3. สร้างและเก็บรหัสผ่านอย่างปลอดภัย

อัพเดทแล้ว2010

แนวทางนี้ไม่ได้รับการตรวจสอบแล้ว

บริการด้านความปลอดภัยจำนวนมากใช้เทคโนโลยีดิจิทัลเพื่อทำให้เรารู้สึกวางใจในการทำธุระสำคัญ ซึ่งมีตั้งแต่ระบบที่ต้องให้เราการลงชื่อเข้า (sign in) เข้าในคอมพิวเตอร์ของเราและการส่งอีเมลไปจนถึงการเข้ารหัส (encrypt) เพื่อซ่อนข้อมูลที่อ่อนไหว สิ่งเหล่านี้ทำให้เราต้องจดจำรหัสผ่านให้ได้ คำที่เป็นความลับ วลี หรือประโยคที่เป็นคำพูดลอยๆ มักจะทำหน้าที่เป็นด่านแรก และในบางครั้งอาจเป็นด่านเดียวระหว่างข้อมูลของคุณกับบุคคลอื่นที่อาจอยากอ่าน ทำสำเนา แก้ไข หรือทำลายข้อมูลของคุณโดยคุณไม่ได้อนุญาต มีหลายวิธีที่คนจะรู้รหัสผ่านของคุณได้ แต่คุณกันคนเหล่านั้นออกไปได้โดยการใช้กลเม็ดเฉพาะสองสามประการ และใช้เครื่องมือเก็บรหัสผ่านอย่างปลอดภัย เช่น คีพาส (KeePassX)

สถานการณ์ภูมิหลัง

:Snippet

สิ่งที่คุณจะได้เรียนรู้จากบทนี้

เลือกและเก็บรหัสผ่านที่ปลอดภัย

โดยทั่วไป เมื่อคุณต้องการปกป้องอะไรบางอย่าง คุณก็จะล็อกมันไว้ด้วยกุญแจ บ้าน รถยนต์ หรือจักรยานล้วนมีกุญแจที่มีลักษณะกายภาพจับต้องได้ ในขณะที่ไฟล์จะมีกุญแจที่เข้ารหัส บัตรธนาคารจะมีหมายเลขพิน (PIN number) และบัญชีอีเมล์ก็จะมีรหัสผ่าน กุญแจเหล่านี้ทั้งที่เป็นรูปแบบกายภาพจับต้องได้หรือที่เป็นอิเล็กทรอนิกส์มีสิ่งที่เหมือนกันอยู่ประการหนึ่งคือ ถ้าพวกมันตกอยู่ในมือของบุคคลอื่น มันก็ใช้เปิดล็อกต่างๆตามนั้นได้เช่นกัน คุณติดตั้งไฟร์วอลล์รุ่นที่มีความก้าวหน้าสูง รักษาความปลอดภัยบัญชีอีเมล และเข้ารหัสแผ่นดิสก์ไว้ แต่ถ้ารหัสผ่านของคุณอ่อนแอเกินไป หรือคุณยอมให้รหัสผ่านนั้นตกอยู่ในมือที่ผิด การใส่กุญแจต่างๆ ที่กล่าวมาก็ไม่ได้ให้ประโยชน์อะไรกับคุณมากนัก

องค์ประกอบของรหัสผ่านที่แข็งแรง

รหัสผ่านจะต้องยากเกินกว่าที่โปรแกรมคอมพิวเตอร์ที่จะคาดเดาได้

  • สร้างรหัสผ่านให้ยาว: รหัสผ่านยิ่งยาวมากแค่ไหน ก็ยิ่งเป็นไปได้น้อยที่โปรแกรมคอมพิวเตอร์จะคาดเดาได้ในเวลาอันจำกัด คุณควรพยายามสร้างรหัสผ่านที่รวมตัวอักษรสิบตัวหรือมากกว่านั้น บางคนใช้รหัสผ่านที่มีคำมากกว่าหนึ่งคำ มีหรือไม่มีช่องว่างระหว่างคำเหล่านั้น ซึ่งโดยปกติจะเรียกว่า วลีรหัสผ่าน(passphrase) ซึ่งถือเป็นความคิดที่ดีมาก ตราบเท่าที่โปรแกรม หรือบริการที่คุณใช้งานอยู่ยินยอมให้เลือกรหัสผ่านยาวๆ ได้

  • สร้างรหัสผ่านให้ซับซ้อน: นอกจากเรื่องความยาวของรหัสผ่านแล้ว ความซับซ้อนของรหัสผ่านก็ช่วยป้องกันไม่ให้ ซอฟท์แวร์ถอดรหัสผ่านอัตโนมัติ คาดเดาการรวมตัวอักษรอย่างถูกต้องได้ หากเป็นไปได้ คุณควรใช้ตัวอักษรภาษาอังกฤษตัวใหญ่ (upper case) ตัวอักษรภาษาอังกฤษตัวเล็ก(lower case) ตัวเลข และสัญลักษณ์ เช่น เครื่องหมายวรรคตอน ในรหัสผ่านของคุณด้วย

รหัสผ่านจะต้องยากเกินกว่าที่บุคคลอื่นจะคิดออก

  • ปฏิบัติได้จริง: ถ้าคุณต้องจดรหัสผ่านลงไปเพราะว่าคุณจำรหัสผ่านไม่ได้ คุณอาจจะประสบปัญหาภัยคุกคามทุกประเภททั้งหมด ซึ่งทำให้คุณอ่อนไหวต่อผู้คนที่เห็นโต๊ะทำงานของคุณได้อย่างชัดเจน หรือในบางครั้งเขาอาจเข้าไปในบ้านของคุณ เข้าดูกระเป๋าเงินของคุณ หรือแม้กระทั่งเข้าดูถังขยะที่อยู่นอกสำนักงานของคุณ ถ้าคุณไม่สามารถคิดรหัสผ่านที่ยาวซับซ้อนโดยที่คุณจำได้ หัวข้อการจำรหัสผ่านอย่างปลอดภัย ด้านล่างอาจจะช่วยคุณได้ หรือถ้ามันไม่ช่วย คุณยังสามารถเลือกใช้รหัสผ่านที่มีความปลอดภัยแต่อาจต้องบันทึกลงไปในฐานข้อมูลรหัสผ่านอย่างปลอดภัย เช่นคีพาส (KeePassX) ไฟล์ที่มีระบบป้องกันด้วยรหัสผ่านประเภทอื่นๆ รวมถึงของไมโครซอฟท์เวิร์ดนั้นไม่น่าเชื่อถือเพียงพอสำหรับกรณีการปกป้องข้อมูลนี้ เนื่องจากว่าไฟล์เหล่านี้สามารถถูกถอดรหัสได้ในไม่กี่วินาทีโดยเครื่องมือที่สามารถหาได้ง่ายๆ บนอินเทอร์เน็ต

  • อย่าใช้รหัสผ่านที่เกี่ยวกับเรื่องส่วนตัว: รหัสผ่านไม่ควรที่จะเกี่ยวข้องกับเรื่องส่วนตัวของคุณ อย่าเลือกใช้คำหรือวลีที่อยู่บนฐานของข้อมูลชื่อคุณ หมายเลขประกันสังคม หมายเลขโทรศัพท์ ชื่อลูก ชื่อสัตว์เลี้ยง วันเกิด หรืออะไรก็ตามที่บุคคลสามารถรู้ได้ง่ายๆ โดยเพียงแค่ทำการค้นหาข้อมูลเพียงเล็กน้อยเกี่ยวกับคุณ

  • เก็บรหัสผ่านเป็นความลับ: อย่าใช้รหัสผ่านร่วมกันกับใครทั้งสิ้นเว้นแต่กรณีมีความจำเป็นอย่างยิ่งยวด และถ้าที่คุณจำต้องร่วมใช้รหัสผ่านกับเพื่อน สมาชิกครอบครัว หรือเพื่อนร่วมงาน คุณจะต้องเปลี่ยนรหัสผ่านนั้นเป็นรหัสผ่านชั่วคราว คือ ให้คนอื่นใช้รหัสผ่านชั่วคราวนั้นร่วมกันครั้งหนึ่ง เมื่อพวกเขาใช้งานรหัสผ่านชั่วคราวนั้นเสร็จ ให้คุณเปลี่ยนรหัสผ่านชั่วคราวกลับมาเป็นรหัสผ่านเดิม บ่อยครั้งมีอีกหลายวิธีที่ทำให้สามารถใช้รหัสผ่านร่วมกัน เช่น การสร้างบัญชีแยกต่างหากสำหรับรายบุคคลที่ต้องการเข้าถึง รักษารหัสผ่านของคุณให้เป็นความลับยังหมายถึงการให้ความใส่ใจในกรณีที่อาจมีใครบางคนแอบมองข้ามบ่าคุณระหว่างที่คุณกำลังพิมพ์รหัสผ่าน หรือกำลังดูรหัสผ่านใน ฐานข้อมูลรหัสผ่านอย่างปลอดภัย

จะต้องเลือกรหัสผ่านเพื่อที่จะลดความเสียหายหากว่ามีใครบางคนรู้รหัสผ่านนั้น

  • ทำให้รหัสผ่านมีความเฉพาะตัว: หลีกเลี่ยงการใช้รหัสผ่านเดียวกับหลายๆ บัญชี ไม่อย่างนั้นแล้วใครก็ตามที่รู้รหัสผ่านก็จะเข้าถึงข้อมูลของคุณได้ลึกกว่า แม้กระทั่งข้อมูลที่อ่อนไหวของคุณ เพราะมีบริการบางอย่างที่ช่วยให้การถอดรหัสทำได้ง่ายดาย ตัวอย่างเช่น ถ้าคุณใช้รหัสผ่านอันเดียวเพื่อเข้าไปใช้งานวินโดว์สและใช้เข้าบัญชีจีเมลของคุณ ผู้ที่สามารถเข้าถึงคอมพิวเตอร์ของคุณทางกายภาพจะถอดรหัสผ่านสำหรับการใช้งานวินโดว์สและใช้รหัสที่ได้มานั้นเข้าถึงบัญชีจีเมลของคุณได้ ด้วยเหตุผลที่คล้ายกันนี้ การเวียนรหัสผ่านโดยแลกเปลี่ยนรหัสผ่านสำหรับเข้าถึงระหว่างบัญชีที่ต่างกันก็ไม่ใช่ความคิดที่ดีนัก

  • รักษาให้รหัสผ่านใหม่เสมอ: คุณควรเปลี่ยนรหัสผ่านเป็นประจำ จะให้ดีควรจะเปลี่ยนหนึ่งครั้งทุกสามเดือน บางคนค่อนข้างยึดติดกับรหัสผ่านบางอันและไม่เคยเปลี่ยนมันเลย ซึ่งนี่ก็ไม่ใช่ความคิดที่ดีนัก ยิ่งคุณเก็บรหัสผ่านเดิมไว้นานเท่าใด คนอื่นก็ยิ่งมีโอกาสที่จะล่วงรู้รหัสผ่านของคุณได้มากขึ้นเท่านั้น นอกจากนี้ หากมีใครใช้รหัสผ่านที่ขโมยมาจากคุณเพื่อใช้เข้าถึงข้อมูลหรือบริการของคุณโดยที่คุณไม่รู้ คนเหล่านั้นจะทำเช่นนั้นต่อไปเรื่อยๆจนกว่าคุณจะเปลี่ยนรหัสผ่าน

:Snippet

จดจำและบันทึกรหัสผ่านอย่างปลอดภัย

เมื่อลองมองรายการคำแนะนำต่างๆ ด้านบน คุณอาจสงสัยว่าเป็นไปได้อย่างไรที่ใครคนหนึ่งที่ไม่มีความสามารถในการจดจำจะจำรหัสผ่านที่ยาว ซับซ้อนและไร้ความหมายขนาดนั้นโดยไม่ต้องมีการเขียนรหัสผ่านเหล่านั้นลงไป สิ่งสำคัญที่ต้องใช้รหัสผ่านชุดที่แตกต่างกันออกไป สำหรับบัญชีต่างๆ ยิ่งทำให้การจดจำเป็นเรื่องที่ยากลำบากเข้าไปอีก อย่างไรก็ตามมีข้อเคล็ดลับสองสามประการที่อาจช่วยให้คุณสามารถสร้างรหัสผ่านซึ่งง่ายต่อการจดจำแต่ยากมากสำหรับผู้อื่นในการที่จะเดาให้ถูก แม้กระทั่งบุคคลนั้นจะเป็นคนที่ฉลาดและใช้ซอฟท์แวร์ ”ถอดรหัสผ่าน” ที่ก้าวหน้ามาก นอกจากนี้คุณยังมีทางเลือกที่จะบันทึกรหัสผ่านของคุณโดยใช้เครื่องมืออย่างเช่นคีพาส (KeePassX)ซึ่งถูกสร้างขึ้นไว้เพื่อการนี้โดยเฉพาะ

การจดจำรหัสผ่านอย่างปลอดภัย

เป็นเรื่องที่สำคัญมากที่คุณต้องใช้ตัวอักษรประเภทต่างๆ เพื่อเลือกสร้างรหัสผ่าน ซึ่งทำได้โดยหลายวิธีด้วยกัน

  • การใช้ตัวอักษรภาษาอังกฤษตัวใหญ่(capitalization) ให้หลากหลาย เช่น 'My naME is Not MR. MarSter'
  • การสลับกันใช้ตัวเลขและตัวอักษร เช่น 'a11 w0Rk 4nD N0 p14Y'
  • การใส่สัญลักษณ์บางอย่างรวมเข้าไว้ เช่น 'c@t(heR1nthery3'
  • การใช้ภาษาหลายๆภาษาปนกัน เช่น 'Let Them Eat 1e gateaU au ch()colaT'

วิธีอย่างหนึ่งอย่างใดเหล่านี้จะช่วยให้คุณเพิ่มความซับซ้อนให้กับรหัสผ่านที่ดูเหมือนธรรมดาๆ ได้ ซึ่งอาจจะช่วยให้คุณเลือกรหัสผ่านที่มีความปลอดภัยโดยไม่จำเป็นต้องล้มเลิกความคิดที่จะจดจำรหัสผ่านนั้นไปทั้งหมด แม้ว่าการใช้เครื่องหมายทดแทนธรรมดาๆ (เช่น การใช้เลขศู<นย์แทนอักษร “o” หรือการใช้เครื่องหมาย “@” แทนที่อักษร “a”) ได้ถูกนำไปใส่ไว้ในเครื่องมือการถอดรหัสนานมาแล้ว แต่พวกเครื่องหมายทดแทนเหล่านี้ก็ยังเป็นความคิดที่ดีอยู่ เครื่องหมายเหล่านี้ยืดเวลาทำให้เครื่องมือถอดรหัสรู้รหัสผ่านได้ช้าลงไปอีกและในสถานการณ์ปกติที่ไม่มีเครื่องมือถอดรหัสใช้กัน มันช่วยป้องกันการเดาสุ่มรหัสผ่านที่ถูกต้องโดยบังเอิญได้อีกด้วย

รหัสผ่านยังสามารถที่จะใช้ประโยชน์จากเทคนิคช่วยจำ แบบดั้งเดิม เช่นการใช้คำย่อ ซึ่งการทำเช่นนี้จะเปลี่ยนวลียาวๆ ให้กลายเป็นคำที่ซับซ้อนและดูเหมือนเป็นการสุ่มขึ้นมา

  • 'To be or not to be? That is the question' จะกลายเป็น '2Bon2B?TitQ'
  • 'We hold these truths to be self-evident: that all men are created equal' กลายเป็น 'WhtT2bs-e:taMac='
  • 'Are you happy today?' กลายเป็น 'rU:-)2d@y?'

เคล็ดลับเหล่านี้เป็นแค่ตัวอย่างที่จะช่วยให้คุณสามารถคิดวิธีการของคุณเองในการเข้ารหัสคำและวลีต่างๆ เพื่อที่จะทำให้รหัสผ่านของคุณมีความซับซ้อนและสามารถจดจำได้ในเวลาเดียวกัน

เพิ่มความพยายามอีกเพียงเล็กน้อยจะทำให้รหัสผ่านยิ่งมีความซับซ้อนและไปได้ไกลยิ่งขึ้น การเพิ่มความยาวให้กับรหัสผ่านด้วยวิธีการเพียงแค่เพิ่มตัวอักษรสองสามตัว หรือโดยเพิ่มตัวเลข หรืออักษรพิเศษเข้าไป ยิ่งที่ให้การถอดรหัสเป็นไปได้ยากยิ่งขึ้น เพื่อที่จะสาธิตให้เห็น ตารางด้านล่างแสดงให้เห็นถึงระยะเวลาที่นักเจาะระบบจะสามารถถอดรายการรหัสที่มีความซับซ้อนที่เพิ่มขึ้นเรื่อยๆ โดยวิธีการลองถอดรหัสที่สร้างจากการรวมคำอันหนึ่งต่อจากอีกอันหนึ่ง

ตัวอย่างรหัสผ่าน เวลาที่ใช้ในการถอดรหัสด้วยคอมพิวเตอร์ธรรมดา เวลาที่ใช้ในการถอดรหัสด้วยคอมพิวเตอร์ที่เร็วมาก
bananas น้อยกว่า 1 วัน น้อยกว่า 1 วัน
bananalemonade 2 วัน น้อยกว่า 1 วัน
BananaLemonade 3 เดือน หรือ 14 วัน น้อยกว่า 1 วัน
B4n4n4L3m0n4d3 3 ศตวรรษ หรือ 4 ทศวรรษ 1 เดือน หรือ 26 วัน
We Have No Bananas 19151466 ศตวรรษ 3990 ศตวรรษ
W3 H4v3 N0 B4n4n45 20210213722742 ศตวรรษ 4210461192 ศตวรรษ

แน่นอนว่า เวลาที่อาจใช้ในการถอดรหัสผ่านที่แสดงไว้ด้านบนนั้นอาจแตกต่างกันอย่างมาก ทั้งนี้ขึ้นอยู่กับลักษณะของการโจมตีและทรัพยากรที่ผู้โจมตีมี ยิ่งไปกว่านั้น มีการนำวิธีการใหม่ๆ ในการถอดรหัสมาใช้อยู่เสมอ ตารางได้สาธิตให้เห็นว่าการปรับเปลี่ยนอักษรให้มีความหลากหลาย หรือการใช้คำสองคำ หรือการใช้วลีสั้นๆ จะทำให้การถอดรหัสผ่านเป็นไปได้ยากมากยิ่งขึ้น

ตารางด้านบนอ้างอิงจากการคำนวณของพาสฟอล์ท (Passfault) ซึ่งเป็นหนึ่งในหลายๆ เว็บไซต์ที่ให้คุณสามารถลองทดสอบความแข็งแรงของรหัสผ่านของคุณ อย่างไรก็ตามแม้ว่าเว็บไซต์นี้จะเป็นเว็บไซต์ที่ดีในการสาธิตประสิทธิภาพของรหัสผ่านชนิดต่างๆ แต่คุณควรหลีกเลี่ยงที่จะพิมพ์รหัสผ่านจริงๆของคุณลงในเว็บไซต์นี้

###การบันทึกรหัสผ่านอย่างปลอดภัย ###

ในขณะที่ความคิดสร้างสรรค์เพียงเล็กน้อยทำให้คุณจดจำรหัสผ่านทั้งหมดของคุณได้ แต่ความจำเป็นที่จะต้องเปลี่ยนรหัสผ่านเหล่านั้นเป็นระยะๆ อาจทำให้ความคิดสร้างสรรค์ที่คุณมีหมดไปอย่างรวดเร็ว ยังมีทางเลือกอื่นซึ่งทำให้คุณสามารถสุ่มสร้างรหัสผ่านที่ปลอดภัยสำหรับบัญชีส่วนใหญ่ของคุณ และทำให้คุณไม่จำต้องจดจำรหัสผ่านเหล่านั้นทั้งหมด คุณสามารถที่จะบันทึกรหัสผ่านเหล่านั้นลงในฐานข้อมูลรหัสผ่านที่ปลอดภัยซึ่งสามารถเคลื่อนย้ายได้ และมีการเข้ารหัสไว้ อย่างเช่นคีพาส (KeePassX).

ภาคปฏิบัติ : เริ่มต้นกับคู่มือแนะนำในการใช้คีพาส – ที่เก็บรหัสผ่านอย่างปลอดภัย

แน่นอนว่าถ้าคุณใช้วิธีการนี้ สิ่งสำคัญเป็นพิเศษคือ คุณจะต้องสร้างและจดจำรหัสผ่านที่ปลอดภัยสำหรับคีพาส ให้ได้ หรือรหัสผ่านของเครื่องมือใดก็ตามที่คุณเลือกใช้ เมื่อใดก็ตามที่คุณต้องการที่จะเข้ารหัสผ่านสำหรับบัญชีเฉพาะเจาะจงบัญชีหนึ่ง คุณมองหารหัสผ่านนั้นได้โดยการใช้แค่รหัสผ่านหลัก (master password) ซึ่งทำให้การทำตามคำแนะนำด้านบนเป็นเรื่องที่ง่ายขึ้นคีพาสสามารถใช้ได้โดยไม่ต้องติดตั้ง ซึ่งหมายความว่าคุณสามารถใส่ฐานข้อมูลลงในแฟลชไดร์ฟได้ในกรณีที่คุณต้องการมองหารหัสผ่านเหล่านั้นในขณะที่คุณอยู่ห่างไกลจากคอมพิวเตอร์เครื่องหลักที่คุณใช้งาน

ถึงแม้ว่าวิธีการนี้อาจจะเป็นทางเลือกที่ดีที่สุดสำหรับผู้ที่ต้องเก็บรักษาบัญชีจำนวนมากๆ อย่างไรก็ตามวิธีการนี้ยังมีจุดอ่อนอยู่ ประการแรกถ้าคุณทำสำเนาซึ่งมีเพียงสำเนาเดียวของฐานข้อมูลรหัสผ่านสูญหายไป หรือลบมันไปโดยอุบัติเหตุ คุณก็ไม่สามารถที่จะเข้าไปในบัญชีใดๆ ที่ฐานข้อมูลนั้นเก็บรหัสผ่านอยู่ได้ กรณีนี้จึงเป็นเรื่องสำคัญมากที่สุดในการที่คุณต้องสำรองข้อมูลฐานข้อมูลคีพาส ไว้ ลองดูบทที่ 5: กู้คืนข้อมูล ซึ่งมีข้อมูลเพิ่มเติมในวิธีการสำหรับสำรองข้อมูล แต่ก็มีความโชคดีอยู่คือ เนื่องจากฐานข้อมูลของคุณมีการเข้ารหัสไว้ นั่นก็หมายความว่าคุณไม่ต้องตื่นตระหนกเมื่อคุณทำแฟลชไดรฟ์หรือไดรฟ์สำรองข้อมูลที่เก็บฐานข้อมูลรหัสผ่านหายไป

จุดอ่อนประการที่สองเป็นเรื่องที่สำคัญกว่า ถ้าคุณลืมรหัสผ่านหลักเพื่อเปิดคีพาส ไม่มีทางใดที่จะกู้ฐานข้อมูลหรือรหัสผ่านที่ถูกเก็บอยู่บนฐานข้อมูลนั้น ดังนั้นจงแน่ใจว่าคุณได้เลือกรหัสผ่านหลักที่ทั้งปลอดภัยและจดจำได้!

จุดแข็งของวิธีการนี้ในบางสถานการณ์อาจกลับกลายเป็นจุดอ่อนได้ ถ้าใครบางคนบังคับให้คุณบอกรหัสผ่านหลักของฐานข้อมูลคีพาสของคุณ บุคคลนั้นก็จะเข้าถึงรหัสผ่านทั้งหมดที่คุณเก็บไว้บนฐานข้อมูลคีพาส ได้ ถ้ากรณีนี้จะเป็นสถานการณ์ที่คุณอาจต้องเผชิญ คุณปฏิบัติกับฐานข้อมูลคีพาสในฐานะที่เป็นไฟล์ข้อมูลอ่อนไหว และปกป้องมันอย่างที่เราจะได้อธิบายในบทที่ 4: ปกป้องไฟล์ข้อมูลอ่อนไหวในคอมพิวเตอร์คุณ คุณยังสร้างฐานข้อมูลคีพาส แยกต่างหากอีกหนึ่งอื่นไว้เก็บรหัสผ่านซึ่งใช้ปกป้องข้อมูลที่มีความอ่อนไหวกว่าและให้ใช้ความระมัดระวังเป็นพิเศษกับฐานข้อมูลนั้น

:Snippet

เอกสารอ่านเพิ่มเติม