เลิกใช้รหัสผ่านแล้วมาใช้วลีผ่านกันเถอะ

ในการใช้งานและบริการต่างๆ ในระบบคอมพิวเตอร์นั้นจำเป็นต้องมีการยืนยันตัวตนโดยใช้รหัสประจำตัวหรืออีเมลประกอบกับรหัสผ่าน หรือที่เรียกทับศัพท์ว่าพาสเวิร์ด (password) ซึ่งรหัสผ่านในบริการต่างๆ มักจะบังคับให้เรากรอกอย่างน้อย 8 ตัวอักษรและมีอักขระพิเศษอยู่ด้วยเช่นตัวแอทไซน์ (@) หรือเครื่องหมายตกใจ (!) เพื่อที่จะทำให้การเดาเพื่อค้นหารหัสผ่านจากผู้ไม่หวังดีนั้นทำได้ยากขึ้น แต่เนื่องจากหน่วยประมวลผลในคอมพิวเตอร์นั้นเร็วขึ้นอย่างก้าวกระโดดทุกวันจึงทำให้การถอดรหัสผ่านที่ยาวเพียง 8 ตัวอักษรนั้นสามารถทำได้อย่างรวดเร็วภายในเวลาไม่กี่วันจนถึงเสี้ยววินาทีหากรหัสผ่านนั้นเป็นรหัสยอดนิยมเช่น “iloveyou”

แนวคิดใหม่ในการยืนยันตัวตนจึงเปลี่ยนมาสู่วลีผ่านหรือ passphrase เช่นการใช้วลีจากหนังสือที่เราชื่นชอบและจำได้ง่ายโดยมีความยาวสี่ห้าคำขึ้นไปโดยจะมีการเปลี่ยนตัวอักษรบางตัวในประโยคนั้นให้เป็นอักขระพิเศษเช่นการเปลี่ยนตัวเอ (a) ให้เป็นแอทไซน์ (@) หรือตัวไอ (i) ให้เป็นเครื่องหมายตกใจ (!) รวมถึงการใช้อักษรตัวใหญ่และตัวเล็กประกอบกัน ตัวอย่างเช่นการใช้วลีจากภาพยนต์สตาร์วอร์ที่ว่า "may the force be with you" มาใช้โดยไม่ต้องเว้นวรรค จะทำให้ต้องใช้เวลาในการเดาสุ่มมากกว่าหนึ่งแสนล้านปีเลยทีเดียว ซึ่งถ้ามีการเปลี่ยนตัวอักษรบางตัวให้เป็นอัขระพิเศษด้วยก็จะยิ่งทำให้ใช้เวลานานขึ้นไปอีก

ถึงแม้ว่าวลีผ่านจะทำให้การเดาสุ่มยากขึ้นแต่ก็ควรจะเปลี่ยนวลีผ่านในแต่ละบริการทุกๆ 3 เดือน และในแต่ละบริการก็ไม่ควรใช้วลีผ่านเดียวกันนั่นก็เพราะถ้าหากมีใครล่วงรู้วลีผ่านของเราในบริการหนึงเขาก็จะสามารถเข้าสู่บริการอื่นๆ ได้ด้วย


เพื่อนๆ สามารถทดสอบความยากของวลีผ่านได้ที่เว็บไซต์ https://howsecureismypassword.net

ความคิดเห็น

แสดงความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

Docker vs VM vs LXC

รูปภาพ
ในขณะที่โลก devops กำลังตื่นเต้นกับ docker ผมก็พบว่ามันมีงานอะไรบางอย่างที่ docker อาจจะยังทำได้ไม่ดีนัก โดยเฉพาะเวลาที่ผมต้องการ 'ควบคุม' บางสิ่งบางอย่างในระดับลึกๆ และไม่ได้เกี่ยวข้องกับโปรแกรมนั้นๆ โดยตรง เนื่องจาก docker นั้นออกแบบมาเพื่อให้เรียกใช้งานโปรแกรมเพียงโปรแกรมเดียว และการที่มีคนหลายๆ คนพยายามที่จะหา  'ท่าแก้'  ด้วยการเอามา run supervisord เพื่อให้มีหลายๆ process ใน docker ก็แสดงว่ามันยังมีงานบางอย่างที่จำเป็นต้อง run หลายๆ process อยู่ด้วยกัน และท่าแก้ต่างๆ ก็ยิ่งเพิ่มความซับซ้อนให้กับระบบขึ้นอีก จากเรื่องข้างบนทำให้ผมนึกย้อนกลับไปถึงข้อถกเถียงระหว่าง monolithic kernel กับ microkernel โดยหลักการของ docker เทียบได้กับ microkernel คือพยายามแยกส่วนการทำงานออกเป็นส่วนย่อยๆ ที่เรียบง่าย และเมื่อจะติดต่อกับส่วนย่อยอื่นๆ ก็จะทำผ่าน inter-process communication (IPC) ซึ่งถ้าเรามองที่หน่วยย่อยๆ ของ microkernel จะเห็นถึงความเรียบง่าย แต่พอมองภาพรวมที่ทุกๆ หน่วยย่อยจะต้องทำงานร่วมกันโดยการคุยกันผ่าน IPC ก็จะเห็นว่าเราแค่เอาความซับซ้อนจากที่หนึ่งไปใส่ไว้อีกที่หนึ
อ่านเพิ่มเติม

Google Apps ไม่ฟรี หนีซบ Microsoft

Google Apps คืออะไร บริการ Google Apps คือการนำเอา domain อื่นๆ ที่ไม่ใช่ของ Google มาใช้ทรัพยากรทั้งหลายของ Google เช่น Gmail, Youtube, Google Drive โดยจะได้ใช้ email เป็นของตัวเอง เช่น cwt@bashell.com ที่ผมใช้อยู่ก็อยู่บน Google Apps เช่นกันซึ่งเหมาะสำหรับบริษัทเล็กๆ ที่มี email ให้พนักงานใช้ไม่เกิน 10 email (ช่วงแรกๆ เคยขอใช้ได้ถึง 50 email) เมื่อ ประมาณต้นปีนี้ (2013) ทาง Google ก็ได้ประกาศยกเลิกบริการ Gooogle Apps Standard Edition (ฟรี) แล้ว โดยผู้ที่จะสมัครใช้ใหม่จะต้องสมัคร Google Apps for Business เท่านั้น ยกเว้นโรงเรียน หรือสถานศึกษาจะสามารถสมัครใช้บริการ Google Apps for Education ได้ฟรีต่อไป จริงๆ แล้วช่วงแรกๆ ที่ผมได้ข่าวการเปิดตัว Google Apps นั้น ผมก็ได้ยินว่าค่ายคู่แข่งอย่าง Microsoft ก็มีบริการทำนองนี้ด้วยเช่นกัน แต่เนื่องจากว่าในตอนนั้นบริการทางฝั่ง Microsoft ไม่ค่อยจะโดนใจผมเท่าไหร่ จึงไม่ได้สนใจทดลองใช้ แต่เมื่อทาง Google ปิดบริการแบบฟรีผมเลยกลับมามองทางฝั่ง Microsoft อีกครั้ง สมัครใช้บริการของ Microsoft บริการลักษณะเช่นนี้ของ Microsoft คือ Win
อ่านเพิ่มเติม