Skip to main content

การตั้งรหัสผ่านให้ปลอดภัย

เขียนโดย นายพนมยงค์ แก้วประชุม นักวิชาการ สาขาคอมพิวเตอร์ สสวท.  

    คอมพิวเตอร์ปัจจุบันมีประสิทธิภาพในการประมวลผลสูง ซึ่งสอดคล้องกับกฎของมัวร์[1][2] ที่ว่า “จำนวนทรานซิสเตอร์บนวงจรรวมจะเพิ่มขึ้นสองเท่าทุก 2 ปี” นั่นหมายความว่า เมื่อวงจรอิเล็กทรอนิกส์สำหรับการประมวลผลของคอมพิวเตอร์มีจำนวนมากขึ้น จึงทำให้ประสิทธิภาพในการประมวลผลสูงขึ้นตามไปด้วย ซึ่งตอบสนองความต้องการของมนุษย์ได้มากขึ้น อีกด้านหนึ่งของความก้าวหน้าทางเทคโนโลยียังมีกลุ่มบุคคลที่อาศัยความเร็วในการประมวลของคอมพิวเตอร์เข้าถึงรหัสผ่านได้เร็วขึ้น

9-1

  รูปที่ 1 จำนวนทรานซิสเตอร์ซีพียูที่สูงขึ้น(ที่มา [3])

          จากรูปที่ 1 จะพบว่าวงจรการคำนวนในซีพียูซึ่งเปรียบเสมือนสมองของคอมพิวเตอร์มีเพิ่มมากขึ้นจากปี 1971 มีแค่ 2,300 วงจร เป็น 820 ล้านวงจรในปี 2007 จึงทำให้เครื่องคอมพิวเตอร์มีประสิทธิภาพการคำนวนที่สูงตามไปด้วย ขณะเดียวกันจะทำให้การเข้าถึงรหัสผ่านทำสำเร็จได้อย่างรวดเร็วเช่นกัน

 

เกิดอะไรขึ้นเมื่อถูกเจาะรหัสผ่าน

          เมื่อผู้ไม่หวังดีได้รหัสผ่านของเราไป เขาสามารถสวมรอยเป็นตัวเราในการดำเนินการต่างๆ ได้ เช่น การโอนเงิน การซื้อของออนไลน์ การโพสต์ข้อความที่สร้างความเสียหาย การแสดงความคิดเห็น การแชท หรือใช้ข้อมูลของเราในการหลอกลวงหรือก่ออาชญากรรมได้ พฤติกรรมเหล่านี้ล้วนสร้างความเสียหายแก่เจ้าของรหัสผ่านทั้งสิ้น

 

รหัสผ่าน ที่ไม่ปลอดภัย

          สำหรับผู้ที่มีรหัสผ่านต่อไปนี้[4] มีความเสี่ยงสูงที่คาดเดาได้ง่ายเพราะผู้ไม่หวังดีจะใช้ข้อมูลเหล่านี้ในการคาดเดารหัสผ่านของท่าน เนื่องจากรหัสผ่านเหล่านี้เป็นรหัสผ่านที่ไม่ปลอดภัย ง่ายต่อการคาดเดา ดังนั้นข้อมูลของท่านจึงอาจถูกนำไปใช้สวมสิทธิ์ในการทำธุรกรรม เงินในบัญชีธนาคารอาจสูญหายได้

9-2

รูปที่ 2 ตัวอย่างรหัสผ่านที่ไม่ปลอดภัย

          จากรูปที่ 2 เป็นตัวอย่างรหัสผ่านที่นิยมใช้ นอกจากนี้ยังมีรหัสผ่านที่ไม่ปลอดภัยจำนวน 10,000 รหัส ซึ่งพบว่ามีผู้ใช้งานถึงร้อยละ 98 ที่กำหนดรหัสผ่านซึ่งตรงกับรายการรหัสผ่านนี้[5] (ผู้สนใจสามารถดาวน์โหลดรายการรหัสผ่านได้ที่ http://screwdesk.com/wp-content/uploads/2013/04/top-10000-passwords.txt)  

          สำหรับรหัสเลขสี่หลักที่นิยมใช้[4] มีดังนี้

9-3

รูปที่ 3 รหัสผ่านแบบตัวเลข 4 หลักที่นิยมใช้

          รหัสผ่านดังรูปที่ 3 ที่ใช้กันในบ้านเรามักจะเป็นรหัส ATM จึงพึงระวัง ควรหลีกเลี่ยงการตั้งรหัสในลักษณะดังกล่าว เพื่อป้องกันการสูญเสียเงินในบัญชี

 

ทดสอบความปลอดภภัยของรหัสผ่าน

          ในการตรวจสอบรหัสผ่านว่าปลอดภัยแค่ไหนสามารถเข้าไปที่https://howsecureismypassword.net/ แล้วทดลองพิมพ์รหัสผ่าน  เว็บไซต์จะรายงานผลว่ารหัสผ่านที่ระบุไปจะใช้เครื่องคอมพิวเตอร์เดาถูกได้ภายในเวลาเท่าไหร่

9-4

รูปที่ 4 เว็บไซต์ https://howsecureismypassword.net/

 

8 ตัวอักษรปลอดภัยหรือ?

          จากการทดลองรหัสผ่านกับเว็บไซต์ข้างต้น โดยระบุรหัสผ่านคือ “h4*9G#\f” พบว่ารหัสผ่านนี้สามารถเดาถูกได้ภายใน 20 วัน ซึ่งจะเห็นว่าแม้ว่าจะตั้งรหัสผ่านให้เดายากเพียงใด ด้วยเทคโนโลยีปัจจุบันสามารถเข้าถึงรหัสผ่านขนาด 8 ตัวอักษรได้ภายในเวลาไม่ถึงเดือน หากรหัสผ่านนั้นเป็นของผู้ที่มีเงินหรือทรัพย์สินจำนวนมาก สำหรับผู้ไม่ประสงค์ดีแล้วก็คุ้มค่าแก่การรอ ดังนั้นรหัสผ่านขนาด 8 ตัวอักษรจึงไม่เพียงพอต่อความปลอดภัยอีกต่อไป การกำหนดรหัสผ่านควรมีความยาว 12 ตัวอักษรขึ้นไป[6]  ซึ่งนอกจากมีความยาวเพียงพอแล้วรหัสผ่านที่ดีควรเป็นรหัสผ่านที่ยากแก่การคาดเดา จึงต้องกำหนดรหัสผ่านที่มีตัวเลขและสัญลักษณ์พิเศษอยู่ด้วย

          ในที่นี้ทดลองตั้งรหัสผ่านความยาว 12 ตัวอักษร โดยให้มีอักษรพิเศษเพื่อให้เดายากคือ “h4*9G#\f98EL” พบว่าคอมพิวเตอร์ต้องใช้เวลาในการเข้าถึงรหัส 4 ล้านปีดังรูป

9-5

รูปที่ 5 ทดสอบรหัสผ่าน h4*9G#\f98EL ซึ่งมีความยาว 12 ตัวอักษร

 ซึ่งจะเห็นว่าการตั้งรหัสผ่านให้คาดเดายากต้องมีความยาวขนาด 12 ตัวอักษรขึ้นไปจึงจะมีความปลอดภัยเพียงพอ

 

เดายากก็จำยาก ทำอย่างไรให้เดายากแต่จำง่าย

          การตั้งรหัสผ่านที่คาดเดายากมักจะจำยากด้วย ในที่นี้จะนำเสนอเทคนิคบางประการในการตั้งรหัสผ่านให้จำง่ายดังนี้

          1. ใช้อักขระแทน เป็นการนำอักขระพิเศษมาใช้แทนตัวอักษร ตัวอย่างดังตาราง

9-6

ตารางการใช้อักขระพิเศษแทนตัวอักษรภาษาอังกฤษ

ตัวอย่าง QWERTYUIOP (ถูกเข้าถึงได้ทันที) เปลี่ยนเป็น QVV3RTY|_|I0P (7 ล้านปี)

 

         2. เติมอักขระพิเศษ  ในกรณีที่รหัสผ่านที่ตั้งไว้สั้นเกินไป สามารถเติมอักขระพิเศษให้มีความยาวมากพอได้เช่นรหัสผ่านเดิม คือ jordan  (ถูกเข้าถึงได้ทันที) เปลี่ยนเป็น j0rd@n ตามข้อ 1 แล้วเติมอักขระพิเศษให้ครบ 12 ตัวอักษร คือ ###j0rd@n###  (ใช้เวลาเดา 2,000 ปี)

           3. ตั้งรหัสผ่านเป็นประโยค วิธีการนี้จะใช้ร่วมกับการใช้อักขระพิเศษ เช่น  I like blue color นำมาตั้งรหัสผ่านคือ Ilikebluecolor  นำมาใช้อักขระพิเศษแทนคือ I1!kebluec010r

 

นอกจากนี้ยังมีวิธีการอื่นๆ ที่ช่วยให้จำรหัสผ่านได้ง่ายโดยขึ้นอยู่กับวิธีการของแต่ละคน ซึ่งหากรหัสผ่านเดิมที่มีอยู่เป็นรหัสผ่านที่เดาง่าย สามารถนำวิธีการข้างต้นไปประยุกต์ใช้เพื่อให้เกิดความปลอดภัยมากยิ่งขึ้น

 

          เมื่อเทคโนโลยีคอมพิวเตอร์มีประสิทธิภาพสูงขึ้น รหัสผ่านก็ถูกเข้าถึงได้ง่าย ผู้ใช้งานจึงจำเป็นต้องตั้งรหัสผ่านให้เดายาก  ในปัจจุบัน(พ.ศ.2557) ผู้เชี่ยวชาญแนะนำให้ตั้งรหัสมีความยาวอย่างน้อย 12 ตัวอักษรขึ้นไปจึงจะมีความปลอดภัยสูง การตั้งรหัสผ่านให้เดายากและมีความยาวเพียงพอ เจ้าของรหัสผ่านต้องมีวิธีตั้งให้ตัวเองจำได้ง่าย รหัสผ่านถือได้ว่าเป็นทรัพย์สินส่วนตัวที่จะต้องไม่ให้ผู้อื่นทราบโดยเด็ดขาด เมื่อใช้ไประยะเวลาหนึ่งควรเปลี่ยนรหัสผ่าน และพึงระวังการโดนหลอกถามหรือให้กรอกรหัส เพียงเท่านี้ข้อมูลส่วนตัวและข้อมูลทางการเงินก็ปลอดภัยในระดับหนึ่งแล้ว

 

 

อ้างอิง

  1. Moore, G., Cramming more components onto integrated circuits. Electronics, Vol. 38, No. 8, 1965.
  2. __, 2007, 1965 – "Moore's Law" Predicts the Future of Integrated Circuits, Computer History Museum, [Online], Available: http://www.computerhistory.org/semiconductor/timeline/1965-Moore.html 
    [2014, Feb 25].
  3. Intel Corporation, Microprocessor Quick Reference Guide,[Online], Available: http://www.intel.com/pressroom/kits/quickreffam.htm [2013,Feb 27]
  4. David Harley,2012, Passwords and PINs: the worst choices, [Online], Available: http://www.welivesecurity.com/2012/06/07/passwords-and-pins-the-worst-choices/ [2013,Feb 25]
  5. Mark Burnett,2011, 10,000 Top Passwords , [Online], Available: https://xato.net/passwords/more-top-worst-passwords/#more-269 [2013, Feb 25]
  6. Wikipedia: The Free Encyclopedia, Password strength, [Online], Available: http://en.wikipedia.org/wiki/Password_strength [2013,Feb 27]

password, passwords, secure, พนมยงค์ แก้วประชุม, รหัสผ่าน