คู่มือ OTT เพื่อสร้างรหัสผ่านที่คาดเดายาก

เป็นเรื่องธรรมดามากในตอนนี้ ที่เราทุกคนทำโดยไม่ได้คิดถึงมัน: สร้างรหัสผ่านที่มีความยาวอย่างน้อย x อักขระ มีตัวเลขอย่างน้อยหนึ่งตัวและหนึ่งสัญลักษณ์ และไม่ใช่ชื่อหรือนามสกุลของคุณ ไม่ว่าคุณจะอยู่ที่ทำงานหรือกำลังสร้างApple IDข้อกำหนดรหัสผ่านเหล่านี้สำหรับรหัสผ่านที่ "คาดเดา ยาก "(” password)มีอยู่ทุกที่

หลังจากสร้างรหัสผ่านใหม่บนเว็บไซต์ใน(site one)วันหนึ่ง ฉันก็เริ่มคิดว่าข้อกำหนดทั้งหมดแตกต่างกันอย่างไร ไซต์บางแห่งต้องการรหัสผ่านที่มีความยาวไม่เกิน 3 อักขระ และบางไซต์บังคับใช้อย่างน้อย 8 ตัว บางไซต์ต้องการสัญลักษณ์ บางตัวไม่ต้องการ บางคนสนใจชื่อและรหัสผ่านเดิมของคุณ แต่บางคนก็ไม่สนใจ รหัสผ่านใดที่แข็งแกร่งจริงๆ?

ฉันได้ค้นคว้าและพบสองสิ่งเมื่อคุณพูดถึงใครบางคนที่ "(someone “)ถอดรหัส" รหัสผ่านของคุณ: ประการแรก มีความรัดกุมของรหัสผ่านของคุณ และประการที่สอง มีความแข็งแกร่งของการเข้ารหัสที่แฮชรหัสผ่านให้กลายเป็นคำพูดที่ไม่มีความหมายเมื่อจัดเก็บ

ฉันตระหนักได้อย่างรวดเร็วว่าแนวคิดทั้งหมดของรหัสผ่านที่คาดเดายากนั้นเป็นเรื่องทางคณิตศาสตร์และมีการศึกษาจำนวนมากในหัวข้อนี้ สิ่งที่ดึงดูดความสนใจของฉันและฉันจะพูดถึงในโพสต์นี้มาจากการ ศึกษา ของCarnegie-Mellon ในปี 2011(2011 Carnegie-Mellon study)

ทดสอบรหัสผ่านของคุณก่อน

ก่อนที่เราจะพูดถึงว่ารหัสผ่านที่คาดเดายากคืออะไร มาดูกันว่าจะใช้เวลานานแค่ไหนในการถอดรหัสรหัสผ่านที่คาดเดายากของคุณ เพื่อตรวจสอบว่า เราจะใช้เครื่องมือในไซต์ PassFault(PassFault site) :

https://passfault.appspot.com/password_strength.html

นี่คือวิธีการทำงาน คุณพิมพ์ รหัสผ่าน แล้วคลิก(password and click) วิเคราะห์ (Analyze)มีสองตัวเลือกที่ถูกซ่อนไว้โดยค่าเริ่มต้น แต่คุณสามารถคลิกที่Show Options (Show Options)มาอธิบายว่าพวกเขาหมายถึงอะไร

รหัสผ่าน

แคร็กฮาร์ดแวร์ มีค่าเริ่มต้นเป็น (Hardware)ผู้โจมตีรหัสผ่าน(password attacker) $900 ซึ่งเป็นไปได้สำหรับแฮ็กเกอร์ที่ถูกกฎหมาย พวกเขายังมีตัวเลือกในการเลือกผู้โจมตีรหัสผ่าน(password attacker) 180,000 ดอลลาร์ ซึ่งชาวจีน(Chinese)อาจใช้หากมีราคาแพงขนาดนั้น ดรอปดาวน์การป้องกันด้วยรหัสผ่านมีตัวเลือกสองสามอย่างสำหรับประเภทของการเข้ารหัสที่ใช้เก็บรหัสผ่าน (Password Protection)ระบบ Microsoft Windows(Microsoft Windows System)เป็นจุดอ่อนที่สุด ไม่แปลกใจเลย จากนั้น คุณมีWireless WPA Access Point , UNIX SHA1 , UNIX Blowfish และ (UNIX Blowfish)SHA1 100 รอบ

ฉันลองใช้รหัสผ่านที่รัดกุมซึ่งใช้ในเว็บไซต์สองแห่งแล้วตกใจที่เห็นว่าสามารถถอดรหัสได้ใน 1 วัน!

รหัสผ่านแตก

ว้าว(Wow)มันแย่มาก ดังนั้นฉันจึงเลือกตัวเลือกการเข้ารหัสที่แข็งแกร่งขึ้น ( Unix Blowfishและ 100 รอบของSHA1 ) และมีความสุขมากขึ้นที่ได้เห็นผลลัพธ์จะใช้เวลานานกว่าหนึ่งวัน: 1 ปี 7 เดือนสำหรับUnix Blowfishและ 2 เดือน 2 วันกับSHA1 100 รอบ . อย่างไรก็ตาม ด้วยผู้โจมตีรหัสผ่าน(password attacker) 180,000 ดอลลาร์ มันลดลงเหลือ 11 วันและ 3 วันตามลำดับ คิดไม่ออกแล้ว! ฉันต้องการให้รหัสผ่านของฉันใช้เวลาหลายปีในการถอดรหัส แม้ว่าจะมีตัวถอดรหัสรหัสผ่าน(password cracker) ที่มีราคาแพง มากก็ตาม แต่อะไรคือวิธีที่ดีที่สุดในเมื่อฉันใช้รหัสผ่าน 9 ตัว(character password)พร้อมตัวเลขและสัญลักษณ์

อะไรทำให้รหัสผ่านแข็งแกร่ง?

นี่คือจุดที่การศึกษาของ Carnegie-Mellon(Carnegie-Mellon study)ให้ความกระจ่างเกี่ยวกับเรื่องทั้งหมด โดยพื้นฐาน(Basically)แล้วสิ่งที่พวกเขาพบคือยิ่งคุณใช้รหัสผ่านนานเท่าไหร่ก็ยิ่งแข็งแกร่งเท่านั้น ไม่ได้หมายความว่ารหัสผ่านที่ยาวขึ้น(longer password)จะต้องมีสัญลักษณ์หรือตัวเลขจำนวนมากเสมอไป เพียงแต่ต้องมีความยาวเท่านั้น ด้วยอักขระ 16 ตัว สิ่งที่คุณต้องหลีกเลี่ยงคือการใช้คำในพจนานุกรมที่ง่ายมาก

ไม่มั่นใจว่าเป็นไปได้? ในไซต์ PassFault(PassFault site)ให้ใช้รหัสผ่านต่อไปนี้ ซึ่งมีอักขระเพียง 15 ตัวและจำง่ายมาก:

ilovemywifealot

จากนั้นสำหรับตัวเลือก ให้เลือกผู้โจมตีรหัสผ่าน(password attacker) $180,000 และเลือกการเข้ารหัสที่อ่อนแอที่สุด ( Microsoft Windows ) และนี่คือสิ่งที่คุณได้รับ:

รหัสผ่านที่รัดกุม

1 เดือน 7 วัน! นั่นเป็นวิธีที่ดีกว่ารหัสผ่านของฉันที่จะถูกถอดรหัสใน 1 วัน รหัสผ่านของฉันผิดอะไร เห็นได้ชัดว่าถ้ารหัสผ่านของคุณสั้นกว่านั้น คุณต้องใช้สัญลักษณ์ สุ่มตัวอักษรและตัวเลขมากขึ้นเพื่อเพิ่มความแข็งแกร่ง หากยาวกว่า เช่น มีอักขระมากกว่า 15 ถึง 16 ตัว คุณไม่ต้องกังวลกับการเพิ่มตัวเลขและสัญลักษณ์ทุกประเภท ด้วยรหัสผ่านที่ยาวขึ้น คุณยังสามารถใช้คำในพจนานุกรมได้มากขึ้นและจะยังปลอดภัยมาก เห็นได้ชัดว่ารหัสผ่านอย่างhellohellohelloยังคงห่วย แม้ว่าจะมี 15 ตัวอักษร:

รหัสผ่านที่อ่อนแอ

แย่จังเพราะมันจะอยู่ในพจนานุกรมและเป็นคำเดียวกันสาม(word three)ครั้ง ในรหัสผ่านแรกของฉันที่ฉันบอกรักกับภรรยา ประโยคนั้นเริ่มดูเหมือนพูดพล่อยๆ อย่างรวดเร็วในคอมพิวเตอร์ และไม่มีพจนานุกรมแตกร้าว ใดๆ ที่มี (cracking dictionary)วลีอักขระ(character phrase) 15 ตัว ต่อคำ พจนานุกรมมีคำในพจนานุกรม ตราบใดที่คุณหลีกเลี่ยงคำในพจนานุกรมแบบตรงๆ คุณก็พร้อมใช้ รหัสผ่านของฉัน(My password)อาจจะดีกว่านี้ถ้าฉันใช้ชื่อภรรยาหรือชื่อเล่นแทนคำว่า "ภรรยา" รับความคิด?

แน่นอน ถ้าคุณสามารถใส่สัญลักษณ์จำนวนหนึ่งลงในรหัสผ่านยาวๆ ได้เช่นกัน รหัสผ่านก็จะยิ่งแข็งแกร่งมากขึ้นไปอีก ตัวอย่างเช่น สมมติว่าฉันใส่เครื่องหมายอัศเจรีย์(exclamation point)หน้ารหัสผ่านของภรรยา(wife password)และเพิ่มตัวเลขหนึ่งตัวต่อท้าย จะใช้เวลานานแค่ไหนในการแคร็กด้วยตัวเลือกเดียวกัน:

ถอดรหัสลับ

วัวศักดิ์สิทธิ์(Holy cow) ! จาก 1 เดือน 7(month 7)วัน เป็น 4 ศตวรรษ 1 ทศวรรษ !!! ใช่ศตวรรษ!! ตอนนี้เป็นรหัสผ่านที่ปลอดภัย(secure password)และจำไม่ยาก ดังนั้น ให้ตรวจสอบรหัสผ่านของคุณโดยใช้เครื่องมือออนไลน์(online tool) ฟรีนี้ และหากรหัสผ่านของคุณถูกถอดรหัสภายในเวลาไม่กี่วัน อาจถึงเวลาที่ต้องคิดถึงสิ่งใหม่ๆ โดยเฉพาะอย่างยิ่งสำหรับข้อมูลที่ละเอียดอ่อนของคุณ เช่น รหัสผ่านธนาคาร เป็นต้น

โปรดจำไว้ว่า(Remember)เว็บไซต์ออนไลน์เหล่านี้จำนวนมากถูกแฮ็กตลอดเวลา ดังนั้นรหัสผ่านของคุณจะไม่ปลอดภัย อย่างไรก็ตาม หากคุณใช้รหัสผ่านที่รัดกุมจริงๆ แม้ว่าการเข้ารหัสจะอ่อนแอมาก ซูเปอร์คอมพิวเตอร์ก็อาจใช้เวลานานในการถอดรหัส! หากคุณลองใช้รหัสผ่านบนเว็บไซต์ขณะอ่านโพสต์นี้ โปรดแจ้งให้เราทราบในความคิดเห็นว่าจะใช้เวลานานแค่ไหนในการถอดรหัส สนุก!



About the author

ฉันเป็นผู้เชี่ยวชาญด้านคอมพิวเตอร์ที่มีประสบการณ์มากกว่า 10 ปี และฉันเชี่ยวชาญในการช่วยเหลือผู้คนในการจัดการคอมพิวเตอร์ในสำนักงาน ฉันได้เขียนบทความเกี่ยวกับหัวข้อต่างๆ เช่น วิธีเพิ่มประสิทธิภาพการเชื่อมต่ออินเทอร์เน็ต วิธีตั้งค่าคอมพิวเตอร์เพื่อประสบการณ์การเล่นเกมที่ดีที่สุด และอื่นๆ หากคุณกำลังมองหาความช่วยเหลือเกี่ยวกับงานหรือชีวิตส่วนตัวของคุณ เราคือคนสำหรับคุณ!



Related posts