/อ่าน 11 นาที

รหัสผ่านที่แข็งแรงคืออะไร? คู่มือ Password Security ฉบับครบถ้วน

รหัสผ่านมักเป็นด่านแรกระหว่างข้อมูลส่วนตัวของคุณกับผู้โจมตี การใช้รหัสผ่านที่แข็งแรง ไม่ซ้ำกัน password manager และ 2FA ช่วยลดความเสี่ยงการถูกยึดบัญชีได้มาก

ทำไมรหัสผ่านจึงสำคัญ

รหัสผ่านยังเป็นวิธี authentication หลักของอีเมล ธนาคาร โซเชียลมีเดีย cloud storage เครื่องมือสำหรับนักพัฒนา และระบบธุรกิจจำนวนมาก

หากรหัสผ่านรั่ว ผู้โจมตีอาจขโมยตัวตน ขโมยเงิน ละเมิดความเป็นส่วนตัว ยึดบัญชี หรือเข้าถึงข้อมูลขององค์กรได้

ความเสี่ยงใหญ่ที่สุดคือการใช้รหัสผ่านซ้ำ หากเว็บหนึ่งรั่วและคุณใช้รหัสผ่านเดียวกันที่อื่น ผู้โจมตีจะลองนำ credential นั้นไปใช้กับบริการอื่นทันที

รหัสผ่านที่แข็งแรงต้องมีอะไรบ้าง?

รหัสผ่านที่แข็งแรงมีคุณสมบัติสำคัญ 4 ข้อ:

คุณสมบัติสำคัญอย่างไรตัวอย่าง
ความยาวยิ่งมีตัวอักษรมาก จำนวนรูปแบบที่ต้องเดายิ่งเพิ่มขึ้นแบบทวีคูณควรตั้งเป้า 16+ ตัวอักษร
ความหลากหลายตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์ช่วยเพิ่มพื้นที่ค้นหาKx9#mP2$vR7@nQ4
ความสุ่มไม่มี pattern คำในพจนานุกรม หรือข้อมูลส่วนตัวที่เดาได้สร้างแบบสุ่มดีกว่าคิดเอง
ไม่ซ้ำกันแต่ละบัญชีใช้รหัสผ่านคนละชุด ป้องกัน breach ลามหลายบัญชีห้ามใช้ซ้ำข้ามเว็บ

กฎสำคัญที่สุด

ห้ามใช้รหัสผ่านซ้ำ Credential stuffing เกิดขึ้นเมื่อผู้โจมตีนำอีเมลและรหัสผ่านที่รั่วจากเว็บหนึ่งไปลองกับบริการอื่น

Password Entropy

Entropy คือการวัดความคาดเดายากของรหัสผ่านในหน่วยบิต ยิ่ง entropy สูง ผู้โจมตียิ่งต้องใช้แรงและเวลามากขึ้น

Entropy = L x log2(R)

Where:
  L = password length
  R = size of the character pool

Examples:
  8 chars, lowercase only (26):      8 x log2(26)  ~= 38 bits
  8 chars, mixed + numbers (62):     8 x log2(62)  ~= 48 bits
  8 chars, all printable types (95): 8 x log2(95)  ~= 53 bits
  16 chars, all printable types:    16 x log2(95)  ~= 105 bits
  20 chars, all printable types:    20 x log2(95)  ~= 131 bits
Entropyความแข็งแรงประเมินแบบใช้งานจริง
< 28 bitsอ่อนมากถูก crack ได้เร็ว ไม่ควรใช้
28-35 bitsอ่อนเสี่ยงต่อการโจมตีทั่วไป
36-59 bitsพอใช้เหมาะกับบัญชีมูลค่าต่ำเท่านั้น
60-127 bitsแข็งแรงดีสำหรับบัญชีส่วนใหญ่
128+ bitsแข็งแรงมากแทบเป็นไปไม่ได้ในการ brute-force ด้วยเทคโนโลยีที่รู้จัก

ความยาวสำคัญกว่าที่หลายคนคิด การเพิ่มความยาวช่วยเพิ่มความแข็งแรงมากกว่าการเพิ่มชนิดอักขระเล็กน้อยในรหัสผ่านสั้น ๆ

รหัสผ่านถูก Crack ได้อย่างไร

ผู้โจมตีใช้หลายวิธีและมักผสมกัน:

Brute force

ลองทุกชุดที่เป็นไปได้ วิธีนี้ช้ากับรหัสผ่านยาวแบบสุ่ม แต่ได้ผลกับรหัสผ่านสั้น

Dictionary attacks

ลองรหัสผ่านยอดนิยม คำในพจนานุกรม ชื่อ และ pattern จากข้อมูล breach

Rule-based attacks

ปรับคำด้วยวิธีที่คนชอบใช้ เช่น ตัวพิมพ์ใหญ่ ตัวเลข ปี และการแทนตัวอักษรด้วยสัญลักษณ์

Credential stuffing

นำ credential ที่รั่วไปลองกับเว็บไซต์อื่น นี่คือเหตุผลที่ห้ามใช้รหัสผ่านซ้ำ

Phishing

หลอกให้ผู้ใช้กรอกรหัสผ่านในหน้า login ปลอม แม้รหัสผ่านแข็งแรงก็ถูกขโมยได้

Approximate brute-force time at 10 billion guesses/second:

  6 chars, lowercase:           seconds
  8 chars, lowercase:           minutes
  8 chars, mixed case + digits: hours
  8 chars, all types:           days to weeks
  12 chars, all types:          thousands of years
  16 chars, all types:          far beyond practical reach

These estimates assume offline attacks against fast hashes.
Slow password hashing such as bcrypt or Argon2 changes the economics.
Common passwords attackers try first:

  123456        password       qwerty
  123456789     12345678       111111
  iloveyou      admin          welcome
  monkey        dragon         master
  letmein       abc123         football
Base word: "password"

Attackers automatically try variations:
  Password
  PASSWORD
  password1
  password123
  p@ssword
  p@ssw0rd
  Password1!
  password2026
  drowssap

ความยาวเทียบกับความซับซ้อน

สำหรับรหัสผ่านที่มนุษย์คิดเอง ความยาวมักสำคัญกว่าความซับซ้อน

รหัสผ่านสั้นอย่าง P@ssw0rd! ดูซับซ้อน แต่มีฐานจากคำยอดนิยมและการแทนตัวอักษรที่คาดเดาได้

รหัสผ่านแบบสุ่มที่ยาว หรือ passphrase แบบสุ่ม มีจำนวนความเป็นไปได้สูงกว่าและเดายากกว่า

สำหรับบัญชีทั่วไปควรใช้รหัสผ่านที่ generator สร้างให้ ส่วนรหัสผ่านที่ต้องจำเอง เช่น master password ควรใช้ passphrase ยาว ๆ

ข้อผิดพลาดเกี่ยวกับรหัสผ่านที่พบบ่อย

ข้อผิดพลาดเหล่านี้ทำให้รหัสผ่านถูก crack ง่ายขึ้น:

ข้อผิดพลาดตัวอย่างทำไมจึงอ่อนแอ
การแทนตัวอักษรแบบเดาง่ายp@$$w0rdเครื่องมือ crack ลอง pattern เหล่านี้อัตโนมัติ
Keyboard patternsqwerty, 1qaz2wsxอยู่ใน attack dictionary แทบทุกชุด
ข้อมูลส่วนตัวalice1990, ชื่อสัตว์เลี้ยงมักเดาได้จากข้อมูลสาธารณะ
เติมตัวเลขท้ายคำpassword1, secure123เป็นรูปแบบแรก ๆ ที่ rule-based attack ลอง
เติมปีหรือฤดูกาลSummer2026!ฤดูกาล + ปี + สัญลักษณ์เป็น pattern ที่พบบ่อยมาก
ใช้รหัสผ่านซ้ำรหัสเดียวกันทุกเว็บเว็บเดียวรั่วอาจทำให้ทุกบัญชีเสียหาย

แนวคิด Passphrase

Passphrase คือรหัสผ่านที่ประกอบจากคำหลายคำแบบสุ่ม ทำให้ยาว แข็งแรง และจำง่ายกว่าชุดสัญลักษณ์สุ่ม

คำต้องถูกสุ่มจริง ๆ ประโยคที่มีความหมาย เช่น คำคมหรือประโยคส่วนตัว เดาง่ายกว่าคำที่ไม่เกี่ยวข้องกัน

วิธีแบบ Diceware ที่ใช้ลูกเต๋าเลือกคำจาก word list ช่วยลดอคติของมนุษย์ในการเลือกคำ

Random password:
  Kx9#mP2$vR7@

Passphrase:
  mango-telescope-river-blanket

Both can be strong, but the passphrase is easier to remember.
The words must be chosen randomly, not as a meaningful sentence.

Password Managers

คนทั่วไปมีบัญชีออนไลน์จำนวนมาก การจำรหัสผ่านสุ่มที่ไม่ซ้ำกันสำหรับทุกบัญชีแทบเป็นไปไม่ได้หากไม่มี password manager

Password manager ช่วยสร้างรหัสผ่านแบบสุ่ม เก็บไว้ใน vault ที่เข้ารหัส กรอก login form อัตโนมัติ sync ระหว่างอุปกรณ์ และเตือนเมื่อพบรหัสผ่านซ้ำหรือรั่ว

คุณจำเพียง master password หรือ passphrase ที่แข็งแรงหนึ่งชุด ส่วนที่เหลือให้เป็นรหัสผ่านสุ่มที่ไม่ซ้ำกัน

Password manager ปลอดภัยไหม?

Password manager ที่น่าเชื่อถือปลอดภัยกว่าการใช้รหัสผ่านซ้ำหรือเก็บไว้ในโน้ตมาก ใช้ master password ที่แข็งแรง เปิด 2FA และรักษาวิธีกู้คืนบัญชีให้ปลอดภัย

Two-Factor Authentication

Two-factor authentication เพิ่มหลักฐานชั้นที่สองนอกเหนือจากรหัสผ่าน หากผู้โจมตีขโมยรหัสผ่านได้ 2FA ยังช่วยบล็อกการเข้าสู่ระบบได้

วิธี 2FAระดับความปลอดภัยหมายเหตุ
Hardware security key (FIDO2/WebAuthn)สูงสุดอุปกรณ์จริงและทนต่อ phishing
Authenticator app (TOTP)สูงรหัสตามเวลาจากแอป
Push notificationสูงสะดวก แต่ต้องระวังการกด approve แบบไม่ตั้งใจ
SMS codesปานกลางดีกว่าไม่มี แต่เสี่ยง SIM swapping

เปิด 2FA กับอีเมล ธนาคาร cloud storage โซเชียลมีเดีย และบัญชีใด ๆ ที่ใช้ reset บัญชีอื่นได้

เว็บไซต์เก็บรหัสผ่านอย่างไร

เว็บไซต์ที่รับผิดชอบจะไม่เก็บรหัสผ่านจริงของคุณ แต่เก็บ hash แบบทางเดียวแทน

Your password:
  "MySecureP@ss123"

Responsible sites store a password hash, not the password:
  bcrypt hash: $2b$12$LJ3m4ks9Hyl3pGSwKhMzpeOJvOS.gRqkL8IKHhC8mRxQfOz7v8MXi

Good password hashing is:
  One-way: cannot reverse the hash back to the password
  Salted: identical passwords produce different hashes
  Slow: each guess costs time and compute
  Tunable: work factor can increase as hardware improves
Algorithmสถานะหมายเหตุ
Argon2แนะนำmemory-hard และออกแบบมาสำหรับ password hashing
bcryptดีมาตรฐานในอุตสาหกรรมมานานและปรับ cost ได้
scryptดีmemory-hard และยังใช้ในบางระบบ
PBKDF2พอใช้ได้ปลอดภัยได้ถ้าตั้ง parameter แข็งแรง
MD5 / SHA-1เสียแล้วเร็วเกินไปและไม่เหมาะสำหรับเก็บรหัสผ่าน

Checklist แนวทางปฏิบัติที่ดี

  • ใช้ password manager เพื่อสร้างและเก็บรหัสผ่านที่ไม่ซ้ำกัน
  • ใช้รหัสผ่านยาว โดยรหัสที่ generator สร้างควรตั้งเป้า 16+ ตัวอักษร
  • ห้ามใช้รหัสผ่านซ้ำ ข้ามบัญชี
  • เปิด 2FA โดยเฉพาะ authenticator app หรือ hardware key
  • ปกป้องบัญชีอีเมล เพราะเป็นกุญแจสำหรับ reset รหัสผ่านของบัญชีอื่น
  • หลีกเลี่ยงข้อมูลส่วนตัว เช่น ชื่อ วันเกิด ที่อยู่ และชื่อสัตว์เลี้ยง
  • ระวัง phishing และตรวจ URL ก่อนกรอก credential
  • เปลี่ยนรหัสผ่านเมื่อมีเหตุผล เช่น หลัง breach ไม่ใช่เปลี่ยนตามรอบเวลาโดยไม่มีเหตุ
  • ใช้ breach alerts จาก password manager หรือบริการตรวจ breach ที่เชื่อถือได้

สร้างรหัสผ่านที่แข็งแรงได้ทันที

ใช้เครื่องมือ Password Generator ฟรีของเราเพื่อสร้างรหัสผ่านสุ่มที่แข็งแรง พร้อมตั้งค่าความยาว ชนิดอักขระ และตัวเลือกต่าง ๆ ได้ในเบราว์เซอร์

ลองใช้ Password Generator

แหล่งอ้างอิง

  1. Grassi, P.A., et al. (2017). NIST Special Publication 800-63B - Digital Identity Guidelines: Authentication and Lifecycle Management. https://pages.nist.gov/800-63-3/sp800-63b.html
  2. Verizon. Data Breach Investigations Report (DBIR). https://www.verizon.com/business/resources/reports/dbir/
  3. Bonneau, J., et al. (2012). The Quest to Replace Passwords. IEEE Symposium on Security and Privacy. https://www.cl.cam.ac.uk/~jcb82/doc/B12-IEEESP-quest_to_replace_passwords.pdf
  4. OWASP. Password Storage Cheat Sheet. https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html
  5. Biryukov, A., Dinu, D., & Khovratovich, D. (2016). Argon2: the memory-hard function for password hashing and other applications. https://www.password-hashing.net/argon2-specs.pdf
USTHJP