มิเตอร์วัดความแข็งแรงรหัสผ่านช่วยให้คนตั้งรหัสได้ดีขึ้น

By: lew

on 15 May 2013 - 14:08 Tags:

Topics:

หลายเว็บทุกวันนี้จะมีมิเตอร์วัดความแข็งแรงของรหัสผ่านเพื่อจูงใจให้ผู้ใช้ตั้งรหัสผ่านให้ยากขึ้นกว่าเดิม แม้มิเตอร์นี้จะเตือนคนที่ระวังตัวได้ว่าให้ตั้งรหัสผ่านที่คาดเดาได้ยาก แต่ไม่เคยมีการศึกษาในวงกว้างว่ากับคนทั่วไปแล้วรหัสผ่านนั้นเดายากง่ายเพียงใดเทียบกับรหัสผ่านที่ไม่มีมิเตอร์บอกระดับความแข็งแรง

ทีมวิจัยร่วมระหว่างมหาวิทยาลัยแคลิฟอร์เนียเบิร์กลีย์, มหาวิทยาลัยบริติชโคลัมเบีย, และไมโครซอฟท์ ร่วมกันทำวิจัยวัดผลของการใส่มิเตอร์วัดความแข็งแรงเช่นนี้ลงในหน้าตั้งรหัสผ่าน โดยการทำหน้าเว็บพอร์ทัลสำหรับนักศึกษาของมหาวิทยาลัยบริติชโคลัมเบียให้แจ้งนักศึกษาให้เปลี่ยนรหัสผ่าน

นักศึกษาที่ได้รับแจ้งให้เปลี่ยนรหัสผ่านจะได้รับหน้าจอต่างกันไปสามแบบได้แก่ หน้าจอเปลี่ยนรหัสผ่านไม่มีมิเตอร์ใดๆ, หน้าจอเปลี่ยนรหัสแบบมีมิเตอร์วัดความแข็งแรง (existing motivator - EM), และหน้าจอเปลี่ยนรหัสแบบบอกความแข็งแรงของรหัสเทียบกับผู้ใช้ทั้งหมดในระบบ (peer pressure motivator - PPM)

ผลการทดสอบการบอกให้ผู้ใช้ตั้งรหัสใหม่โดยไม่มีเงื่อนไขใดๆ ทำให้ผู้ใช้ตั้งรหัสที่มีความซับซ้อนเท่าเดิม วัดเป็นค่า entropy ได้เฉลี่ย 49.3 บิต ขณะที่การบอกความแข็งแรงแบบ EM ทำให้ผู้ใช้ตั้งรหัสที่แข็งแรงขึ้นเป็นเฉลี่ย 60.8 บิต และการวัดความแข็งแรงแบบ PPM ทำให้ผู้ใช้ตั้งรหัสแข็งแรงขึ้นเฉลี่ยเป็น 64.9 บิต

ทีมวิจัยวัดความสามารถในการจำรหัสผ่านที่ตั้งขึ้นใหม่ด้วยการให้ผู้ทดสอบเข้ามาล็อกอินใหม่ในสองสัปดาห์ต่อมาและพบว่ารหัสที่ตั้งใหม่แม้จะมีความแข็งแรงต่างกัน แต่ผู้ใช้กลับสามารถจำได้ไม่ต่างกันมากนัก

ความท้าทายอย่างหนึ่งคือการหาสูตรวัดความแข็งแรงของรหัสผ่านที่ได้ผลจริง แนวทางทุกวันนี้ที่ใช้การให้คะแนนด้วยการวัดการใช้สัญลักษณ์และตัวเลขอาจจะไม่ใช่แนวทางที่ดีนักเพราะการใช้งานจริงผู้ใช้มักใช้สัญลักษณ์ที่สามารถสื่อแทนตัวอักษรได้ง่าย เช่น "$" แทน "S" ซึ่งเป็นแนวทางที่รู้กันดี และเพิ่มความแข็งแรงได้ไม่มากนัก

ที่มา - ArsTechnica

Hiring! บริษัทที่น่าสนใจ

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Comments

By: ตะโร่งโต้ง

on 15 May 2013 - 14:21 #573389

ถ้าต่อไปมีการวิจัย ให้ทดสอบการแฮครหัสผ่าน หรือเจาะรหัสด้วยวิธีการอื่นใด ก็น่าจะบ่งบอกถึงคุณภาพในการตั้งรหัสผ่านได้ดีกว่านี้อีก

นวงกว้าง --> ในวงกว้าง

ช่างไฟสมัครเล่น (- -")

By: put4558350

on 15 May 2013 - 14:33 #573402

peer pressure mmotivator

มี m เกินมาหรือปล่าว

samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: iammeng

on 15 May 2013 - 14:43 #573409

แหม...แบบ PPM นี่เหมือนกับจะทำให้เกิดการแข่งขันนะ

ปล.ถ้าใช้วิธีวัดตัวอักษรสัญลักษณ์มาเจอคนไทยมีหวังค่าความยากของ Password ทะลุปลอด

งั้นจัดไป Password:cv;v6Is4^,bshv'dy[86Iso^ ฑนสำป

By: hisoft

on 15 May 2013 - 15:04 #573417 Reply to:573409

แอวอุณหภูมิห้องกับคุณหนู Solex ???

By: nat3738

on 15 May 2013 - 18:57 #573495 Reply to:573417

แอวอุณหภูมิห้องกับคุณหนู Rolex ต่างหาก

By: xenogew

on 15 May 2013 - 14:55 #573413

พารากราฟแรก วรรคที่ 2 "... แต่ไม่เคยมีการศึกษานวงกว้างว่า..." => ในวงกว้าง

By: hisoft

on 15 May 2013 - 15:03 #573414

จริง ๆ ดูแค่ว่าพิมพ์รหัสมารอบแรก พอหันไปเห็นว่าเกจยังต่ำอยู่แล้วพิมพ์เพิ่มหรือเปลี่ยนใหม่รึเปล่าก็ได้นะครับ ถึงจะดูยากก็เถอะ

By: doanga2007

on 15 May 2013 - 15:24 #573428 Reply to:573414

เพราะระบบเกจบังคับว่าหลอดไม่ตรงกลาง ไม่ให้ตั้งรหัสผ่านครับ

By: saratlim

on 15 May 2013 - 16:00 #573439

ผมใช้ภาษาไทยพิมพ์เป็นภาษาอังกฤษเมื่อก่อน แต่ตอนนี้ไม่รู้จะใช้คำว่าอะไรดีเลยใช้เว็บสุ่มระหัสผ่านแทน :D

blog

By: Yone on 15 May 2013 - 21:31 #573555 Reply to:573439

สมัยนี้ใช้วิธีนี้ไม่ได้แล้ว พอจะพิมพ์รหัสผ่านในมือถือ ลมจับเลยทีเดียว

By: ตะโร่งโต้ง

on 15 May 2013 - 22:31 #573575 Reply to:573555

จริงแท้ที่สุดคับ - -"

ช่างไฟสมัครเล่น (- -")

By: put4558350

on 15 May 2013 - 22:45 #573582 Reply to:573439

เลื่อนไปด้านข้าง เช่น blognone เลื่อนไปทางซ้ายจะออกมาเป็น vkifbibw เลื่อนขึ้น-ขวาเป็น hp0yj0j4

samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: specimen

on 15 May 2013 - 16:15 #573441

คนละเรื่องกับในข่าวนะครับ

แต่มีคนเคยเตือนว่า เว็บที่ให้เราเอารหัสผ่านไปกรอก แล้วทดสอบความแข็งแรงของรหัสผ่านของเรา

ออกมาเป็นความแข็งแรงเป็นคะแนน

จริง ๆ แล้ว มันเป็นการหลอกเอารหัสผ่าน เข้าไปใส่ใน dictionary ของโปรแกรมเจาะรหัส

เพราะโดยปกติแล้ว โปรแกรมเจาะรหัส จะไล่พยายามจากคำศัพท์ใน dictionary password ก่อน

ถ้าไม่เจอ จึงจะ brute force

ดังนั้น จึงมีการสร้างเว็บแบบนี้ขึ้นมา เพื่อเก็บรหัสผ่านใน dictionary ให้มากที่สุด

เพราะใช้ dictionary ใช้เวลาน้อยกว่าการ brute force แบบเทียบกันไม่ได้เลย

ดังนั้น อย่าได้เอารหัสผ่านจริง ๆ ที่ใช้ ไปทดลองเด็ดขาดครับ

By: napalm.potter

on 15 May 2013 - 16:27 #573448

วัดเป็น entropy เลยเรอะ

By: pingkunga

on 15 May 2013 - 17:20 #573460 Reply to:573448

ช่ายครับ มันจะมีสูตรที่ใช้ประเมินกับรหัสผ่าน แต่ละรูปแบบเลยครับ อาทิ เช่น แบบตัวอักษร กับ แบบ pattern unlock ของ Android ครับ

By: Aoun

on 15 May 2013 - 17:55 #573471

งงสถานเดียว จากคนนอกวงการ

By: chayaninw

on 15 May 2013 - 18:29 #573483

ประสบการณ์ส่วนตัว: เดิมทีตั้งใจว่าจะตั้งรหัสผ่านแบบง่ายๆ สำหรับบัญชี Blognone (เพราะ impact ต่ำ เลยขี้เกียจใช้แบบยากๆ)

เจอมันขึ้นว่า low เลยเปลี่ยนเป็นรหัสผ่านเวอร์ชันซับซ้อนแทน

By: Go-Kung

on 15 May 2013 - 18:30 #573484

P@ssw0rd

ผมเชื่อว่ามีหลายคนใช้แบบนี้

By: asakuraong

on 15 May 2013 - 18:38 #573486

เมื่อก่อนใช้แบบภาษาไทยพิมพ์เป็นภาษาอังกฤษแต่ชีวิตลำบากมากตอนจะเข้าด้วยมือถือตอนนี้เลยเลือกตัวอักษณที่ไม่เกี่ยวกันเลยมาแล้วหัดจำแทน

By: neonicus

on 15 May 2013 - 18:59 #573497 Reply to:573486

ผมก็ใช้อยู่นะ บนมือถือandroidก็สลับไปใช้ Thai English keyboard ชั่วคราวครับ
พิมพ์ password เสร็จก็ใช้keyboardเดิมตัวอื่นแทน

By: EThaiZone

on 15 May 2013 - 18:56 #573494

อย่าใส่ความหมายให้รหัสผ่าน ใส่เมื่อไรเจาะง่ายขึ้นได้จมเลย

มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

Main menu