกันกับรหัสผ่านท่องเที่ยวในภาพ 1

จากอาสาสมัครทั้งหมด 181 คน มีผู้ทำแบบทดสอบจนสำเร็จ 67 คน ในจำนวนนี้แบ่งเป็นผู้ที่ได้รับรหัสผ่านแบบตัวอักษร 40 คน และผู้ที่ได้รับรหัสผ่านท่องเที่ยว 27 คน

ตาราง 1 สถิติการตอบถูกภายในครั้งที่ 1, 2, 3 หรือตอบผิด แบ่งตามระดับความยากและชนิดรหัสผ่าน

จากตาราง 1 จะเห็นได้ว่าผู้เล่นส่วนใหญ่ที่ได้รับรหัสผ่านท่องเที่ยวของเรา สามารถตอบรหัสผ่านได้ถูกต้องภายในครั้งแรกที่ทดสอบ ในขณะที่ผู้เล่นที่ได้รับรหัสผ่านตัวอักษรอาจต้องตอบมากที่สุดถึง 3 ครั้งกว่าจะถูก

ภาพ 3 กราฟอัตราการระลึกรหัสผ่านได้ของผู้เล่นที่ทดสอบความจำรหัสผ่านที่ความยากระดับต่างๆ

นอกจากนี้ยังพบว่า ผู้เล่นที่เข้ารับการทดสอบรหัสผ่านท่องเที่ยว สามารถจดจำรหัสผ่านและตอบได้อย่างถูกต้องแทบทั้งหมด แต่ก็มีผู้เล่นบางท่านไม่สามารถตอบรหัสผ่านได้ หลังจากตรวจดูคำตอบแล้ว พบว่าเกิดจากการใช้ชื่อ "อำเภอเมือง" ซึ่งมีอยู่ทุกจังหวัดมาตั้งเป็นรหัสผ่าน ทำให้ผู้เล่นเกิดความสับสนและส่งคำตอบเป็นอำเภอเมืองในจังหวัดข้างเคียงแทน

อีกทั้งการทดสอบนี้ยังกินเวลามาก และด้วยความแปลกใหม่ของระบบรหัสผ่านที่เรานำเสนอ ทำให้มีผู้เล่นจำนวนไม่น้อยที่ถอดใจระหว่างทางและปิดแบบทดสอบไปโดยไม่ได้กดปุ่มยอมแพ้ ซึ่งเราไม่ได้นำมาคิดรวมในสถิติข้างต้นนี้ครับ

ทีมวิจัยซึ่งประกอบด้วยผม คุณ lew และอาจารย์ pruet ต้องขอขอบคุณสมาชิกเว็บทุกท่านที่ให้ความสนใจ เผยแพร่ และเข้าร่วมทำแบบทดสอบ ซึ่งมีรายนามเรียงตามลำดับอักษรต่อไปนี้

0FFiiz, 17November, 9aud, aimakung, allinsense, AlninlA, amoXies, Anavolver, Anilox, anonwafer, anusonkiss, aomnaruk, arare, art_duron, astider, atheist, auytoday, Ayane, azezel, Bawarianz, Be1con, BlackMiracle, blueskyrun, Bntrnc, bookbigggg, BrainFreeze, champjss, chanintana, clozed2u, ComSci-MFU, conanshin, CoOliO, cornario, CPECHRIS, darklumina, Darksuke, Darth Developer, diewland, doanga2007, dragonfairy, dsn10498, easyduck, ekawith, elixer, Elysium, empuppy, ENIX, equilibrate, equivalent, eszhang, fatro, FieryTemper, fortress222, games2532, gandtha, gettary, GigMePlz, GoblinKing, Godhand, golfiti, Gonk, heart, hisoft, holyporing1, homecare, icez, idmaximum, illusion, intrinity, iOAAW, Jaa, JackieNP, Jaynarol, Jazz, Job_The_Gamer, joe11, kengi, kenshinbhx, khemtat, kiak, kitarotao, KnightBaron, ksmakkapawee, kurodo99, LazarusSP1, lexurous, Lightwave, ltthckr, mate1234, meepool, mekpro, mementototem, mininoz, missions, mix5003, MizNyze, mjko, mnobita, mr_fah, mrmk, mr_pakorn, mypacxx, mytotoe, naamchan, Naana, nakkiiscafe, naphob, nat3738, Natee_S, neon02, nessuchan, netfirms, nott, nsayuri, nutwinseven, nzgul, onethink, osatee, P69S, paepod, paipure, pangsaza, pannyda, pasuth73, PathSNW, pawitp, peat_psuwit, phaa, phoenix298, phoochaliaw, Pingz, Poptop, pote2639, pxk, Qreator, RapidasH, raveekiat, relaxpor, rnunin, root07, runnary, sakuhanachan, shine_invisible, SilentHeal, sirijet, Sith9, SleeperMoNKeY, SlingShot, Smooth Jazz, socool2550, soginal, sukoom2001, SuphanutJui, SuPPy, tadef, teenigma, terap, terminus, thanakij, thanesk, thangman22, THM, title409, trufa, tsctao, Virusfowl, vongola1995, Wai, wichate, winwanwon, Witna, wizd, worakarn_p, wrongite, wuttinan, xerodotc, xestz, Xn5, XtremeZ, yukizawa, Zilch, zinazisc, znut666, zotix

แล้วรอฟังงานวิจัยชิ้นถัดไปจากพวกเราครับ :)

งานวิจัยนี้ตีพิมพ์ใน Intelligent Information and Database Systems DOI: 10.1007/978-3-319-05476-6_41