สร้างรหัสผ่าน

วิธีสร้างรหัสผ่านที่แข็งแรง

1. 1

   ตั้งความยาวของรหัสผ่าน

   ใช้แถบเลื่อนเลือกความยาวระหว่าง 8 ถึง 128 ตัวอักษร แนะนำอย่างน้อย 16 ตัวอักษรสำหรับบัญชีทั่วไป ค่าเอนโทรปีจะอัปเดตแบบเรียลไทม์ให้คุณเห็นผลทันที

2. 2

   เลือกชุดตัวอักษร

   เปิด/ปิดตัวพิมพ์ใหญ่ (A–Z) พิมพ์เล็ก (a–z) ตัวเลข (0–9) และสัญลักษณ์ (!@#$…) การเปิดครบทั้งสี่แบบให้ค่าเอนโทรปีสูงสุด หากเว็บไซต์ไม่รับสัญลักษณ์ ให้ปิดเฉพาะตัวเลือกนั้น ระบบจะคำนวณใหม่ให้อัตโนมัติ

3. 3

   คลิกสุ่มรหัสผ่าน

   ระบบจะสร้างรหัสผ่านสุ่มเชิงเข้ารหัสตัวใหม่ด้วย crypto.getRandomValues() ทุกครั้งที่คลิกจะได้ผลลัพธ์ใหม่ โดยไม่มีการเก็บรหัสผ่านเดิมไว้ที่ใด

4. 4

   คัดลอกรหัสผ่าน

   คลิกปุ่มคัดลอกเพื่อนำรหัสผ่านไปไว้ในคลิปบอร์ด แล้ววางลงในตัวจัดการรหัสผ่านหรือเว็บไซต์ปลายทางได้ทันที ไม่ควรพิมพ์เองเพื่อหลีกเลี่ยงการพิมพ์ผิด

คำถามที่พบบ่อยเกี่ยวกับการสร้างรหัสผ่าน

สร้างรหัสผ่านที่ปลอดภัยควรมีกี่ตัวอักษร 12 หรือ 16 ตัว?

แนะนำอย่างน้อย 16 ตัวอักษรสำหรับบัญชีทั่วไป และ 20 ตัวขึ้นไปสำหรับบัญชีสำคัญ เช่น อีเมลหลักหรือธนาคาร รหัสผ่าน 12 ตัวอักษรพอใช้ได้แต่ปลอดภัยน้อยกว่ามาก ที่ความยาว 16 ตัวอักษรพร้อมตัวพิมพ์ใหญ่ พิมพ์เล็ก ตัวเลข และสัญลักษณ์ พื้นที่การสุ่มจะเกิน 2^100 บิต ทำให้การเดารหัสแบบ brute-force แทบเป็นไปไม่ได้

สร้างรหัสผ่านสำหรับบัญชี Google อย่างไรให้ปลอดภัย?

ตั้งความยาวอย่างน้อย 16 ตัวอักษร เปิดใช้งานชุดตัวอักษรครบทั้งสี่แบบ แล้วคลิกสุ่ม จากนั้นคัดลอกไปวางในช่องรหัสผ่านของ Google โดยตรง ที่สำคัญคือใช้รหัสผ่านที่ไม่ซ้ำกับบัญชีอื่นในทุกเว็บไซต์ และควรเปิดการยืนยันตัวตนสองขั้น (2-Step Verification) ควบคู่ไปด้วยเสมอ

สร้างรหัสผ่านด้วย AI ปลอดภัยกว่าการสุ่มแบบนี้ไหม?

ไม่จำเป็น เครื่องมือ AI หลายตัวสร้างข้อความที่ดูเหมือนสุ่มแต่อาจคาดเดาได้ง่ายกว่า เครื่องมือนี้ใช้ crypto.getRandomValues() ซึ่งเป็นตัวสุ่มเชิงเข้ารหัสมาตรฐานของเบราว์เซอร์ ปลอดภัยและคาดเดาไม่ได้กว่า อีกทั้งยังทำงานในเครื่องคุณ ไม่ส่งรหัสผ่านขึ้นบริการ AI ใด ๆ จึงไม่มีความเสี่ยงข้อมูลรั่วไหล

สร้างรหัสผ่านที่จำง่ายแต่ยังปลอดภัยได้ไหม?

ได้ ลองใช้โหมดรหัสผ่านแบบคำ (passphrase) ที่ร้อยคำสุ่มหลายคำเข้าด้วยกัน เช่น คำสี่ถึงห้าคำต่อกัน วิธีนี้จำง่ายกว่าตัวอักษรปนกันแต่ยังให้ค่าเอนโทรปีสูง อีกทางเลือกคือใช้ตัวจัดการรหัสผ่าน (password manager) เก็บรหัสที่สุ่มมา แล้วจำเพียงรหัสผ่านหลักเพียงตัวเดียว

เครื่องมือนี้สุ่มจริงหรือเปล่า และเก็บรหัสผ่านของฉันไหม?

สุ่มจริงและไม่เก็บข้อมูล ระบบใช้ crypto.getRandomValues() ตัวสุ่มเชิงเข้ารหัสที่ปลอดภัยกว่า Math.random() อย่างมาก การสร้างทั้งหมดทำงานในเบราว์เซอร์ของคุณ ไม่มีการส่งข้อมูลไปยังเซิร์ฟเวอร์ คุณยืนยันได้ด้วยการตัดการเชื่อมต่ออินเทอร์เน็ตแล้วลองใช้งาน — เครื่องมือยังทำงานได้ตามปกติ

ค่าเอนโทรปี (entropy) ที่แสดงหมายถึงอะไร?

เอนโทรปีคือหน่วยวัดความคาดเดาไม่ได้ของรหัสผ่าน มีหน่วยเป็นบิต คำนวณจาก log₂ ของขนาดชุดตัวอักษร คูณด้วยความยาว ยิ่งบิตสูงยิ่งมีความเป็นไปได้มาก โดยทั่วไป 80 บิตถือว่าแข็งแรง และ 100 บิตขึ้นไปถือว่ายอดเยี่ยมเมื่อเทียบกับภัยคุกคามในปัจจุบัน

ควรเลือกชุดตัวอักษรแบบไหนบ้าง?

เพื่อความแข็งแรงสูงสุด ควรเปิดครบทั้งสี่แบบ ได้แก่ ตัวพิมพ์ใหญ่ (A–Z) ตัวพิมพ์เล็ก (a–z) ตัวเลข (0–9) และสัญลักษณ์ (!@#$…) หากเว็บไซต์ใดไม่อนุญาตให้ใช้สัญลักษณ์ ให้ปิดเฉพาะตัวเลือกนั้น ระบบจะคำนวณค่าเอนโทรปีใหม่ให้อัตโนมัติเพื่อให้คุณรู้ความแข็งแรงเสมอ

แหล่งอ้างอิง

• NIST SP 800-63B แนวทางด้านอัตลักษณ์ดิจิทัล (การยืนยันตัวตน)

  มาตรฐานของรัฐบาลสหรัฐฯ ที่ครอบคลุมข้อกำหนดด้านความยาว ความซับซ้อน และการจัดเก็บรหัสผ่าน แนะนำอย่างน้อย 8 ตัวอักษร (ยิ่งยาวยิ่งดี) และเลิกใช้นโยบายบังคับเปลี่ยนรหัสผ่านตามรอบเวลา

• OWASP Password Storage Cheat Sheet

  แนวทางปฏิบัติสำหรับอัลกอริทึมการแฮชรหัสผ่าน (Argon2id, bcrypt, scrypt) และค่าความซับซ้อน จำเป็นเมื่อต้องจัดเก็บรหัสผ่านฝั่งเซิร์ฟเวอร์

• MDN — Crypto.getRandomValues()

  API ของเบราว์เซอร์ที่เติมค่าสุ่มเชิงเข้ารหัสที่แข็งแรงลงในอาร์เรย์ — เป็นแหล่งความสุ่มที่เครื่องมือนี้ใช้งาน

เครื่องมือสำหรับนักพัฒนาที่เกี่ยวข้อง