By: wegang 
on 30 May 2018 - 22:06
Tags:
Forums:
สรุปสั้นๆ : ใครเคยใช้โปรแกรมประเภท Password Manager (เช่น Lasspass, 1password, ฯลฯ) ช่วยเล่าประสบการณ์หน่อยครับว่ามีความจำเป็นมั้ย สะดวกมั้ย ปลอดภัยมั้ย และควรใช้มั้ยครับ
========================
ต่อจากนี้จะเล่าที่มา อาจจะยาวนิดนึง
ผมเป็นคนที่มี ID ในอินเทอร์เน็ตค่อนข้างเยอะ ทั้งอีเมล เว็บเซอร์วิส เว็บบอร์ด บัญชีธนาคาร ฯลฯ
ผมค่อนข้างมั่นใจว่ารหัสผ่านของผมปลอดภัย เพราะมีทั้งตัวอักษร ตัวเลข และอักขระพิเศษผสมกัน โดยผมทำไว้ 2-3 ชุด ถ้าเป็นเว็บที่ไม่ได้สำคัญมาก (เช่น เว็บบอร์ดหรือฟอรั่มต่างๆ) จะใช้รหัสผ่านเหมือนกัน แต่ถ้าเป็นเว็บที่สำคัญ (เช่น Email หรือ Internet Banking) จะใช้รหัสผ่านอีกชุดที่ปลอดภัยกว่าและไม่เหมือนกันกับบริการอื่น
ผมคิดว่าไม่น่าจะเป็นปัญหาอะไร จนกระทั่งผมโดน hack ไอดีเว็บบอร์ดแห่งหนึ่ง คนร้ายสามารถ Login เข้าระบบเว็บบอร์ดได้ และทำการเปลี่ยนรหัสผ่าน นอกจากนี้คนร้ายพยายาม Login เข้าอีเมลผม แต่ไม่สามารถเข้าได้เพราะใช้รหัสผ่านคนละชุดกัน ผมเลยทำการ reset รหัสผ่าน และสามารถใช้ไอดีนั้นได้ตามปกติ
ผมคิดว่าวิธีการที่ทำอยู่ตอนนี้คงไม่ดีสักเท่าไร โชคเข้าข้าง ผมได้รับคีย์ให้ใช้ Lasspass แบบพรีเมี่ยมฟรี 6 เดือนโดยบังเอิญ ผมเลยสนใจที่จะใช้โปรแกรมประเภทนี้ จากข้อมูลที่ผมอ่านคร่าวๆ หลักการคือเราไม่ต้องตั้งรหัสผ่าน แต่ปล่อยให้โปรแกรมทำการสุ่มรหัสผ่านที่ปลอดภัยให้แทน ส่วนตัวผมคิดว่าวิธีการนี้มีข้อเสียคือถ้า Master Password โดน hack คนร้ายก็จะเข้าถึงข้อมูลทุกอย่างได้เลย แต่ทางโปรแกรมน่าจะมีมาตรการมาป้องกันจุดนี้อยู่เหมือนกัน
ใครเคยใช้หรือกำลังใช้โปรแกรมประเภท Password Manager รบกวนเล่าประสบการณ์หน่อยครับ ขอบคุณครับ
Get latest news from Blognone
Follow @twitterapi
Urgent Jobs
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
จากประสบการใช้ LastPass ก็สะดวกดีอ่ะครับ สั้นๆ คือ เหมาะสำหรับคนทั่วไป ที่ต้องการความสะดวกพร้อมกับความปลอดภัยในระดับหนึ่ง
-เวลาตั้งหรือเปลี่ยนรหัสก็ให้โปรแกรมคิดให้และกรอกให้พร้อม ข้อดี คือ รหัสผ่านไม่ซ้ำกันเลย ข้อเสีย คือ ถ้าต้องกรอกเองจะพิมพ์ยาก (แต่แก้ได้ด้วยการคิดรหัสเองและบันทึกไว้ในโปรแกรมเพื่อกันลืม)
-ส่วนตอนล็อกอิน ง่ายมากๆ ไม่ต้องกรอกเอง หรือบางเว็บอาจจะตั้งให้ล็อกอินอัตโนมัติเลยก็ได้
-ส่วน master password โดนขโมยนี่ไม่กังวล เพราะผมเปิด 2FA ไว้ ถึงได้รหัสก็ล็อกอินไม่ได้ โดนขโมยก็แค่เปลี่ยนรหัส master จบ
-ในเรื่องฐานข้อมูลโดนแฮ็กอันนี้ก็ไม่ได้กังวลเท่าไหร่ เพราะบริการเขาเข้ารหัสข้อมูลไว้ ถ้าโดนขโมยฐานข้อมูลก็แค่ไปไล่เปลี่ยนรหัสผ่านเว็บต่างๆ แค่นั้น ซึ่งดูวิธีการเข้ารหัสฐานข้อมูลแล้วน่าจะมีเวลาเปลี่ยนเหลือเฟือ (และไม่ได้เกิดขึ้นบ่อย)
สรุปคือสะดวกและปลอดภัยกว่าให้ตัวผมดูแลเอง เพราะผมไม่ได้ขยันคิดรหัสที่ไม่ซ้ำกันเลยและขยันจดรหัสเองขนาดนั้น ส่วนจะให้กลับใช้รหัสซ้ำกันนี่คงไม่เอาด้วย ไม่อยากกลับไปปวดหัว เปลืองแรงไล่คิด ไล่เปลี่ยนรหัสเว็บที่ใช้รหัสซ้ำกัน จะปล่อยทิ้งไว้ก็ไม่ได้ด้วย เดี๋ยวโดนแฮกเกอร์เอาแอคเคาท์ไปทำเรื่องผิดกฎหมายละจะซวยเอา
ผมใช้ Lastpass ครับ
สำหรับผมแล้วตอนนี้จำเป็นมากครับเพราะว่าผมจำเป็นต้องใช้ตัวสุ่มรหัสจากเหตุโดนแฮกแล้วรหัสผ่านหลุดนี้ละครับ เลยต้องใช้ในหลายๆเว็บที่จำเป็นมากๆ กับที่สมัครใหม่ และรหัสผมก็เริ่มใช้หลากหลายแล้วด้วยก็เลยจำไม่ค่อยได้แล้วด้วย
ส่วนประสบการณ์ผมคือค่อนข้างดีครับใช้บน pc หรือ mobile ถือว่าดีครับ ทำให้รู้สึกว่าชีวิตผมสบายขึ้นอีกระดับถามว่าปลอดภัยไหม ผมตอบไม่ได้ครับแต่ผมก็พอจะไว้ใจอยู่บ้าง แถมก็เปิด 2FA ด้วยก็วางใจได้ระดับนึงด้วยครับ
ที่ชอบสุดก็ autologin คือ ดจีย์ อ่ะแต่ไม่รู้ทำไมมันไม่ยอม autologin ใน mobile บ้าง แต่เสียอย่างคือถ้า mobile มันไม่ยอม detect แอพบางตัวที่มีอยู่ในนั้นต้อง manual ไปเลือกเอง
สรุปคือสบายครับสำหรับผม เพราะตอนนี้ก็จำแต่รหัสผ่านที่ใช้หลักๆเลยไม่ค่อยกังวลกับเว็บอื่นๆ ความปลอดภัยนั้นผมอยากให้เปิด 2FA ส่วนตัวระบบเองก็น่าจะปลอดภัยอยู่นะครับ ควรใช้สำหรับคนที่ไม่อยากจดลงกระดาษ หรือต้องตั้งรหัสต่างกันโดยการสุ่มรหัสเพราะโดนแฮกแล้วโดนปล่อยรหัสสู่สาธารณะแต่ไม่อยากจำรหัสที่ตั้งใหม่ สุดท้ายมัน 'จำเป็นไหม' ทางคุณต้องอ่านจากหลายๆคอมเมนต์แล้วตกผลึกความคิดดูครับ
Mekokung's Story บล็อกส่วนตัวที่ย้ายไป Blogger แล้วนะ
ผมขาดไม่ได้เพราะจำรหัสผ่านไม่ไหวแล้ว นอกจากต้องจำของตัวเองแล้วยังต้องจำของของคนในครอบครัว ของคนที่ทำงานและญาติๆ อีก อยากให้ระบบยืนยันตัวทางชีวภาพแมสได้ไวๆ จัง
Lastpass + 2FA อีกชั้นด้วยช่วยให้ชีวิตง่ายขึ้นมากครับ
ผมใช้ enpass เป็นโปรแกรม passmaanger ครับเพราะผมชอบ offline แต่ตัวโปรแกรมสามารถเข้ารหัสแล้วซิงค์ไป cloud storage ได้ทำให้หมดปัญหากรณีใช้หลาย device เพราะมันซิงค์กันได้ สุดท้ายก็อยู่ที่เรา 2FA ตัว cloud storage ที่ใช้ดีแค่ไหน
ไม่จำเป็นครับ ใช้ อัลกอริทึม + เข้ารหัสในหัว เจนออกมาเว็บต่อเว็บไม่ซ้ำกันแล้วจำได้ทุกเว็บครับ
เหมือนผมเลย Gen ใหม่เรื่อยๆ สูตรเดิม
ไม่รู้จะยาวไหม กำลังงงๆเมากาแฟ
ผมเทียบเหมือนถาม 'จะออกจากบ้านต้องล็อกบ้านก่อนป่าว' ผมเชื่อว่าเกือบร้อยในร้อยคนบอกจำเป็น
แต่พอดีบ้านผมหลังเดี่ยวโดดๆกลางทุ่งนา จะไปซื้อไอติมในหมู่บ้าน ไอ้ร้านขายของเนี่ยห่างร้อยเมตร ระยะสายตามองมาเห็นบ้านทั้งหลังไม่มีอะไรบัง ผมเลยก็บอกไม่จำเป็นต้องล็อคบ้าน แป๊บเดียวก็กลับ (แต่กรณีอื่นๆนอกนั้นผมก็ล๊อกบ้านนะเออ ?)
ดั่งที่ยกมา คำตอบคือ depend, ก็จำเป็นและไม่จำเป็น นั่นแหละครับ เพราะแต่ละคนมีความต้องการแตกต่าง ความจำเป็นตอบเจาะจงให้ไม่ได้ ควรใช้ในยามที่ควรใช้ ดีกว่าควรใช้แล้วไม่ใช้
จะว่าไปผมเคยทำแบบ กขกท. เลยครับ รหัสสำคัญตั้งดีๆใช้ไม่ซ้ำ แต่เว็บไม่ซีเรียสใช้เหมือนกันหมด หลุดก็ช่างมัน
...ช่างมันจริงๆ เพราะพอเว็บหนึ่งโดนแฮก ผมต้องตามเปลื่ยนอีกสองร้อยเว็บที่รหัสเหมือนกัน เปลื่ยนอยู่สามวันก็ไม่เสร็จ (จำได้ไม่หมดว่าตัวเองมี account ที่ไหนบ้าง)
ดังนั้นเบื้องต้นผมว่า รหัสสำคัญๆจำเอาเหมือนเดิม แต่รหัสที่ใช้กับเว็บไม่ซีเรียสทั้งหลาย คุณใช้ Password Manager ช่วยแทนเลยครับ
หลังจากใช้ไปซักพักอย่างน้อยก็มี insight ระดับหนึ่ง คุณก็ตัดสินใจได้ดีขึ้นละ ว่าจะเอาไงต่อจากนั้น :)
เลือก Password Manager ที่ได้มาตฐาน มันก็ปลอดภัยสิครับ แต่ไม่มีอะไรปลอดภัย 100% ในโลกนี้
ผมใช้ KeePass 2 ตามที่ BSI หน่วยงานความปลอยภัยรัฐบาลเยอรมันแนะนำ
มันตอบโจทย์ที่ต้องการได้หมด
เก็บ offline ในเครื่องตัวเองเท่านั้น ผมมั่นใจว่ารักษาความปลอยภัยให้เครื่องตัวเองได้ดีพอ ถ้าคิดว่าทำแบบนั้นไม่ได้ก็น่าไปใช้ lastpass, 1password ดีกว่า
ป้องกัน mem dump ตอนโปรแกรมรันอยู่ แต่ถึงงั้น ผมยังระวังโปรแกรมป้องกันโกงเกมบางตัว เช่น BattlEye บอกไว้ชัดว่าอ่านข้อมูลใน ram เราส่งไปหาต้นทางด้วย เป็นต้น ถ้าจะเล่นเกมที่ใช้พวกนี้ (เช่น R6, ARMA3) ผมต้อง lock workspace ใน keepass ก่อนเสมอ
keepass เขียนด้วย c# บางที archlinux มีปัญหากับ mono บ้าง ก็สลับไปใช้ KeeWeb แทนได้ มีช่วงหนึ่ง mono crash บ่อยมากบน i3 ผมเลยต้องสลับ ปัจจุบันเสถียรลื่นๆ
จริงๆ android มีแอพให้เปิดไฟล์ .kbx ได้ แต่นั่นหมายความว่าต้องเก็บไฟล์ในมือถือด้วย เก็บไฟล์สองที่=ต้อง sync ไฟล์ให้ทันสมัยเท่ากัน โปรแกรมมันมีวิธี sync ผ่านหลายทางอยู่แต่ผมขี้เกียจ และไม่ได้ใส่ pass บนมือถือบ่อยขนาดนั้น ผมเลยใช้วิธีหากต้อง sign-in อะไรในมือถือ ผมเปิด keepass ใน pc ดูรหัส พิมพ์ลงมือถือเอาเอง
auto-type เวลาจะเข้าเว็บไหน กด Ctrl+Alt+A มันจะพิมพ์ให้ ไม่ใช่เฉพาะ browser อ่ะ ไม่จำกัดโปรแกรมเลย แต่ keepass มันจับคู่กับโปรแกรมที่ต้องการไม่เจอบ้าง แนะนำ AutoTypeSearch plugin ช่วย
นอกจากตั้ง master password สามารถใช้ keyfile ช่วยได้ มีแต่ master password ไม่มี keyfile ก็ไม่ปลด อันนี้ทำเป็น hardware key คนจนได้ ใช้ thumbdrive แทน 5555
ผมตั้งให้ตัว password gen ยาวววไว้ก่อน บางเว็บมีข้อจำกัดเรื่อง max length password ก็ลำบากหน่อยบางที / ผมใช้ Readable plugin (มี word dictionary ของตัวเอง) ก็อย่างที่ xkcd ว่าไว้
ผม backup ไฟล์เสมออยู่ล่ะ ป้องกันทับอีกชั้นด้วย พูดไปขั้นตอนพวกนี้ไม่ลำบากสำหรับผม แต่หลายคนอาจรู้สึกว่าลำบากเกิน ผมแนะนำ lastpass, 1password ใช้แทนได้ดี
อา.. เล่าขนาดนี้เท่ากับให้ข้อมูลตัวเองกับผู้ร้ายไปเยอะเลยเนี่ย ?
ควรครับ หลายที่มี 2fa ก็ช่วยได้อีก
ควรใช้ในยามที่ควรใช้ ดีกว่าควรใช้แล้วไม่ใช้
และนั่นเองคือที่มาของพวงกุญแจ ไม่ว่ากุญแจบ้าน กุญแจรถ ฯลฯ เอามารวมกันทำไมไม่รู้หายทีซวยที แต่ทำไงได้บางคนยิ่งไม่เอามารวมกันยิ่งทำหายมั่วไปใหญ่ รวมกันดูแลง่ายกว่า ต่างคนต่างปัจจัย
มนุษย์คือจุดอ่อนในระบบ
ต้องช่างน้ำหนักเอา ว่าอะไรควรเก็บแบบไหน
ได้ความรู้มากเลย โดยเฉพาะตรงการ์ตูนของ xkcd ขอบคุณมากครับ