Google บอก Chrome โชว์รหัสผ่านไม่ถือเป็นช่องโหว่, ไม่คิดทำฟังก์ชัน master password

By Bigta Contributor on Tag: Google, Security, Chrome
Google

จากข่าว พบช่องโหว่บน Chrome เผยรหัสผ่านที่ถูกบันทึกไว้, กูเกิลบอกรับทราบแต่ไม่แก้ ทางทีมพัฒนาของ Google Chrome ได้ออกมาชี้แจงเหตุผลแล้ว

Google บอกว่าถ้ามีผู้ไม่หวังดีสามารถเข้ามาใช้งานเครื่องได้แล้ว เขาสามารถที่จะเอาข้อมูล cookie, history รวมถึงสามารถติดตั้งซอฟต์แวร์หรือ extension ที่เอาไว้ดักข้อมูลพฤติกรรมการใช้งานเบราว์เซอร์ได้อยู่แล้ว ดังนั้นเมื่อไหร่ก็ตามที่ผู้ไม่หวังดีสามารถเข้าถึงเครื่องได้ เกมจบทันที นอกจากนี้ยังบอกอีกว่า มีคนเรียกร้องฟังก์ชัน master password มานานแล้ว แต่ที่ Google ไม่ทำ เพราะการที่มีฟังก์ชันดังกล่าวนั้นจะทำให้ผู้ใช้เข้าใจผิดว่าการตั้ง master password แล้วให้คนอื่นมาใช้เครื่องนั้นมีความปลอดภัย ทั้งที่จริงๆ แล้วมันไม่ปลอดภัยเลย

ดูท่าทางแล้ว คนที่หวังจะให้ Chrome มีระบบ master password คงเป็นไปได้ยาก ทางที่ดีที่สุดในเวลาที่มีคนอื่นมายืมใช้คอมคือต้องสลับให้ไปใช้ user account อื่นแทนครับ

ที่มา - SC Magazine, Hacker News

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

heart Fri, 09/08/2013 - 00:05

จริงๆแล้ว คำว่า ไม่ปลอดภัยเลย นั้นก็ไม่ถูกซะทีเดียว
ต้องดูด้วยว่า ใครเป็นคนเข้าถึงคอม มี skill ในการแฮกสูงแค่ไหน
ถ้าสมมุติว่าเป็นแฟนมาใช้คอม แล้วแอบเอารหัส facebook ไปง่ายๆ แล้วไปดูว่าเราคุยกับใครอยู่นี่สิ งานเข้า

heart Fri, 09/08/2013 - 00:53

ยกตัวอย่างเฉยๆครับ ลองคิดกรณีอื่นๆ
ที่คนไม่หวังดี แต่ไม่มีความรู้ด้านการ hack อะไรเลย
แค่แอบมาตอนเราเผลอแล้วกดเอาไปง่ายๆนั่นแหละครับ

การป้องกันการ hack เค้าก็มีแนวคิดอยู่ว่า ไม่มีทางไหนป้องกันได้ 100%
แค่ทำให้คนแฮกนั้นใช้เวลานานที่สุดเท่าที่จะทำได้

เวลาที่นานจะคัดกรองคน ให้เหลือคนไม่กี่กลุ่มที่แฮกได้
และเวลาที่นาน ก็ทำให้คนที่แฮกนั้น แฮกไม่ทันเปลี่ยนรหัส หรืออัพเดทเวอร์ชั่นปิดช่องโหว่ หรืออื่นๆ

nessuchan Fri, 09/08/2013 - 09:55

มีอีกหลายวิธีครับ ในการกันไม่ให้คนอื่นมาใช้เครื่องเรา เช่นล๊อกออฟ แต่ถ้าเราเปิดเครื่องทิ้งไว้แล้วไม่อยู่และให้คนอื่นเข้ามาได้ แสดงว่าข้อมูลไม่ได้สำคัญจริงครับ

0FFiiz Fri, 09/08/2013 - 10:45

ผมว่า ถ้าเกิดเป็นแฟนมาขอใช้คอม ถึงระดับความปลอดภัยของโปรแกรมจะ 100% แต่ผมว่าไม่รอดเหมือนเดิมนะครับ เพราะความปลอดภัยทางร่างกาย อาจลดเหลือ 0

5555

willwill Fri, 09/08/2013 - 00:49

ถึงจะมี Master Password แต่ถ้าถูกแอบติดตั้ง extension ไม่ประสงค์ดีไว้ก็เสร็จครับ เช่น hook หน้าเว็บเพจแล้วอ่าน onchange ที่ช่องรหัสผ่าน หรือใช้ API ดักจับ Web Header

Authorization

Ford AntiTrust Fri, 09/08/2013 - 00:50

นั้นมัน main in the browser เป็นเรื่องที่กันยากอยู่แล้วครับ ประเด็นคือการ access เข้าข้อมูลที่เป็นความลับได้ง่ายเกินไปต่างหากที่ควรแก้ไข (หรือปิดเป็นค่าเริ่มต้น)

Ford AntiTrust Fri, 09/08/2013 - 00:53

ก็เลยไม่คิดจะป้องกันเพิ่มเติม มันเหมือนกับบอกว่า เอารหัสผ่านแปะไว้หน้าคอมฯ แล้วไม่ล็อคกุญแจบ้าน ถ้าคนเข้าบ้านได้ก็เข้าคอมพิวเตอร์ได้ซินะครับ ><"

McKay Fri, 09/08/2013 - 00:53

Nothing is really bulletproof. ครับ เราก็แค่เปลี่ยนการดูแล password จากเราดูแลเอง ไปให้คนอื่นดูแลแทน ซึ่งก็มีโอกาสจะถูก hack ด้วยเช่นกัน

หรือแม้แต่เว็บไซต์ที่เรา login ก็มีโอกาสถูก hack เหมือนกันครับ

Ford AntiTrust Fri, 09/08/2013 - 00:56

ใช่ครับ แต่การทำให้มันยากขึ้นอีก 1 ขั้นตอนก็ช่วยให้ปลอดภัยมากขึ้น (บ้าง) เช่นวิธี multi factor authentication ที่กำลังมีบทบาทมากขึ้นในปัจจุบันครับ

sunback Fri, 09/08/2013 - 08:55

ใช่ครับ แต่การทำให้มันยากขึ้นอีก 1 ขั้นตอนก็ช่วยให้ปลอดภัยมากขึ้น (บ้าง) เช่นวิธี multi factor authentication ที่กำลังมีบทบาทมากขึ้นในปัจจุบันครับ

และกูเกิลก็ทำเป็นเจ้าแรกๆ เลยไม่ใช่หรือครับ? มันก็แสดงว่ากูเกิลก็เอาใจใส่เรื่องความปลอดภัยเสมอมา (ระบบ master password ไม่ปลอดภัยพอสำหรับกูเกิล กูเกิลเลยเลือกใช้ระบบ 2 step กับบริการของตัวเอง, เตือนในระบบตั้งค่าเสมอว่าเราใช้รหัสมานานแค่ไหน, เตือนเมื่อมีพฤติกรรมการล็อกอินแปลกๆ) และในกรณีนี้กูเกิลก็ชี้แจงเหตุผลแล้ว (การใช้ master password ทำให้ผู้ใช้เข้าใจว่ามันปลอดภัย) แต่งวดนี้แปลกที่คุณ Ford พยายามเลี่ยงการพูดประเด็นนี้ไปเป็น user มาข้อจำกัดบลาๆๆๆๆๆๆๆ

ในโลกความปลอดภัย นักคอมพิวเตอร์ควรเรียนรู้ และถ่ายทอดการเรียนรู้เหล่านี้สู่ผู้ใช้ต่อๆ ไม่ใช่คิดแทน user ว่าอย่างนั้นยุ่งอย่างนี้ง่าย ต้องอธิบายแนวคิดให้ แต่ถ้า user ยังไม่ใส่ใจ ก็ต้องบอกว่า คุณเลือกที่จะเสี่ยงเอง อย่างข่าวแรกที่ทำให้เป็นข่าวผมก็ว่าถูกต้องแล้วที่เผยแพร่ออกมาให้ผู้ใช้ทราบ

คอมพิวเตอร์เป็นเครื่องส่วนบุคคล ถ้าเป็นในหน่วยงานเขาก็ออกแบบเรื่องแยกบัญชีผู้ใช้เป็นระบบพื้นฐานมานานแล้ว (มีทุก OS และมีมานานนนนนมาก) การพยายามช่วยบอกว่าบางครั้งติดโน่นนี่นั่น เปลี่ยน user ไม่ได้ switch ไม่สะดวก ฯลฯ อันนี้เป็นการ__จงใจ__พยายามเลี่ยงแนวคิดระบบความปลอดภัยขั้นพื้นฐานที่สุดไปแล้ว ถ้าเป็นคนอื่นๆ ไม่เท่าไหร่ แต่พอเป็นคุณ Ford แล้วผมอึ้งไปเลย -_-'

Ford AntiTrust Fri, 09/08/2013 - 10:28

เรื่อง multi factor ที่ผมไม่พูดถึงในกรณีนี้เพราะ Google ไม่ได้พูดถึงครับ และมองว่า master password เป็นเรื่องไม่จำเป็น เหมือนบอกปัดว่า การทำงานคล้ายๆ multi factor มันไม่สำคัญ ซึ่งผิดวิสัยมากเกินไป

ส่วนตัวในช่วง 2-3 วันนี้ผมเพิ่งทำ POC ตัว 2 factor authen ไป และเห็นว่ามันสำคัญ และการเข้าถึงระบบแบบยืนยันตัวตนหลายชั้น (หรือหลายครั้ง) ที่เพิ่มความปลอดภัยมากขึ้น นั้นสำคัญ แต่ในกรณีนี้ ผมกลับแปลกใจท่าที Google ผมจึงค่อนข้างไม่เห็นด้วยกับคำอธิบายของ Google อย่างมากครับ

ในฐานที่ผมทำงานด้านนี้แล้วก็เข้าใจเรื่อง Security พอสมควร เลยค่อนข้างไม่เห็นด้วยว่าการไร้ซึ่ง master password ใดๆ และพยายามในการอธฺิายว่า มันมีความจำเป็น และส่วนใหญ่คนที่ไม่เห็นด้วยก็เข้าใจดีว่ามันสำคัญอย่างไร แล้วทำเหมือนว่าเดินเข้าไปดูกันง่ายๆ แบบนั้น มันไม่ปลอดภัยเอาเสียเลย แต่ Google ยอมให้เราทำระบบ sync ทุกอย่างบน Chrome ได้ แต่กลับไม่ยืนยัน หรือทำอะไรให้มีประโยชน์มากกว่านั้น ซึ่งส่วนตัวผมว่ามันแย่

แน่นอนว่าการไม่บอกอะไร user เลยแล้วบอกว่ามันปลอดภัยก็ไม่ดี แต่การไม่ทำอะไรให้ปลอดภัยมากขึ้น แม้จะสามารถทำได้ มันก็ไม่ดีเช่นกันนะครับ

สำหรับการ switch user ผมกำลังบอกว่า มันมีบางช่วงเวลาและการทำงานบางอย่างที่ทำแบบนั้นไม่ได้ครับ มันไม่ได้ใช้ได้ทุกกรณีในการทำงาน ซึ่งขอเทียบได้กบัการที่ระบบภายในบ้าน ยังมีกุญแจอีกชั้นที่ล็อคตามสิ้นชัก และตู้นิรภัยต่างๆ เพื่อป้องกันคนขโมยของในสิ่งเหล่านั้น เมื่อคนเข้ามาในบ้านหลังจากผ่านประตูที่ป้องกันอยู่แล้วโดยเจ้าของบ้านเองก็ยังสำคัญครับ

สุดท้าย ผมมองว่าการ save password ไว้ที่ใด เพื่อความสะดวก เป็นเรื่องต้องรับความเสี่ยงอยู่แล้ว ซึ่งผมเชื่อว่าคนที่อ่านข่าวนี้น่าจะเข้าใจได้ดี จึงไม่พูดซ้ำครับ จริงๆ ส่วนตัวกำลังเขียน blog เรื่อง 2 factor authen อยู่พอดี ซึ่งคิดว่าคงได้พูดเรื่องกรณีนี้เช่นกัน

chalee Fri, 09/08/2013 - 00:35

สรุปสั้น ๆ Google บอกว่าถ้าคุณเปิดเครื่องของคุณ Logon User ของคุณไว้ แล้วให้คนอื่นยืมใช้เครื่อง มันไม่ปลอดภัยตั้งแต่ตอนนั้นแล้วล่ะ

wichate Fri, 09/08/2013 - 00:57

google คิดแทนว่าการปล่อยใช้คนอื่นมาใช้เครื่องเราเป็นเรื่องที่ไม่ปลอดภัย (ผมว่า google คิดถูก)

ปล.กรณีคนอื่นมาใช้เครื่องผม การ switch user แค่คลิก mouse 2-3 ทีก็ได้แล้ว สำหรับผมใช้วิธีขอ user password ของเพื่อนมาเชค mail ให้ด้วยตัวเอง นอกจากจะไม่ถูกล้วง password แล้ว การที่คนอื่นมาใช้เครื่องเรา กลับเป็นโอกาสให้เราได้ล้วง password ของเพื่อนแทนด้วยซ้ำไป อิอิ

Ford AntiTrust Fri, 09/08/2013 - 10:55

เอาง่ายๆ อย่างงานเอกสารและไฟล์งานที่มีขนาดใหญ่ ที่มีคนเข้ามาช่วยแก้ไขในช่วงเวลาหนึ่งๆ (ไม่นาน) การ swtich ไปมาอาจไม่ง่ายนักในการแก้ไขหรือทำเวลาให้รวดเร็ว ซึ่งผมเชื่อว่าคนพบเจอเหตุการณ์นี้กันบ่อยๆ แน่นอนครับ นียังไม่รวมถึงการให้คนอื่นๆ เข้ามาช่วยแก้ไขปัญหาบน user นั้นๆ อย่าง helpdesk เอง ซึ่ง switch user คนใช้ไม่ได้กับกรณีนี้

mr_tawan Fri, 09/08/2013 - 14:55

้help desk ใช้สิทธิ Admin ทำได้แทบทุกอย่างอยู่แล้วครับ

ส่วนการสลับ user นี่ผมจำได้ว่าอย่างน้อยบน Windows รองรับการสลับอย่างเร็วโดยไม่จำเป็นต้อง logout ก่อนเพื่อให้อีกคน login เข้ามาได้ (จริง ๆ ไม่มั่นใจเหมือนกันว่าเรียกว่าอะไร)

McKay Fri, 09/08/2013 - 00:46

กรณีนี้ก็ไม่ได้ save password อยู่แล้วนี่ครับ

ผมเฉยๆนะเรื่องนี้ จะว่าถูกมันก็ถูก จะว่าผิดมันก็ผิด น่าจะขึ้นอยู่กับมุมมองของแต่ละคน

ดังนั้นเพื่อความปลอดภัยของท่าน อย่า save password account ที่เป็นความลับสุดยอดเลยครับ

Ford AntiTrust Fri, 09/08/2013 - 00:49

ใช่ครับ ส่วนตัวเวลาผมให้คนยืมคอมใช้ ผมจะดูก่อนว่าไว้ใจได้แค่ไหน แต่กับ browser นี่บางอย่างมันก็แก้ไขได้ง่ายๆ นะ คือใช้ master password สักชั้นเพื่อไม่ให้ access ตัว paintext password ได้ก็เพียงพอในระดับหนึ่งแล้วครับ

gogermany Fri, 09/08/2013 - 01:18

ผมก็เป็นคนนึงที่เจอปัญหาเดียวกัน switch user ไปมา
แต่บางอย่างก็ switch ไม่ได้ เช่น เวลาเพื่อนมาขอเล่นเกมอะไรอย่างนี้ ก็ save มันอยู่ที่ user นี้นี่

LunaticNeko Fri, 09/08/2013 - 00:38

"ทางที่ดีที่สุดในเวลาที่มีคนอื่นมายืมใช้คอมคือต้องสลับให้ไปใช้ user account อื่นแทนครับ"

มันก็ควรเป็นอย่างนั้นหรือเปล่าครับ ปกติเพื่อนจะยืมเล่นเน็ตผมก็ Ctrl+Shift+N ให้มันไปเลย สบายใจทั้งสองฝ่าย ไม่เคยกลายเป็นเกย์ด้วย

Eka-X Fri, 09/08/2013 - 00:53

Chrome ถามทุกครั้งว่าจะให้มันเซฟรหัสไหม

แต่ไม่เห็นมันเคยบอกอันตรายแบบชัดๆ ว่าถ้าจะเซฟรหัสต้องแลกกับอะไรบ้าง ผู้ใช้คงต้องขุดเข้าไปอ่านกันเอง

Ford AntiTrust Fri, 09/08/2013 - 00:58

ขึ้นเป็นค่า default เลย แถมจะไปลบออก ต้องคลิ้กหลายขั้นตอน และอยู่ในส่วนของ advance settings ที่เป็น link ต้อง expand ออกมาอีกที ><"

sunback Fri, 09/08/2013 - 11:32

ไฟร์ฟอกซ์ก็ถามครับ แต่ไม่เห็นมันเคยบอกอันตรายแบบชัดๆ ว่าถ้าจะเซฟรหัสต้องแลกกับอะไรบ้าง ผู้ใช้คงต้องขุดเข้าไปอ่านกันเอง ถ้าจะกดเข้าไปดูรหัสจะมีข้อความเตือนว่า แน่ใจนะว่าคุณอยากดูรหัส? -*- และ master password ก็ไม่ใช่ค่าปริยายด้วยครับ

โอเปร่าก็ถามครับ แต่ไม่เห็นมันเคยบอกอันตรายแบบชัดๆ ว่าถ้าจะเซฟรหัสต้องแลกกับอะไรบ้าง ผู้ใช้คงต้องขุดเข้าไปอ่านกันเอง และกด Show รหัสได้ง่ายพอๆ กับโครมครับ

สรุปคือถ้าเป็นค่าปริยายก็มีแค่เท่าๆ กันครับ

ที่พิมพ์มานี่ไม่ได้บอกว่าโครมแย่แล้วเอาอย่างอื่นที่แย่ๆ มาแก้ต่าง แต่จะบอกว่าเมื่อผ่านระบบบัญชีผู้ใช้ในระบบปฏิบัติการมาแล้ว หลายๆ โปรแกรมก็เข้าใจได้ว่าเป็นผู้ใช้ที่มีสิทธิเข้าถึงอยู่แล้ว ซึ่งมันก็สมเหตุสมผลดี

Eka-X Fri, 09/08/2013 - 11:37

ผมก็เลยเลิกใช้ระบบเก็บรหัสผ่านของทุกค่ายไงครับ มันดูง่ายทุกค่ายเลย firefox ก็ใช่ย่อย โปรแกรมอื่นๆ ก็เข้าไปดูรหัสได้ง่ายๆ ใช้ 1password สบายใจกว่า ซิงค์มันทุกอุปกรณ์เลย

ปล. เครื่องผู้ใช้คนไทยส่วนใหญ่ ไม่ได้ล็อกรหัสเข้าเครื่อง

sunback Fri, 09/08/2013 - 12:07

ปล. เครื่องผู้ใช้คนไทยส่วนใหญ่ ไม่ได้ล็อกรหัสเข้าเครื่อง

นี่คือสิ่งที่ชาวไอทีที่เชี่ยวชาญควรแนะนำและบอกต่อครับ เป็นความปลอดภัยขั้นพื้นฐานที่สุดที่ต้องเรียนรู้เมื่อใช้คอมพิวเตอร์

ผมเชื่อว่าชาวบล็อกนอนทุกคนทราบและเข้าใจและพร้อมแนะนำผู้อื่น แต่อ่านคอมเห็นบางส่วนในข่าวนี้ผมเงิบ เพราะจงใจหลีกเลี่ยงไปเฉย

willwill Fri, 09/08/2013 - 01:04

เรื่องประเด็นรหัสผ่านเคยเป็นเรื่องหลายปีก่อนทีหนึ่งเมื่อมีคนพบว่า Pidgin ไม่เข้ารหัสรหัสผ่าน

Pidgin เขียนสรุปเหตุผลไว้ที่นี่ครับ

TL;DR: เข้ารหัสจะหลอกให้ user ตายใจ แต่ถ้าเป็นไปได้ก็ควรจะ integrate เข้ากับระบบเก็บรหัสผ่าน (keyring) ของระบบแทน

Persuader Fri, 09/08/2013 - 01:50

มีคนเรียกร้องฟังก์ชัน master password มานานแล้ว แต่ที่ Google ไม่ทำ เพราะการที่มีฟังก์ชันดังกล่าวนั้นจะทำให้ผู้ใช้เข้าใจผิดว่าการตั้ง master password แล้วให้คนอื่นมาใช้เครื่องนั้นมีความปลอดภัย ทั้งที่จริงๆ แล้วมันไม่ปลอดภัยเลย

ผมเห็นด้วยนะ
การทำ master password ไม่ค่อยช่วยอะไรมาก
เรารู้สึกว่า master password นั้นปลอดภัยกว่า เพราะตอนนี้มันไม่มีครับ

ตัวอย่างเช่น
Chrome ปัจจุบัน ไม่มี master password
ผู้ใช้ธรรมดา > เข้ามาใช้อย่างปกติแล้วก็ไป
ผู้ใช้ที่ไม่หวังดี > เข้าไปใน settings กดดู แล้วก็ได้ password ไป
ถ้ามี master password ขึ้นมา
เมื่อผู้ใช้ที่ไม่หวังดีกดเข้าไปดูใน settings ไม่ได้ ก็จะแบ่งเป็น
ไม่ใช้วิธีอื่น > อดดู
ใช้วิธีอื่น เช่น ลง add-on ดัก password > ได้ password ไป
ทำให้เรารู้สึกว่า มันเหมือนจะปลอดภัยกว่า

แต่ถ้าในอนาคต master password กลายเป็นสิ่งที่มีกันทุกเครื่อง ก็จะกลายเป็น
ผู้ใช้ธรรมดา > เข้ามาใช้อย่างปกติแล้วก็ไป
ผู้ใช้ที่ไม่หวังดี > ลง add-on ดัก password แล้วก็ได้ password ไป

มันเป็นแค่การย้ายช่องโหว่ครับ
วิธีที่อื่นไม่เป็นที่รู้กันโดยทั่วไปเพราะว่าวิธีแรกมันได้รับความนิยมมากกว่า และง่ายกว่านิดนึง
ถ้าวิธีแรกหายไป วิธีที่สองก็จะกลายเป็นวิธีที่รู้กันโดยทั่วไป และกลายเป็นวิธีที่ได้รับความนิยมแทนครับ
และการลง add-on บน chrome มันก็ง่ายมากด้วย คลิกไม่กี่ทีก็เสร็จ ใช้เวลาไม่นานไปกว่ากดดู password ใน settings เลย
หากอนาคต การมี master password บน chrome กลายเป็นเรื่องปกติ ผู้ไม่หวังดีที่ตั้งใจจะขโมย password เขาก็ย่อมต้องรู้วิธีการอื่นอยู่แล้ว

ถ้ามีผู้ไม่หวังดีเข้าถึงเครื่องได้ แล้วเจ้าของเครื่องทิ้งเครื่องไปไม่ดู หรือดูแต่ดูไม่เป็นว่าเขาทำอะไร กันไว้แค่ไหนมันก็จบครับ

zerocool Fri, 09/08/2013 - 02:32

ผมไม่คิดว่า add-on สำหรับดู password จะลงกันได้ง่ายๆ เหมือน add-on อื่นๆ นะครับ มันคงไม่ไปอยู่ใน Google Store แบบแผ่หราแน่ๆ

nrml Fri, 09/08/2013 - 10:00

ตรงนี้ผมว่าเป็นเหตุผลที่ไม่ค่อยจะสมเหตุสมผลสักเท่าไหร่ครับ เหมือนกำลังจะบอกว่า ยังไงถ้าโจรจะมาปล้นก็คงจะปล้นอยู่ดี ฉะนั้นเราไม่จำเป็นต้องมีรั้ว มีประตูบ้าน มีลูกบิดหรือแม่กุญแจเอาไว้ล็อคบ้านแต่อย่างใดเพราะกันไว้แค่ไหนมันก็จบ

mr_tawan Fri, 09/08/2013 - 14:58

ของ Chrome นี่เขาอธิบายประมาณว่า ถ้าปล่อยให้โจรเข้ามาในบ้านได้แล้ว จะล๊อกอะไรไว้ก็ไร้ประโยชน์เขาก็ขนไปได้หมดบ้านอยู่ดี

พ่อผมก็ชอบพูดแบบนี้แหละ (ฮา) แต่เขาก็เก็บเงินเอาไว้ในเซฟนะ

gogermany Fri, 09/08/2013 - 12:19

ถ้ามี add-on แบบนั้นใน Store ทาง Google ก็เสียหายครับ เป็นไปไม่ได้ที่ google จะยอม
ผมว่าไม่น่าใช่ประเด็นนี้มากกว่า

Persuader Fri, 09/08/2013 - 15:58

add-on นี่ผมยกเป็นตัวอย่างครับ
ถ้าเข้าถึงเครื่องได้มันมีวิธีอีกมาก ที่จะได้ password ไป
ลง keylogger
ลง trojan
ส่ง email ไฟล์ที่ใช้เก็บ password กลับไปถอดรหัสที่บ้าน
ฯลฯ

จริงอยู่ว่าวิธีการพวกนี้สามารถแก้ได้ด้วยการลง software อื่นมาช่วย
แต่ปัญหาปัจจุบันก็แก้ได้โดยใช้ software อื่นมาช่วยเช่นกันครับ

gogermany Fri, 09/08/2013 - 23:49

กรณีที่กล่าวมามันต้องใช้ผู้ที่มีความรู้ด้าน IT ครับ คนทั่วไปคงทำได้ยาก
แล้วทำไม Google ไม่คิดถึงจุดนี้ คิดว่าทุกคน hack ได้หมดรึยังไง

tanapon000 Fri, 09/08/2013 - 01:29

ไม่ต้องถึงขั้นmaster password หรอก แค่ก่อนจะเข้าดูรหัสได้ให้ ล็อค อิน อีเมลอีกครั้งก็พอแล้ว ไม่ใช่ใครหน้าไหนก็กดเข้ามาดูได้หน้าตาเฉย

Soul_Master Fri, 09/08/2013 - 02:39

Signout chrome ง่ายกว่าไหม? (ถ้าจำไม่ผิด ทุกอย่างที่ sync ควรจะหายไปด้วย ถ้าไม่หายก็ raise เป็น bug เลย)

ปล. ผมล่ะโครตเกลียด วิธีการแก้ปัญหาที่ไม่ตรงจุด ทำให้การทำงานปกติยากขึ้นไปด้วย สุดท้ายแทนที่จะได้ประโยชน์ กลับเสียประโยชน์มากกว่า อารมณ์ประมาณว่าสร้างปัญหาใหม่มาทับปัญหาเดิมไปเรื่อยๆ สุดท้ายระบบก็พังในที่สุด

PH41 Fri, 09/08/2013 - 02:52

ผมอยากให้มี master password หรืออะไรก็ได้ที่คล้ายๆ
เพื่อจำกัดกลุ่มคนที่สามารถสร้างความเสียหายต่อเราได้
ก็น่าจะเหลือแต่พวก Expert, Sciptkiddy แทนที่จะมีใครก็ได้สามารถดูได้ถ้าล็อคอินอยู่
อย่างน้อยถ้าใครก็ได้จะพัฒนาเป็น scriptkidddy ก็ไม่ไช่วันนี้ แต่คงเป็นคราวหลัง
แล้วถ้าจะกลับมาโคจรเจอกันอีกก็คงใช้เวลาซักพัก
หรือคนนั้นอาจจะเปลี่ยนใจที่จะไม่สร้างความเสียหายไปแล้วก็ได้เมื่อเวลาผ่านไป

ถ้าจะให้หักดิบไม่มี save password ก็โหดร้ายไปหน่อย
ยกตัวอย่างเช่นคนอยู่หอ หอห้ามติดอินเตอร์เน็ท
หอให้ user password ที่ประกอบไปด้วย พิมพ์ใหญ่ พิมพ์เล็ก ตัวเลข สัญลักษณ์
แล้วดันเป็น case sensitive ทั้ง user password
และต้อง login ใหม่ทุกๆ 2 ชั่วโมง หรือไฟดับ
ถ้าให้ user ไปใช้อินเตอร์เน็ทผ่านมือถือ GSM ก็ hack กันง่ายๆ แถมที่นี้กระจายเป็นกิโลเลย
ถ้าจะให้ user ซื้อ wifi แรงๆ ยิงไปหา .@ TRUEWIFI หรือ @3BB หรือ ฯลฯ
ก็คงจะไม่ปลอดภัยเหมือนกัน

เรื่องอาจไม่เกี่ยวข้องกันนะที่เขียน
แต่คืออยากจะบอกว่า ไม่เห็นจะมีอะไรปลอดภัยเลย....
แต่มันก็ควรจะมีกันไว้บ้าง อย่างน้อยก็กันเด็กน้อยได้จริงมะ

gudgee Fri, 09/08/2013 - 06:24

เค้าก็บอกอยู่โท้งๆว่า master password ทำให้เข้าใจผิดว่าปลอดภัย

แล้วจะทำไปทำไม?

ในเมื่อ Chrome รู้ว่ายังไงก็ทำให้ปลอดภัยไม่ได้ เค้าก็ต้องให้คนรู้ตัวเอง ก็ถูกแล้วนิ

ถามผมนะ ทำแบบเดิมเลย ให้ถาม save เป็น default เหมือนเดิม แต่ทำเป็นสีแดงแบบอันตรายหน่อยก็พอ

Fourpoint Fri, 09/08/2013 - 07:43

Master password อย่างน้อยก็ป้องกันการแอบดูได้ จากบุคคลทั่วไปไงครับ เพราะการจะแอบลงโปรแกรมเพิ่ม มันก็มีร่องรอยบ้าง ไม่ว่าจะเป็นพวกkeystroke keylogger หรือextension

แต่การกดshow passwordนี่แทบไม่มีร่องรอยเลยก็ว่าได้ เดินผ่านมาไม่ต้องเสียเวลาลงโปรแกรม กดshow ปุ๊บ จด หรือแอบถ่ายรูปไปก็จบเห่แล้ว ใช้เวลาไม่ถึงนาที

คือมันป้องกันสุดยอดโจร(hacker)ไม่ได้ก็จริง แต่อย่างน้อยมันก็ป้องกันโจรกระจอกได้ไงครับ

เหมือนกับระบบล็อครถ เรารู้ว่ามันสะเดาะกลอนง่ายมาก แค่ช่างกุญแจเอาลวดยาวๆแหย่ลงไปเขี่ยก็เปิดประตูได้แล้ว เราเลยต้องมีระบบป้องกันอื่นๆเพิ่ม เช่นพวกclick lockหรือระบบกันขโมยอื่นๆเพื่อถ่วงเวลามากกว่านั้น

แม้ว่าเราจะรู้ว่าการล็อครถธรรมดาป้องกันโจรที่มีความรู้ไม่ได้ แต่เราก็ยังล็อครถเป็นพื้นฐาน เพื่อป้องกันคนธรรมดา ที่เดินผ่านไปมาแล้วเห็นของในรถ เลยลองดึงเปิดประตูดูได้ไงครับ(มีนะครับ ผมเคยเห็นพวก เดินเนียนๆ เปิดประตูรถทุกคันที่จอดอยู่ คงกะว่าบางคันลืมล็อครถ)

การป้องกันมีหลายระดับ ผมว่าเราควรจะมีbasic security ที่อย่างน้อยป้องกันการรั่วไหลโดยบังเอิญได้ด้วยเช่นกัน

McKay Fri, 09/08/2013 - 09:10

ทางที่เสี่ยงน้อยที่สุดคือไม่ save password ถ้า password นั้นมันสำคัญครับ แต่ถึงอย่างนั้นมันก็ไม่ได้ปลอดภัย เพราะอาจจะโดนจากเรื่องอื่นๆเช่น keylogger ก็ได้

เรื่อง risk management เป็นสิ่งที่คนควรรู้มาตั้งนานแล้ว ผมดีใจนะที่มีข่าวแบบนี้ออกมาบ้าง คนจะได้ตื่นตัวเรื่องความปลอดภัยและความเป็นส่วนตัวของตนเองและปฏิบัติให้ถูกต้องกันซักที

Sabrekun Fri, 09/08/2013 - 10:23

จากนั้นก็เสริมเข้าไป เสริมเข้าไป Master Password >> Lord Password >> Hero Password >> King Password >> Angel Password >> God Password >> True Password >> Nirvana Password บลาบลาบลา (ฮา)

เอาเป็นว่าถ้าจะละจากหน้าจอคอมฯก็ Log Off จาก Windows แล้วใส่พาสเวิร์ดของ User เอาไว้ จบ.

SleeperMoNKeY Fri, 09/08/2013 - 10:48

ผมเฉยๆครับ ไม่มีก็ไม่เป็นไร ยังไงก็ไม่ได้ให้คนอื่นเข้ามาใช้คอมง่ายๆอยู่แล้ว
ถ้าเพื่อนอยากใช้ก็แค่เปลี่ยนยูสเซอร์ให้มัน แค่นั้น

ysmdm1 Fri, 09/08/2013 - 11:02

ผมงงว่าทำไมไม่ทำ Master password แบบ Firefox มันยากมากเลยเหรอหรือว่ามันมีผลเสียอะไรขนาดที่จะไม่ทำ

ผมเห็นด้วยนะครับว่าการมี Master password นะมันไม่ได้กันพวก Hacker ได้หรอก แต่มันกันโจรกระจอกได้เป็นอย่างดี :)

sunback Fri, 09/08/2013 - 12:12

ผมงงว่าทำไมไม่ทำ Master password แบบ Firefox มันยากมากเลยเหรอหรือว่ามันมีผลเสียอะไรขนาดที่จะไม่ทำ

กูเกิลอธิบายตามข่าวแล้วครับ

ผมเห็นด้วยนะครับว่าการมี Master password นะมันไม่ได้กันพวก Hacker ได้หรอก แต่มันกันโจรกระจอกได้เป็นอย่างดี :)

ถ้าจะลุกจากโต๊ะแล้ว log out/log off เครื่อง และเครื่องมีรหัสผ่าน ก็กันโจรกระจอกได้ทุกบราวเซอร์ ทุกโปรแกรม อยู่แล้วครับ

Fourpoint Fri, 09/08/2013 - 13:45

มันกันกรณี ให้คนอื่นใช้ไม่ได้ไงครับ

ลองนึกถึงกรณี คุณเอาเครื่องไปให้ helpdesk หรือเพื่อนร่วมงานทำอะไรบางอย่างดูก็ได้ ซึ่งทางhelpdeskนี่คงไม่สามารถลง keylogger อะไรได้ง่ายนัก เพราะผิดpolicyร้ายแรงและอาจตรวจเจอภายหลังได้ แต่ถ้าแค่แอบดูpass ในเครื่องเรา มันง่ายนิดเดียวไงครับ

อย่างที่เคยยกไป ล็อคประตูรถ กันโจรขโมยรถไม่ได้ กันโจรทุบกระจกไม่ได้ แต่กันโจรกระจอกมือบอนได้ครับ

giogio Fri, 09/08/2013 - 12:21

Google พูดถูก ขนาด lock screen ไว้ยังสามารถเอา thrumbdrive hack เข้าเครื่องได้เลย

แต่ขอให้มี feature นี้หน่อยเถอะ เพราะเชื่อว่าร้อยละ 99 ของคนไทย ไม่ได้ตั้งรหัสผ่านเข้าเครื่องส่วนตัวของตัวเองเลย

jirayu Fri, 09/08/2013 - 12:58

คือเอาจริงๆ เนี่ย การมานั่งหน้าเครื่องแล้วเปิด password manager แล้วกดดูรหัสผ่าน มันอยู่ในระดับที่ใครๆ ก็ทำได้นะ แต่อย่างกรณีที่กูเกิลบอกคือคุ้ยเข้าไปหาไฟล์เก็บรหัสผ่านในเครื่อง อันนั้นมันไม่ใช่ว่าทำได้กันทุกคน การมี master password มันจะมาช่วยในกรณีนี้ครับ

นึกถึงตอน FileZilla ที่บอกจะไม่เข้ารหัสผ่าน last connection เลย บอกว่าอยากให้ปลอดภัยก็ตั้ง permission เอา - -

mr_tawan Fri, 09/08/2013 - 15:01

ปัญหาลืม Master Password ก็แค่ลบทิ้ง แล้วเซ็ตใหม่ครับ

พาสเวิร์ดเก่า ๆ ก็สูญไป ตั้งใหม่หมด

นี่เป็นการออกแบบของระบบ Master Password อยู่แล้วครับ

mr_tawan Fri, 09/08/2013 - 15:02

Google: การจดจำ Password นั้นก็ไม่ปลอดภัยตั้งแต่แรกอยู่แล้ว เอาอย่างนี้สิ ... ปิดฟังก์ชั่นนี้ แล้วใช้เฉพาะบริการที่รองรับ Google+ Sign On อย่างเดียวพอ จะได้ใช้พาสเวิร์ดชุดเดียวทำได้ทุกอย่าง ไม่ต้องมานั่งจำ Password เยอะ ๆ

gogermany Sat, 10/08/2013 - 00:39

ตามความคิดผมน่ะครับ

มันก็เหมือนการล๊อกกุญแจบ้านละครับ เราจะล๊อกทำไมในเมื่อ ช่างกุญแจ หรือผู้ชำนาญก็ปลดล๊อกได้อยู่ดี(อาจเป็นโจรด้วย) แต่เราล๊อกกุญแจเพื่อป้องกัน พวกผู้ไม่หวังดี ที่ฝีมือไม่ถึงมาโขมยสิ่งสำคัญไป

ซึ่งการล๊อกกุญแจนี้อย่างน้อยมันก็ป้องกันได้อย่างดี สำหรับคนทั่วไปที่ไม่มีความรู้เรื่องการปลดล๊อกกุญแจ ส่วนถ้าคุณเจอโจรที่เก่งๆมาถึงบ้านคุณกุญแจอะไรก็ช่วยไม่ได้ครับ นอกจากไปแจ้งตำรวจ

แต่ Google

  1. ไม่คิดที่จะป้องกันด้วยตัวเอง(ล๊อกกุญแจหน้าห้อง)
  2. มัวแต่อ้าง หวังพึ่งระบบป้องกันคนอื่น (Microsoft) ยกตัวอย่าง เช่น ระบบ key card ของคอนโด

ดังนั้นใครเดินเข้าคอนโดผ่านระบบ key card มาได้มันก็ดูห้องเราได้หมดล่ะครับ (คนในคอนโดเปิดประตูให้กันมีเยอะแยะ)

แม้ว่าจะกันพวกผู้ชำนาญไม่ได้ แต่ดีกว่าไม่ทำอะไรเลยพึ่งแต่คนอื่น เหมือน Google