Question 1

entropy หมายถึงอะไร?

Accepted Answer

Entropy หน่วยบิตวัดความคาดเดายาก แต่ละบิตเพิ่มจำนวนการเดาเป็นสองเท่า: 40 บิต = หนึ่งล้านล้านครั้ง 60 บิต = พันล้านล้านครั้ง 80 บิตขึ้นไปคือมาตรฐานบัญชีสำคัญ คำนวณจาก ความยาว × log2(ขนาดชุดตัวอักษร)

Question 2

ความยาวหรือความซับซ้อน อันไหนสำคัญกว่า?

Accepted Answer

ความยาวชนะ การเพิ่ม 1 ตัวอักษรในรหัส 12 ตัวจะคูณเวลาเดาด้วยขนาดชุดตัวอักษร (~95 เท่า) แต่เพิ่ม 1 ประเภทสัญลักษณ์คูณแค่ครั้งเดียว 'correct horse battery staple' (28 ตัว) ปลอดภัยกว่า 'P@ss1!' (6 ตัว) เป็นล้านล้านเท่า

Question 3

ทำไม 'P@ssw0rd!' ถึงอ่อนทั้งที่มีครบทุกประเภท?

Accepted Answer

เพราะแฮ็กเกอร์ใช้ dictionary attack พร้อมการแทนที่ทั่วไป (a→@, o→0, s→$) คำว่า 'Password' อยู่ในทุกฐานข้อมูลรหัสที่รั่วเคยมี การเพิ่มการเปลี่ยนตัวอักษรที่คาดเดาได้ไม่ช่วย entropy จริงมาจากการเลือกที่คาดเดาไม่ได้ ไม่ใช่การปรับแบบมีสูตร

Question 4

รหัสถูกส่งไปเช็คกับฐานข้อมูลรั่วไหลไหม?

Accepted Answer

ไม่ การให้คะแนนทำในเบราว์เซอร์ทั้งหมด ไม่มีการส่งรหัสออกไป ถ้าต้องการเช็คว่ารหัสเคยรั่วไหม ลองใช้ Have I Been Pwned ที่ใช้ k-anonymity ส่งแค่ 5 ตัวแรกของ SHA-1 hash

Question 5

คะแนนเท่าไหร่ถึงพอ?

Accepted Answer

ตั้งเป้าเวลาเดาระดับศตวรรษเมื่อโดน offline attack ประมาณ 70 บิตขึ้นไป สำหรับเว็บที่ไม่สำคัญ 50 บิตพอ แต่ธนาคาร อีเมล หรือ master ของ password manager ควรถึง 80 บิตและไม่ซ้ำกับที่อื่น

ตรวจความแข็งแรงของรหัสผ่าน

คำถามที่พบบ่อย

เครื่องมืออื่นๆ ที่น่าสนใจ

Hash Generator

เข้ารหัส/ถอดรหัส AES

สร้างรหัส TOTP

เปรียบเทียบ Hash