รหัสผ่านที่แข็งแรงคืออะไร? คู่มือ Password Security ฉบับครบถ้วน
รหัสผ่านมักเป็นด่านแรกระหว่างข้อมูลส่วนตัวของคุณกับผู้โจมตี การใช้รหัสผ่านที่แข็งแรง ไม่ซ้ำกัน password manager และ 2FA ช่วยลดความเสี่ยงการถูกยึดบัญชีได้มาก
สารบัญ
ทำไมรหัสผ่านจึงสำคัญ
รหัสผ่านยังเป็นวิธี authentication หลักของอีเมล ธนาคาร โซเชียลมีเดีย cloud storage เครื่องมือสำหรับนักพัฒนา และระบบธุรกิจจำนวนมาก
หากรหัสผ่านรั่ว ผู้โจมตีอาจขโมยตัวตน ขโมยเงิน ละเมิดความเป็นส่วนตัว ยึดบัญชี หรือเข้าถึงข้อมูลขององค์กรได้
ความเสี่ยงใหญ่ที่สุดคือการใช้รหัสผ่านซ้ำ หากเว็บหนึ่งรั่วและคุณใช้รหัสผ่านเดียวกันที่อื่น ผู้โจมตีจะลองนำ credential นั้นไปใช้กับบริการอื่นทันที
รหัสผ่านที่แข็งแรงต้องมีอะไรบ้าง?
รหัสผ่านที่แข็งแรงมีคุณสมบัติสำคัญ 4 ข้อ:
| คุณสมบัติ | สำคัญอย่างไร | ตัวอย่าง |
|---|---|---|
| ความยาว | ยิ่งมีตัวอักษรมาก จำนวนรูปแบบที่ต้องเดายิ่งเพิ่มขึ้นแบบทวีคูณ | ควรตั้งเป้า 16+ ตัวอักษร |
| ความหลากหลาย | ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์ช่วยเพิ่มพื้นที่ค้นหา | Kx9#mP2$vR7@nQ4 |
| ความสุ่ม | ไม่มี pattern คำในพจนานุกรม หรือข้อมูลส่วนตัวที่เดาได้ | สร้างแบบสุ่มดีกว่าคิดเอง |
| ไม่ซ้ำกัน | แต่ละบัญชีใช้รหัสผ่านคนละชุด ป้องกัน breach ลามหลายบัญชี | ห้ามใช้ซ้ำข้ามเว็บ |
กฎสำคัญที่สุด
ห้ามใช้รหัสผ่านซ้ำ Credential stuffing เกิดขึ้นเมื่อผู้โจมตีนำอีเมลและรหัสผ่านที่รั่วจากเว็บหนึ่งไปลองกับบริการอื่น
Password Entropy
Entropy คือการวัดความคาดเดายากของรหัสผ่านในหน่วยบิต ยิ่ง entropy สูง ผู้โจมตียิ่งต้องใช้แรงและเวลามากขึ้น
Entropy = L x log2(R)
Where:
L = password length
R = size of the character pool
Examples:
8 chars, lowercase only (26): 8 x log2(26) ~= 38 bits
8 chars, mixed + numbers (62): 8 x log2(62) ~= 48 bits
8 chars, all printable types (95): 8 x log2(95) ~= 53 bits
16 chars, all printable types: 16 x log2(95) ~= 105 bits
20 chars, all printable types: 20 x log2(95) ~= 131 bits| Entropy | ความแข็งแรง | ประเมินแบบใช้งานจริง |
|---|---|---|
| < 28 bits | อ่อนมาก | ถูก crack ได้เร็ว ไม่ควรใช้ |
| 28-35 bits | อ่อน | เสี่ยงต่อการโจมตีทั่วไป |
| 36-59 bits | พอใช้ | เหมาะกับบัญชีมูลค่าต่ำเท่านั้น |
| 60-127 bits | แข็งแรง | ดีสำหรับบัญชีส่วนใหญ่ |
| 128+ bits | แข็งแรงมาก | แทบเป็นไปไม่ได้ในการ brute-force ด้วยเทคโนโลยีที่รู้จัก |
ความยาวสำคัญกว่าที่หลายคนคิด การเพิ่มความยาวช่วยเพิ่มความแข็งแรงมากกว่าการเพิ่มชนิดอักขระเล็กน้อยในรหัสผ่านสั้น ๆ
รหัสผ่านถูก Crack ได้อย่างไร
ผู้โจมตีใช้หลายวิธีและมักผสมกัน:
Brute force
ลองทุกชุดที่เป็นไปได้ วิธีนี้ช้ากับรหัสผ่านยาวแบบสุ่ม แต่ได้ผลกับรหัสผ่านสั้น
Dictionary attacks
ลองรหัสผ่านยอดนิยม คำในพจนานุกรม ชื่อ และ pattern จากข้อมูล breach
Rule-based attacks
ปรับคำด้วยวิธีที่คนชอบใช้ เช่น ตัวพิมพ์ใหญ่ ตัวเลข ปี และการแทนตัวอักษรด้วยสัญลักษณ์
Credential stuffing
นำ credential ที่รั่วไปลองกับเว็บไซต์อื่น นี่คือเหตุผลที่ห้ามใช้รหัสผ่านซ้ำ
Phishing
หลอกให้ผู้ใช้กรอกรหัสผ่านในหน้า login ปลอม แม้รหัสผ่านแข็งแรงก็ถูกขโมยได้
Approximate brute-force time at 10 billion guesses/second:
6 chars, lowercase: seconds
8 chars, lowercase: minutes
8 chars, mixed case + digits: hours
8 chars, all types: days to weeks
12 chars, all types: thousands of years
16 chars, all types: far beyond practical reach
These estimates assume offline attacks against fast hashes.
Slow password hashing such as bcrypt or Argon2 changes the economics.Common passwords attackers try first:
123456 password qwerty
123456789 12345678 111111
iloveyou admin welcome
monkey dragon master
letmein abc123 footballBase word: "password"
Attackers automatically try variations:
Password
PASSWORD
password1
password123
p@ssword
p@ssw0rd
Password1!
password2026
drowssapความยาวเทียบกับความซับซ้อน
สำหรับรหัสผ่านที่มนุษย์คิดเอง ความยาวมักสำคัญกว่าความซับซ้อน
รหัสผ่านสั้นอย่าง P@ssw0rd! ดูซับซ้อน แต่มีฐานจากคำยอดนิยมและการแทนตัวอักษรที่คาดเดาได้
รหัสผ่านแบบสุ่มที่ยาว หรือ passphrase แบบสุ่ม มีจำนวนความเป็นไปได้สูงกว่าและเดายากกว่า
สำหรับบัญชีทั่วไปควรใช้รหัสผ่านที่ generator สร้างให้ ส่วนรหัสผ่านที่ต้องจำเอง เช่น master password ควรใช้ passphrase ยาว ๆ
ข้อผิดพลาดเกี่ยวกับรหัสผ่านที่พบบ่อย
ข้อผิดพลาดเหล่านี้ทำให้รหัสผ่านถูก crack ง่ายขึ้น:
| ข้อผิดพลาด | ตัวอย่าง | ทำไมจึงอ่อนแอ |
|---|---|---|
| การแทนตัวอักษรแบบเดาง่าย | p@$$w0rd | เครื่องมือ crack ลอง pattern เหล่านี้อัตโนมัติ |
| Keyboard patterns | qwerty, 1qaz2wsx | อยู่ใน attack dictionary แทบทุกชุด |
| ข้อมูลส่วนตัว | alice1990, ชื่อสัตว์เลี้ยง | มักเดาได้จากข้อมูลสาธารณะ |
| เติมตัวเลขท้ายคำ | password1, secure123 | เป็นรูปแบบแรก ๆ ที่ rule-based attack ลอง |
| เติมปีหรือฤดูกาล | Summer2026! | ฤดูกาล + ปี + สัญลักษณ์เป็น pattern ที่พบบ่อยมาก |
| ใช้รหัสผ่านซ้ำ | รหัสเดียวกันทุกเว็บ | เว็บเดียวรั่วอาจทำให้ทุกบัญชีเสียหาย |
แนวคิด Passphrase
Passphrase คือรหัสผ่านที่ประกอบจากคำหลายคำแบบสุ่ม ทำให้ยาว แข็งแรง และจำง่ายกว่าชุดสัญลักษณ์สุ่ม
คำต้องถูกสุ่มจริง ๆ ประโยคที่มีความหมาย เช่น คำคมหรือประโยคส่วนตัว เดาง่ายกว่าคำที่ไม่เกี่ยวข้องกัน
วิธีแบบ Diceware ที่ใช้ลูกเต๋าเลือกคำจาก word list ช่วยลดอคติของมนุษย์ในการเลือกคำ
Random password:
Kx9#mP2$vR7@
Passphrase:
mango-telescope-river-blanket
Both can be strong, but the passphrase is easier to remember.
The words must be chosen randomly, not as a meaningful sentence.Password Managers
คนทั่วไปมีบัญชีออนไลน์จำนวนมาก การจำรหัสผ่านสุ่มที่ไม่ซ้ำกันสำหรับทุกบัญชีแทบเป็นไปไม่ได้หากไม่มี password manager
Password manager ช่วยสร้างรหัสผ่านแบบสุ่ม เก็บไว้ใน vault ที่เข้ารหัส กรอก login form อัตโนมัติ sync ระหว่างอุปกรณ์ และเตือนเมื่อพบรหัสผ่านซ้ำหรือรั่ว
คุณจำเพียง master password หรือ passphrase ที่แข็งแรงหนึ่งชุด ส่วนที่เหลือให้เป็นรหัสผ่านสุ่มที่ไม่ซ้ำกัน
Password manager ปลอดภัยไหม?
Password manager ที่น่าเชื่อถือปลอดภัยกว่าการใช้รหัสผ่านซ้ำหรือเก็บไว้ในโน้ตมาก ใช้ master password ที่แข็งแรง เปิด 2FA และรักษาวิธีกู้คืนบัญชีให้ปลอดภัย
Two-Factor Authentication
Two-factor authentication เพิ่มหลักฐานชั้นที่สองนอกเหนือจากรหัสผ่าน หากผู้โจมตีขโมยรหัสผ่านได้ 2FA ยังช่วยบล็อกการเข้าสู่ระบบได้
| วิธี 2FA | ระดับความปลอดภัย | หมายเหตุ |
|---|---|---|
| Hardware security key (FIDO2/WebAuthn) | สูงสุด | อุปกรณ์จริงและทนต่อ phishing |
| Authenticator app (TOTP) | สูง | รหัสตามเวลาจากแอป |
| Push notification | สูง | สะดวก แต่ต้องระวังการกด approve แบบไม่ตั้งใจ |
| SMS codes | ปานกลาง | ดีกว่าไม่มี แต่เสี่ยง SIM swapping |
เปิด 2FA กับอีเมล ธนาคาร cloud storage โซเชียลมีเดีย และบัญชีใด ๆ ที่ใช้ reset บัญชีอื่นได้
เว็บไซต์เก็บรหัสผ่านอย่างไร
เว็บไซต์ที่รับผิดชอบจะไม่เก็บรหัสผ่านจริงของคุณ แต่เก็บ hash แบบทางเดียวแทน
Your password:
"MySecureP@ss123"
Responsible sites store a password hash, not the password:
bcrypt hash: $2b$12$LJ3m4ks9Hyl3pGSwKhMzpeOJvOS.gRqkL8IKHhC8mRxQfOz7v8MXi
Good password hashing is:
One-way: cannot reverse the hash back to the password
Salted: identical passwords produce different hashes
Slow: each guess costs time and compute
Tunable: work factor can increase as hardware improves| Algorithm | สถานะ | หมายเหตุ |
|---|---|---|
| Argon2 | แนะนำ | memory-hard และออกแบบมาสำหรับ password hashing |
| bcrypt | ดี | มาตรฐานในอุตสาหกรรมมานานและปรับ cost ได้ |
| scrypt | ดี | memory-hard และยังใช้ในบางระบบ |
| PBKDF2 | พอใช้ได้ | ปลอดภัยได้ถ้าตั้ง parameter แข็งแรง |
| MD5 / SHA-1 | เสียแล้ว | เร็วเกินไปและไม่เหมาะสำหรับเก็บรหัสผ่าน |
Checklist แนวทางปฏิบัติที่ดี
- ใช้ password manager เพื่อสร้างและเก็บรหัสผ่านที่ไม่ซ้ำกัน
- ใช้รหัสผ่านยาว โดยรหัสที่ generator สร้างควรตั้งเป้า 16+ ตัวอักษร
- ห้ามใช้รหัสผ่านซ้ำ ข้ามบัญชี
- เปิด 2FA โดยเฉพาะ authenticator app หรือ hardware key
- ปกป้องบัญชีอีเมล เพราะเป็นกุญแจสำหรับ reset รหัสผ่านของบัญชีอื่น
- หลีกเลี่ยงข้อมูลส่วนตัว เช่น ชื่อ วันเกิด ที่อยู่ และชื่อสัตว์เลี้ยง
- ระวัง phishing และตรวจ URL ก่อนกรอก credential
- เปลี่ยนรหัสผ่านเมื่อมีเหตุผล เช่น หลัง breach ไม่ใช่เปลี่ยนตามรอบเวลาโดยไม่มีเหตุ
- ใช้ breach alerts จาก password manager หรือบริการตรวจ breach ที่เชื่อถือได้
สร้างรหัสผ่านที่แข็งแรงได้ทันที
ใช้เครื่องมือ Password Generator ฟรีของเราเพื่อสร้างรหัสผ่านสุ่มที่แข็งแรง พร้อมตั้งค่าความยาว ชนิดอักขระ และตัวเลือกต่าง ๆ ได้ในเบราว์เซอร์
ลองใช้ Password Generatorแหล่งอ้างอิง
- Grassi, P.A., et al. (2017). NIST Special Publication 800-63B - Digital Identity Guidelines: Authentication and Lifecycle Management. https://pages.nist.gov/800-63-3/sp800-63b.html
- Verizon. Data Breach Investigations Report (DBIR). https://www.verizon.com/business/resources/reports/dbir/
- Bonneau, J., et al. (2012). The Quest to Replace Passwords. IEEE Symposium on Security and Privacy. https://www.cl.cam.ac.uk/~jcb82/doc/B12-IEEESP-quest_to_replace_passwords.pdf
- OWASP. Password Storage Cheat Sheet. https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html
- Biryukov, A., Dinu, D., & Khovratovich, D. (2016). Argon2: the memory-hard function for password hashing and other applications. https://www.password-hashing.net/argon2-specs.pdf