Tags:
Forums: 

ประเด็นการตั้งรหัสผ่านเป็นเรื่องยากสำหรับคนจำนวนมาก พอกฎเข้มงวดรหัสผ่านที่ได้ก็มักจำยาก พอรหัสผ่านอ่อนแอก็ถูกเพื่อนฝูงเดากันได้ง่ายๆ

คำแนะนำการตั้งรหัสผ่านมีมากมาย แต่ผมแนะนำแนวทางหนึ่งที่พอจะลดความลำบากในการจำรหัสไปได้ แต่ไม่เสียความปลอดภัยไปมากนัก (การจำรหัสยากๆ ให้ได้กับทุกบริการนั้นดีกว่าแน่นอน ถ้าทำได้)

  1. แบ่งกลุ่มบริการ เช่น กลุ่มบริการการเงิน (สำคัญมาก ควรทนฝึกจำรหัสไม่ซ้ำกันให้ได้), กลุ่มบริการสื่อสาร Skype/Gmail/Hotmail/Facebook (สำคัญรองลงมา), กลุ่มบริการอื่นๆ เว็บที่ใช้เพื่อความบันเทิง ไม่สำคัญนัก ไม่มีข้อมูลทางการเงิน ไม่ค่อยมีข้อมูลส่วนตัว, เว็บแทบไม่ได้ใช้งานแต่บังคับสมัคร เช่น เว็บสั่งอาหาร เว็บคูปอง ฯลฯ
  2. หัดใช้บริการสร้างรหัสผ่าน บริการสร้างรหัสผ่านจำยากมีอยู่ทั่วไป เช่น LastPass, GRC เราสามารถใช้รหัสเหล่านี้เพื่อให้ได้รหัสคุณภาพสูง แฮกเกอร์เดาได้ยากมาก
  3. สร้างรหัสผ่านสำหรับแต่ละบริการ สำหรับบริการที่สำคัญมาก เราอาจจะใช้รหัสคุณภาพสูงหนึ่งรหัสต่อหนึ่งบริการ แต่ในบริการที่ "รองๆ ลงมา" เราอาจจะใช้รหัสผ่านคุณภาพสูงประกอบกับคำจำง่าย เช่น บริการร้านหนังสือออนไลน์ที่ไม่มีข้อมูลบัตรเครดิตของเราเก็บไว้ถาวร ไม่สามารถตัดบัตรอัตโนมัติได้ อาจจะใช้ร่วมกับบริการในระดับเดียวกันคือซื้อขายแต่ไม่มีบัตรเครดิตผูกไว้ แล้วใช้รหัสคุณภาพสูงจำยากชุดหนึ่งร่วมกัน เช่น อาจจะสร้างรหัสคุณภาพสูงเป็น "Jpcr$s)3WMV" จากนั้นท่องรหัสนี้ให้ได้แล้วใช้ "Jpcr$s)3WMVbook" สำหรับร้านขายหนังสือ "Jpcr$s)3WMVmusic" สำหรับร้านขายซีดี และ "Jpcr$s)3WMVboard" สำหรับเว็บบอร์ดฟังเพลง
  4. สำหรับบริการที่ใช้น้อยมาก อาจะใช้รหัสผ่านคุณภาพสูงชุดใหม่ทุกครั้ง แล้วปล่อยให้ลืมรหัสนั้นไป หรือจดรหัสของแต่ละบริการลงในบริการที่สำคัญกว่า เช่น จดรหัสผ่านเว็บบอร์ดที่ใช้นานๆ ครั้งลงอีเมล ไม่ควรตั้งรหัสด้วยคำจำง่ายเพราะอาจจะถูกปลอมแปลงตัวในบริการเหล่านี้ และไม่ควรใช้คำสำคัญส่วนตัว (เช่นวันเกิดคนสำคัญ หรือสถานที่ที่สำคัญกับเรา) เป็นรหัสผ่าน เพราะในกรณีที่บริการเหล่านี้ทำรหัสผ่านรั่วไหล อาจจะสร้างผลกระทบต่อบริการอื่นๆ เพราะแฮกเกอร์นำรหัสผ่านไปทดสอบกับบริการอื่นๆ

การจัดกลุ่มบริการควรดูความน่าเชื่อถือของผู้ให้บริการ ถ้าผู้ให้บริการเป็นมืออาชีพทั้งหมด หากเรามีรหัสผ่านคุณภาพสูงเป็นส่วนประกอบของรหัสผ่าน แม้จะมีส่วนที่เป็นคำในพจนานุกรม แฮกเกอร์ก็จะถอดรหัสได้ยากมาก แต่หากมีบริการใดบริการหนึ่งในกลุ่มมีข่าวรหัสผ่านรั่วไหล ควรสร้างรหัสผ่านคุณภาพสูงชุดใหม่เพื่อจำใหม่ทันที แต่เรื่องจากรหัสผ่านถูกแฮกได้ยาก ก็มักจะพอมีเวลาก่อนจะถูกแฮกได้ เมื่อเทียบกับคนที่ใช้รหัสคุณภาพต่ำกว่าที่เสี่ยงกว่ามาก

ตัวอย่างการใช้งาน

มีธนาคารออนไลน์ 2 แห่ง เล่น Facebook, Gmail, LinkedIn, Twitter, Pantip, เว็บบอร์ดกล้อง, เว็บบอร์ดจักรยาน, เล่นเว็บโปรโมชั่นและเว็บดีลนานๆ ครั้ง

  1. ธนาคาร A ใช้รหัส "Vx3L%EKzEwBANKA"
  2. ธนาคาร B ใช้รหัส "KLp@399CCxbankb"
  3. Facebook ใช้ "L%w17PsCMJ่myfriends",LinkedIn ใช้ "L%w17PsCMJmyresume", Gmail ใช้ "L%w17PsCMJmymessages" (กลุ่มเว็บต่างชาติ มีการเข้ารหัสเว็บตลอดเวลา มีรหัสยากร่วมกันคือ "L%w17PsCMJ")
  4. Pantip ใช้ "Za6d$Odetectives", เว็บบอร์ดกล้องใช้ "Za6d$Odigitalorfilm", เว็บบอร์ดจักรยานใช้ "Za6d$Otwowheels" เป็นกลุ่มเว็บท้องถิ่น มักไม่เข้ารหัส ใช้รหัสยากร่วมกันคือ "Za6d$O"
  5. เว็บโปรโมชั่นและเว็บดีลใช้น้อย สร้างรหัสใหม่สำหรับทุกเว็บแล้วจดเก็บไว้ใน Gmail
Get latest news from Blognone
By: hisoft
ContributorWindows PhoneWindows
on 1 April 2014 - 23:35 #692236
hisoft's picture

พวกเว็บนานๆ เข้าใช้บางเว็บผมใช้สร้างรหัสใหม่มาล็อกอินแบบจำไว้ ปล่อยลืมไปเลย จะล็อกอินใหม่ทีก็สั่งลืมรหัสทีนึง


The Phantom Thief

ฮือ อัพรูปเป็น gif ไม่ได้ (T-T)

By: lew
FounderJusci's WriterMEconomicsAndroid
on 1 April 2014 - 23:57 #692242 Reply to:692236
lew's picture

ผมว่าก็ได้ครับ แต่ประเด็นในคำแนะนำนี้คือ ต่อให้เป็นเว็บที่ใช้งานน้อย ก็ไม่ควรตั้งรหัสแบบส่งๆ ไป


lewcpe.com, @public_lewcpe

By: hisoft
ContributorWindows PhoneWindows
on 2 April 2014 - 01:36 #692269 Reply to:692242
hisoft's picture

ขอบคุณครับ


The Phantom Thief

ฮือ อัพรูปเป็น gif ไม่ได้ (T-T)

By: venus00tar
iPhoneAndroidUbuntu
on 2 April 2014 - 01:02 #692259
venus00tar's picture

ผมยังใช้วิธีจำประโยคภาษาไทย แต่ใช้แป้นพิมพ์ EN อยู่เลย สำหรับผมแล้ว มันจำง่ายที่สุด

By: Zatang
ContributoriPhoneAndroid
on 3 April 2014 - 09:22 #692673 Reply to:692259

ปัญหาคือเดี๋ยวนี้ใช้ผ่าน smart phone แล้วมันกลายเป็นยากมากแทน


อคติทำให้คนรับเหตุผลด้านเดียว

By: TK on 3 April 2014 - 10:18 #692691 Reply to:692673
By: adente
ContributorSUSESymbianWindows
on 2 April 2014 - 01:07 #692262
adente's picture

ผมใช้วิธีสร้างไฟล์ txt ขึ้นมาเก็บรหัสทุกรายการไว้หมด โดยรหัสทุกรหัสผมไม่เคยจำได้เพราะสุ่มค่าเอา ไม่มีเกี่ยวโยงกันได้ จากนั้นผมก็เขียนแอพให้มันเข้ารหัสtxt ไฟล์นั้นไว้ เวลาจะเอารหัสอะไรต้องเข้าผ่านแอพ โดยผมจำแค่ master password ส่วนไฟล์txtที่เข้ารหัสแล้ว ก็แบ็คอัพผ่าน cloud storage สองถึงสามเจ้า สำรองเอาไว้

By: put4558350
ContributorAndroidUbuntuWindows
on 2 April 2014 - 01:34 #692268 Reply to:692262
put4558350's picture

แต่ทำแบบนั้น nsa ก็ใด้รหัสทั้งหมดของคุณไปแล้ว ...

แต่จะไช้ lass pass / google sync / mozilla sync ก็เหมือนกัน


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: adente
ContributorSUSESymbianWindows
on 2 April 2014 - 12:14 #692353 Reply to:692268
adente's picture

ใส่ถาดไปให้เล้ย ฮาๆๆ

By: Elysium
ContributorWindows PhoneSymbianWindows
on 2 April 2014 - 01:48 #692270
Elysium's picture

มีปัญหากับ Paypal ก็เพราะรหัสนี่แหละครับ รู้ว่า Password คืออะไร แต่จำไม่ได้ว่าผสมกันยังไง -*- (แต่สุดท้ายก็กู้คืนมาได้) กับอีกอันคือรหัส LastPass ลองทุกอันจนโดนล็อก 1 เดือนให้หลังถึงปลดได้

เว็บหรือบริการสำคัญจะใช้รหัสผ่านที่ไม่ซ้ำกันเลย และไม่ใช้บริการจดจำรหัสด้วย (จำพวก LastPass) เก็บไว้หัวอย่างเดียว

ปัญหาหนึ่งที่เจอเมื่อตั้งรหัสด้วยวิธี "คำไทยคีบอร์ดอังกฤษ" คือล็อกอินบนอุปกรณ์อื่นๆ ที่ไม่ใช่คอมพ์ยากมาก ต้องพิมพ์ใน Notepad แล้วพิมพ์ตาม กับถ้าเป็นประเภท "จิ้มสัมผัส" คนอื่นที่ชำเลืองมองคีย์บอร์ดเราจะรู้มันทีว่าเราพิมพ์คำว่าอะไร

ป.ล. Twitter นี่ต้องขอรหัสใหม่กันทุกครั้ง เกือบทุกไอดี เพราะนานๆ เข้าที


คนขี้ลืม | คนบ้าเกม | คนเหงาๆ

By: PowerBerry
Android
on 2 April 2014 - 08:19 #692303

ใช้วิธีเอาชื่อเว็บมาเข้ารหัสส่วนตัว + กับชุดพาสเวิร์ด = จะได้พาสไม่ซ้ำกันแต่ละเว็บ ชุดพาสเวิร์ดเปลี่ยนทุกปี ส่วนพวกเว็บ ธนาคาร กับ อีเมล์ นั้นมีพาสเฉพาะที่ไม่ซ้ำกับวิธีคิดเว็บทั่วไป

By: mossila
iPhoneWindows PhoneAndroidBlackberry
on 2 April 2014 - 17:47 #692482
mossila's picture

ใช้รหัสผ่านที่ได้จาก บัตรเติมเงิน ต่างๆ ที่ปกติกรอกทีเดียว แต่เราจำมันเลย เช่น 5c8634CdM7x

By: thedesp
WriterAndroidWindows
on 2 April 2014 - 20:38 #692516
thedesp's picture

ผมคิดว่า​ http://xkcd.com/936/ น่าจะง่ายที่สุดสำหรับมนุษย์​ทั่วไปนะ

แต่ต้องแก้ปัญหาว่า​ service provider ชอบบังคับให้ตั้งรหัสผสมอักขระ​แปลกๆนี่แหละ​

จะแก้ต้องแก้ทั้งระบบเลย

By: hisoft
ContributorWindows PhoneWindows
on 2 April 2014 - 21:31 #692531 Reply to:692516
hisoft's picture

"กรุณามีตัวอักษรเล็ก ใหญ่ อักขระ และตัวเลขอยู่ในรหัสผ่านให้ครบ และห้ามยาวเกิน...ด้วย"


The Phantom Thief

ฮือ อัพรูปเป็น gif ไม่ได้ (T-T)

By: thedesp
WriterAndroidWindows
on 2 April 2014 - 22:48 #692546 Reply to:692531
thedesp's picture

ห้ามยาวเกินนี่ปรี๊ดมาก โดยเฉพาะแบงก์ม่วง กี่ปีกี่ชาติก็ 8 ตัวตลอด
แอดมินเพจในเฟสบุ๊คก็โพสไปเหอะ
"วันนี้มีเทคนิคดีๆเกี่ยวกับการตั้งรหัสผ่านให้ปลอดภัยมาแชร์ค่ะ รหัสผ่านที่ดีควรจะ..." บลา บลา บลา

By: Zatang
ContributoriPhoneAndroid
on 3 April 2014 - 09:23 #692675 Reply to:692546

ม่วงนี่คือ scb ป่ะครับ เค้าเพิ่งปรับเป็นสูงสุด 20 ตัว เมื่อไม่นานมานี้ ขยี้ตา 10 รอบตอนเจอประกาศ ฮ่าๆ


อคติทำให้คนรับเหตุผลด้านเดียว

By: lew
FounderJusci's WriterMEconomicsAndroid
on 3 April 2014 - 03:43 #692605 Reply to:692516
lew's picture

มันมีประเด็นอยู่บ้างนะครับ

  1. 44 บิตน่าจะคำนวณจากคำที่คนทั่วไปจำได้หลักพันคำ คนไทยอาจจะจำได้ต่ำสักหน่อย
  2. assume ว่าสุ่มสมบูรณ์ การที่เรามั่วขึ้นมาในหัวเองไม่ใช่การสุ่มสมบูรณ์ แต่เราเอาคำที่เรานึกออกขึ้นมา การใช้คำแบบนี้ในระยะยาวแล้ว entropy จะต่ำมาก (เราอาจจะสุ่มจากคำที่ใช้บ่อยที่สุดจริงๆ ไม่กี่ร้อยคำเท่านั้น)

ถ้ามีระบบสุ่มคำสมบูรณ์ผมว่านำระบบพวกนี้ไปแทนในส่วน "รหัสผ่านคุณภาพสูง" ก็ได้เหมือนกันครับ


lewcpe.com, @public_lewcpe

By: pittaya
WriterAndroidUbuntuIn Love
on 3 April 2014 - 17:40 #692809 Reply to:692605
pittaya's picture

ใช้อันนี้ gen เอา http://preshing.com/20110811/xkcd-password-generator/


pittaya.com

By: pongmile
ContributorAndroidSymbianWindows
on 2 April 2014 - 21:35 #692533
pongmile's picture

เว็บโป๊ผมใช้รหัสกากๆครับ เวลารีบๆจะได้ไม่ลืม :3


My facebook จิ้มๆ

By: McKay
ContributorAndroidWindowsIn Love
on 3 April 2014 - 04:08 #692612
McKay's picture

Za6d$Odetectives -0-;;


In Soviet Warcraft, Argus comes to you.

By: Elysium
ContributorWindows PhoneSymbianWindows
on 3 April 2014 - 05:47 #692629 Reply to:692612
Elysium's picture

นักสืบพันทิบ ..รึเปล่านะ


คนขี้ลืม | คนบ้าเกม | คนเหงาๆ

By: Zatang
ContributoriPhoneAndroid
on 3 April 2014 - 09:25 #692676 Reply to:692612

555 ตอนอ่านเจอผมก็ฮา


อคติทำให้คนรับเหตุผลด้านเดียว

By: lew
FounderJusci's WriterMEconomicsAndroid
on 3 April 2014 - 15:31 #692787
lew's picture

อธิบายคำแนะนำนี้สักหน่อย การ "ออกแบบ" คำแนะนำแบบนี้ดูจากอันตรายที่เกิดขึ้นได้กับรหัสผ่านของเรา โดยทั่วไปมี

  1. มีคนเดารหัสผ่านเราถูก เข้าใช้งานแทนเราได้
  2. เว็บที่ให้บริการเราถูกเจาะ ฐานข้อมูลหลุด และรหัสผ่านไม่ได้เข้ารหัสไว้
  3. เว็บที่ให้บริการถูกเจาะ ฐานข้อมูลหลุด แต่รหัสผ่านเข้ารหัสเอาไว้
  4. ถูกดักฟังรหัสผ่านในบริการที่ไม่ได้เข้ารหัส

การเดารหัสผ่านถูก เป็นการเจาะขั้นต่ำสุด แม้เว็บไม่ได้มีกระบวนการป้องกันการเดารหัสผ่านเอาไว้ การเดารหัสเช่นนี้ก็มักจะทำได้ไม่มากนัก อย่างมากที่สุดคงไม่เกิน 20 ครั้งต่อวินาที การป้องกันการถูกเจาะแบบนี้คือการบอกให้ผู้ใช้ ใช้รหัสผ่านที่ "ยาก" อยู่เสมอ ไม่ใช้ "1234" ไม่ใช้คำในพจนานุกรม หรือรหัสผ่านที่เคยอยู่ในฐานข้อมูลที่เคยถูกเจาะได้มาก่อน

เว็บถูกเจาะโดยไม่ได้เข้ารหัส ความเสี่ยงที่จะเกิดตามมาคือแฮกเกอร์ที่ได้ฐานข้อมูลไปจะนำรหัสผ่านที่ได้ไปทดสอบกับบริการอื่นๆ ทันที ด้วยเหตุผลนี้ ไม่ว่าบริการใดๆ ก็ไม่ควรใช้รหัสผ่านที่เหมือนกันทุกประการ คำแนะนำคือให้ "เติม" คำง่ายๆ ลงไปคำหรือสองคำเพื่อให้รหัสผ่านไม่เหมือนกัน เมื่อมีข่าวฐานข้อมูลถูกเจาะเพื่อความไม่ประมาทก็ควรเปลี่ยนรหัสทั้งกลุ่ม เพราะแฮกเกอร์อาจจะคาดเดาได้ว่าเราใช้ "รหัสยาก" ควบคู่กับ "รหัสง่าย" กระบวนการเดารหัสง่ายในบริการอื่นๆ นั้นก็มักใช้เวลาอีกระยะหนึ่ง (มีเวลาฐานข้อมูลเพิ่มเผยแพร่เป็นวงกว้าง, แฮกเกอร์เริ่มเลือกเหยื่อ ฯลฯ) ให้เวลาเราเปลี่ยนรหัสในบริการอื่นๆ ในกลุ่ม

เว็บถูกเจาะโดยเข้ารหัสฐานข้อมูล ความเสี่ยงคล้ายกันแต่แฮกเกอร์มักจะต้องใช้ข้อมูลพจนานุกรมและรหัสผ่านที่เคยหลุดออกมาเพื่อทดสอบว่ามีรหัสผ่านแบบเดียวกันในบัญชีใดหรือไม่ ฐานข้อมูลจำนวนมากมักเข้ารหัสโดยเติมค่าเฉพาะ (salt) ทำให้การหารหัสผ่านในฐานข้อมูลทำได้ยาก ใช้เวลานาน เราจะมีเวลาเปลี่ยนรหัสผ่านบริการอื่นๆ ในกลุ่มนานขึ้น ในหลายกรณีรหัสผ่านเราอาจจะไม่หลุดเลย แม้ฐานข้อมูลจะหลุดไปเป็นเวลานาน

ถูกดักฟัง เราไม่ควรใช้รหัสที่กับบริการที่ไม่ได้เข้ารหัสบน Wi-Fi ไม่เข้ารหัสทุกกรณี ในบริการที่เราใช้ไม่มากนักก็ยังควรใช้รหัสผ่านที่ "ยาก" เพื่อไม่ให้รหัสถูกนำไปใช้ในบริการอื่นๆ ได้อีก

คำแนะนำนี้จะคล้ายกับคำแนะนำของ Mozilla


lewcpe.com, @public_lewcpe