โปรแกรม Password Manager (เช่น Lasspass) มีความจำเป็นมั้ยครับ

By wegang on Tag:

สรุปสั้นๆ : ใครเคยใช้โปรแกรมประเภท Password Manager (เช่น Lasspass, 1password, ฯลฯ) ช่วยเล่าประสบการณ์หน่อยครับว่ามีความจำเป็นมั้ย สะดวกมั้ย ปลอดภัยมั้ย และควรใช้มั้ยครับ

========================
ต่อจากนี้จะเล่าที่มา อาจจะยาวนิดนึง

ผมเป็นคนที่มี ID ในอินเทอร์เน็ตค่อนข้างเยอะ ทั้งอีเมล เว็บเซอร์วิส เว็บบอร์ด บัญชีธนาคาร ฯลฯ

ผมค่อนข้างมั่นใจว่ารหัสผ่านของผมปลอดภัย เพราะมีทั้งตัวอักษร ตัวเลข และอักขระพิเศษผสมกัน โดยผมทำไว้ 2-3 ชุด ถ้าเป็นเว็บที่ไม่ได้สำคัญมาก (เช่น เว็บบอร์ดหรือฟอรั่มต่างๆ) จะใช้รหัสผ่านเหมือนกัน แต่ถ้าเป็นเว็บที่สำคัญ (เช่น Email หรือ Internet Banking) จะใช้รหัสผ่านอีกชุดที่ปลอดภัยกว่าและไม่เหมือนกันกับบริการอื่น

ผมคิดว่าไม่น่าจะเป็นปัญหาอะไร จนกระทั่งผมโดน hack ไอดีเว็บบอร์ดแห่งหนึ่ง คนร้ายสามารถ Login เข้าระบบเว็บบอร์ดได้ และทำการเปลี่ยนรหัสผ่าน นอกจากนี้คนร้ายพยายาม Login เข้าอีเมลผม แต่ไม่สามารถเข้าได้เพราะใช้รหัสผ่านคนละชุดกัน ผมเลยทำการ reset รหัสผ่าน และสามารถใช้ไอดีนั้นได้ตามปกติ

ผมคิดว่าวิธีการที่ทำอยู่ตอนนี้คงไม่ดีสักเท่าไร โชคเข้าข้าง ผมได้รับคีย์ให้ใช้ Lasspass แบบพรีเมี่ยมฟรี 6 เดือนโดยบังเอิญ ผมเลยสนใจที่จะใช้โปรแกรมประเภทนี้ จากข้อมูลที่ผมอ่านคร่าวๆ หลักการคือเราไม่ต้องตั้งรหัสผ่าน แต่ปล่อยให้โปรแกรมทำการสุ่มรหัสผ่านที่ปลอดภัยให้แทน ส่วนตัวผมคิดว่าวิธีการนี้มีข้อเสียคือถ้า Master Password โดน hack คนร้ายก็จะเข้าถึงข้อมูลทุกอย่างได้เลย แต่ทางโปรแกรมน่าจะมีมาตรการมาป้องกันจุดนี้อยู่เหมือนกัน

ใครเคยใช้หรือกำลังใช้โปรแกรมประเภท Password Manager รบกวนเล่าประสบการณ์หน่อยครับ ขอบคุณครับ

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

Thaitop_BN Thu, 31/05/2018 - 00:31

จากประสบการใช้ LastPass ก็สะดวกดีอ่ะครับ สั้นๆ คือ เหมาะสำหรับคนทั่วไป ที่ต้องการความสะดวกพร้อมกับความปลอดภัยในระดับหนึ่ง

-เวลาตั้งหรือเปลี่ยนรหัสก็ให้โปรแกรมคิดให้และกรอกให้พร้อม ข้อดี คือ รหัสผ่านไม่ซ้ำกันเลย ข้อเสีย คือ ถ้าต้องกรอกเองจะพิมพ์ยาก (แต่แก้ได้ด้วยการคิดรหัสเองและบันทึกไว้ในโปรแกรมเพื่อกันลืม)
-ส่วนตอนล็อกอิน ง่ายมากๆ ไม่ต้องกรอกเอง หรือบางเว็บอาจจะตั้งให้ล็อกอินอัตโนมัติเลยก็ได้

-ส่วน master password โดนขโมยนี่ไม่กังวล เพราะผมเปิด 2FA ไว้ ถึงได้รหัสก็ล็อกอินไม่ได้ โดนขโมยก็แค่เปลี่ยนรหัส master จบ
-ในเรื่องฐานข้อมูลโดนแฮ็กอันนี้ก็ไม่ได้กังวลเท่าไหร่ เพราะบริการเขาเข้ารหัสข้อมูลไว้ ถ้าโดนขโมยฐานข้อมูลก็แค่ไปไล่เปลี่ยนรหัสผ่านเว็บต่างๆ แค่นั้น ซึ่งดูวิธีการเข้ารหัสฐานข้อมูลแล้วน่าจะมีเวลาเปลี่ยนเหลือเฟือ (และไม่ได้เกิดขึ้นบ่อย)

สรุปคือสะดวกและปลอดภัยกว่าให้ตัวผมดูแลเอง เพราะผมไม่ได้ขยันคิดรหัสที่ไม่ซ้ำกันเลยและขยันจดรหัสเองขนาดนั้น ส่วนจะให้กลับใช้รหัสซ้ำกันนี่คงไม่เอาด้วย ไม่อยากกลับไปปวดหัว เปลืองแรงไล่คิด ไล่เปลี่ยนรหัสเว็บที่ใช้รหัสซ้ำกัน จะปล่อยทิ้งไว้ก็ไม่ได้ด้วย เดี๋ยวโดนแฮกเกอร์เอาแอคเคาท์ไปทำเรื่องผิดกฎหมายละจะซวยเอา

Mekokung Thu, 31/05/2018 - 02:02

ผมใช้ Lastpass ครับ

สำหรับผมแล้วตอนนี้จำเป็นมากครับเพราะว่าผมจำเป็นต้องใช้ตัวสุ่มรหัสจากเหตุโดนแฮกแล้วรหัสผ่านหลุดนี้ละครับ เลยต้องใช้ในหลายๆเว็บที่จำเป็นมากๆ กับที่สมัครใหม่ และรหัสผมก็เริ่มใช้หลากหลายแล้วด้วยก็เลยจำไม่ค่อยได้แล้วด้วย

ส่วนประสบการณ์ผมคือค่อนข้างดีครับใช้บน pc หรือ mobile ถือว่าดีครับ ทำให้รู้สึกว่าชีวิตผมสบายขึ้นอีกระดับถามว่าปลอดภัยไหม ผมตอบไม่ได้ครับแต่ผมก็พอจะไว้ใจอยู่บ้าง แถมก็เปิด 2FA ด้วยก็วางใจได้ระดับนึงด้วยครับ

ที่ชอบสุดก็ autologin คือ ดจีย์ อ่ะแต่ไม่รู้ทำไมมันไม่ยอม autologin ใน mobile บ้าง แต่เสียอย่างคือถ้า mobile มันไม่ยอม detect แอพบางตัวที่มีอยู่ในนั้นต้อง manual ไปเลือกเอง

สรุปคือสบายครับสำหรับผม เพราะตอนนี้ก็จำแต่รหัสผ่านที่ใช้หลักๆเลยไม่ค่อยกังวลกับเว็บอื่นๆ ความปลอดภัยนั้นผมอยากให้เปิด 2FA ส่วนตัวระบบเองก็น่าจะปลอดภัยอยู่นะครับ ควรใช้สำหรับคนที่ไม่อยากจดลงกระดาษ หรือต้องตั้งรหัสต่างกันโดยการสุ่มรหัสเพราะโดนแฮกแล้วโดนปล่อยรหัสสู่สาธารณะแต่ไม่อยากจำรหัสที่ตั้งใหม่ สุดท้ายมัน 'จำเป็นไหม' ทางคุณต้องอ่านจากหลายๆคอมเมนต์แล้วตกผลึกความคิดดูครับ

GoblinKing Thu, 31/05/2018 - 08:07

ผมขาดไม่ได้เพราะจำรหัสผ่านไม่ไหวแล้ว นอกจากต้องจำของตัวเองแล้วยังต้องจำของของคนในครอบครัว ของคนที่ทำงานและญาติๆ อีก อยากให้ระบบยืนยันตัวทางชีวภาพแมสได้ไวๆ จัง

horakung Thu, 31/05/2018 - 11:18

Lastpass + 2FA อีกชั้นด้วยช่วยให้ชีวิตง่ายขึ้นมากครับ

adente Thu, 31/05/2018 - 11:42

ผมใช้ enpass เป็นโปรแกรม passmaanger ครับเพราะผมชอบ offline แต่ตัวโปรแกรมสามารถเข้ารหัสแล้วซิงค์ไป cloud storage ได้ทำให้หมดปัญหากรณีใช้หลาย device เพราะมันซิงค์กันได้ สุดท้ายก็อยู่ที่เรา 2FA ตัว cloud storage ที่ใช้ดีแค่ไหน

Configuleto Thu, 14/06/2018 - 21:47

ไม่รู้จะยาวไหม กำลังงงๆเมากาแฟ

มีความจำเป็นมั้ย

ผมเทียบเหมือนถาม 'จะออกจากบ้านต้องล็อกบ้านก่อนป่าว' ผมเชื่อว่าเกือบร้อยในร้อยคนบอก_จำเป็น_

แต่พอดีบ้านผมหลังเดี่ยวโดดๆกลางทุ่งนา จะไปซื้อไอติมในหมู่บ้าน ไอ้ร้านขายของเนี่ยห่างร้อยเมตร ระยะสายตามองมาเห็นบ้านทั้งหลังไม่มีอะไรบัง ผมเลยก็บอก_ไม่จำเป็น_ต้องล็อคบ้าน แป๊บเดียวก็กลับ (แต่กรณีอื่นๆนอกนั้นผมก็ล๊อกบ้านนะเออ ?)

ดั่งที่ยกมา คำตอบคือ depend, ก็จำเป็นและไม่จำเป็น นั่นแหละครับ เพราะแต่ละคนมีความต้องการแตกต่าง ความจำเป็นตอบเจาะจงให้ไม่ได้ ควรใช้ในยามที่ควรใช้ ดีกว่าควรใช้แล้วไม่ใช้

จะว่าไปผมเคยทำแบบ กขกท. เลยครับ รหัสสำคัญตั้งดีๆใช้ไม่ซ้ำ แต่เว็บไม่ซีเรียสใช้เหมือนกันหมด หลุดก็ช่างมัน

...ช่างมันจริงๆ เพราะพอเว็บหนึ่งโดนแฮก ผมต้องตามเปลื่ยนอีกสองร้อยเว็บที่รหัสเหมือนกัน เปลื่ยนอยู่สามวันก็ไม่เสร็จ (จำได้ไม่หมดว่าตัวเองมี account ที่ไหนบ้าง)

ดังนั้นเบื้องต้นผมว่า รหัสสำคัญๆจำเอาเหมือนเดิม แต่รหัสที่ใช้กับเว็บไม่ซีเรียสทั้งหลาย คุณใช้ Password Manager ช่วยแทนเลยครับ

หลังจากใช้ไปซักพักอย่างน้อยก็มี insight ระดับหนึ่ง คุณก็ตัดสินใจได้ดีขึ้นละ ว่าจะเอาไงต่อจากนั้น :)

ปลอดภัยมั้ย

เลือก Password Manager ที่ได้มาตฐาน มันก็ปลอดภัยสิครับ แต่ไม่มีอะไรปลอดภัย 100% ในโลกนี้

ใครเคยใช้หรือกำลังใช้โปรแกรมประเภท Password Manager รบกวนเล่าประสบการณ์หน่อยครับ

ผมใช้ KeePass 2 ตามที่ BSI หน่วยงานความปลอยภัยรัฐบาลเยอรมันแนะนำ

มันตอบโจทย์ที่ต้องการได้หมด

  • เก็บ offline ในเครื่องตัวเองเท่านั้น ผมมั่นใจว่ารักษาความปลอยภัยให้เครื่องตัวเองได้ดีพอ ถ้าคิดว่าทำแบบนั้นไม่ได้ก็น่าไปใช้ lastpass, 1password ดีกว่า

  • ป้องกัน mem dump ตอนโปรแกรมรันอยู่ แต่ถึงงั้น ผมยังระวัง_โปรแกรมป้องกันโกงเกม_บางตัว เช่น BattlEye บอกไว้ชัดว่าอ่านข้อมูลใน ram เราส่งไปหาต้นทางด้วย เป็นต้น ถ้าจะเล่นเกมที่ใช้พวกนี้ (เช่น R6, ARMA3) ผมต้อง lock workspace ใน keepass ก่อนเสมอ

  • keepass เขียนด้วย c# บางที archlinux มีปัญหากับ mono บ้าง ก็สลับไปใช้ KeeWeb แทนได้ มีช่วงหนึ่ง mono crash บ่อยมากบน i3 ผมเลยต้องสลับ ปัจจุบันเสถียรลื่นๆ

  • จริงๆ android มีแอพให้เปิดไฟล์ .kbx ได้ แต่นั่นหมายความว่าต้องเก็บไฟล์ในมือถือด้วย เก็บไฟล์สองที่=ต้อง sync ไฟล์ให้ทันสมัยเท่ากัน โปรแกรมมันมีวิธี sync ผ่านหลายทางอยู่แต่ผมขี้เกียจ และไม่ได้ใส่ pass บนมือถือบ่อยขนาดนั้น ผมเลยใช้วิธีหากต้อง sign-in อะไรในมือถือ ผมเปิด keepass ใน pc ดูรหัส พิมพ์ลงมือถือเอาเอง

  • auto-type เวลาจะเข้าเว็บไหน กด Ctrl+Alt+A มันจะพิมพ์ให้ ไม่ใช่เฉพาะ browser อ่ะ ไม่จำกัดโปรแกรมเลย แต่ keepass มันจับคู่กับโปรแกรมที่ต้องการไม่เจอบ้าง แนะนำ AutoTypeSearch plugin ช่วย

  • นอกจากตั้ง master password สามารถใช้ keyfile ช่วยได้ มีแต่ master password ไม่มี keyfile ก็ไม่ปลด อันนี้ทำเป็น hardware key คนจนได้ ใช้ thumbdrive แทน 5555

  • ผมตั้งให้ตัว password gen ยาวววไว้ก่อน บางเว็บมีข้อจำกัดเรื่อง max length password ก็ลำบากหน่อยบางที / ผมใช้ Readable plugin (มี word dictionary ของตัวเอง) ก็อย่างที่ xkcd ว่าไว้

[img]https://imgs.xkcd.com/comics/password_strength.png[/img]

ผม backup ไฟล์เสมออยู่ล่ะ ป้องกันทับอีกชั้นด้วย พูดไปขั้นตอนพวกนี้ไม่ลำบากสำหรับผม แต่หลายคนอาจรู้สึกว่าลำบากเกิน ผมแนะนำ lastpass, 1password ใช้แทนได้ดี

อา.. เล่าขนาดนี้เท่ากับให้ข้อมูลตัวเองกับผู้ร้ายไปเยอะเลยเนี่ย ?

ควรใช้มั้ยครับ

ควรครับ หลายที่มี 2fa ก็ช่วยได้อีก

ควรใช้ในยามที่ควรใช้ ดีกว่าควรใช้แล้วไม่ใช้

ส่วนตัวผมคิดว่าวิธีการนี้มีข้อเสียคือถ้า Master Password โดน hack คนร้ายก็จะเข้าถึงข้อมูลทุกอย่างได้เลย

และนั่นเองคือที่มาของพวงกุญแจ ไม่ว่ากุญแจบ้าน กุญแจรถ ฯลฯ เอามารวมกันทำไมไม่รู้หายทีซวยที แต่ทำไงได้บางคนยิ่งไม่เอามารวมกันยิ่งทำหายมั่วไปใหญ่ รวมกันดูแลง่ายกว่า ต่างคนต่างปัจจัย

มนุษย์คือจุดอ่อนในระบบ

[img]https://i.imgur.com/xDwDJul.jpg[/img]

ต้องช่างน้ำหนักเอา ว่าอะไรควรเก็บแบบไหน