สร้างรหัสผ่านที่ปลอดภัย
สร้างรหัสผ่านและ Passphrase แบบสุ่มที่แข็งแกร่ง ดูความแข็งแกร่ง เอนโทรปี และเวลาถอดรหัสโดยประมาณ 100% ฝั่งไคลเอนต์ รหัสผ่านไม่ออกจากอุปกรณ์
ทำไมต้องใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน
ในปี 2568 คนทั่วไปมีมากกว่า 100 บัญชีออนไลน์ แต่ละบัญชีต้องการรหัสผ่าน การใช้รหัสผ่านเดียวกันหลายเว็บไซต์เป็นข้อผิดพลาดด้านความปลอดภัยที่ร้ายแรงที่สุด เมื่อเว็บไซต์หนึ่งถูกเจาะ (data breach) ผู้โจมตีจะนำข้อมูลรหัสผ่านที่ถูกขโมยไปลองเข้าสู่ระบบเว็บไซต์อื่น เทคนิคนี้เรียกว่า credential stuffing และได้ผลดีมากเพราะคนส่วนใหญ่ใช้รหัสผ่านซ้ำ
รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน สำหรับทุกบัญชีเป็นการป้องกันที่ดีที่สุดต่อ credential stuffing, brute-force attacks และ dictionary attacks เครื่องสร้างรหัสผ่านของเราใช้ ตัวเลขสุ่มเข้ารหัส (Web Crypto API) ทำให้รหัสผ่านที่สร้างไม่สามารถคาดเดาได้อย่างแท้จริง
ทำความเข้าใจเอนโทรปีของรหัสผ่าน
เอนโทรปี เป็นการวัดความสุ่มทางคณิตศาสตร์ ในหน่วยบิต แต่ละบิตของเอนโทรปีเพิ่มจำนวนความเป็นไปได้เป็นสองเท่า สูตรคือ:
เอนโทรปี = ความยาว x log2(ขนาดชุดตัวอักษร)
ตัวพิมพ์เล็กอย่างเดียว (26 ตัว): 4.7 บิต/ตัวอักษร
+ ตัวพิมพ์ใหญ่ (52 ตัว): 5.7 บิต/ตัวอักษร
+ ตัวเลข (62 ตัว): 5.95 บิต/ตัวอักษร
+ สัญลักษณ์ (~94 ตัว): 6.55 บิต/ตัวอักษร
รหัสผ่าน 16 ตัวอักษรที่ใช้ทุกประเภทมีเอนโทรปีประมาณ 105 บิต ที่ 10,000 ล้านการเดาต่อวินาที จะใช้เวลาประมาณ 2 x 10^21 ปี นานกว่าอายุจักรวาลมาก
ผู้โจมตีถอดรหัสผ่านอย่างไร
1. Brute Force Attack
ผู้โจมตีลองทุกชุดตัวอักษรที่เป็นไปได้จนเจอรหัสผ่านที่ถูกต้อง ประสิทธิภาพขึ้นอยู่กับความยาวและชุดตัวอักษร รหัสผ่าน 6 ตัวอักษร (ตัวพิมพ์เล็ก) มีแค่ 308 ล้านชุด ถอดได้ในไม่กี่วินาที แต่ 16 ตัวอักษรแบบผสมมี ~10^31 ชุด ใช้เวลาหลายล้านล้านปี
2. Dictionary Attack
ผู้โจมตีใช้รายการคำทั่วไป วลี และรหัสผ่านที่เคยรั่วไหล นี่คือสาเหตุที่ใช้คำในพจนานุกรม ชื่อ วันเกิด หรือรูปแบบทั่วไป (เช่น "password123") เป็นรหัสผ่านจึงอันตราย เครื่องสร้างของเราหลีกเลี่ยงปัญหานี้โดยใช้ตัวเลขสุ่มเข้ารหัส
3. Credential Stuffing
ผู้โจมตีนำคู่ชื่อผู้ใช้/รหัสผ่านจากการรั่วไหลหนึ่งไปลองในเว็บไซต์อื่น การป้องกันง่าย: ใช้รหัสผ่านไม่ซ้ำกันสำหรับทุกบัญชี
แนวปฏิบัติที่ดีสำหรับความปลอดภัยรหัสผ่าน
- ใช้ password manager: เช่น Bitwarden (ฟรี), 1Password หรือ KeePass เก็บรหัสผ่านทั้งหมดภายใต้รหัสผ่านหลักตัวเดียว
- เปิด two-factor authentication (2FA): เพิ่มชั้นป้องกันที่สอง (รหัสจากโทรศัพท์) แม้รหัสผ่านจะถูกเจาะ
- อย่าใช้รหัสผ่านซ้ำ: แต่ละบัญชีควรมีรหัสผ่านเฉพาะ ถ้าเว็บหนึ่งถูกเจาะ จะกระทบแค่บัญชีนั้น
- ความยาวสำคัญกว่าความซับซ้อน: รหัสผ่าน 20 ตัวอักษร (ตัวพิมพ์เล็กอย่างเดียว) แข็งแกร่งกว่ารหัสผ่าน 8 ตัวอักษรแบบผสมทุกประเภท
- อัปเดตรหัสผ่านที่ถูกเจาะทันที: ใช้ "Have I Been Pwned" ตรวจสอบว่าอีเมลหรือรหัสผ่านปรากฏในข้อมูลที่รั่วไหลหรือไม่
- หลีกเลี่ยงข้อมูลส่วนตัว: อย่าใช้วันเกิด ชื่อ ชื่อสัตว์เลี้ยง ที่อยู่ หรือเบอร์โทรในรหัสผ่าน
สรุป
เครื่องสร้างรหัสผ่านนี้สร้างรหัสผ่านและ Passphrase แบบสุ่มอย่างแท้จริงด้วยตัวสร้างตัวเลขสุ่มเข้ารหัสของอุปกรณ์ ทุกรหัสผ่านสร้างในเบราว์เซอร์ ไม่มีข้อมูลถูกส่งไปเซิร์ฟเวอร์ ปรับแต่งความยาว ประเภทตัวอักษร และจำนวนได้ พร้อมวิเคราะห์ความแข็งแกร่ง เอนโทรปี และเวลาถอดรหัส
ไม่ว่าจะต้องการรหัสผ่านหลักที่แข็งแกร่ง ชุดรหัสผ่านสำหรับบัญชีใหม่ หรือ Passphrase ที่จำง่าย เครื่องมือนี้ครอบคลุมทุกอย่าง เมื่อรวมกับ password manager และ 2FA รหัสผ่านแบบสุ่มเป็นรากฐานของความปลอดภัยไซเบอร์ส่วนบุคคล
คำถามที่พบบ่อย
เครื่องสร้างรหัสผ่านนี้สร้างรหัสผ่านที่ปลอดภัยได้อย่างไร?
เครื่องสร้างรหัสผ่านใช้ Web Crypto API (crypto.getRandomValues) ซึ่งให้ตัวเลขสุ่มแบบเข้ารหัส (cryptographically secure) แหล่งสุ่มเดียวกับที่ระบบปฏิบัติการใช้สำหรับคีย์เข้ารหัส ต่างจาก Math.random() ที่คาดเดาได้ crypto.getRandomValues() ดึงจาก entropy pool ของระบบปฏิบัติการ ทำให้รหัสผ่านที่สร้างไม่สามารถคาดเดาได้อย่างแท้จริง
เอนโทรปีของรหัสผ่านคืออะไร ทำไมถึงสำคัญ?
เอนโทรปีวัดความไม่แน่นอนของรหัสผ่านในหน่วยบิต คำนวณจาก: เอนโทรปี = ความยาว × log2(ขนาดชุดตัวอักษร) รหัสผ่านที่มี 80 บิตเอนโทรปีมี 2^80 ความเป็นไปได้ ทำให้แทบเป็นไปไม่ได้ที่จะถอดรหัสด้วย brute force แม้ด้วยคอมพิวเตอร์ทรงพลัง แนะนำอย่างน้อย 60 บิตสำหรับบัญชีสำคัญ และ 80+ บิตสำหรับความปลอดภัยขั้นสูง เช่น ธนาคารหรือกระเป๋าคริปโต
รหัสผ่านกับ Passphrase ต่างกันอย่างไร?
รหัสผ่านเป็นชุดตัวอักษรสุ่ม (เช่น "kX9#mL2$vR") ส่วน Passphrase เป็นชุดคำสุ่มคั่นด้วยตัวแยก (เช่น "maple-storm-ivory-quest-noble") Passphrase จำง่ายกว่าแต่ยังคงปลอดภัยมาก Passphrase 5 คำจากรายการคำของเราให้เอนโทรปีประมาณ 36 บิตต่อคำ รวมเป็น 180 บิต มากกว่ารหัสผ่านตัวอักษรส่วนใหญ่มาก
รหัสผ่านควรยาวเท่าไร?
สำหรับบัญชีออนไลน์ทั่วไป ขั้นต่ำ 12 ตัวอักษรที่ผสมทุกประเภท (ตัวพิมพ์ใหญ่ พิมพ์เล็ก ตัวเลข สัญลักษณ์) ให้ความปลอดภัยดี (ประมาณ 72 บิตเอนโทรปี) สำหรับแอปพลิเคชันที่ต้องการความปลอดภัยสูง เช่น ธนาคาร อีเมล หรือรหัสผ่านหลักของ password manager ใช้อย่างน้อย 16 ตัวอักษร (ประมาณ 96 บิต)
ควรใส่สัญลักษณ์ในรหัสผ่านไหม?
การใส่สัญลักษณ์เพิ่มความแข็งแกร่งอย่างมากโดยขยายชุดตัวอักษรจาก 62 (ตัวอักษร + ตัวเลข) เป็นประมาณ 94 ตัว เพิ่มเอนโทรปีประมาณ 0.6 บิตต่อตัวอักษร อย่างไรก็ตาม บางระบบจำกัดสัญลักษณ์ที่อนุญาต หากเว็บไซต์ปฏิเสธรหัสผ่าน ลองสร้างใหม่โดยไม่ใส่สัญลักษณ์
รหัสผ่านที่สร้างถูกเก็บที่ไหนหรือไม่?
ไม่ รหัสผ่านสร้างในเบราว์เซอร์ของคุณทั้งหมดด้วย JavaScript ฝั่งไคลเอนต์ ไม่มีข้อมูลรหัสผ่านถูกส่งไปเซิร์ฟเวอร์ใดๆ การสร้างใช้ตัวสร้างตัวเลขสุ่มเข้ารหัสในตัวของอุปกรณ์ เมื่อคุณปิดหรือรีเฟรชหน้า รหัสผ่านจะหายไป เว้นแต่คุณคัดลอกไว้หรือบันทึกใน password manager
ถอดรหัสผ่านนี้ใช้เวลานานเท่าไร?
การประมาณเวลาถอดรหัสสมมติว่าผู้โจมตีใช้ GPU cluster ที่ทดลองได้ 10,000 ล้านครั้งต่อวินาที ที่ 40 บิตใช้เวลาประมาณ 55 วินาที ที่ 60 บิตประมาณ 18 ปี ที่ 80 บิตประมาณ 1.8 ล้านปี และที่ 100 บิตประมาณ 2 พันล้านปี ค่าเหล่านี้เป็นค่าเฉลี่ย เวลาจริงอาจแตกต่างได้
สร้างรหัสผ่านหลายตัวพร้อมกันได้ไหม?
ได้ ใช้ช่อง "จำนวนรหัสผ่าน" เพื่อสร้างสูงสุด 10 รหัสผ่านพร้อมกันด้วยการตั้งค่าเดียวกัน แต่ละรหัสสร้างแยกอิสระด้วยตัวเลขสุ่มเข้ารหัส เหมาะสำหรับสร้างรหัสผ่านหลายบัญชี สมาชิกทีม หรือตั้งค่าระบบใหม่ คัดลอกแต่ละรหัสผ่านได้ด้วยปุ่มคัดลอก