Online-password Generator ปลอดภัยจริงไหม ?

By Alongkorn Lucksanaviboon,

Penetration Tester Team, Datafarm Company Limited

ในยุคนี้ผมเชื่อว่าหลายคนเคยปวดหัวกับการคิดรหัสผ่านในการใช้งานไม่ว่าจะเป็นใช้ในเว็ปไซต์หรือแพลตฟอร์มต่างๆโดยถ้าเราตั้งรหัสผ่านง่ายเกินไปก็อาจจะทำให้คนอื่นสามารถคาดเดาได้ง่ายหรือตั้งอะไรที่เกี่ยวข้องกับตัวเราเช่น วันเดือนปีเกิด , เลขที่บ้าน , เบอร์โทร เป็นต้นก็ยังทำให้คนอื่นคาดเดาได้อยู่ดี กลายเป็นว่าเราต้องไปคิดรหัสผ่านที่ทำให้คาดเดาได้ยากซึ่งในการคิดรหัสผ่านตามหลักแล้วจะมีรูปแบบอยู่ คือ

1.รหัสผ่านต้องมีความยาวอย่างน้อย 12 ตัวอักษร แต่ 14 ตัวอักษรขึ้นไปจะดีกว่า

2.ต้องประกอบด้วยตัวอักษรพิมพ์ใหญ่ ตัวอักษรพิมพ์เล็ก ตัวเลข และสัญลักษณ์

3.ต้องไม่ใช่คำที่สามารถพบได้ในพจนานุกรม หรือชื่อบุคคล ตัวละคร ผลิตภัณฑ์ หรือองค์กร

4.ต้องแตกต่างจากรหัสผ่านก่อนหน้าของคุณอย่างเห็นได้ชัด

5.ต้องจำง่ายสำหรับคุณ แต่ยากสำหรับผู้อื่นที่จะเดาได้ ลองใช้คำหรือวลีที่จำง่าย เช่น “6MonkeysRLooking^”

โดยเงื่อนไขทั้งหมดเหล่านี้ก็ต้องใช้เวลาพอสมควรในการคิดรหัสผ่านของเรา จากคำกล่าวของ Daniel Kahneman

“The law (of least effort) asserts that if there are several ways of achieving the same goal, people will eventually gravitate to the least demanding course of action. In the economy of action, effort is a cost, and the acquisition of skill is driven by the balance of benefits and costs. Laziness is built deep into our nature.”

แปลง่ายๆก็คือ มนุษย์มักเลือกวิธีที่ใช้พลังงานสมองน้อยที่สุด ดังนั้นในเมื่อคิดเองมันยากงั้นทำไมเราไม่หาตัวช่วยในการคิดให้เลยหล่ะจึงกลายเป็นที่มาของเครื่องมือ Online Password Generator หรือเครื่องมือสร้างรหัสผ่านออนไลน์ หลักการง่ายๆก็คือเครื่องมือเหล่านี้จะใช้อัลกอริทึมสร้างตัวอักษร ตัวเลข และสัญลักษณ์แบบสุ่ม ที่ไม่มีความหมายและไม่มีรูปแบบตายตัว ซึ่งยากต่อการคาดเดาโดยคอมพิวเตอร์และมนุษย์แต่คำถามที่ตามมาคือ “เครื่องมือเหล่านี้ปลอดภัยจริงๆ หรือเป็นเพียงกับดักที่ล่อให้เราส่งรหัสผ่านให้แฮ็กเกอร์กันแน่?”

แม้ว่า Online Password Generator จะสร้างรหัสผ่านที่ “ซับซ้อน” ได้ดีเยี่ยม แต่คำว่า “Online” คือจุดที่สร้างความกังวล นี่คือความเสี่ยงหลักๆ ที่ต้องพิจารณา คือ

1. ความไว้วางใจต่อผู้ให้บริการ (The Trust Issue)

เมื่อคุณกดปุ่ม “Generate” บนหน้าเว็บไซต์ คุณไม่มีทางรู้เลยว่าเบื้องหลังโค้ดเหล่านั้นมีการทำงานอย่างไร เว็บไซต์ที่ดูน่าเชื่อถืออาจมีการติดตั้งสคริปต์ที่แอบส่งรหัสผ่านที่เพิ่งสร้างเสร็จกลับไปยังเซิร์ฟเวอร์ของผู้ให้บริการ (Logging) หากผู้ให้บริการรายนั้นมีเจตนาไม่ดี เขาจะสามารถเก็บรวบรวมรหัสผ่านคุณภาพสูงจำนวนมากไว้ในฐานข้อมูลของตนเองได้

2. ความเสี่ยงจากการถูกดักจับข้อมูล (Man-in-the-Middle Attack)

รหัสผ่านที่สร้างขึ้นบนเว็บเบราว์เซอร์ หากเว็บไซต์นั้นไม่ได้ใช้โปรโตคอลการรับส่งข้อมูลที่ปลอดภัย (HTTPS) หรือหากเครื่องคอมพิวเตอร์ของคุณติดมัลแวร์ ข้อมูลรหัสผ่านอาจถูกดักจับได้ในขณะที่มีการส่งข้อมูลระหว่างเครื่องของคุณกับเซิร์ฟเวอร์

3. ความไม่สุ่มที่แท้จริง (Pseudo-Randomness)

เว็บไซต์สร้างรหัสผ่านที่ไม่ได้มาตรฐานอาจใช้อัลกอริทึมที่เรียบง่ายเกินไป ซึ่งหากแฮ็กเกอร์รู้ว่าเว็บไซต์นั้นใช้อัลกอริทึมอะไร พวกเขาก็สามารถคาดเดารหัสผ่านลำดับถัดไปที่จะถูกสร้างขึ้นมาได้

นอกจากนี้ในยุคของ AI แน่นอนว่าก็สามารถใช้เป็นเครื่องมือในการสร้างรหัสผ่านได้แบบรวดเร็วแต่ก็มีความเสี่ยงในเรื่องการใช้สร้างรหัสผ่านด้วยเหมือนกันคือ

1. ปัญหาหลัก: AI “ไม่สุ่ม” จริง (Lack of True Randomness)

· ธรรมชาติของ LLM: โมเดลภาษาอย่าง ChatGPT, Claude หรือ Gemini ถูกฝึกมาเพื่อ “คาดเดาสิ่งที่จะเกิดขึ้นถัดไป” (Predictive) ไม่ได้ถูกออกแบบมาเพื่อสร้างความสุ่มแบบสมบูรณ์

· ความซ้ำซ้อน: จากการทดสอบของบริษัท Irregular พบว่าเมื่อใช้ Claude สร้างรหัสผ่าน 50 ครั้ง กลับได้รหัสที่ไม่ซ้ำกันเพียง 23 ชุดเท่านั้น และมีบางชุดที่ปรากฏซ้ำถึง 10 ครั้ง

· รูปแบบที่คาดเดาได้: รหัสผ่านที่ AI สร้างมักมีโครงสร้างที่คล้ายคลึงกัน ซึ่งขัดกับหลักการความปลอดภัยที่ต้องการความสุ่มที่คาดเดาไม่ได้ (Uniform Randomness)

2.ความเสี่ยงต่อการถูกโจมตีแบบ Dictionary Attack

· แฮ็กเกอร์สามารถรวบรวมรหัสผ่านที่ AI ชอบสร้างบ่อยๆ มาทำเป็น “AI Password Wordlist”

· การเพิ่มรหัสผ่านที่ AI สร้างบ่อยๆ เข้าไปในฐานข้อมูลการโจมตี (Dictionary Attack) ทำได้ง่ายมาก และช่วยให้แฮ็กเกอร์เจาะระบบได้เร็วขึ้น เพราะคนจำนวนมากเริ่มใช้ AI ช่วยตั้งรหัสผ่านเหมือนๆ กัน

คำถาม : เราสามารถใช้ Password ที่ AI สร้างมาใช้งานได้ไหม

คำตอบ : ไม่แนะนำเนื่องจากว่าสร้างรหัสผ่านโดยอิงจาก “คำศัพท์” หรือ “แพทเทิร์น” ที่มันเรียนรู้มา ซึ่งแฮ็กเกอร์สามารถเรียนรู้ตามได้แปลว่ายังคงสามารถคาดเดาได้อยู่

กลับมาที่คำถามว่า Online Password Generator ปลอดภัยจริงไหม ?

คำตอบ : ปลอดภัยในระดับที่ยอมรับได้ หากใช้อย่างถูกต้องแต่ต้องไม่นำมาใช้แบบเพียวๆ เมื่อเว็บไซต์สร้างรหัสมาให้ เช่น kL9#mP2!qR5 ให้เรานำมาดัดแปลงตัดแต่งเพิ่มเติม โดยอาจจะเติมคำที่ตัวเองจำได้ไว้ข้างหน้าหรือข้างหลัง หรือเปลี่ยนตัวอักษรบางตัว (เช่น เปลี่ยน L เป็น £) หรือ ใช้เครื่องมือแบบ Offline แทนโดยใช้โปรแกรม Password Manager ที่ติดตั้งลงในเครื่อง (เช่น Bitwarden, KeePass หรือ 1Password)เครื่องมือเหล่านี้มีฟังก์ชัน Generate รหัสผ่านในตัว ซึ่งทำงานแบบ Local (ในเครื่องของคุณเอง) ไม่มีการส่งข้อมูลผ่านอินเทอร์เน็ต

สุดท้ายนี้ไม่ว่ารหัสผ่านจะยากต่อการคาดเดาแค่ไหนหรือสร้างจากเครื่องมือที่มีอัลกอริทึมซับซ้อนก็ตามถ้าหากว่าผู้ใช้งานทำหลุดขึ้นมาเช่นใช้ เช่น การใช้รหัสผ่านซ้ำ (Password Reuse) ในหลายเว็บไซต์ เมื่อเว็บไซต์ใดเว็บไซต์หนึ่งถูกแฮ็ก รหัสผ่านที่ตั้งไว้ยากๆ ก็จะไร้ความหมายทันทีดังนั้นการที่เรารู้ว่ารหัสผ่านหรือข้อมูลของเราหลุดไปหรือเปล่าก็จะช่วยให้เรามีความตระหนักและระวังตัวมากขึ้น เช่น ถ้ารู้ว่ารหัสเราหลุดก็ไปเปลี่ยนรหัสผ่านใหม่และเพิ่มมาตรการให้ปลอดภัยมากยิ่งขึ้นโดยการใช้ 2FA/MFA เป็นต้น ดังนั้นการใช้เครื่องมืออย่าง Personar ที่มีฟังก์ชั่นที่สามารถตรวจสอบข้อมูลของเราว่ามีอะไรหลุดไปในโลกออนไลน์บ้างเช่น รหัสผ่าน ก็สามารถช่วยทำให้การใช้งานบนเว็บไซต์หรือแพลตฟอร์มมีความปลอดภัยมากยิ่งขึ้น