logo
GeekFormat

เครื่องมือสร้างรหัสผ่าน

0
ความยาวรหัสผ่าน
16chars
64
ชุดอักขระที่รวม
สร้างแบบชุด

เครื่องมือสร้างรหัสผ่านออนไลน์ฟรี สร้างรหัสผ่านแข็งแรงสุ่ม วลีรหัสผ่านจำง่าย และ PIN ตัวเลขตามแหล่งสุ่มที่ปลอดภัย Web Crypto รองรับการตรวจสอบความแข็งแรง การแยกตัวอักษรที่สับสนง่าย การส่งออกเป็นชุด สร้างในเครื่องในเบราว์เซอร์ ไม่อัปโหลด

คำแนะนำที่เกี่ยวข้อง

กรณีการใช้งาน

  • สร้างรหัสผ่านแข็งแรงสุ่มเมื่อลงทะเบียนบัญชีใหม่ ดูเอนโทรปีและเวลาแคร็ก เพื่อให้แน่ใจว่าบัญชีปลอดภัย
  • สร้างรหัสผ่านชั่วคราวเป็นชุดสำหรับทีมหรือสภาพแวดล้อมการทดสอบ แจกจ่ายได้อย่างรวดเร็ว
  • สร้างวลีรหัสผ่านจำง่ายสำหรับรหัสผ่าน Wi-Fi หรือรหัสผ่านอุปกรณ์ที่ต้องจำด้วยมือ
  • ตั้งค่า PIN อุปกรณ์ เริ่มต้นบัญชีผู้ดูแลระบบ หรือรีเซ็ตรหัสผ่าน
  • แทนที่รหัสผ่านอ่อนแอ แทนที่รหัสผ่านที่มนุษย์สร้างซึ่งคาดเดาง่ายด้วยรหัสผ่านสุ่มที่มีความเข้มแข็งสูง

คุณสมบัติ

  • การสร้างสุ่มที่ปลอดภัย: อาศัยแหล่งสุ่มที่ปลอดภัยทางการเข้ารหัสของ Web Crypto API (crypto.getRandomValues) ของเบราว์เซอร์ สร้างรหัสผ่านสุ่มที่ไม่สามารถคาดเดาได้
  • โหมดรหัสผ่าน 3 แบบ: รองรับ 3 โหมด: รหัสผ่านสุ่ม วลีรหัสผ่านจำง่าย (ชุดคำ) และ PIN ตัวเลข ครอบคลุมระดับความปลอดภัยที่แตกต่างกัน
  • การตรวจสอบความแข็งแรงที่สมบูรณ์: ดูขนาดกลุ่มตัวอักษร การคำนวณเอนโทรปี การตรวจจับการจับคู่รหัสผ่านอ่อนแอ ความเสี่ยงของตัวอักษรซ้ำ/ต่อเนื่อง การประเมินเวลาแคร็กแบบ brute force
  • แยกตัวอักษรที่สับสนง่าย: สามารถแยกตัวอักษรที่สับสนง่ายเช่น 0/O/1/l/I เหมาะสำหรับสถานการณ์ป้อนด้วยมือ พูดทางโทรศัพท์
  • สร้างและส่งออกเป็นชุด: รองรับการสร้างชุด 5/10/20 รหัสผ่าน ดาวน์โหลด TXT ในคลิกเดียว สะดวกสำหรับการแจกจ่ายทีมและการเริ่มต้นสภาพแวดล้อมการทดสอบ
  • สร้างในเครื่องไม่อัปโหลด: รหัสผ่านทั้งหมดถูกสร้างในเครื่องในเบราว์เซอร์ ไม่ส่งไปยังเซิร์ฟเวอร์ใดๆ

วิธีการใช้งาน

  1. เลือกโหมดรหัสผ่าน: รหัสผ่านสุ่ม วลีรหัสผ่านจำง่าย หรือ PIN ตัวเลข
  2. ตั้งค่าความยาวรหัสผ่าน ตัวเลือกชุดตัวอักษร (แนะนำมากกว่า 16 ตัวอักษร) สามารถเปิดใช้การแยกตัวอักษรที่สับสนง่าย
  3. ดูผลการตรวจสอบความแข็งแรง: เอนโทรปี การประเมินเวลาแคร็ก การตรวจจับรหัสผ่านอ่อนแอ
  4. คัดลอกรหัสผ่านหรือส่งออกไฟล์ TXT เป็นชุดสำหรับการลงทะเบียน รีเซ็ต หรือแจกจ่าย

คำถามที่พบบ่อย

ทำไมต้องใช้ Web Crypto API แทน Math.random()?

Math.random() เป็นตัวสร้างตัวเลขสุ่มเทียมทั่วไป ไม่ได้ออกแบบมาสำหรับสถานการณ์ความปลอดภัย สถานะภายในอาจถูกคาดเดาย้อนกลับได้ crypto.getRandomValues() ใช้แหล่งสุ่มที่ปลอดภัยทางการเข้ารหัส (CSPRNG) ของระบบปฏิบัติการ สร้างตัวเลขสุ่มที่ไม่สามารถคาดเดาได้ เหมาะสำหรับสถานการณ์ความปลอดภัยเช่น รหัสผ่าน คีย์

รหัสผ่านที่สร้างขึ้นจะถูกอัปโหลดไปยังเซิร์ฟเวอร์หรือไม่?

ไม่ รหัสผ่านทั้งหมดถูกสร้างในเครื่องในเบราว์เซอร์ การวิเคราะห์ความแข็งแรง การคำนวณเอนโทรปี และการประเมินเวลาแคร็กก็ทำในเครื่องทั้งหมดเช่นกัน เปิดแผงเครือข่ายของเครื่องมือพัฒนาสามารถตรวจสอบได้ว่าไม่มีคำขอเครือข่ายภายนอก

รหัสผ่านยาวเท่าไหร่ถึงจะปลอดภัย?

แนะนำอย่างน้อย 12 ตัวอักษรที่ประกอบด้วยตัวพิมพ์ใหญ่+ตัวพิมพ์เล็ก+ตัวเลข+สัญลักษณ์ รหัสผ่านสุ่ม 16 ตัวอักษรต้องใช้หลายร้อยล้านปีในการแคร็กแบบ brute force ด้วยพลังการคำนวณสมัยใหม่ ทุกครั้งที่เพิ่มความยาวขึ้นหนึ่งตัวอักษร พื้นที่การค้นหาจะเพิ่มขึ้นแบบทวีคูณ อ้างอิงตารางเวลาแคร็กข้างต้น

รหัสผ่านสุ่มหรือวลีรหัสผ่านจำง่าย อันไหนปลอดภัยกว่า?

ด้วยความยาวเท่ากัน รหัสผ่านสุ่มมีเอนโทรปีสูงกว่า แต่วลีรหัสผ่านจำง่าย (ประกอบด้วยคำสุ่ม 4-6 คำ) ก็มีเอนโทรปีรวมที่สูงเพียงพอ (มากกว่า ~60bit) และจำได้ง่ายกว่า เหมาะสำหรับสถานการณ์ที่ต้องป้อนด้วยมือ จุดสำคัญคือคำต้องถูกเลือกแบบสุ่มอย่างแท้จริง ไม่ใช่วลีที่คุณคิดขึ้นเอง

ทำไมต้องแยกตัวอักษรที่สับสนง่าย (0/O/1/l/I)?

ตัวอักษรเหล่านี้ยากที่จะแยกแยะในฟอนต์บางชนิด ง่ายต่อการทำให้เกิดข้อผิดพลาดในการป้อน หากรหัสผ่านต้องป้อนด้วยมือ พูดทางโทรศัพท์ หรือพิมพ์เพื่อแจกจ่าย แนะนำให้เปิดใช้ตัวเลือกการแยก หากใช้โดยตัวจัดการรหัสผ่านเท่านั้น การเก็บตัวอักษรทั้งหมดจะได้รับเอนโทรปีที่สูงขึ้น

การเปลี่ยนรหัสผ่านเป็นระยะปลอดภัยกว่าหรือไม่?

แนวทางล่าสุดของ NIST (SP 800-63B) ไม่แนะนำให้เปลี่ยนรหัสผ่านเป็นระยะอีกต่อไป เว้นแต่จะยืนยันว่ารหัสผ่านรั่วไหล การบังคับเปลี่ยนเป็นระยะกลับทำให้ผู้ใช้เลือกรหัสผ่านอ่อนแอหรือเขียนไว้ วิธีที่ดีกว่าคือ: ใช้รหัสผ่านสุ่มยาว + ตัวจัดการรหัสผ่าน + เปิดใช้การยืนยันตัวตนสองขั้นตอน (2FA)

เอนโทรปีรหัสผ่านคืออะไร?

เอนโทรปีวัดความไม่สามารถคาดเดาได้ของรหัสผ่าน หน่วยเป็น bit เอนโทรปี = log₂(ขนาดกลุ่มตัวอักษร^ความยาวรหัสผ่าน) ตัวอย่างเช่น รหัสผ่าน 16 ตัวอักษรถูกเลือกแบบสุ่มจาก 94 ตัวอักษร ASCII ที่พิมพ์ได้ เอนโทรปีคือ log₂(94¹⁶) ≈ 104 bit ยิ่งเอนโทรปีสูงเท่าไหร่ การแคร็กแบบ brute force ก็ยิ่งยากเท่านั้น

เครื่องมือสร้างรหัสผ่านปลอดภัยคืออะไร?

เครื่องมือสร้างรหัสผ่านคือเครื่องมือสำหรับสร้างรหัสผ่านสุ่มที่ไม่สามารถคาดเดาได้ แตกต่างจากรหัสผ่านที่มนุษย์ออกแบบ เครื่องมือสร้างรหัสผ่านที่แท้จริงใช้ **ตัวสร้างตัวเลขสุ่มเทียมที่ปลอดภัยทางการเข้ารหัส (CSPRNG)** เพื่อเลือกตัวอักษรแบบสุ่มจากกลุ่มตัวอักษรที่กำหนด หลีกเลี่ยงรูปแบบที่คาดเดาได้ซึ่งมีอยู่ตามธรรมชาติเมื่อมนุษย์ตั้งรหัสผ่าน (ชื่อ+วันเกิด ปุ่มต่อเนื่องบนแป้นพิมพ์เช่น qwerty ชื่อบริษัท+ปี ฯลฯ) ซึ่งจะช่วยลดความเสี่ยงจากการโจมตีแบบ credential stuffing การโจมตีด้วยพจนานุกรม และการแคร็กแบบ brute force ได้อย่างมาก

**ทำไมไม่สามารถใช้ Math.random()**: สถานะภายในของตัวสร้างตัวเลขสุ่มเทียมทั่วไปสามารถถูกคาดเดาย้อนกลับได้จากผลลัพธ์จำนวนเล็กน้อย ผู้โจมตีสามารถคาดเดาตัวเลข «สุ่ม» ที่สร้างขึ้นในภายหลังได้ เครื่องมือนี้ใช้ crypto.getRandomValues() จาก Web Crypto API ของเบราว์เซอร์ ซึ่งเรียกใช้ CSPRNG ระดับระบบปฏิบัติการในระดับล่าง (เช่น getrandom ของ Linux, SecRandomCopyBytes ของ macOS, BCryptGenRandom ของ Windows) ตัวเลขสุ่มที่สร้างขึ้นผ่านการทดสอบความสุ่มทางการเข้ารหัส ไม่สามารถคาดเดาได้

**แกนหลักของความแข็งแรงรหัสผ่านคือเอนโทรปี**: เอนโทรปี = log₂(ขนาดกลุ่มตัวอักษร^ความยาวรหัสผ่าน) หน่วยเป็น bit ตัวอย่างเช่น รหัสผ่าน 16 ตัวอักษรถูกเลือกแบบสุ่มจาก 94 ตัวอักษร ASCII ที่พิมพ์ได้ เอนโทรปีประมาณ 104 bit ซึ่งหมายความว่าผู้โจมตีโดยเฉลี่ยต้องลอง 2¹⁰³ ครั้งจึงจะพบรหัสผ่านที่ถูกต้อง — แม้จะลอง 1 ล้านล้านครั้งต่อวินาทีก็ต้องใช้เวลาประมาณ 200 พันล้านปี

**วลีรหัสผ่านจำง่าย (Passphrase)**: ประกอบด้วยคำหลายคำที่ถูกเลือกแบบสุ่ม (เช่น Brave-Cloud-Star42) แม้ว่าจะดู «เรียบง่าย» กว่ารหัสผ่านสุ่ม แต่ถ้าคำถูกเลือกแบบสุ่มอย่างแท้จริง เอนโทรปีรวมสามารถถึงมากกว่า 60 bit ซึ่งปลอดภัยเพียงพอสำหรับสถานการณ์ส่วนใหญ่ และจำได้ง่ายกว่ารหัสผ่านสุ่มที่มีความแข็งแรงเท่ากันมาก นี่ยังเป็นแนวคิดหลักของการ์ตูนคลาสสิก XKCD #936 และวิธีการ Diceware

**รหัสผ่านทั้งหมดถูกสร้างในเครื่องในเบราว์เซอร์** ไม่ส่งไปยังเซิร์ฟเวอร์ใดๆ เครื่องมือนี้ยังให้การตรวจสอบความแข็งแรง: การคำนวณเอนโทรปี การประเมินเวลาแคร็กแบบ brute force การตรวจจับรูปแบบรหัสผ่านอ่อนแอ (ตัวอักษรซ้ำ ตัวเลข/ตัวอักษรต่อเนื่อง การจับคู่กับรหัสผ่านอ่อนแอทั่วไป) ช่วยให้คุณเข้าใจความแข็งแรงความปลอดภัยที่แท้จริงของรหัสผ่านที่สร้างขึ้น

术语表

CSPRNG (ตัวสร้างตัวเลขสุ่มเทียมที่ปลอดภัยทางการเข้ารหัส)
Cryptographically Secure Pseudo-Random Number Generator ตัวสร้างตัวเลขสุ่มที่ผ่านการทดสอบความสุ่มทางการเข้ารหัสที่เข้มงวด ผลลัพธ์ไม่สามารถคาดเดาได้ แม้ว่าผู้โจมตีจะทราบผลลัพธ์ในอดีตจำนวนมากก็ไม่สามารถอนุมานผลลัพธ์ในภายหลังได้ Web Crypto API ของเบราว์เซอร์ใช้ CSPRNG ในระดับล่าง
เอนโทรปีรหัสผ่าน
ตัวบ่งชี้ที่วัดความไม่สามารถคาดเดาได้ของรหัสผ่าน หน่วยเป็น bit สูตรการคำนวณ: เอนโทรปี = log₂(N^L) โดย N คือขนาดกลุ่มตัวอักษร L คือความยาวรหัสผ่าน ยิ่งเอนโทรปีสูงเท่าไหร่ การแคร็กแบบ brute force ก็ยิ่งยากเท่านั้น โดยทั่วไปมากกว่า 60 bit ถือว่าปลอดภัย มากกว่า 100 bit ถือว่าแข็งแรงมาก
การโจมตีแบบ Brute Force
วิธีการโจมตีที่ลองชุดค่าผสมตัวอักษรที่เป็นไปได้ทั้งหมดเพื่อคาดเดารหัสผ่าน วิธีการป้องกันคือการใช้รหัสผ่านสุ่มที่ยาวเพียงพอ ทำให้จำนวนชุดค่าผสมมีขนาดใหญ่จนไม่สามารถนับได้ทางกายภาพ
การโจมตีด้วยพจนานุกรม (Dictionary Attack)
วิธีการโจมตีที่ใช้รายการรหัสผ่านทั่วไป (เช่น 123456, password, qwerty ฯลฯ) เพื่อคาดเดา มีประสิทธิภาพมากกว่าการโจมตีแบบ brute force อย่างมาก เนื่องจากผู้ใช้ส่วนใหญ่ใช้รหัสผ่านอ่อนแอทั่วไป รหัสผ่านที่สร้างแบบสุ่มมีภูมิคุ้มกันตามธรรมชาติต่อการโจมตีด้วยพจนานุกรม
การโจมตีแบบ Credential Stuffing
การใช้ชื่อผู้ใช้และรหัสผ่านที่รั่วไหลจากเว็บไซต์หนึ่งเพื่อพยายามเข้าสู่ระบบเว็บไซต์อื่น วิธีการป้องกันคือการใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับแต่ละเว็บไซต์และตรวจสอบว่ารหัสผ่านรั่วไหลผ่าน Have I Been Pwned
วลีรหัสผ่านจำง่าย (Passphrase)
รหัสผ่าน/วลีรหัสผ่านที่ประกอบด้วยคำสุ่มหลายคำ เมื่อเปรียบเทียบกับรหัสผ่านตัวอักษรสุ่ม วลีคำจะจำได้ง่ายกว่า เมื่อจำนวนคำมากเพียงพอ เอนโทรปีก็สูงเช่นกัน Diceware เป็นวิธีการสร้างวลีรหัสผ่านจำง่ายที่มีชื่อเสียงที่สุด ใช้ลูกเต๋าเพื่อเลือกแบบสุ่มจากรายการ 7772 คำ
Diceware
วิธีการสร้างวลีรหัสผ่านที่คิดค้นโดย Arnold Reinhold ในปี 1995 ใช้ลูกเต๋า 5 ลูกเพื่อกำหนดคำหนึ่งคำ (เลือกจากรายการ 7776 คำ) คำ Diceware 6 คำมีเอนโทรปีประมาณ 77 bit ความปลอดภัยเพียงพอที่จะต้านทานการโจมตีแบบ brute force
NIST SP 800-63B
แนวทางการรับรองความถูกต้องของเอกลักษณ์ดิจิทัลที่ออกโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา เป็นเอกสารอ้างอิงที่มีอำนาจที่สุดในด้านความปลอดภัยรหัสผ่าน หลังจากอัปเดตในปี 2017 ไม่แนะนำให้เปลี่ยนรหัสผ่านเป็นระยะอีกต่อไป ไม่บังคับให้ใช้อักขระพิเศษอีกต่อไป แต่เน้นที่ความยาวรหัสผ่าน การตรวจจับบัญชีดำ และการรับรองความถูกต้องหลายปัจจัยแทน
การยืนยันตัวตนสองขั้นตอน (2FA/MFA)
ต้องใช้วิธีการยืนยันตัวตนที่สองนอกเหนือจากรหัสผ่าน (เช่น รหัสยืนยันทางโทรศัพท์ TOTP คีย์ฮาร์ดแวร์) แม้ว่ารหัสผ่านจะรั่วไหลก็สามารถปกป้องความปลอดภัยของบัญชีได้ NIST แนะนำให้เปิดใช้ 2FA สำหรับบัญชีสำคัญทั้งหมด
บัญชีดำรหัสผ่านอ่อนแอ
รายการรหัสผ่านที่รั่วไหลสู่สาธารณะ พบบ่อยมาก หรือมีรูปแบบที่คาดเดาได้ เช่น 123456, password, admin, qwerty ฯลฯ NIST แนะนำให้ตรวจสอบว่าอยู่ในบัญชีดำหรือไม่เมื่อลงทะเบียนและเปลี่ยนรหัสผ่าน

การประเมินความยาวรหัสผ่านและเวลาแคร็ก (ตัวพิมพ์ใหญ่+ตัวพิมพ์เล็ก+ตัวเลข+สัญลักษณ์)

ความยาวรหัสผ่านเอนโทรปี(bit)จำนวนชุดค่าผสมเวลาแคร็กแบบ brute force (1 ล้านล้านครั้ง/วินาที)ระดับความปลอดภัย
6 ตัวอักษร~37ประมาณ 139 พันล้าน< 1 วินาที❌ อ่อนแอมาก
8 ตัวอักษร~52ประมาณ 2.2×10¹⁴ประมาณ 2.5 วัน❌ อ่อนแอ
10 ตัวอักษร~65ประมาณ 3.7×10¹⁸ประมาณ 116 ปี⚠️ ปานกลาง
12 ตัวอักษร~78ประมาณ 6.1×10²²ประมาณ 1.93 ล้านปี✅ แข็งแรง
16 ตัวอักษร~104ประมาณ 6.3×10³⁰ประมาณ 200 พันล้านปี✅✅ แข็งแรงมาก
20 ตัวอักษร~131ประมาณ 6.7×10³⁸หลายพันล้านเท่าของอายุจักรวาล✅✅✅ ไม่สามารถแคร็กได้

การเปรียบเทียบโหมดรหัสผ่าน 3 แบบ

โหมดตัวอย่างรูปแบบเอนโทรปีโดยทั่วไปความสามารถในการจำกรณีที่แนะนำ
รหัสผ่านสุ่มxK9#mP2$vL8@nQ4!~6.5bit/ตัวอักษรแย่รหัสผ่านหลักสำหรับตัวจัดการรหัสผ่าน รหัสผ่านฐานข้อมูล คีย์ API
วลีรหัสผ่านจำง่ายBrave-Cloud-Star42~10bit/คำดีรหัสผ่าน Wi-Fi รหัสผ่านเข้าสู่ระบบที่ต้องจำด้วยมือ
PIN ตัวเลข4829173.3bit/ตัวเลขดีหน้าจอล็อกอุปกรณ์ PIN บัตรธนาคาร รหัสยืนยันแบบใช้ครั้งเดียว

Authoritative References

Case Converterจำลองตาบอดสีตัวแปลงสีเครื่องมือแปลง htaccess เป็น Nginxตัวสร้าง Cronตัวตรวจสอบ Cronจัดรูปแบบ CSSบีบอัด CSSCSV เป็น Excelแปลงค่าเงินตรวจสอบความแตกต่างสร้าง Faviconจัดรูปแบบ XMLตัวแปลงเลขฐานสิบหกจัดรูปแบบ HTMLบีบอัด HTMLHTML เป็น Markdownจัดรูปแบบ JSบีบอัด JSจัดรูปแบบ JSXบีบอัด JSXจัดกลุ่มคีย์เวิร์ดสร้าง Lorem Ipsumสร้างตาราง Markdownแปลง Markdown เป็น HTMLสร้าง Meta Tagsเครื่องมือสร้างรหัสผ่านตรวจสอบความแข็งแรงรหัสผ่านเครื่องสร้าง QR Code/บาร์โค้ดเครื่องมือทดสอบ Regexสร้าง URL Slugสร้าง SQLจัดรูปแบบ SQLเครื่องนับคำเครื่องมือเวลาจัดรูปแบบ TSบีบอัด TSจัดรูปแบบ TSXบีบอัด TSXแปลงหน่วยตัวแปลง Unix Timestampเครื่องมือสร้าง UUIDจัดรูปแบบ YAML