ปัจจุบันมีแอพช่วยจัดการรหัสผ่าน (password manager) ให้เลือกใช้หลายตัว แอพที่ชื่อดังหน่อยคือ LastPass และ 1Password แต่ก็ยังมีแอพทางเลือกอื่นๆ เช่น KeePass และ Dashlane ด้วย
ล่าสุดสมรภูมินี้เริ่มร้อนระอุ เมื่อ Dashlane เปิดตัวฟีเจอร์ Password Changer ที่ช่วยให้เรากดปุ่มเดียว เปลี่ยนรหัสผ่านของเว็บไซต์และบริการต่างๆ มากกว่า 50 แห่ง (ซึ่งครอบคลุมเว็บใหญ่ๆ แทบทั้งหมด ไม่ว่าจะเป็น Google, Facebook, Amazon, Apple, LinkedIn, PayPal - รายชื่อทั้งหมด)
Dashlane ระบุว่าฟีเจอร์นี้ออกมาสำหรับแก้ปัญหาเว็บดังถูกเจาะระบบบ่อยครั้ง รวมถึงช่องโหว่ยอดฮิตอย่าง Heartbleed ที่สร้างผลกระทบเป็นวงกว้างด้วย (ในระยะยาวแล้วยังจะช่วยให้ผู้ใช้สามารถเปลี่ยนรหัสผ่านได้บ่อยๆ ซึ่งเป็นสิ่งที่ควรทำแต่ไม่ค่อยมีใครทำกันเพราะยุ่งยาก) เบื้องต้นฟีเจอร์ Password Changer ใช้ได้กับแอพ Dashlane บนพีซีและแมค ส่วนเวอร์ชันมือถือจะตามมาในอนาคต
คู่แข่งอย่าง LastPass ก็ออกมาตอบโต้ด้วยฟีเจอร์แบบเดียวกันที่ใช้ชื่อว่า Auto-Password Change โดยเปิดให้ทดสอบรุ่นเบต้าแล้ว ฝั่งของ LastPass ระบุว่ารองรับเว็บชื่อดังรวมแล้ว 75 แห่ง
Comments
งั้นเวลาคนจะโจมตี หรือเจาะข้อมูล ก็หันมาเจาะแอพนี้ตัวเดียว เข้าถึงทุกบริการของเราเลยรึเปล่า?
One site (master password) to rule them all, one site to find them, one site to bring them all and in the darkness bind them.
idea ของ online password manager คือมันจะเก็บ data ที่ encrypt ด้วย master password ที่ user เลือกเองอีกทีหนึ่งตรับ ซึ่งรหัสตัวนี้จะไม่เคยถูกส่งขึ้นไปที่ server
สมมุติว่า lastpass โดนแฮคหมดตัว (แบบไม่ได้เจาะจง user) สิ่งที่ hacker ได้ไปคงเป็นข้อมูลผู้ใช้ การชำระเงินและไฟล์ที่เก็บรหัสผ่านของเรา ซึ่งถูกเข้ารหัสด้วย master password อีกที ฉะนั้นก็ต้องไป brute force หารหัสนั้นออกมาของแต่ละ user ที่ต้องการอีกทอดหนึ่ง
ถามว่า อ้าว แล้วเค้าเปลี่ยนรหัสได้อย่างไร คำตอบอยู่ใน blogpost ของ lastpass แล้วครับว่าการเปลี่ยนรหัสผ่านเป็น clientside (แต่ของ dashlane มันมี auto change ด้วย ผมไม่แน่ใจว่าเค้าทำยังไง แต่ผมเดาว่าอาจจะต้องยอมให้ server มีรหัสผ่านของเรา?)
ผมใช้ LastPass แต่หน้าตาแอพบน iOS ยังเป็น iOS 5 อยู่เลย เมื่อไรจะทำ UI สวยๆ อย่าง 1Password เขาบ้าง
ส่วนฟังก์ชันกดทีเดียวเปลี่ยนหมดนี่ผมว่าน่ากลัวไปหน่อย เหมือนเราไม่มีส่วนร่วมกับการเลือกรหัสผ่านเลย อย่างน้อยกด Generate เองมันก็ยังได้เห็นว่าหน้าตารหัสผ่านเป็นยังไง ถ้าไม่ถูกใจก็ Generate ใหม่
ลองมาหมดแล้วผมว่า LastPass ดีสุด เพราะ
1.มันมีทุก Platform และทำได้ดีด้วย
2.มันถูกที่สุดอีกต่างหาก
ข้อเสียก็มี
1.มันไม่สวย (GUI มันดูโบราณ)
2.ยุ่งยากกว่าแอพอื่นๆ (ถ้าใช้เป็นแล้วก็ง่าย)
วันถัดมา มีข่าว Anonymous แฮก เว้บ Amazon,Ubisoft และเว็บอื่นๆ กระจุย
LastPass และ DashLane เป็น sponcer รึเปล่านิ