Stax
Tools

Password Strength Checker

Check password strength with real-time score and crack time estimate.

Your password never leaves your browser — analysis runs locally.

ข้อผิดพลาดทั่วไปของรหัสผ่านที่ควรหลีกเลี่ยง

คู่มือรหัสผ่านปี 2025

เวลาในการถอดรหัสที่แสดงนั้นอิงจากการโจมตีแบบ offline brute-force โดยใช้ GPU สมัยใหม่ (ประมาณ 10 พันล้านครั้งต่อวินาที) การคำนวณนี้พิจารณาขนาดของชุดอักขระที่คุณใช้ — ตัวพิมพ์เล็กเท่านั้น (26), ตัวพิมพ์เล็กและใหญ่ (52), ตัวอักษรและตัวเลข (62) หรือมีสัญลักษณ์ (94) — ยกกำลังด้วยความยาวรหัสผ่าน รหัสผ่าน 10 ตัวอักษรที่ใช้อักขระทุกประเภทมี 94^10 ≈ 53 quadrillion การผสม ที่ความเร็ว 10 พันล้านครั้งต่อวินาที ใช้เวลาประมาณ 61 วัน ส่วนรหัสผ่าน 16 ตัวอักษรทุกประเภทใช้เวลาหลายล้านปี

การยืนยันตัวตนสองชั้น (2FA) เป็น layer ที่สองที่แข็งแกร่ง แต่ไม่ได้ทำให้รหัสผ่านไม่จำเป็น รหัสผ่านที่อ่อนแอมักถูกรวมอยู่ในรายการ credential stuffing จากการละเมิดก่อนหน้า — ผู้โจมตีจะลองคู่รหัสผ่าน/อีเมลที่รู้จักก่อนที่จะพยายาม brute force SMS-based 2FA ยังสามารถถูกหลีกเลี่ยงได้ผ่าน SIM swapping รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน ร่วมกับ app-based 2FA (Google Authenticator, Authy) หรือ hardware key ให้การป้องกันที่ดีที่สุดสำหรับบัญชีสำคัญ เช่น ธนาคาร อีเมล และแพลตฟอร์มการลงทุน

random string 12 ตัวอักษร เช่น k#9Lm$2pQx!v มี entropy สูงมาก แต่แทบจะจำไม่ได้ passphrase 5 คำ เช่น correct-horse-battery-staple-rain จำง่ายกว่าและมี entropy ที่ใกล้เคียงกัน (5 คำจากรายการ 2,000 คำ = 2000^5 การผสม) สำหรับบัญชีที่คุณต้องพิมพ์รหัสผ่านด้วยตนเอง (เข้าสู่ระบบคอมพิวเตอร์) passphrase ชนะ สำหรับทุกอย่างอื่น ใช้ password manager ที่สร้าง random string โดยอัตโนมัติ

  • การใช้ข้อมูลส่วนตัว — วันเกิด ชื่อ หมายเลขโทรศัพท์ สามารถเดาได้จาก social media และถูกลองก่อนในการโจมตีแบบเจาะจง
  • การแทนที่แบบง่าย — "P@ssw0rd" เป็นที่รู้จักของผู้ถอดรหัส dictionary attacks ตอนนี้รวมการแทนที่ทั่วไป (a→@, o→0, i→1)
  • การใช้รหัสผ่านซ้ำ — เมื่อไซต์หนึ่งถูกละเมิด ผู้โจมตีจะลองรหัสผ่านเดิมในไซต์อื่น (credential stuffing)
  • รหัสผ่านสั้น — รหัสผ่าน 8 ตัวอักษรที่มีแต่ตัวอักษรสามารถถอดรหัสได้ในไม่กี่วินาทีด้วยฮาร์ดแวร์สมัยใหม่
  • ขั้นต่ำ 12 ตัวอักษร; 16+ สำหรับบัญชีสำคัญ
  • ใช้ password manager — ไม่ใช้รหัสผ่านซ้ำ
  • เปิดใช้การยืนยันตัวตนสองชั้น (2FA) ทุกที่ที่ทำได้
  • ใช้ hardware security keys (YubiKey) สำหรับบัญชีสำคัญ
  • ตรวจสอบว่าอีเมล/รหัสผ่านของคุณปรากฏในการละเมิดที่ทราบที่ Have I Been Pwned

คำถามที่พบบ่อย

Is my password sent to a server?
No. This tool runs entirely in your browser using JavaScript. Your password is never transmitted over the network or stored anywhere. You can verify this by disconnecting from the internet and trying it — it will still work.
What makes a password strong?
A strong password has: (1) at least 12 characters (16+ is better), (2) a mix of uppercase and lowercase letters, (3) at least one number, (4) at least one special character (!@#$%^&*), and (5) no predictable patterns or dictionary words. The longer and more random, the better.
How is crack time estimated?
Crack time is estimated based on the size of the character pool used (lowercase = 26, uppercase = 26, digits = 10, symbols = 32) and the password length. The number of possible combinations is pool^length. Assuming a modern GPU can test 10 billion guesses per second, the time to exhaust all possibilities is calculated. This is a conservative offline brute-force estimate.
What is a passphrase and is it better than a password?
A passphrase is a sequence of 4–6 random words (e.g., 'correct horse battery staple'). It can be extremely secure (entropy from word combinations is high) and much easier to remember than a random character string. A 4-word passphrase from a 2,000-word dictionary has 2000^4 = 16 trillion combinations, which is stronger than most 10-character passwords.
Should I use a password manager?
Yes — password managers (Bitwarden, 1Password, KeePass) generate and store unique, highly random passwords for every site. You only need to remember one master password. This eliminates password reuse, which is the most common cause of account breaches.

เครื่องมือที่เกี่ยวข้อง