คนส่วนใหญ่เข้าใจ “ความแรง” ของรหัสผ่าน โดยพิจารณาจากประเภทอักขระที่หลากหลายในรหัสผ่าน แต่ในขณะที่แบบฟอร์มลงทะเบียนอาจคิดว่าความซับซ้อนคือความปลอดภัย ผู้โจมตีไม่เห็นด้วย ความซับซ้อนไม่สามารถป้องกันรูปแบบภัยคุกคามสมัยใหม่ได้อีกต่อไป อะไรทำให้รหัสผ่านที่รัดกุม? ก่อนอื่นเราต้องตรวจสอบรูปแบบภัยคุกคามที่คนส่วนใหญ่เผชิญอยู่
ความซับซ้อนของรหัสผ่านทำให้พลาดประเด็นสำคัญ
"ความแรง" ของรหัสผ่านมักเป็นเพียงฟังก์ชันของความซับซ้อน หรือจำนวนความสุ่มในรหัสผ่าน ซึ่งวัดจากการใช้สัญลักษณ์ ตัวเลข และตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก แต่การเพิ่มอักขระที่แตกต่างกันสองสามตัวลงในรหัสผ่านของคุณไม่ได้เพิ่ม "ความแข็งแกร่ง" อย่างมีความหมาย แม้ว่าแถบ "ความแรง" สีเขียวที่หลอกลวงซึ่งอยู่ถัดจากรหัสผ่านของคุณจะแนะนำก็ตาม ความซับซ้อนเพิ่มความยากในการโจมตีด้วยกำลังเดรัจฉาน แต่การโจมตีนั้นไม่ธรรมดา
ในทางกลับกัน การขโมยข้อมูลรับรองจะเกิดขึ้นในการขโมยข้อมูลจำนวนมหาศาลหรือการรั่วไหลจากองค์กรขนาดใหญ่ ความปลอดภัยของรหัสผ่านจะไม่ช่วยคุณหากผู้โจมตีมีรหัสผ่านของคุณเป็นข้อความธรรมดา
ใช้รหัสผ่านที่ไม่ซ้ำ
คนส่วนใหญ่มีความเสี่ยงอย่างมหาศาลต่อสิ่งที่เรียกว่า "การบรรจุข้อมูลรับรอง":ข้อมูลประจำตัวที่ถูกบุกรุกจะถูกทดลองบนแพลตฟอร์มยอดนิยมเพื่อใช้ประโยชน์จากแนวโน้มของมนุษย์ในการใช้รหัสผ่านซ้ำ นั่นเป็นอันตรายมากกว่ารหัสผ่านที่ "อ่อนแอ" ท้ายที่สุดแล้ว รหัสผ่านสุ่ม "แข็งแกร่งมาก" หนึ่งรหัสผ่านที่ใช้ซ้ำในทุกแพลตฟอร์มจะกลายเป็นหายนะหลังจากการรั่วไหลครั้งเดียว
แทนที่จะคิดถึงความแข็งแกร่งของรหัสผ่านเป็นคุณสมบัติเอกพจน์ เราต้องคิดถึงความแข็งแกร่งของระบบการรับรองความถูกต้องของคุณ รหัสผ่านสมัยใหม่สร้างระบบนั้นและต้องได้รับการพิจารณาว่าเป็นเช่นนี้ การใช้รหัสผ่านที่ไม่ซ้ำนั้นง่ายกว่ามากด้วยตัวจัดการรหัสผ่าน ดังนั้นให้เริ่มต้นวันนี้หากคุณยังไม่ได้ทำ
ความยาวสำคัญกว่าความซับซ้อน
เป็นเวลาหลายปีที่เราได้รับการฝึกฝนให้คิดว่าความซับซ้อนเป็นปัจจัยที่สำคัญที่สุดของรหัสผ่าน และในขณะที่เราทราบดีว่าการโจมตีด้วยกำลังเดรัจฉานนั้นหาได้ยาก แต่ความซับซ้อนก็ยังไม่ใช่การป้องกันที่ดีที่สุดสำหรับการแตกของเดรัจฉาน:ความยาวจริงๆ แล้วสำคัญกว่ามาก .
ความยาวของรหัสผ่านมีความสัมพันธ์แบบทวีคูณกับเวลาแคร็ก ดังนั้นความยาวที่เพิ่มขึ้นในระดับปานกลางอาจทำให้เวลาในการแคร็กเพิ่มขึ้นอย่างมาก ในทางกลับกัน ความซับซ้อนมีความสัมพันธ์เชิงเส้นตรงมากกว่ากับเวลาที่แตกร้าว
ยกตัวอย่าง:เครื่องแคร็กประสิทธิภาพสูงสามารถทำลายรหัสผ่านที่ดูซับซ้อน เช่น *nRyU86)
ในเวลาเพียงแปดสิบนาที การเพิ่มความยาวด้วยอักษรตัวพิมพ์ใหญ่เพียงตัวเดียวทำให้เวลานั้นขยายไปเกือบสามถึงหกชั่วโมง ขณะที่การเปลี่ยนตัวอักษรเป็นสัญลักษณ์จะไม่ทำให้เกิดการเปลี่ยนแปลงที่มีความหมายในเวลาแคร็ก
มาใช้ประโยชน์จากพลังเลขชี้กำลังของความยาวอย่างเต็มที่ แล้วข้อความรหัสผ่านสี่คำที่ใช้คำในพจนานุกรมที่รู้จักและมีความยาวรวมอักขระทั้งหมดสิบหกตัวล่ะ แม้แต่เมื่อมีการพิจารณาการโจมตีจากพจนานุกรม (การโจมตีที่ใช้ฐานข้อมูลของคำที่รู้จักในการเดารหัสผ่านแทนที่จะสร้างการเดาแบบสุ่ม) ก็ยังคงต้องใช้เวลาเก้าสิบ พันล้าน ปีที่จะถอดรหัสรหัสผ่าน
ลืมความซับซ้อน รหัสผ่านที่ดีที่สุดคือ pass-phrases . คุณไม่สามารถจำรหัสผ่านที่ซับซ้อนที่คาดเดายากเหมือนกันได้ แต่สมองชอบเรื่องตลกและภาพที่น่าประหลาดใจ หากคุณสร้างเรื่องราวที่น่าจดจำอย่างไร้เหตุผลสำหรับวลีที่สร้างขึ้นแบบสุ่ม คุณจะลืมยาก
การสร้างวลีรหัสผ่านแบบสุ่มอย่างแท้จริงเป็นสิ่งสำคัญ การเลือกคำที่เกี่ยวข้องกับตัวคุณเอง เช่น เดือนเกิด จะทำให้เดาข้อความรหัสผ่านได้ง่ายขึ้น ใช้ Password Dice ของ EFF เพื่อสร้างวลีรหัสผ่านแบบสุ่มอย่างปลอดภัย
เปิดระบบการตรวจสอบสิทธิ์แบบสองปัจจัยทั้งหมด
รั่วทุกระบบ ความปลอดภัยของรหัสผ่านจะไม่ช่วยคุณ แล้วจะป้องกันตัวเองได้อย่างไร? ระบบการรับรองความถูกต้องด้วยสองปัจจัย (2FA) ให้การรักษาความปลอดภัยอีกชั้นหนึ่ง 2FA ขอข้อมูลประจำตัวสองประเภท:สิ่งที่คุณ รู้ (เช่น รหัสผ่านของคุณ) และสิ่งที่คุณ มี (เช่นโทรศัพท์ของคุณ) ในระบบ 2FA ส่วนใหญ่ รหัสเหล่านี้สร้างขึ้นโดยเซิร์ฟเวอร์ระยะไกล เซิร์ฟเวอร์ส่งรหัสที่ใช้งานไปยังผู้ใช้เมื่อเข้าสู่ระบบ
น่าเสียดายที่ผู้โจมตีสามารถสกัดกั้นรหัส SMS ได้อย่างง่ายดายผ่านการโคลนซิมการ์ด เพื่อป้องกันการดักฟังนี้ ให้สร้างรหัสบนอุปกรณ์มือถือของคุณด้วยแอป 2FA เช่น Authy, Google Authenticator หรือตัวจัดการรหัสผ่านที่รองรับ 2FA เช่น 1Password
บทสรุป
“ความแข็งแกร่ง” ของรหัสผ่านเดียวคือปลาเฮอริ่งแดง ระบบการรับรองความถูกต้องที่แข็งแกร่งมีความสำคัญมากกว่า การรั่วไหลและการโจรกรรมข้อมูลเกิดขึ้นอย่างหลีกเลี่ยงไม่ได้ รหัสผ่านที่ไม่ซ้ำเก็บความเสียหายที่มีอยู่ การตรวจสอบสิทธิ์แบบสองปัจจัยสามารถลดความเสียหายของข้อมูลรับรองที่ถูกขโมยให้เป็นศูนย์ได้