แคร็กสิ่งนี้: วิธีเลือกรหัสผ่านที่รัดกุมและเก็บไว้อย่างนั้น

หากมีสิ่งหนึ่งที่ผู้คนเชื่อมโยงกับเทคโนโลยีสมัยใหม่ นั่นก็คือรหัสผ่าน พวกเขาอยู่ทุกหนทุกแห่ง และพวกเราส่วนใหญ่ใช้มันเพื่อสิ่งต่างๆ มากมายทุกวัน แต่คนส่วนใหญ่กลับเพิกเฉยต่อความปลอดภัยของรหัสผ่านอย่างน่าตกใจ พวกเราส่วนใหญ่คงรู้จักคนที่ใช้รหัสผ่านเดียวกัน ทุกอย่างจากคอมพิวเตอร์และอีเมลไปยัง Facebook และบัญชีธนาคาร — และรหัสผ่านนั้นอาจเป็นสิ่งที่ชัดเจน เช่น วันเกิดหรือชื่อถนนที่พวกเขาเติบโตมา และเราอาจรู้จักใครบางคนที่มีโน้ตติดไว้ที่ด้านข้างของหน้าจอที่มีข้อความว่า "รหัสผ่าน" (ใน สีแดง ขีดเส้นใต้สองครั้ง) พร้อมรายการทุกอย่างตั้งแต่ Twitter ไปจนถึง Netflix ที่เปิดให้ทุกคนได้ดู อ่าน.

แนวทางปฏิบัติเหล่านี้อาจฟังดูเหมือนมาจากรุ่นปู่ย่าตายายของเรา แต่นั่นไม่เป็นความจริงเลย: สัปดาห์ที่แล้วฉันได้ดูรายการ a สมาชิก Generation D เต็มรูปแบบที่พยายามเปลี่ยนจาก Samsung Galaxy S (หรือ Fascinate) ไปเป็น HTC Rezound ผ่านสมุดบันทึกของเขา คอมพิวเตอร์. เขาย้ายรหัสผ่านทั้งหมดของเขาไปได้อย่างไร? เขามีกระดาษแผ่นหนึ่งอยู่ในกระเป๋าสตางค์พร้อม “รหัสผ่านทั้งหมด” — และหลังจากนั้น ทั้งหมด เขาหมายถึง สาม. อันหนึ่งสำหรับอีเมลและโซเชียลเน็ตเวิร์ก อันหนึ่งสำหรับอีเมลของป้าทวด (“ฉันตรวจสอบให้เธอ”) และอีกอันสำหรับอย่างอื่น เมื่อมองข้ามไหล่ของเขา ทั้งสามเป็นคำพูดในชีวิตประจำวัน:

มือถือ,คนพึมพำ, และ ลิเลียน เดาว่าป้าของเขาคนไหน?

โชคดีที่มีวิธีง่ายๆ ในการสร้างรหัสผ่านทั้งที่เดายากและจำง่าย น่าเสียดาย, อุตสาหกรรมเทคโนโลยีบางครั้งอาจขัดขวางการใช้งานเหล่านี้ ต่อไปนี้คือจุดอ่อนของรหัสผ่านที่พบบ่อยและบางวิธีที่คุณสามารถปรับปรุงรหัสผ่านและความปลอดภัยออนไลน์ของคุณได้

ความสับสนกับความซับซ้อน

ความจริงทั่วไปเกี่ยวกับรหัสผ่านก็คือว่าควรเป็นเช่นนั้น ไม่เคย เดาได้ง่าย ผู้ที่เชี่ยวชาญด้านเทคโนโลยีส่วนใหญ่เห็นพ้องกันว่าไม่ควรมีใครใช้รายละเอียดเกี่ยวกับตัวเองเป็นรหัสผ่าน: นั่นรวมถึงด้วย วันเกิด ที่อยู่ และชื่อของเพื่อนและครอบครัว (รวมถึงพ่อแม่ พี่น้อง คู่สมรส บุตร และ แม้แต่สัตว์เลี้ยง) ในทำนองเดียวกัน รหัสผ่าน สร้างรหัสผ่านที่ไม่ดีนัก — เช่นเดียวกับรหัสผ่านอื่นๆ ทั้งหมด รหัสผ่านที่ใช้แล้วทิ้งที่ใช้กันทั่วไป.

คำแนะนำที่ยั่งยืนนี้มักถูกตีความว่ารหัสผ่านควรเป็นเช่นนั้น ปิดบัง, หรือคำที่ไม่มีใครคิดว่าคุณจะเลือกหากพวกเขามีเวลาหนึ่งล้านปี ใช่ สิ่งที่คลุมเครือสามารถทำงานได้—และมันก็ดีกว่าการเลือกรหัสผ่านที่ชัดเจน อย่างไรก็ตาม รหัสผ่านที่ไม่ชัดเจนจะปกป้องคุณจากผู้ที่รู้บางอย่างเกี่ยวกับคุณเท่านั้น เป็นไปได้ว่าคนส่วนใหญ่พยายามถอดรหัสรหัสผ่านของคุณ อย่า รู้จักคุณ.

การถอดรหัสรหัสผ่านส่วนใหญ่ไม่ได้เกิดขึ้นอย่างที่แสดงให้เห็นในภาพยนตร์ โดยที่ Our Hero (หรือ The คนร้าย) นั่งที่คีย์บอร์ด ลองวลีหนึ่งหรือสองวลี ถูคาง แล้วสอดแนมรูปถ่ายสมัยเด็ก โต๊ะทำงาน อ๋อ! พิมพ์คำวิเศษและ เพรสโต, การรักษาความปลอดภัยถูกหลีกเลี่ยง ในโลกแห่งความเป็นจริง การถอดรหัสรหัสผ่านส่วนใหญ่นั้นเป็นไปโดยอัตโนมัติโดยใช้คอมพิวเตอร์อย่างแท้จริง โยนทุกคำในพจนานุกรม (และบางคำ) ไปที่ระบบด้วยความหวังว่าจะสะดุดล้ม คำศัพท์ที่ถูกต้อง วิธีการนี้ได้ผลเพราะคอมพิวเตอร์สามารถลองใช้รหัสผ่านได้เร็วกว่าที่มนุษย์พิมพ์ได้ และรหัสผ่านสามารถทำงานได้ตลอด 24 ชั่วโมง 7 วันต่อสัปดาห์โดยไม่ต้องเข้าห้องน้ำ โปรแกรมถอดรหัสรหัสผ่านอัตโนมัติไม่รู้อะไรเกี่ยวกับผู้ใช้ที่พวกเขาพยายามจะประนีประนอม: มันเป็นวิธีการแบบดุร้าย

ปรากฎว่ากุญแจสู่รหัสผ่านที่รัดกุมไม่ใช่กุญแจของมัน ความสับสน แต่มัน ความซับซ้อน — สิ่งที่ทำให้เครื่องถอดรหัสรหัสผ่านอัตโนมัติมีโอกาสเดาได้น้อยลง อย่างไรก็ตาม การสร้างรหัสผ่านที่ซับซ้อนที่ดีหมายถึงการรู้เพียงเล็กน้อยว่ารหัสผ่านถูกทำลายได้อย่างไร

ทำลายรหัสผ่าน

โดยทั่วไปแล้ว แครกเกอร์รหัสผ่านมักจะมีสองวิธี วิธีแรกคือลองใช้รายการรหัสผ่านที่เป็นไปได้ที่รวบรวมไว้ล่วงหน้า สิ่งเหล่านี้มักจะเริ่มต้นจากรหัสผ่านทั่วไป (เช่น รหัสผ่าน หรือ qwerty) และหาคำศัพท์ที่ใช้ไม่บ่อยนัก และสุดท้ายใช้รายการคำที่รวบรวมจากพจนานุกรมออนไลน์และแหล่งข้อมูลอื่นๆ วิธีการนี้มีแนวโน้มที่จะค้นหารหัสผ่านที่เป็นคำหรือรูปแบบที่ถูกต้อง แม้ว่าจะคลุมเครือก็ตาม

วิธีการถอดรหัสรหัสผ่านอีกวิธีหนึ่งคือการลองใช้ตัวอักษร ตัวเลข และสัญลักษณ์ตามลำดับที่ถูกต้อง โดยไม่คำนึงถึงความหมาย แคร็กเกอร์รหัสผ่านที่ใช้วิธีนี้อาจเริ่มต้นด้วย อ๊าาา สำหรับรหัสผ่านแปดตัวอักษร จากนั้นลอง อ่าาา แล้ว อ่าาา ไล่เรียงตัวอักษรทั้งตัวพิมพ์ใหญ่และตัวพิมพ์เล็กผสมกัน และการใส่ตัวเลขและสัญลักษณ์ แนวทางนี้มีแนวโน้มที่จะค้นหารหัสผ่านที่ “เป็นมิตรกับเครื่อง” หรือสร้างขึ้นแบบสุ่ม รหัสผ่านเช่น 4De78Hf1 การหาวิธีนี้ไม่ใช่เรื่องยากไปกว่า วัยรุ่น อยากจะเป็น.

ดังนั้นโอกาสที่รหัสผ่านจะถูกเดามีอะไรบ้าง? ระบบส่วนใหญ่ในปัจจุบันช่วยให้ผู้ใช้สามารถสร้างรหัสผ่านโดยใช้ตัวอักษร (ตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก) ตัวเลข และสัญลักษณ์ที่เลือกได้ สัญลักษณ์ที่อนุญาตมักจะแตกต่างกันไปในแต่ละระบบ (บางตัวอนุญาตเกือบทุกอย่าง บางตัวอนุญาตเพียงไม่กี่ตัว) แต่สำหรับจุดประสงค์ของเรา สมมติว่าหมายความว่าอักขระแต่ละตัวในรหัสผ่านสามารถมีได้ประมาณ 80 ค่า — ตัวอักษรสองตัว ตัวละ 26 ตัวอักษร ตัวเลขสิบตัว และ 18 สัญลักษณ์ (ตามทฤษฎีแล้วควรมีค่าอย่างน้อย 127 ค่าสำหรับอักขระทุกตัว แต่ในทางปฏิบัติจะมีค่าน้อยกว่า)

การใช้วิธีบังคับแบบเดรัจฉานล้วนๆ หมายความว่าต้องใช้การคาดเดาสูงสุด 80 ครั้งจึงจะสุ่มค้นหารหัสผ่านที่มีอักขระหนึ่งตัว รหัสผ่านสี่ตัวอักษรสามารถเดาได้มากกว่า 40 ล้านครั้ง (80 × 80 × 80 × 80 = 40,960,000) และรหัสผ่านแปดตัวอักษรสามารถเดาได้มากกว่า 1.6 พันล้านล้าน (1,677,721,600,000,000)

หากโปรแกรมถอดรหัสรหัสผ่านสามารถเดาได้ 1,000 ครั้งต่อวินาที จะใช้เวลาประมาณหนึ่งเดือนในการเรียกใช้รหัสผ่านสี่ตัวอักษรรวมกันทั้งหมด และมากกว่า 53,000 ครั้ง ปี เพื่อเรียกใช้การผสมรหัสผ่าน 8 ตัวอักษรทั้งหมด นั่นดูค่อนข้างปลอดภัยใช่ไหม?

ไม่จริงเลย หากพูดตามหลักสถิติแล้ว แครกเกอร์มีโอกาส 50/50 ในการค้นหารหัสผ่าน ครึ่ง เวลานั้น. สิ่งที่น่าหนักใจยิ่งกว่านั้นคือผู้ที่สร้างแครกเกอร์รหัสผ่านมีวิธีอื่นในการปรับปรุงอัตราต่อรองของตน จำวิธีการ รหัสผ่าน เป็นหนึ่งในรหัสผ่านที่แย่ที่สุดที่จะใช้หรือไม่? เดาว่ารหัสผ่านที่แย่มากคืออะไร? รหัสผ่าน0rd, การแทนที่เลขศูนย์ด้วยตัวอักษร O ในขณะที่แคร็กเกอร์รหัสผ่านกำลังเรียกใช้คำทั่วไปจากพจนานุกรม พวกเขากำลังลองใช้รูปแบบทั่วไปในคำเหล่านั้น คำต่างๆ แทนศูนย์สำหรับ O, เครื่องหมาย @ และ 4 สำหรับ A, 3 สำหรับ E, 1 และ! สำหรับ I, 7 สำหรับ T's 5's สำหรับ S และ เร็วๆ นี้. ในทำนองเดียวกัน 0qww294e เป็นรหัสผ่านที่แย่มาก — แค่นั้นแหละ รหัสผ่าน เลื่อนขึ้นหนึ่งแถวบนแป้นพิมพ์ภาษาอังกฤษมาตรฐาน เทคนิคเหล่านี้มุ่งเป้าไปที่ความต้องการของผู้ใช้ในการใช้รหัสผ่านที่จำง่าย น่าเสียดายที่การแทนที่ (หรือการใช้อักษรตัวพิมพ์ใหญ่) อักขระหนึ่งหรือสองตัวให้เป็นคำที่จำง่ายทำให้ผู้คนส่วนใหญ่ทำให้รหัสผ่านของตนคลุมเครือมากขึ้น แต่ก็ไม่ปลอดภัยมากนัก ในความเป็นจริง รหัสผ่านแปดตัวอักษรที่ผู้ใช้เลือกโดยทั่วไปซึ่งมีทั้งตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ ตัวเลข และสัญลักษณ์ผสมกัน มักจะมีเอนโทรปีเพียงประมาณ 30 บิต หรือชุดค่าผสมที่เป็นไปได้มากกว่าหนึ่งพันล้านชุดเล็กน้อย ทำไม เนื่องจากรายการคำศัพท์ที่ผู้คนใช้ตั้งรหัสผ่านนั้นมีขนาดเล็กกว่าการผสมตัวอักษร ตัวเลข และสัญลักษณ์รวมกันที่เป็นไปได้ทั้งหมด

รหัสผ่านสามารถถูกทำลายได้เร็วแค่ไหน? การลองใช้รหัสผ่าน 1,000 รหัสต่อวินาทีอาจดูเหมือนเป็นไปไม่ได้ เพราะท้ายที่สุดแล้ว บริการส่วนใหญ่มักจะล็อคเราออกจากบัญชีของเราเองหากเรา พิมพ์รหัสผ่านผิดสามหรือสี่ครั้ง ซึ่งมักจะรีเซ็ตรหัสผ่านและกำหนดให้เราต้องตอบคำถามเพื่อความปลอดภัยเพื่อสร้างรหัสผ่านใหม่ หนึ่ง. เทคนิค "เกตเวย์" เหล่านี้ ทำ ปรับปรุงความปลอดภัยของบัญชี และบังเอิญยังเป็นวิธีง่ายๆ ในการรบกวนผู้อื่นอีกด้วย (ฉันไม่สามารถบอกคุณได้กี่ครั้งว่าฉันถูกล็อคออกจากบัญชี iTunes ของฉันด้วยการโจมตีด้วยรหัสผ่าน แต่น่าจะมากกว่าร้อยครั้ง)

อย่างไรก็ตาม ผู้โจมตีที่มีเจตนาทำลายรหัสผ่านจะไม่เคาะประตูหน้าของบริการและพยายาม (ตามตัวอักษร) หลายล้านครั้งเพื่อลงชื่อเข้าใช้บัญชีเดียวกัน พวกเขากำลังใช้วิธีการตรวจสอบสิทธิ์แบบสาธารณะที่ไม่อยู่ภายใต้การล็อก (เช่น API ส่วนตัวสำหรับพันธมิตรหรือแอป) แพร่กระจาย การโจมตีในบัญชีที่หลากหลายเพื่อหลีกเลี่ยงระยะเวลาการล็อค หรือ (สถานการณ์กรณีที่ดีที่สุด) การใช้เทคนิคการถอดรหัสรหัสผ่านกับรหัสผ่านที่ถูกขโมย ข้อมูล. ระบบส่วนใหญ่เข้ารหัสข้อมูลรหัสผ่านที่เก็บไว้ แต่ไฟล์ที่เข้ารหัสเหล่านั้นจะมีความปลอดภัยเท่ากับตัวระบบเท่านั้น หากผู้โจมตีสามารถเข้าถึงไฟล์รหัสผ่านที่เข้ารหัสได้ (ถูกบุกรุกผ่านช่องโหว่ด้านความปลอดภัย หรือวิศวกรรมสังคมสำหรับผู้เริ่มต้น) พวกเขาสามารถโจมตีมันได้อย่างรวดเร็วมากเมื่อโจมตีด้วยตัวเอง ระบบ นั่นเป็นเหตุผลว่าทำไมเรื่องราวเกี่ยวกับผู้โจมตีที่ได้รับข้อมูลบัญชี (เช่น สแตรทฟอร์, เอปซิลอน, โซนี่, และ ซัปโปส) กำลังน่าหนักใจ เมื่อข้อมูลที่เข้ารหัสถูกเจาะข้อมูลอย่างหลวมๆ ผู้โจมตีสามารถใช้เครื่องมือที่มีประสิทธิภาพมากขึ้นในการถอดรหัสข้อมูลได้

ในโลกแห่งความเป็นจริง นั่นหมายถึงตัวเลขของรหัสผ่าน 1,000 รหัสต่อวินาทีถือเป็นตัวเลขที่อนุรักษ์นิยมอย่างยิ่ง ฮาร์ดแวร์คอมพิวเตอร์เดสก์ท็อปทั่วไปในปัจจุบันสามารถทดสอบได้ ล้าน ของรหัสผ่านหนึ่งวินาทีเทียบกับเทคโนโลยีการเข้ารหัสทั่วไป ในทำนองเดียวกัน ขณะนี้มีเครื่องมือถอดรหัสรหัสผ่านที่ใช้ประโยชน์จากโปรเซสเซอร์กราฟิก และผู้ให้บริการบอทเน็ตทางอาญาก็อยู่ในธุรกิจถอดรหัสรหัสผ่านเช่นกัน พวกเขาสามารถกระจายภาระงานไปยังคอมพิวเตอร์นับพันเครื่อง รวมพลังอันดิบนี้เข้ากับการวิเคราะห์พฤติกรรมที่ซับซ้อน (เช่น ลองใช้รูปแบบตัวเลขและตัวอักษร คำทั่วไป) และไม่ใช่เรื่องแปลกที่จะถอดรหัสรหัสผ่านผู้ใช้แปดตัวอักษรโดยทั่วไปภายในเวลาไม่ถึงครึ่ง ชั่วโมง.

ยิงตัวเราเองที่เท้า

เราได้ระบุไว้ข้างต้นว่ารหัสผ่านแปดตัวอักษรสามารถมีตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์ได้อย่างไร ชุดค่าผสมที่เป็นไปได้สี่ล้านล้านชุด แต่รหัสผ่านแปดตัวอักษรส่วนใหญ่ที่ใช้อยู่ในปัจจุบันนั้นอยู่ในกลุ่มเพียงประมาณพันล้านเท่านั้น การรวมกัน นั่นเป็นเพราะมนุษย์ไม่ใช่เครื่องจักร โดยที่คอมพิวเตอร์มีเนื้อหาที่จะใช้อย่างใดอย่างหนึ่ง เต้า หรือ ใช่&4nS0\2 เป็นรหัสผ่าน ลองเดาดูว่าอันไหนที่มนุษย์จำง่ายกว่า? ตอนนี้เดาว่าอันไหนปลอดภัยกว่ากัน

บางระบบใช้ข้อกำหนดรหัสผ่านเพื่อให้แน่ใจว่าผู้ใช้ไม่ได้ใช้รหัสผ่านที่ถอดรหัสได้ง่าย วิธีการทั่วไปคือการกำหนดให้รหัสผ่านผู้ใช้ต้องมีอักษรตัวพิมพ์ใหญ่อย่างน้อยหนึ่งตัว ตัวเลขหนึ่งตัว สัญลักษณ์หนึ่งตัว และมีความยาวอย่างน้อยแปดอักขระ (บางระบบไม่บังคับใช้ข้อกำหนด แต่มีมาตรวัด "ความรัดกุมของรหัสผ่าน" เพื่อเป็นการวัดประสิทธิภาพของรหัสผ่านที่คิดว่าอาจเป็นไปได้ เป็น) บางระบบกำหนดให้ผู้ใช้เปลี่ยนรหัสผ่านบ่อยๆ (เช่น ทุก 30 หรือ 45 วัน) และป้องกันไม่ให้นำกลับมาใช้ซ้ำ รหัสผ่าน

ข้อกำหนดประเภทนี้ ทำ เพิ่มความปลอดภัยของรหัสผ่าน แต่ยังทำให้ผู้คนจำรหัสผ่านได้ยากขึ้นอีกด้วย นั่นหมายความว่าผู้ใช้ส่วนสำคัญจะคิดหาวิธีทำลายความปลอดภัยของระบบได้ทันทีเพื่อความสะดวกของตนเอง แน่นอนว่าบางคนสามารถรับมือกับรหัสผ่านได้เช่น 9.3nDs(# แต่คนอื่นอีกจำนวนมากจะตอบกลับด้วยกระดาษโน้ตที่เต็มไปด้วยรหัสผ่านที่ด้านข้างของจอภาพ บันทึกใน กระเป๋าเงินหรือเอกสาร Microsoft Word บนเดสก์ท็อปที่มีป้ายกำกับว่า "รหัสผ่าน" เพื่อให้สามารถคัดลอกและวางได้เมื่อ จำเป็น. ข้อกำหนดการสร้างรหัสผ่านยังมีแนวโน้มที่จะส่งผลเสียต่อประสิทธิภาพการทำงานและเพิ่มต้นทุนการสนับสนุน (ทั้งสำหรับพนักงานและ ลูกค้า) เนื่องจากผู้คนจำนวนมากขึ้นจะลืมรหัสผ่านหรือถูกล็อคออกจากบัญชีของตน โดยต้องมีคู่มือ การแทรกแซง

การสร้างรหัสผ่านที่ซับซ้อน

จอกศักดิ์สิทธิ์แห่งรหัสผ่านก็ดูเหมือนจะเป็นรหัสผ่านนั่นเอง ซับซ้อน เพียงพอแล้วที่จะถอดรหัสโดยใช้เทคนิคอัตโนมัติ แต่ก็ง่ายพอที่จะจำไว้ว่าผู้ใช้ไม่ประนีประนอมกับการรักษาความปลอดภัยด้วยการจัดเก็บหรือจัดการพวกเขาอย่างไม่ปลอดภัย

เคล็ดลับบางประการในการสร้างรหัสผ่านที่ซับซ้อนและจดจำง่าย:

• ใช้รหัสผ่านที่ยาว หากรหัสผ่านแปดตัวอักษรสามารถมีชุดค่าผสมที่เป็นไปได้ถึง 1.6 ล้านล้านชุด ลองจินตนาการดูว่ารหัสผ่าน 16 ตัวอักษรสามารถมีได้กี่ตัว (ประมาณ 2.8 ล้านล้าน หรือ 2.8³⁰.) อย่างไรก็ตาม บางทีที่สำคัญกว่านั้นคือชุดของค่าสำหรับรหัสผ่าน 16 อักขระที่ใช้คำศัพท์ทั่วไป และ รูปแบบต่างๆ มีมูลค่าต่ำกว่า 1.2 quintillion โดยมีจำนวนอักขระแปดตัวมากกว่าหนึ่งพันล้านตัว รหัสผ่าน. การใช้รหัสผ่านที่ยาวขึ้นเป็นวิธีที่ง่ายที่สุดในการทำให้รหัสผ่านซับซ้อนและปลอดภัยยิ่งขึ้น
• ใช้คำรวมกัน. จะสร้างรหัสผ่านยาวๆ ยังไงให้จำง่าย? เทคนิคทั่วไปประการหนึ่งคือการใช้ชุดข้อมูลง่ายๆ สามถึงห้าชุด ไม่เกี่ยวข้องกัน เงื่อนไข โดยทั่วไปแล้วจะจดจำได้ง่ายพอๆ กับหมายเลข PIN; ในทางความรู้ความเข้าใจ ผู้คนมักจะจำทั้งคำเป็นหน่วยเดียว อย่างไรก็ตาม รหัสผ่านเหล่านี้อาจมีความซับซ้อนมาก อย่างน้อยก็ในแง่ของการถอดรหัสรหัสผ่าน และรหัสผ่านเหล่านี้ทำได้ง่าย ๆ เพียงแค่มองไปรอบ ๆ หรือพลิกหนังสือไปที่หน้าสุ่ม เมื่อมองออกไปนอกหน้าต่าง ฉันเห็นกบของเล่น รถยนต์ และหน้าต่างห้องครัวของใครบางคน รหัสผ่านใหม่: กบHubcapตู้ — มีอักขระ 18 ตัว แต่จำได้เพียงสามคำเท่านั้น มองขวา: RunnerCameraGlueString — สี่คำสั้น ๆ 22 ตัวอักษร ฉันใช้ตัวพิมพ์ใหญ่เพื่อช่วยแยกคำเท่านั้น การเพิ่มอักขระหรือการแทนที่สามารถเพิ่มความซับซ้อนได้ เพียงแค่อย่าซับซ้อนจนเกินไปจนคุณตกเป็นเหยื่อของจุดอ่อนของรหัสผ่านที่ยาก
• ใช้วลีหรือเนื้อเพลง อีกวิธีหนึ่งในการสร้างรหัสผ่านที่ยาวคือการใช้บางส่วนของวลีหรือเนื้อเพลง สำหรับเนื้อเพลง เพลงที่ใช้กันทั่วไปอาจจะดีกว่าเพลงที่สำคัญสำหรับคุณเป็นพิเศษ แต่คุณก็ไม่ต้องการเช่นกัน คนที่รู้จักคุณดีสามารถเดารหัสผ่านของคุณได้เพียงเพราะคุณเป็นแฟนตัวยงของ Michael Bolton (หรือไม่) ตัวอย่างรหัสผ่านที่สร้างจากเฟสหรือเนื้อเพลงอาจเป็น คุณไม่ใช่แจ็คเคนเนดี้ (19 ตัวอักษร) ไอโชตะมานินเรโน (15 ตัวอักษร) ขัดขวาง (20 ตัวอักษร)
• ใช้การช่วยจำ. ข้อเสียของรหัสผ่านที่ยาวคือพิมพ์ได้ยาก โดยเฉพาะบนอุปกรณ์เคลื่อนที่ เคล็ดลับอีกอย่างหนึ่งที่บางคนพบว่ามีประโยชน์ในการสร้างรหัสผ่านที่สั้นและซับซ้อนคือการใช้อักขระตัวแรกของทุกคำในวลีหรือเนื้อเพลง “คนเราต้องเดินไปตามถนนกี่สาย” ก็กลายเป็นได้ อืมมว—มีเพียงแปดตัวอักษร แต่ค่อนข้างซับซ้อนจากมุมมองของโปรแกรมถอดรหัสรหัสผ่าน ในทำนองเดียวกัน “เขย่า เขย่า เหมือนภาพโพลารอยด์” ก็อาจกลายเป็นได้เช่นกัน สิสิลัปป์ - อาจไม่มากแต่ก็ดีกว่า เต้า. เคล็ดลับนี้ยังช่วยสร้างรหัสผ่านที่ดีสำหรับระบบที่ยังมีข้อจำกัดว่ารหัสผ่านจะมีความยาวได้นานแค่ไหน

โดยทั่วไปหลักเกณฑ์เหล่านี้จะช่วยให้คุณมีรหัสผ่านที่จำง่ายและซับซ้อนได้ แน่นอน เมื่อต้องจัดการกับระบบรหัสผ่านที่มีข้อกำหนดด้านองค์ประกอบ (หมายความว่า พวกเขาคาดหวังให้มีทั้งตัวพิมพ์เล็กและใหญ่ ตัวเลขหรือสัญลักษณ์) คุณจะต้องคิดรหัสผ่านที่บิดเบี้ยวเพื่อเติมเต็มสิ่งเหล่านั้น ความต้องการ. เพียงจำไว้ว่าด้วยรหัสผ่านที่ยาวขึ้น คุณสามารถทำการทดแทนและเปลี่ยนแปลงในตำแหน่งที่ชัดเจน — โดยปกติแล้ว รหัสผ่านที่ยาวเหล่านี้จะจดจำได้ง่ายกว่าแม้จะมีข้อกำหนดมากกว่ารหัสผ่านที่สั้นและไร้สาระ รหัสผ่าน

คำแนะนำอื่น ๆ เล็กน้อย

สิ่งอื่นๆ ที่ควรคำนึงถึงเมื่อเลือกรหัสผ่านของคุณ:

• ใช้รหัสผ่านแยกต่างหากสำหรับบริการที่แยกจากกัน อย่าใช้รหัสผ่านโซเชียลเน็ตเวิร์กของคุณสำหรับการทำธุรกรรมออนไลน์ หากรหัสผ่านถูกละเมิดในบริการหนึ่ง บริการอื่นๆ ควรจะปลอดภัย
• เลือกรหัสผ่านที่สำคัญอย่างระมัดระวัง ระบบการลงชื่อเข้าใช้ครั้งเดียวอาจสะดวกอย่างมาก แต่ยังสร้างจุดล้มเหลวเพียงจุดเดียวสำหรับบริการต่างๆ อีกด้วย ตัวอย่างอาจเป็นรหัสผ่านสำหรับบัญชีที่บริการของ Google, Yahoo และ Microsoft ซึ่งสามารถให้รหัสผ่านที่ถอดรหัสได้เพียงรหัสเดียว บุคคลที่เข้าถึงอีเมล เอกสาร รูปภาพ เครือข่ายสังคมออนไลน์ บล็อก ไลบรารีรูปภาพ รายชื่อผู้ติดต่อ สมุดที่อยู่ และ มากกว่า. ในทำนองเดียวกัน มีเว็บไซต์มากมาย (แม้กระทั่ง เทรนด์ดิจิทัล) การยอมรับการเข้าสู่ระบบ Facebook และ Twitter รหัสผ่านเครือข่ายโซเชียลที่ถูกบุกรุกอาจส่งผลกระทบในวงกว้าง
• เปลี่ยนรหัสผ่านของคุณ เป็นการยากที่จะคิดว่าหากรหัสผ่านตัวใดตัวหนึ่งของคุณเสียหาย คุณจะรู้ได้ทันที: อีเมลของคุณจะหายไป บล็อกของคุณจะหายไป กลายเป็นชุดกราฟิก lulz รายการของขวัญ Amazon ของคุณอาจเต็มไปด้วยตัวเลือกที่น่าอาย บัญชี PayPal ของคุณอาจถูกล้าง ออก. อย่างไรก็ตาม นั่นไม่ได้เป็นเช่นนั้นเสมอไป หากมีใครถอดรหัสรหัสผ่านของคุณ อาจไม่มีสัญญาณที่ชัดเจนใดๆ อย่างน้อยก็ไม่ใช่ในทันที ด้วยการเปลี่ยนรหัสผ่านของคุณเป็นประจำ คุณมั่นใจได้ว่าถึงแม้จะมีคนบุกรุกเข้ามา โอกาสในการแสวงหาประโยชน์จากคุณจะถูกจำกัด ความถี่ที่คุณควรเปลี่ยนรหัสผ่านจะแตกต่างกันไปตามวิธีใช้บริการออนไลน์ของคุณ สำหรับสิ่งใดก็ตามที่เกี่ยวข้องกับเงินจริง ฉันแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านทุกๆ 30 ถึง 90 วัน ยิ่งมีเงินมากเท่าไรก็ยิ่งบ่อยเท่านั้น

ไม่มีรหัสผ่านที่ปลอดภัย

บางทีสิ่งที่สำคัญที่สุดที่ต้องจำเกี่ยวกับรหัสผ่านก็คือ ใดๆ รหัสผ่านสามารถถอดรหัสได้: มันเป็นเพียงคำถามที่ว่าคนๆ หนึ่งเต็มใจทุ่มเทเวลาและความพยายามมากเพียงใด เคล็ดลับที่นี่จะช่วยลดโอกาสที่รหัสผ่านของคุณจะถูกรูทโดยผู้โจมตีแบบสุ่ม แม้แต่เพื่อนและครอบครัว แต่ไม่มีรหัสผ่านใดที่ปลอดภัยอย่างสมบูรณ์ หากการเข้าถึงบริการอย่างปลอดภัยมีความสำคัญต่อคุณมาก ให้ลองพิจารณารูปแบบต่างๆ ของการรับรองความถูกต้องด้วยหลายปัจจัย เพื่อลดโอกาสของการเข้าถึงโดยไม่ได้รับอนุญาต

เครดิตภาพ: ชัตเตอร์ / การออกแบบแยม / ตาเตียนา โปโปวา / เปโดร มิเกล ซูซ่า

คำแนะนำของบรรณาธิการ

• รหัสผ่านที่น่าอับอายเหล่านี้ทำให้คนดังถูกแฮ็ก
• ไม่ 1Password ไม่ได้ถูกแฮ็ก – นี่คือสิ่งที่เกิดขึ้นจริง
• วิธีใช้รหัสผ่านป้องกันโฟลเดอร์ใน Windows และ macOS
• LastPass เผยวิธีที่มันถูกแฮ็ก — และมันยังไม่ใช่ข่าวดี
• Reddit ถูกแฮ็ก — นี่คือวิธีตั้งค่า 2FA เพื่อปกป้องบัญชีของคุณ