NordPass ผู้พัฒนาแอปจัดการรหัสผ่าน ออกรายงานรหัสผ่านยอดนิยมประจำปี 2022 (Top 200 Most Common Passwords) โดยบอกว่าแม้ผู้คนจะตื่นตัวกับความปลอดภัยทางไซเบอร์มากขึ้น แต่พฤติกรรมเก่า ๆ ก็ยังคงอยู่
โดยรหัสผ่านยอดนิยม ที่รวบรวมจากนักวิจัยอิสระและพาร์ตเนอร์ จากฐานข้อมูลหลุดมาซึ่งรวบรวมไว้ขนาด 3TB พบว่า password คือรหัสผ่านยอดนิยมอันดับที่ 1 แซงหน้า 123456 แชมป์เก่าปีที่แล้วไปได้
รหัสผ่านยอดนิยมอื่นที่น่าสนใจ เช่น tinder Oscars batman euphoria encanto ซึ่งมาจากกระแสความนิยมในหัวข้อตามช่วงเวลานั้น
การจัดอันดับครั้งนี้ NordPass ยังคงมีตัวเลือกดูแบบแยกรายประเทศ และเพิ่มเติมคือแยกตามเพศ หากมีการระบุในฐานข้อมูล ทั้งนี้ไม่มีข้อมูลประเทศไทยในรายงานปีนี้
10 อันดับรหัสผ่านยอดนิยมของปี 2022 เป็นดังนี้
- password
- 123456
- 123456789
- guest
- qwerty
- 12345678
- 111111
- 12345
- col123456
- 123123
ที่มา: NordPass
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
หรือจริงๆ ข้อมูลพวกนี้ ไม่ได้มาจากข้อมูลหลุด แต่มาจาก password ที่ฝากไว้ใน NordPass เอง ผ่าม!!
อาจจะไม่เกี่ยวกับบทความ ขอนอกเรื่องหน่อย
ที่ทำงานเก่าเพื่อนผมเจอปัญหาพนักงานชอบตั้งรหัสผ่านในไดรฟ์ออนไลน์ง่ายๆ อย่าง 123456789 แล้วลูกค้าดันสุ่มรหัสผ่านถูก เห็นไฟล์เอกสารที่เป็นความลับภายใน
ฝ่ายไอทีเลยออกกฎบังคับให้ทุกคนตั้งรหัสผ่านให้รัดกุมขึ้น (ต้องมีตัวพิมพ์เล็ก พิมพ์ใหญ่ อักขระพิเศษผสมกัน) แล้วทำการ reset รหัสผ่านใหม่ทุกคน
ผลปรากฎว่าพนักงานหลายคนใช้รหัสผ่านชั่วคราวที่ระบบ generate ให้ (เช่น Z%Bc4M+k2!) แล้วแปะกระดาษ post-it ที่มีรหัสผ่านนั้นไว้ที่หน้าจอคอมพิวเตอร์ คนนอกที่เดินผ่านไปมาแถวนั้นเห็นรหัสผ่านหมดทุกคน
ตอนนี้ผมชักไม่แน่ใจว่าการตั้งรหัสผ่านให้รัดกุมแต่ยุ่งยากกับผู้ใช้งานมันทำให้ปลอดภัยขึ้นจริงหรือเปล่า
จำได้ว่าเคยมีงานวิจัยแนวๆนี้ออกมาแล้วครับ ว่าตั้งรหัสผ่านให้รัดกุมแต่ยุ่งยาก ไม่ได้ส่งผลอะไรมากในแง่ความปลอดภัย เพราะในทางปฎิบัติแล้วจะเป็นอย่างที่คุณว่าหรือไม่ก็ไปใช้ลำดับตัวเลขที่คาดเดาได้แทน
ตอนนี้เค้าแนะนำเป็น 2 factor เป็นอย่างน้อยแล้วครับ
รหัสควรเป็นคำที่จำได้ และยาว
https://auth0.com/blog/dont-pass-on-the-new-nist-password-guidelines/
แต่ 2 factor ดีกว่าครับ
งั้นก็ตั้งให้มี 2 factor authentication เพิ่มเข้าไปสิครับ
เอา NIST 800-63B ให้ IT อ่านครับ
lewcpe.com, @wasonliw
ผมล่ะอยากให้ software บังคับว่า password พวก topmost 100 นี่ไม่สามารถตั้งได้ด้วยซ้ำไป แบบ hardcode มาใน program เลยก็ได้ ยึดจากแหล่งไหนก็ได้เพราะมันคงไม่ได้ต่างกันมาก
มีใครพอจะทราบไม๊ครับว่าอันดับ 9 col123456 "col" นี่มันคืออะไร ? ทำไมคนถึงใช้กันเยอะติดอันดับ
admin ไม่ติดเหรอ
จริงๆ blognone ก็ตั้งง่ายๆแบบนี้แหละ
มีแต่เรียงเลขน้อยไปมาก
แสดงว่าผมใช้เรียงมากไปน้อยได้อยู่ อิอิ
จริง ๆ website ที่ไม่ได้มีข้อมูลอะไรสำคัญ
ผมก็ชอบตั้งง่าย ๆ นะ
ถึงจะใช้ lastpasst ช่วยอยู่แล้ว แต่ก็ไม่ได้จำเป็นต้องตั้งยากอะไรขนาดนั้น
ไม่ใช้ password ดีสุด ถ้ามี app ที่สามารถส่ง approve ได้ ควรใช้
ดีที่ผมชอบใช้เบอร์ตัวเองเป็นรหัส 55
แต่ถ้าใครจำเบอร์ผมได้ แล้วมีเมลผมนี่ เข้าใช้ได้ทุกบริการที่ผมสมัครเลย
อันนี้อันตรายมาก ๆ ครับ
ยิ่งคุณเคยให้บริการกับหน่วยงานราชการ
เพราะมันจะมีราชการหลาย ๆ ที่เขา upload ข้อมูลพวกนี้เ็ป็น public
ชื่อ email เบอร์โทร ครบ
พิมพ์ชื่อตัวเอง (ภาษาไทย) ใน Type Eng
แค่นี้ก็น่าจะยากพอแล้ว (มั้ง)