Guide
27 Mar 2026
10 นาทีในการอ่าน
การสร้างสตริงสุ่มที่ปลอดภัย - คู่มือฉบับสมบูรณ์ของความสุ่มเชิงการเข้ารหัส
เรียนรู้ว่าทำไมสตริงสุ่มที่ปลอดภัยเชิงการเข้ารหัสจึงสำคัญ CSPRNG ทำงานอย่างไร และวิธีสร้างรหัสผ่าน คีย์ API โทเค็น และ ID ที่ไม่ซ้ำกันอย่างปลอดภัย
ทำไมสตริงสุ่มจึงสำคัญ
สตริงสุ่มเป็นรากฐานของความปลอดภัยดิจิทัล ทุกครั้งที่คุณเข้าสู่ระบบเว็บไซต์ เชื่อมต่อกับ API หรือชำระเงินออนไลน์ สตริงสุ่มทำงานเบื้องหลังเพื่อรักษาข้อมูลของคุณให้ปลอดภัย
- รหัสผ่าน: รหัสผ่านที่แข็งแกร่งคือสตริงสุ่มที่มีเพียงคุณเท่านั้นที่รู้
- คีย์ API: บริการต่างๆ เช่น Google Maps, Stripe และ AWS ใช้สตริงสุ่มเป็นคีย์ API เพื่อยืนยันคำขอ
- โทเค็นเซสชัน: เมื่อคุณเข้าสู่ระบบ เซิร์ฟเวอร์จะสร้างโทเค็นเซสชันสุ่ม หากคาดเดาได้ ผู้โจมตีสามารถยึดเซสชันของคุณได้
- UUID: ตัวระบุเฉพาะสากลเป็นสตริงสุ่ม 128 บิตสำหรับคีย์หลักฐานข้อมูลและระบบกระจาย
- คีย์เข้ารหัสและ salt: การดำเนินการเข้ารหัสต้องการคีย์และค่า salt ที่สุ่มอย่างแท้จริง
สุ่ม vs ปลอดภัยเชิงการเข้ารหัส
Math.random() -- สุ่มเทียม (ไม่ปลอดภัย)
Math.random() ใน JavaScript ถูกสร้างโดยอัลกอริทึมที่กำหนดได้ ผู้โจมตีสามารถคาดเดาผลลัพธ์ได้
ห้ามใช้ Math.random() สำหรับ: รหัสผ่าน โทเค็น คีย์ API ID เซสชัน คีย์เข้ารหัส หรือค่าใดๆ ที่เกี่ยวข้องกับความปลอดภัย
crypto.getRandomValues() -- ปลอดภัยเชิงการเข้ารหัส
CSPRNG ออกแบบมาเฉพาะสำหรับแอปพลิเคชันความปลอดภัย โดยใช้แหล่งทางกายภาพที่คาดเดาไม่ได้
// INSECURE - Do NOT use for security purposes
var weak = Math.random().toString(36).substring(2);
// SECURE - Cryptographically strong random string
function generateSecureString(length, charset) {
var result = '';
var values = new Uint32Array(length);
crypto.getRandomValues(values);
for (var i = 0; i < length; i++) {
result += charset[values[i] % charset.length];
}
return result;
}
// Usage
var charset = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()';
var secureString = generateSecureString(32, charset);
console.log(secureString);
// Output: something like "kR9$mX2@pL7#nQ5vW8&jT4*bF6!cY3h"กรณีใช้งานทั่วไป
- การสร้างรหัสผ่าน: อย่างน้อย 12-16 ตัวอักษร ใช้อักขระทุกประเภท สุ่มอย่างสมบูรณ์
- คีย์ API: 32-64 ตัวอักษรตัวเลข ไม่ซ้ำกันในระบบทั้งหมด
- ตัวระบุเฉพาะ: สำหรับเรกคอร์ดฐานข้อมูลและระบบกระจาย
- รหัสคูปอง: สุ่มเพื่อป้องกันการคาดเดาและการใช้ในทางที่ผิด
- Salt สำหรับการแฮช: salt สุ่มเฉพาะสำหรับแต่ละรหัสผ่าน
ชุดอักขระและความแข็งแกร่งของสตริง
ความแข็งแกร่งของสตริงสุ่มขึ้นอยู่กับความยาวและขนาดชุดอักขระ ร่วมกันกำหนดเอนโทรปี
เอนโทรปี = ความยาว x log2(ขนาดชุด)
| Character Set | Pool Size | Entropy per Char | 8-char Entropy | 16-char Entropy | Brute Force (16 chars) |
|---|---|---|---|---|---|
| Lowercase only (a-z) | 26 | 4.7 bits | 37.6 bits | 75.2 bits | ~1,200 years |
| Lower + Upper (a-z, A-Z) | 52 | 5.7 bits | 45.6 bits | 91.2 bits | ~78 million years |
| Alphanumeric (a-z, A-Z, 0-9) | 62 | 5.95 bits | 47.6 bits | 95.2 bits | ~600 million years |
| All printable (a-z, A-Z, 0-9, symbols) | 94 | 6.55 bits | 52.4 bits | 104.8 bits | ~Trillions of years |
แนวปฏิบัติที่ดีที่สุด
- ใช้ CSPRNG เสมอ
- ความยาวเพียงพอ: 16+ ตัวอักษรสำหรับรหัสผ่าน 32-64 สำหรับคีย์ API
- ชุดอักขระกว้างที่สุดเท่าที่เป็นไปได้
- ไม่เคยใช้สตริงสุ่มซ้ำ
- จัดเก็บอย่างปลอดภัย: bcrypt สำหรับรหัสผ่าน คีย์ API ที่แฮช HTTPS สำหรับโทเค็น
การใช้ตัวสร้างสตริงสุ่มของเรา
ตัวสร้างสตริงสุ่มฟรีของเราสร้างสตริงที่ปลอดภัยเชิงการเข้ารหัส:
- ตั้งค่าความยาว: 1 ถึง 256 ตัวอักษร
- เลือกประเภทอักขระ: ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข อักขระพิเศษ
- ยกเว้นอักขระที่คลุมเครือ: สำหรับรหัสที่ต้องพิมพ์ด้วยตนเอง
- สร้างหลายรายการ: สูงสุด 100 สตริงในครั้งเดียว
การรับประกันความเป็นส่วนตัว: เครื่องมือของเราทำงาน 100% ในเบราว์เซอร์ของคุณ ไม่มีสตริงใดถูกส่งหรือจัดเก็บบนเซิร์ฟเวอร์ใดๆ
สร้างสตริงสุ่มที่ปลอดภัย
ใช้ตัวสร้างสตริงสุ่มฟรีของเราเพื่อสร้างสตริงที่ปลอดภัยเชิงการเข้ารหัสทันที