ชัวร์ก่อนแชร์ : วันรหัสผ่านโลก ตั้งรหัสผ่านอย่างไรให้ปลอดภัย ไม่โดนแฮก !

รู้หรือไม่ ? รหัสผ่านไม่รัดกุม อาจทำให้ข้อมูลสำคัญของเรารั่วไหลได้ภายในพริบตา “วันรหัสผ่านโลก” จึงถูกกำหนดขึ้นเพื่อให้ผู้คนตระหนักถึงความสำคัญของการตั้งรหัสผ่านที่ปลอดภัย

รหัสผ่าน (Password) คือด่านแรกของความปลอดภัยในโลกออนไลน์ ไม่ว่าจะเป็นบัญชีโซเชียลมีเดีย อีเมล หรือแอปพลิเคชันด้านการเงินต่าง ๆ ล้วนต้องอาศัยรหัสผ่านในการยืนยันตัวตนและปกป้องข้อมูลสำคัญของเรา ซึ่งเป็นสิ่งที่ทุกคนควรให้ความสำคัญ

ด้วยเหตุนี้ จึงมีการกำหนดให้ วันพฤหัสบดีแรกของเดือนพฤษภาคมของทุกปี เป็น “วันรหัสผ่านโลก” (World Password Day) ซึ่งในปี 2568 นี้ ตรงกับ วันพฤหัสบดี ที่ 1 พฤษภาคม

เพื่อรณรงค์ให้ผู้คนตระหนักถึงความสำคัญของการตั้งรหัสผ่านที่รัดกุม ปลอดภัย และหมั่นปรับปรุงให้ทันต่อภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงอยู่เสมอ

5 ข้อห้ามทำ ! ถ้าไม่อยากโดนแฮก
1. ไม่ตั้งรหัสผ่านง่ายเกินไป เช่น การพิมพ์ไล่ตามแป้นพิมพ์ 123456 ใช้คำหรือประโยคง่าย ๆ เช่น password
2. ไม่ใช้ขอมูลส่วนตัวตั้งรหัสผ่าน
3. ไม่ตั้งรหัสผ่านเหมือนกันทุกบัญชี
4. ไม่กด “จำรหัสผ่าน” ในเครื่องที่มีคนอื่นใช้งานร่วมด้วย
5. ไม่บอกรหัสผ่านให้คนอื่นรู้

จากฐานข้อมูลการวิจัยของ NordPass พบว่า 10 อันดับรหัสผ่านยอดแย่ในประเทศไทยที่แฮกเกอร์สามารถแฮกได้ ใช้ระยะเวลาน้อยกว่า 1 วินาที ได้แก่

อันดับ รหัสผ่าน จำนวนครั้งที่มีการใช้รหัสผ่าน (ครั้ง) 1 123456 13,566 2 123456789 11,952 3 qwerty123 6,728 4 12345678 6,651 5 qwerty1 6,130 6 12345 4,228 7 1234567890 3,443 8 password 1,695 9 1234567 1,489 10 Qwerty1! 1,157 ข้อมูล ณ วันที่ 29 เมษายน 2568 https://nordpass.com/most-common-passwords-list

รหัสผ่าน ควรประกอบด้วย 4 องค์ประกอบ ได้แก่
1. ตัวอักษรภาษาอังกฤษพิมพ์ใหญ่
2. ตัวอักษรภาษาอังกฤษพิมพ์เล็ก
3. ตัวเลข
4. สัญลักษณ์พิเศษ
ทั้ง 4 องค์ประกอบนี้ ควรคละอยู่ในรหัสผ่าน และรหัสผ่านควรมีความยาวรวม 12 ตัวขึ้นไป

แล้วจะตั้งรหัสผ่านอย่างไรให้ปลอดภัย ?

7 ทริก ตั้งรหัสผ่านให้ลอดภัย ห่างไกลแฮกเกอร์ !
1. รหัสดี มีเอกลักษณ์
หากต้องการใช้ข้อมูลส่วนตัวมาตั้งรหัสผ่าน สามารถทำได้ แต่ต้องแต่งเติมให้มีเอกลักษณ์เฉพาะตัว มีแค่เราเท่านั้นที่รู้ เช่น
– ตั้งรหัสผ่านโดยใช้ชื่อผสมกับเบอร์โทรศัพท์
– เปลี่ยนตัวอักษรเป็นสัญลักษณ์

2. อักษรซ่อนรหัสลับ
cyfence.com แนะนำการตั้งรหัสผ่านจากค่า หรือตัวอักษรเพียง 2-3 ตัว โดยวางมือที่ปุ่ม QWERTY Keyboard จากนั้นลากเส้นเป็นตัวอักษร สามารถเพิ่มความซับซ้อนได้ด้วยการคละตัวอักษรพิมพ์ใหญ่ พิมพ์เล็ก สลับกัน

3. สลับโหมดแป้นพิมพ์
ตั้งรหัสผ่านโดยพิมพ์ประโยคภาษาไทยด้วยโหมดคีย์บอร์ดภาษาอังกฤษ แต่ไม่ควรใช้คำทั่วไปที่มีในพจนานุกรม เพราะแฮกเกอร์อาจใช้โปรแกรมเดารหัสผ่านโดยเปรียบเทียบจากฐานข้อมูลคำศัพท์ได้

4. กระหยิ่มใจ ใช้บทเพลง
ตั้งรหัสผ่านด้วยตัวอักษรแรกของท่อนเนื้อเพลงที่ชอบและจำได้ง่าย เช่น
พ.ศ. 2504 ผู้ใหญ่ลีตีกลองประชุม
แปลงเป็นภาษาคาราโอเกะจะได้เป็น : Por Sor 2504 Phu Yai Lee Tee Klong Pra Chum
เลือกเฉพาะตัวอักษรแรก จะได้เป็น : ps2504PYLTKPCH

5. เพ่งรหัส เสริมเรื่องราว
เทคนี้แนะนำโดยนักวิศวคอมพิวเตอร์ จาก Carnegie Mellon University ให้ลองคิดชุดคำเป็นเรื่องราว “ใคร ทำอะไร ที่ไหน” อาจไม่ใช่เรื่องที่เกิดขึ้นจริง แต่เราสามารถจำได้ จากนั้นแปลงเป็นรหัส เช่น
Mr.Sure reading news at home
ใคร = MS
ทำอะไร = read1ng
ที่ไหน = @home
รวมเป็นรหัสผ่าน MSread1ng@home

6. เสริมกล่าว ชื่อแพลตฟอร์ม
ไม่ควรตั้งรหัสผ่านเดียวกันในทุกแพลตฟอร์ม เพราะหากแฮกเกอร์สามารถเจาะเข้าได้เพียง 1 แพลตฟอร์ม ก็จะสามารถลามไปยังแพลตฟอร์มอื่น ๆ ได้ โดยหากมีหลายรหัสผ่านสำหรับหลายแพลตฟอร์มก็คงจำยาก อาจใช้การขึ้นหัวหรือปิดท้ายรหัสด้วยชื่อแพลตฟอร์มนั้น ๆ เช่น xxxxxxFB

7. พร้อมปรับ ตามวันที่
อาจให้ วัน เดือน ปี ที่ตั้งรหัสผ่านครั้งล่าสุดเข้าไปอยู่ในรหัสผ่านด้วย

แต่ในยุคที่เทคโนโลยีพัฒนาอย่างก้าวกระโดดแค่ “รหัสผ่าน” อาจยังไม่เพียงพอ ! 2FA หรือ two-factor authenticationจึงเป็นอีกหนึ่งทางเลือกที่จะใช้ยืนยันตัวตนได้ว่า ผู้ที่ทำลังใช้บริการอยู่นั้น เป็นเจ้าของบัญชีจริง ๆ

2FA คือ การยืนยันว่าตนเองว่าคือผู้ใช้บริการจริง โดยการแสดงว่าตนครอบครองสิ่งที่ใช้ยืนยันตัวตน (authenticators) ที่มีปัจจัยของการยืนยันตัวตน (authentication factor) จำนวน 2 ปัจจัยที่แตกต่างกัน

ปัจจัยของการยืนยันตัวตนสามารถแบ่งออกเป็น 3 ประเภท ดังนี้
1. สิ่งที่คุณรู้ (something you know) คือ ข้อมูลที่ผู้ใช้บริการเท่านั้นที่ทราบ
เช่น username-password หรือ PIN code
2. สิ่งที่คุณมี (something you have) คือ สิ่งของที่ผู้ใช้บริการเท่านั้นครอบครอง
เช่น Sim card โทรศัพท์ อุปกรณ์เฉพาะที่ใช้ในการสร้าง one-time-password (OTP device)
3. สิ่งที่คุณเป็น (something you are) คือ ข้อมูลชีวมิติ (biometric data) ของผู้ใช้บริการ
เช่น ใบหน้า และลายนิ้วมือ

ปัจจุบัน 2FA ส่วนมากมักเลือกใช้ปัจจัยของการยืนยันตัวตนประเภทสิ่งที่คุณรู้ (something you know) คู่กับปัจจัยของการยืนยันตัวตนประเภทสิ่งที่คุณมี (something you have)

ตัวอย่างที่คุ้นเคย เช่น การฝากเงินผ่านตู้ ATM ธนาคารจะให้ผู้ใช้บริการ จะต้องมีการยืนยันตัวตนด้วยหมายเลขบัตรประชาชน และหมายเลขโทรศัพท์ซึ่งเป็นสิ่งที่คุณรู้ (something you know) เพื่อรับรหัส OTP (something you have) เสมอ

ในบางกรณี ขาชอปอาจเคยเจอ ! เช่น การชำระค่าสินค้าออนไลน์ผ่านบัตรเครดิต ระบบจะให้กรอกเลขบัตรเครดิต และเลขหลังบัตร ซึ่งเป็นสิ่งที่คุณรู้ (something you know) จากนั้นจะปรากฏหน้าต่างเพื่อให้กรอกรหัสลับ OTP ที่ส่งให้ตามเบอร์โทรศัพท์ ซึ่งเป็นสิ่งที่คุณมี (something you have) ของลูกค้าตามที่ลงทะเบียนไว้

นอกจาก 2FA ที่จะมาช่วยเรายืนยันตัวตนหลังกรอกรหัสผ่านแล้วนั้น เรายังมีน้องใหม่ที่จะทำให้รหัสผ่านหายไป และปลอดภัยมากยิ่งขึ้น !

Passkey มาตรฐานใหม่ ทดแทนการยืนยันตัวตนด้วยรหัสผ่าน

โดยเป็นการยืนยันตัวตนด้วยระบบหลังบ้านของผู้ให้บริการซึ่งเป็นการดำเนินตามขั้นตอนทางเทคนิค ก่อนที่ผู้ใช้บริการจะยืนยันตัวตนด้วยชีวมิติ (biometric data) เช่น การสแกนนิ้ว หรือสแกนใบหน้า บนอุปกรณ์ส่วนตัวของผู้ใช้งาน

ตัวอย่างการใช้ Passkey ที่เราอาจคุ้นเคย
เช่น เมื่อเราเข้าสู่เว็บไซต์ที่เคยเป็นสมาชิก ระบบ Passkey ของเว็บไซต์นั้น ๆ จะสอบถามชื่อผู้ใช้ เมื่อดำเนินการสู่ขั้นต่อไป เว็บไซต์จะสแดง QR Code ให้เราสแกนด้วยโทรศัพท์มือถือเครื่องที่เคยลงทะเบียนไว้ อาจใช้การสแกนนิ้ว หรือสแกนใบหน้าเพื่อยืนยันได้

ระบบการยืนยันตัวตนด้วย Passkey นั้น เป็นระบบที่ปลอดภัยกว่าระบบอื่น ๆ ทั้งการกรอกรหัสผ่านแล้วเสี่ยงต่อการสูญหาย โดนแฮกเกอร์หลอกให้ส่งเลข OTP อีกทั้งผู้ให้บริการก็ยังมั่นใจได้ว่า ข้อมูลรหัสผ่านนั้นจะไม่รั่วไหลหรือโดนแฮก

ปัจจุบันเริ่มมีหลายบริษัทระดับโลกเลือกใช้ Passkey ในการยืนยันตัวตนแล้ว เช่น Google Apple ที่ใช้ Passkey ในการเข้าสู่ระบบ หรือยืนยันตัวตนก่อนใช้บริการต่าง ๆ

จะเห็นได้ว่า “รหัสผ่าน” เป็นสิ่งสำคัญ เปรียบเสมือนปราการด่านแรกที่จะช่วยปกป้องข้อมูลของเราไม่ให้หลุดรั่วหรือโดนโจรกรรม เพราะ หากผู้ไม่หวังดีสามารถเข้าถึงรหัสผ่านได้ ก็เท่ากับสามารถเข้าถึงข้อมูลสำคัญของเราได้เช่นกัน เราจึงต้องให้ความสำคัญกับการตั้งรหัสผ่านที่ปลอดภัยทุกครั้ง

30 เมษายน 2568
ศูนย์ชัวร์ก่อนแชร์
สำนักข่าวไทย อสมท
เขียนและรวบรวม โดย นัฐภรณ์ ผลพฤกษา

ดูคลิป ชัวร์ก่อนแชร์ เพิ่มเติม

ชัวร์ก่อนแชร์ วัคซีนไซเบอร์ : “7 อ” กฎเหล็กต้องห้ามในการตั้งรหัสผ่าน

PASSKEY | ชัวร์ก่อนแชร์ PODCAST | THE CYBER MINDSET

อ้างอิง
ชัวร์ก่อนแชร์ วัคซีนไซเบอร์ : 7 ทริกตั้งรหัสผ่านให้ปลอดภัย
https://www.youtube.com/watch?v=D0WiCH-m28A

ชัวร์ก่อนแชร์ ภัยไซเบอร์ : 5 ข้อต้องห้ามในการใช้รหัสผ่าน
https://www.youtube.com/watch?v=d3iVIXCXmhw

Top 200 Most Common Passwords
https://nordpass.com/most-common-passwords-list