หลักการตั้ง Password

 

        สวัสดีครับ Blog IS ก็เอาเรื่องเบาๆ สมองๆ มาให้อ่านกันเกี่ยวกับการตั้ง รหัสผ่าน หรือ Password นั่นเอง เนื่องจากเห็นน้องๆ ปี 1 มาใหม่อยู่ในช่วงต้องสมัครบริการต่างๆ บนเว็บไซต์ตั้งแต่ Banking ระบบลงทะเบียน mail เว็บ อื่นๆๆ มากมาย สำหรับหลักการต้้งรหัสผ่าน (password) ให้ปลอดภัยนั้นมีดังนี้

• พาสเวิร์ดของคุณควรมีตัวอักษรอย่างน้อย 8 ตัว และประกอบด้วยอักษรตัวใหญ่ และตัวเล็ก ตลอดจนตัวเลข และสัญลักษณ์ ยิ่งผสมกันได้มากเท่าไร ยิ่งปลอดภัยเท่านั้น
• หลีกเลี่ยงการใช้วันเดือนปีเกิด ชื่อตัว(ชื่อแฟน เพื่อนสนิท พ่อแม่พี่น้อง ฯลฯ) ชื่อจังหวัด หรือข้อมูลต่างๆ ที่เกี่ยวข้องกับตัวเรา มาใช้ในการตั้งรหัสผ่าน
• ควรใช้รหัสผ่านแยกกัน หากเป็นคนละบัญชีผู้ใช้งาน โดยเฉพาะรหัสผ่านที่ใช้เข้าถึงข้อมูลสำคัญเช่น ธนาคารออนไลน์ แต่ถ้าขี้เกียจจำ คุณอาจจะใช้วิธีตั้งพาสเวิร์ดเป็นพวกเดียวกัน โดยใช้ตัวเลขที่ตามหลังเป็นตัวแยกความแตกต่างของพาสเวิร์ดแต่ละบัญชีผู้ใช้ก็ได้
• อย่าเลือกออปชันจัดเก็บรหัสผ่านอัตโนมัติของบราวเซอร์ หากเครื่องของคุณใช้ร่วมกับผู้อื่น อันนี้เตือนบ่อย แต่ก็พบบ่อย และก็เสียรู้กันบ่อย
• อย่าส่งพาสเวิร์ดให้ใครทั้งทางกาย วาจา อีเมล์ msn และ sms พึงระลึกว่า มันคือ รหัสลับของคุณที่ไม่ควรส่งไปให้ใครเด็ดขาด
• อย่าจดรหัสผ่านลงบนกระดาษ หรือสมุดโน้ตใดๆ ของคุณ แต่ถ้าจำเป็น ควรเก็บเอกสารไว้ในที่ปลอดภัย ไม่ใช่ใกล้คอมพิวเตอร์
• เปลี่ยนรหัสผ่านทุกๆ 3 เดือน เพื่อลดโอกาสที่ใครจะแกะรหัสของคุณออก

แล้ว Password ที่ดีนั้นควรเป็นอย่างไร?
1. มีการใช้ตัวอักษรที่หลากหลาย ใช้ตัวอักษรทั้งตัวใหญ่และเล็ก ใช้ตัวเลข ใช้สัญลักษณ์ (@#$%^&*) เช่น Somsri เราก็ใส่เข้าไปให้มันยากขึ้นเป็น $oMSri422R
ทำไม? : ถ้า hacker ต้องการจะ hack password เราจริงๆโดยการไล่จากเลข 1-10 หรือไล่จากตัว a ไป z,   เมื่อเราใส่ความหลากหลายมากขึ้น จำนวนความเป็นไปได้ก็มากขึ้น , hacker ก็ใช้เวลานานขึ้นในการไล่หา

2. มีความยาวตัวอักษรตั้งแต่หรือมากกว่า 8 ตัวอักษรขึ้นไป
ทำไมต้อง 8 ตัวอักษร?  ดูตารางนี้ครับ ตารางนี้แสดงเวลาที่ Computer  ทั่วๆไปใช้ในการไล่หา Password … ถ้า Password เราเป็นแบบ “ใช้ทุกตัวอักษร” และมีความยาว 8 ตัว… Computer (ทั่วไป) ก็ต้องใช้เวลาถึง 210 ปีกว่าไล่จะหา Password ได้ , hacker ที่ทำกว่าจะได้ Password ก็แก่ตายพอดี….  แต่ว่าถ้าใช้ Super Computer ก็จะเร็วกว่านี้ … ดังนั้น ยิ่งยาวยิ่งดีครับ


3. Password ที่ใช้ไม่มีความหมายใน Dictionary  , ถ้าไม่มีความหมาย “เราก็จะจำยาก” ดังนั้นเราควรจะใช้คำที่มีความหมาย แต่ทำให้ไม่มีความหมายด้วยวิธีเหล่านี้
3.1 แทนตัวอักษรด้วยตัวเลขที่คล้ายๆกัน เช่น แทน o (ตัวโอ) ด้วย 0 (เลขศูนย์) , แทนตัว i ด้วยเลข 1, แทนตัว S ด้วยเลข 5 อะไรอย่างนี้ เช่น Somsri อาจจะเขียนเป็น 50m5r1 ก็ได้ เท่ห์ม่ะ
3.2 ใช้เทคนิคเลื่อนตำแหน่งพิมพ์บน Keyboard …เช่น ปกติเราพิมพ์ยังไง ก็พิมพ์แบบเดิม แต่เลื่อนตำแหน่งพิมพ์ขึ้นไปด้านบนของ Keyboard 1 แถว เช่น somsri พอเลื่อนขึ้นไปพิมพ์หนึ่งแถวก็จะเป็น w9jw48 (ลองมองตำแหน่งตัวอักษรที่ Keyboard แล้วจะเข้าใจ) … นอกจากจะเลื่อนด้านบนแล้ว จะเลื่อนซ้าย จะเลื่อนขวา จะเลื่อนลงมาข้างล่างก็ได้ … เลื่อนไปเลย 2 ช่องก็ได้…. วิธีนี้จะง่ายมากสำหรับคนพิมพ์สัมผัส
3.3 พิมพ์แบบไทย แต่ใช้ Keyboard ภาษาอังกฤษ เช่น  ”สมศรี” ถ้าเราพิมพ์แบบภาษาไทยใน Keyboard ภาษาอังกฤษก็จะได้แบบนี้ครับ ” l,Liu”
3.4 แทนชื่อเพลงชื่อรถหรือประโยคที่เราชอบด้วยตัวอักษรหน้าอย่างเดียว เช่น เราชอบเพลง My Heart Will Go On เราก็สร้าง password ได้แบบนี้ MHWGO
3.5 ผสม 2 คำโดยสลับตัวอักษร เช่น ผสม “My Heart Will Go On” กับ “Just The Way You Are” ก็เป็น  MjHtWwGyOa …
3.6 แทนตัวอักษรด้วยตัวเลขบนแป้นโทรศัพท์, บนแป้นโทรศัพท์ 1 แป้นจะมีตัวเลข 1 ตัวและตัวอักษร 3-4 ตัวอักษร เช่น  Somsri เราก็จะได้ 766774 … อ่านที่นี่ถ้าไม่เข้าใจ

4. แต่ละเว็บ Password ที่ใช้ต้องไม่ซ้ำกัน , การสร้าง Password แต่ละเว็บให้ไม่ซ้ำกันก็ทำได้แหละโดยใช้เทคนิคข้างต้้น แต่ปัญหาคือ “จำไม่ได้” แล้วทำไง? อ่านต่อไป


ตั้ง Password ยังไงหล่ะให้ “ปลอดภัย” และ “จำได้”
1. สร้าง Password ที่ดีแบบตายตัวก่อน (Static) โดย “เลือกใช้”, “ผสม” , “สลับ” เทคนิคที่กล่าวมาแล้วข้างต้น เช่น ถ้าผมเป็นคุณสมศรี ผมก็จะตั้ง  Password ประมาณแบบนี้ …  W9jw48$0m5Ri … มาจาก “พิมพ์ somsri เลื่อน Keyboard ขึ้นไป 1 แถว” + ” Somsri โดยใช้สัญลักษณ์และตัวเลขแทนตัวอักษร”  เสร็จแล้วสุ่มเปลี่ยนตัวอักษรเล็กให้เป็นตัวใหญ่ (ผมเปลี่ยน w เป็น W , และเปลี่ยน r เป็น R)  แล้วจะเห็นได้ว่ามีความยาวตัวอักษรมากกว่า 8 ตัวด้วย
2. สร้าง”สูตร” Password แบบแปรผัน (Dynamic) ตามแต่ละเว็บขึ้นมา, เช่น สูตร คือ เอาตัวอักษร 4 ตัวแรกของชื่อเว็บมาใส่ข้างหน้า Password แบบตายตัวของเราเช่น
คุณสมศรีกับ facebook.com เราก็จะได้ password เป็น “faceW9jw48$0m5Ri”
คุณสมศรีกับ yahoo.com เราก็จะได้ password เป็น “yahoW9jw48$0m5Ri”
คุณสมศรีกับ windows เราก็จะได้  password เป็น ”windW9jw48$0m5Ri”
นอกจากจะใส่ด้านหน้า เราจะสร้างสูตรให้สลับซับซ้อนขึ้นอีกยังไงก็ได้ เช่น 2 ตัวอักษรแรกใส่ไว้ข้างหน้า 2ตัวอักษรหลังใส่ไว้ข้างหลัง …

ดังนั้นสุดท้ายสิ่งที่เราต้องจำก็แค่
1. password แบบตายตัวของเรา
2. สูตรแบบแปรผันตามชื่อเว็บ

ปล.เว็บบางเว็บอาจจะจำกัดความยาว Password หรืออาจจะจำกัดไม่ให้ใช้สัญลักษณ์ในการสร้าง Password  … ดังนั้น password ตายตัวหรือว่าสูตรที่เราสร้างขึ้นอาจจะไม่สามารถใช้ได้ เราอาจจะต้องจำแยกต่างหากสำหรับเว็บพวกนั้น หรือไม่เราก็อาจจะสร้าง password ตายตัวและสูตรอีกแบบ ที่ไม่ได้ใช้สัญลักษณ์และความยาวโดยรวมของ Password ไม่ยาวมาก … แต่ว่าเว็บหรือบริการที่จำกัดอย่างนี้มีไม่มากหรอกจากที่ผมใช้ๆมา

อีกทางเลือกนึง
นอกจากที่เราต้องจำ Password ทุกเว็บเองแล้ว มันก็มีSoftwareหรือบริการอีกจำพวกนึงที่ให้เราใส่ password ทุกๆอย่างทุกๆเว็บของเราไว้ในมัน  เสร็จแล้วเราก็ใส่ Master Password ไว้ล็อค password ทั้งหมดของเราอีกที  ดังนั้นเราก็แค่จำ Master Password แค่อันเดียวก็พอ
ตัวอย่าง Software/Service ประเภทนี้ก็คือ KeePass , LastPass, 1Password
…. แต่!!! โดยส่วนตัวแล้วผมไม่ชอบและไม่คิดว่ามันปลอดภัย เพราะว่าถ้าเราลืมหรือว่าโดนhack  Master Password ไปแค่อันเดียว เราก็จบกันเหมือนกัน  อีกอย่างก็คือกว่าจะหา password ได้เราต้องเข้าไปใน software นั้นๆก่อนเสมอ  ดังนั้นกว่าจะหา password เข้าเว็บสักเว็บหนึ่งได้ ก็ต้องใช้เวลานานขึ้นมีขั้นตอนมากขึ้น  ผมว่าผมจำเองดีกว่า!!!

อ้างอิง
http://lifehacker.com/5505400/how-id-hack-your-weak-passwords
http://lifehacker.com/184773/geek-to-live–choose-and-remember-great-passwords
http://www.wikihow.com/Create-a-Password-You-Can-Remember
อ้างอิงรูป
http://www.flickr.com/photos/jerseyimage/1591607574/