รหัสผ่านที่แข็งแกร่งในปี 2026: เช็กลิสต์สั้นๆ สำหรับคนทั่วไป
ความยาว vs ความซับซ้อน, password managers, MFA และวิธีทดสอบความแข็งแกร่งโดยไม่ต้องส่งข้อมูลลับไปยังเซิร์ฟเวอร์
กฎรหัสผ่านอย่าง "ต้องมีตัวพิมพ์ใหญ่หนึ่งตัว มีสัญลักษณ์หนึ่งตัว" อาจสมเหตุสมผลในยุคที่ผู้โจมตีลองเดาแค่หลักพันครั้ง แต่ทุกวันนี้ credential stuffing (การนำคู่อีเมล/รหัสผ่านที่รั่วไหลกลับมาใช้ซ้ำ) และ offline hash cracking คือภัยคุกคามหลัก แนวทางสมัยใหม่จึงเน้นความยาวและไม่ซ้ำกัน พร้อมการยืนยันตัวตนขั้นที่สอง มากกว่าการคิดรหัสผ่านสั้นๆ ที่ดูฉลาด
ความยาวสำคัญกว่าความ "ฉลาด"
passphrase สี่คำที่สุ่มขึ้นมาพร้อมตัวคั่น (เช่น สไตล์ correct-horse-battery-staple แต่เลือกแบบสุ่ม) หรือรหัสผ่านที่สร้างจากตัวสร้างรหัสผ่านที่มีความยาว 20 ตัวอักษรขึ้นไป นั้นถอดรหัสได้ยากกว่า P@ssw0rd!1 ซึ่งปรากฏอยู่ในรายการข้อมูลรั่วไหลทุกชุด
รหัสผ่านที่ดีที่สุดคือรหัสที่คุณไม่เคยใช้ซ้ำและไม่ต้องจำสำหรับเว็บไซต์หลายสิบแห่ง — ใช้ password manager แทน
Password managers
- สร้างรหัสผ่านที่ไม่ซ้ำกันสำหรับแต่ละเว็บไซต์
- เก็บ TOTP seeds หรือ passkeys ในกรณีที่รองรับ
- ป้องกัน vault ด้วยรหัสผ่านหลักที่แข็งแกร่งและความปลอดภัยของอุปกรณ์
การยืนยันตัวตนหลายขั้นตอน (MFA)
รหัส SMS ดีกว่าไม่มีอะไร แต่ก็เสี่ยงต่อการโจมตีแบบ SIM swap ควรใช้ authenticator apps หรือ hardware keys (WebAuthn/FIDO2) สำหรับบัญชีสำคัญ เช่น อีเมล, ธนาคาร, domain registrar และ cloud admin
ทดสอบความแข็งแกร่งในเครื่องของคุณ
"มิเตอร์วัดความแข็งแกร่ง" ที่อัปโหลดรหัสผ่านของคุณไปยังเซิร์ฟเวอร์นั้นไม่เหมาะสมอย่างยิ่ง ควรใช้เครื่องมือที่ทำงานในเบราว์เซอร์ทั้งหมดและไม่ส่งข้อมูลลับออกไปเลย
Password Generator ของเราสร้างสตริงสุ่มที่ปรับได้ตามความยาวและชุดตัวอักษร และ Password Strength Checker ประเมินสัญญาณในแบบ entropy ฝั่ง client เพื่อให้รหัสผ่านของคุณเป็นความลับอยู่เสมอ
สำหรับนักพัฒนาที่จัดเก็บรหัสผ่าน: อย่าบันทึกเป็น plaintext เด็ดขาด ใช้ slow hashes (Argon2, scrypt หรือ bcrypt) พร้อม salt รายผู้ใช้ Hash Generator มีประโยชน์สำหรับแนวคิด checksums และ HMAC เท่านั้น ไม่ใช่สำหรับการเก็บรหัสผ่านในระบบจริง — ควรใช้ไลบรารีที่ผ่านการตรวจสอบแล้วใน stack ของคุณแทน
สิ่งที่ผู้ใช้ควรทำจริงๆ
- เปิดใช้งาน MFA สำหรับบัญชีอีเมลและบัญชีการเงิน
- ใช้ password manager และให้มันสร้างรหัสผ่านยาว 20 ตัวอักษรขึ้นไป
- เพิกถอนสิทธิ์การเข้าถึงเมื่อพนักงานหรือผู้รับเหมาลาออก และเปลี่ยน secrets ที่เคยแชร์ผ่านแชท
- ติดตามการแจ้งเตือนข้อมูลรั่วไหลและเปลี่ยนเฉพาะรหัสผ่านที่ได้รับผลกระทบ (หรืออาศัยความไม่ซ้ำกันจาก password manager)
นิสัยที่ดีขยายผลได้ดีกว่าความจำที่สมบูรณ์แบบ — และยิ่งเข้ากันได้ดีกับเครื่องมือฟรีข้างต้นเมื่อคุณต้องการความช่วยเหลือที่รวดเร็วและใช้ได้แบบออฟไลน์