วิธีทดสอบความแรงของรหัสผ่าน

เบ็ดเตล็ดDec 19, 2021
click fraud protection

การเลือกรหัสผ่านที่คาดเดายากซึ่งคุณสามารถจดจำได้อย่างน่าเชื่อถืออาจเป็นเรื่องยุ่งยาก มีฟิลด์การสร้างรหัสผ่านมากมายที่มีข้อกำหนดของตนเอง – ต้องเป็นตัวอักษรเจ็ดตัว ต้องมีตัวเลข และอื่นๆ การปฏิบัติตามคำแนะนำเหล่านี้ไม่ได้รับประกันรหัสผ่านที่ปลอดภัย – ไม่เลย อย่างไรก็ตาม มีกฎเกณฑ์บางประการที่ต้องปฏิบัติตาม และเคล็ดลับเกี่ยวกับวิธีการทำให้แน่ใจว่าคุณมีรหัสผ่านที่ดีที่สุดเท่าที่จะเป็นไปได้… ในขณะที่ยังสามารถจำรหัสผ่านได้

กฎข้อแรกของการทดสอบความแข็งแกร่งของรหัสผ่านคือต้องระวังอย่างยิ่งเมื่อใช้เครื่องมือออนไลน์เพื่อทดสอบรหัสผ่านของคุณ เว็บไซต์หรือซอฟต์แวร์ที่ดาวน์โหลดได้อาจใช้รหัสผ่านที่คุณพยายามทดสอบและเพิ่มลงในรายการคำศัพท์ รายการคำศัพท์คือรายการรหัสผ่านที่รู้จักและโดยทั่วไป รายการคำศัพท์สามารถเรียกใช้รายการได้หลายล้านรายการ และถูกใช้โดยแฮกเกอร์เพื่อคาดเดารหัสผ่านอย่างมีการศึกษา แทนที่จะใช้วิธีที่ช้ากว่าในการลองใช้ชุดค่าผสมที่เป็นไปได้ทั้งหมดโดยเริ่มจาก “aaaaaa”

กล่าวอีกนัยหนึ่ง wordlist จะเก็บรหัสผ่านเช่น “Susie1202” และ “Password12” แฮกเกอร์จะเรียกใช้รายการรหัสผ่านบนไซต์ที่ต้องการจับคู่ การมีรหัสผ่านที่ไม่อยู่ในรายการดังกล่าวถือเป็นสิ่งสำคัญ รายการคำศัพท์เหล่านี้มีประสิทธิภาพอย่างน่าประหลาดใจ เนื่องจากผู้คนจำนวนมากใช้รหัสผ่านทั่วไปหรือรหัสผ่านทั่วไป โชคดีที่คุณไม่ได้อยู่คนเดียว – มีเครื่องมือบางอย่างที่จะช่วยคุณ: ตัวตรวจสอบความปลอดภัยของรหัสผ่าน

โดยทั่วไปแล้วตัวตรวจสอบเหล่านี้ดำเนินการโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ที่เชื่อถือได้ ระมัดระวังเสมอเมื่อใช้เครื่องมือประเภทนี้ – มีความเสี่ยงอยู่เสมอ คุณไม่ควรเชื่อถือเว็บไซต์หรือโปรแกรมใดๆ ที่เสนอให้วัดความแข็งแกร่งของรหัสผ่านของคุณโดยไม่ได้แน่ใจว่ารหัสผ่านนั้นปลอดภัยจริงๆ แม้แต่บางส่วน บริษัทรักษาความปลอดภัยทางไซเบอร์ที่เสนอเครื่องมือเหล่านี้เอง ขอแนะนำว่าอย่าใช้รหัสผ่านจริงของคุณ และทดสอบเฉพาะศักยภาพหรือรหัสผ่านที่คล้ายคลึงกันด้วยเครื่องมือของพวกเขา – ในกรณี

แล้วคุณจะรู้ได้อย่างไรว่ารหัสผ่านของคุณแข็งแกร่งแค่ไหนโดยไม่ต้องใช้เว็บไซต์หรือแอพเพื่อตรวจสอบ

คำตอบนั้นง่ายอย่างน่าประหลาดใจ โดยการเรียนรู้เพิ่มเติมเกี่ยวกับสิ่งที่ทำให้รหัสผ่านปลอดภัย และออกแบบรหัสผ่านให้เหมาะสม

ประเภทของการโจมตี

เมื่อพยายามออกแบบรหัสผ่านที่ปลอดภัย จะช่วยให้เข้าใจว่าแฮ็กเกอร์พยายามโจมตีอย่างไร การโจมตีมีสองประเภทหลัก กำลังดุร้ายและพจนานุกรม

การโจมตีด้วยกำลังเดรัจฉานพยายามผสมผสานอักขระที่เป็นไปได้ทั้งหมด ให้เวลาเพียงพอในที่สุดวิธีนี้จะถอดรหัสทุกรหัสผ่านที่เป็นไปได้ในที่สุด ข้อเสียหลักๆ ของการโจมตีประเภทนี้คือต้องใช้เวลา และยิ่งพยายามผสมหลายๆ แบบมากเท่าไหร่ ก็ยิ่งต้องใช้เวลามากขึ้นเท่านั้น เวลาที่จำเป็นอาจเป็นเรื่องทางดาราศาสตร์ แม้ว่าโปรแกรมจะเรียกใช้ความเป็นไปได้หลายหมื่นครั้งต่อนาที แต่ก็มีชุดค่าผสมนับล้านที่เป็นไปได้ ทำให้การโจมตีเหล่านี้ไม่ได้ผล รหัสผ่านที่ยาวไม่น่าจะถูกถอดรหัสโดยใช้วิธีนี้ เนื่องจากการรันความเป็นไปได้ทั้งหมด และอาจใช้เวลาหลายทศวรรษในการค้นหา

การโจมตีด้วยพจนานุกรมใช้รายการคำศัพท์ดังกล่าวเพื่อคาดเดาอย่างมีการศึกษาว่ารหัสผ่านใดอาจเป็นรหัสผ่าน เทคนิคนี้ช่วยลดจำนวนการเดาที่ทำได้อย่างมากเมื่อเทียบกับการโจมตีแบบเดรัจฉาน ซึ่งทำให้กระบวนการเร็วขึ้นอย่างมาก รายการคำศัพท์โดยทั่วไปจะอิงจากรหัสผ่านที่รั่วไหลซึ่งเป็นที่รู้จัก ซอฟต์แวร์ที่ออกแบบมาเพื่อทำการโจมตีประเภทนี้อาจรวมถึงกฎ "การจัดการคำ" ที่สามารถเปลี่ยนแปลงคำเพื่อลองใช้รูปแบบทั่วไปได้เช่นกัน ตัวอย่างเช่น กฎการบิดเบือนคำอาจลองแทนที่ “o” ด้วย “0” หรือเพิ่ม “!” ต่อท้ายคำ กฎเหล่านี้มักใช้การแทนที่หรือการเพิ่มเติมทั่วไปที่ผู้คนทำขึ้น ซึ่งไม่มีความจำเป็นที่จะบอกว่าไม่มีความปลอดภัยมากนัก ข้อเสียเปรียบหลักของการโจมตีประเภทนี้คือผู้โจมตีต้องมีรหัสผ่านอยู่แล้วในรายการคำศัพท์ และการโจมตีก็ดีพอๆ กับรายการคำเท่านั้น

วิธีทำรหัสผ่านที่รัดกุม

ความแข็งแกร่งของรหัสผ่านมีปัจจัยสำคัญสามประการ ได้แก่ ความยาว ความเป็นเอกลักษณ์ และความซับซ้อน

เคล็ดลับ: โปรดอย่าใช้รหัสผ่านหรือชิ้นส่วนของรหัสผ่านที่กล่าวถึงในบทความนี้เนื่องจากไม่ปลอดภัย

ความยาวมีผลต่อความแข็งแกร่งของรหัสผ่านอย่างไรจึงจะเข้าใจได้ง่าย ยิ่งรหัสผ่านมีอักขระมากเท่าใด ก็ยิ่งต้องพยายามใช้ตัวอักษรผสมกันมากขึ้นเท่านั้น ก่อนที่แฮ็กเกอร์จะคาดเดาได้อย่างถูกต้องตามสถิติ ตัวอย่างเช่น มีคำที่มีตัวอักษรหกตัวมากกว่าคำที่มีตัวอักษรสี่ตัว อันที่จริง สำหรับทุกตัวอักษรที่เพิ่ม จำนวนชุดค่าผสมที่เป็นไปได้ทั้งหมดจะเพิ่มขึ้นแบบทวีคูณ

ความยาวคือการป้องกันที่ดีที่สุดจากการโจมตีแบบ Brute Force แต่การจำรหัสผ่าน 64 อักขระนั้นไม่ใช่เรื่องง่ายเลย ก็ไม่จำเป็นเช่นกัน สถานการณ์ในอุดมคติคือการสร้างรหัสผ่านให้นานจนเป็นไปไม่ได้ที่จะใช้เวลาและพลังงานในการถอดรหัส อุดมคติคือ 10 ตัวอักษรขึ้นไป - ในเกือบทุกกรณีก็เพียงพอแล้ว

บางคนอาจคิดแผนจะใช้รหัสผ่านที่ยาวมากจนแทบจะเป็นไปไม่ได้เลยที่จะบังคับมันอย่างดุเดือด ตัวอย่างเช่น บทกวี เนื้อเพลง หรือผลงานทั้งหมดของเช็คสเปียร์ สมมติว่าเว็บไซต์อนุญาต วิธีนี้น่าจะได้ผล แต่ในบางจุด แฮ็กเกอร์อาจเพิ่มตัวอย่างที่ทราบเหล่านี้ลงในรายการคำศัพท์ "เผื่อไว้" แล้วความคิดก็พังทลาย นี่คือที่มาของเอกลักษณ์ในการเล่น

ความเป็นเอกลักษณ์เป็นเรื่องยากที่จะตัดสิน จากจำนวนผู้คนมากกว่า 7 พันล้านคนบนโลก การค้นหาสิ่งที่ไม่เหมือนใครอาจเป็นเรื่องยาก แต่ก็ยังคุ้มค่าที่จะลอง รหัสผ่านทั่วไปบางส่วนที่ยังคงใช้อยู่ตอนนี้คือ: "admin", "password", "123qwe" และ "qwerty" รหัสผ่านเหล่านี้เป็นรหัสผ่านที่แย่มาก ไม่ใช่แค่เพราะว่าสั้น แต่เพราะเป็นที่รู้จักกันดี ดังนั้นพวกเขาจะอยู่ในรายการคำศัพท์ทั้งหมด อาจเป็นหนึ่งในการเดาครั้งแรก บางคนพยายามทำให้รหัสผ่านเหล่านี้ซับซ้อนขึ้นเล็กน้อยโดยใช้ “Password1!” แต่นี่คาดเดาเกินไปและอยู่ในรายการคำศัพท์ส่วนใหญ่ด้วย

ในการเอาชนะการโจมตีโดยใช้ wordlist คุณต้องออกแบบรหัสผ่านที่ไม่มีใครรู้จักหรือนึกถึง กรณีที่ดีที่สุดคือการใช้การเลือกอักขระแบบสุ่มทั้งหมด แต่มีแนวโน้มว่าจะยากเกินไปที่จะจำ

“UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO” จะเป็นรหัสผ่านที่ปลอดภัย แต่ใช้งานไม่ได้จริง

วิธีแก้ปัญหาที่เหมาะสมคือการใช้คำบางคำซึ่งไม่ได้มีความหมายอะไรร่วมกัน ตัวอย่างหนึ่งที่ได้รับความนิยมจากคอมมิค XKCD, คือ “CorrectHorseBatteryBatteryStaple” แนวความคิดนี้ค่อนข้างแข็งแกร่ง ส่งเสริมทั้งความยาวและการสุ่ม และผลลัพธ์ควรจดจำได้ง่ายกว่าการสุ่มสตริงของอักขระและสัญลักษณ์ คุณสามารถเลือกคำใดก็ได้ที่คุณชอบ ไม่ว่าจะเป็นสัตว์ที่คุณชอบ ดอกไม้ ชื่อนักแสดงคนโปรด ตราบใดที่คุณสามารถจำสิ่งต่างๆ ได้หลายอย่าง แม้แต่ห้าสิ่งที่คุณนั่งอยู่บนโต๊ะทำงานตอนนี้ก็ยังใช้ได้!

สำหรับความซับซ้อน: เป็นสิ่งที่จำเป็น – เป็นสิ่งสำคัญที่สุดอย่างหนึ่งในการสร้างรหัสผ่าน การเปลี่ยนตัวอักษรเป็นตัวเลขและการเพิ่มสัญลักษณ์สามารถเพิ่มความซับซ้อนของรหัสผ่านของคุณได้ สตริงตัวอักษร ตัวเลข และสัญลักษณ์สุ่มสิบตัวเป็นรหัสผ่านที่ดีกว่า และมีโอกาสน้อยกว่าที่จะเป็น เดามากกว่าตัวอักษร "a" ร้อยครั้งติดต่อกันซึ่งในทางกลับกันก็ยังเป็นรหัสผ่านที่ดีกว่า “รหัสผ่าน 12!”.

ความซับซ้อนเป็นวิธีที่ดีในการทำให้รหัสผ่านคาดเดาได้ยากขึ้น แต่ก็ทำให้จำรหัสผ่านได้ยากขึ้นด้วย มันคือทั้งหมดที่เกี่ยวกับการหาสมดุลที่ดีต่อสุขภาพ โดยทั่วไป การเพิ่มความซับซ้อนเพียงเล็กน้อยโดยการใส่ตัวเลขและสัญลักษณ์ไว้ที่ใดที่หนึ่ง ก็เพียงพอแล้วสำหรับการปรับปรุงที่จะสร้างความแตกต่างให้กับความแข็งแกร่งของรหัสผ่านของคุณ ไม่จำเป็นจริงๆ ที่จะเปลี่ยนอักขระเป็นตัวเลขหรือสัญลักษณ์ให้ได้มากที่สุด ซึ่งจะทำให้จำยากขึ้น

บทสรุป

เพื่อสรุปข้อกำหนดสามข้อ กฎเกณฑ์ที่ดีบางประการที่ควรจำสำหรับรหัสผ่านคือ:

  • รหัสผ่านควรมี 10 อักขระตามความยาวขั้นต่ำที่สมเหตุสมผล แต่ยิ่งดีกว่า
  • รหัสผ่านไม่ควรเป็นชุดคำธรรมดาหรือคำทั่วไป พวกเขาควรจะไม่ซ้ำกัน
  • รหัสผ่านควรประกอบด้วยอักขระประเภทต่างๆ รวมทั้งตัวเลขและสัญลักษณ์

เคล็ดลับ: หากคุณสงสัยและต้องการแสดงภาพสดว่าความยาวและความซับซ้อนส่งผลต่อความแข็งแกร่งของรหัสผ่านโดยรวมอย่างไร การใช้เครื่องมือทดสอบความเข้มงวดของรหัสผ่านออนไลน์ไม่ใช่ความคิดที่เลวร้าย ตัวอย่างต่อไปนี้เป็นเว็บไซต์ที่น่าเชื่อถือ โปรดใช้ความระมัดระวังเกี่ยวกับตำแหน่งที่คุณป้อนรหัสผ่านและข้อมูลของคุณ – บางเว็บไซต์อาจพยายามขโมยรหัสผ่านของคุณ เป็นที่ทราบกันดีว่าไซต์ด้านล่างนี้เชื่อถือได้:

  • https://www.uic.edu/apps/strong-password/
  • https://password.kaspersky.com/
  • https://lastpass.com/howsecure.php