Tags:

สรุปสั้นๆ : ใครเคยใช้โปรแกรมประเภท Password Manager (เช่น Lasspass, 1password, ฯลฯ) ช่วยเล่าประสบการณ์หน่อยครับว่ามีความจำเป็นมั้ย สะดวกมั้ย ปลอดภัยมั้ย และควรใช้มั้ยครับ

========================
ต่อจากนี้จะเล่าที่มา อาจจะยาวนิดนึง

ผมเป็นคนที่มี ID ในอินเทอร์เน็ตค่อนข้างเยอะ ทั้งอีเมล เว็บเซอร์วิส เว็บบอร์ด บัญชีธนาคาร ฯลฯ

ผมค่อนข้างมั่นใจว่ารหัสผ่านของผมปลอดภัย เพราะมีทั้งตัวอักษร ตัวเลข และอักขระพิเศษผสมกัน โดยผมทำไว้ 2-3 ชุด ถ้าเป็นเว็บที่ไม่ได้สำคัญมาก (เช่น เว็บบอร์ดหรือฟอรั่มต่างๆ) จะใช้รหัสผ่านเหมือนกัน แต่ถ้าเป็นเว็บที่สำคัญ (เช่น Email หรือ Internet Banking) จะใช้รหัสผ่านอีกชุดที่ปลอดภัยกว่าและไม่เหมือนกันกับบริการอื่น

ผมคิดว่าไม่น่าจะเป็นปัญหาอะไร จนกระทั่งผมโดน hack ไอดีเว็บบอร์ดแห่งหนึ่ง คนร้ายสามารถ Login เข้าระบบเว็บบอร์ดได้ และทำการเปลี่ยนรหัสผ่าน นอกจากนี้คนร้ายพยายาม Login เข้าอีเมลผม แต่ไม่สามารถเข้าได้เพราะใช้รหัสผ่านคนละชุดกัน ผมเลยทำการ reset รหัสผ่าน และสามารถใช้ไอดีนั้นได้ตามปกติ

ผมคิดว่าวิธีการที่ทำอยู่ตอนนี้คงไม่ดีสักเท่าไร โชคเข้าข้าง ผมได้รับคีย์ให้ใช้ Lasspass แบบพรีเมี่ยมฟรี 6 เดือนโดยบังเอิญ ผมเลยสนใจที่จะใช้โปรแกรมประเภทนี้ จากข้อมูลที่ผมอ่านคร่าวๆ หลักการคือเราไม่ต้องตั้งรหัสผ่าน แต่ปล่อยให้โปรแกรมทำการสุ่มรหัสผ่านที่ปลอดภัยให้แทน ส่วนตัวผมคิดว่าวิธีการนี้มีข้อเสียคือถ้า Master Password โดน hack คนร้ายก็จะเข้าถึงข้อมูลทุกอย่างได้เลย แต่ทางโปรแกรมน่าจะมีมาตรการมาป้องกันจุดนี้อยู่เหมือนกัน

ใครเคยใช้หรือกำลังใช้โปรแกรมประเภท Password Manager รบกวนเล่าประสบการณ์หน่อยครับ ขอบคุณครับ

Get latest news from Blognone
By: Thaitop_BN
Windows PhoneUbuntuWindows
on 31 May 2018 - 00:31 #1052421
Thaitop_BN's picture

จากประสบการใช้ LastPass ก็สะดวกดีอ่ะครับ สั้นๆ คือ เหมาะสำหรับคนทั่วไป ที่ต้องการความสะดวกพร้อมกับความปลอดภัยในระดับหนึ่ง

-เวลาตั้งหรือเปลี่ยนรหัสก็ให้โปรแกรมคิดให้และกรอกให้พร้อม ข้อดี คือ รหัสผ่านไม่ซ้ำกันเลย ข้อเสีย คือ ถ้าต้องกรอกเองจะพิมพ์ยาก (แต่แก้ได้ด้วยการคิดรหัสเองและบันทึกไว้ในโปรแกรมเพื่อกันลืม)
-ส่วนตอนล็อกอิน ง่ายมากๆ ไม่ต้องกรอกเอง หรือบางเว็บอาจจะตั้งให้ล็อกอินอัตโนมัติเลยก็ได้

-ส่วน master password โดนขโมยนี่ไม่กังวล เพราะผมเปิด 2FA ไว้ ถึงได้รหัสก็ล็อกอินไม่ได้ โดนขโมยก็แค่เปลี่ยนรหัส master จบ
-ในเรื่องฐานข้อมูลโดนแฮ็กอันนี้ก็ไม่ได้กังวลเท่าไหร่ เพราะบริการเขาเข้ารหัสข้อมูลไว้ ถ้าโดนขโมยฐานข้อมูลก็แค่ไปไล่เปลี่ยนรหัสผ่านเว็บต่างๆ แค่นั้น ซึ่งดูวิธีการเข้ารหัสฐานข้อมูลแล้วน่าจะมีเวลาเปลี่ยนเหลือเฟือ (และไม่ได้เกิดขึ้นบ่อย)

สรุปคือสะดวกและปลอดภัยกว่าให้ตัวผมดูแลเอง เพราะผมไม่ได้ขยันคิดรหัสที่ไม่ซ้ำกันเลยและขยันจดรหัสเองขนาดนั้น ส่วนจะให้กลับใช้รหัสซ้ำกันนี่คงไม่เอาด้วย ไม่อยากกลับไปปวดหัว เปลืองแรงไล่คิด ไล่เปลี่ยนรหัสเว็บที่ใช้รหัสซ้ำกัน จะปล่อยทิ้งไว้ก็ไม่ได้ด้วย เดี๋ยวโดนแฮกเกอร์เอาแอคเคาท์ไปทำเรื่องผิดกฎหมายละจะซวยเอา


ไม่ว่าท้องฟ้าจะสีอะไร ฉันก็ชอบใจไม่เปลี่ยนแปลง

By: Mekokung
ContributorAndroidWindows
on 31 May 2018 - 02:02 #1052431
Mekokung's picture

ผมใช้ Lastpass ครับ

สำหรับผมแล้วตอนนี้จำเป็นมากครับเพราะว่าผมจำเป็นต้องใช้ตัวสุ่มรหัสจากเหตุโดนแฮกแล้วรหัสผ่านหลุดนี้ละครับ เลยต้องใช้ในหลายๆเว็บที่จำเป็นมากๆ กับที่สมัครใหม่ และรหัสผมก็เริ่มใช้หลากหลายแล้วด้วยก็เลยจำไม่ค่อยได้แล้วด้วย

ส่วนประสบการณ์ผมคือค่อนข้างดีครับใช้บน pc หรือ mobile ถือว่าดีครับ ทำให้รู้สึกว่าชีวิตผมสบายขึ้นอีกระดับถามว่าปลอดภัยไหม ผมตอบไม่ได้ครับแต่ผมก็พอจะไว้ใจอยู่บ้าง แถมก็เปิด 2FA ด้วยก็วางใจได้ระดับนึงด้วยครับ

ที่ชอบสุดก็ autologin คือ ดจีย์ อ่ะแต่ไม่รู้ทำไมมันไม่ยอม autologin ใน mobile บ้าง แต่เสียอย่างคือถ้า mobile มันไม่ยอม detect แอพบางตัวที่มีอยู่ในนั้นต้อง manual ไปเลือกเอง

สรุปคือสบายครับสำหรับผม เพราะตอนนี้ก็จำแต่รหัสผ่านที่ใช้หลักๆเลยไม่ค่อยกังวลกับเว็บอื่นๆ ความปลอดภัยนั้นผมอยากให้เปิด 2FA ส่วนตัวระบบเองก็น่าจะปลอดภัยอยู่นะครับ ควรใช้สำหรับคนที่ไม่อยากจดลงกระดาษ หรือต้องตั้งรหัสต่างกันโดยการสุ่มรหัสเพราะโดนแฮกแล้วโดนปล่อยรหัสสู่สาธารณะแต่ไม่อยากจำรหัสที่ตั้งใหม่ สุดท้ายมัน 'จำเป็นไหม' ทางคุณต้องอ่านจากหลายๆคอมเมนต์แล้วตกผลึกความคิดดูครับ


Mekokung's Story บล็อกส่วนตัวที่ย้ายไป Blogger แล้วนะ

By: GoblinKing
Windows PhoneWindows
on 31 May 2018 - 08:07 #1052441
GoblinKing's picture

ผมขาดไม่ได้เพราะจำรหัสผ่านไม่ไหวแล้ว นอกจากต้องจำของตัวเองแล้วยังต้องจำของของคนในครอบครัว ของคนที่ทำงานและญาติๆ อีก อยากให้ระบบยืนยันตัวทางชีวภาพแมสได้ไวๆ จัง

By: horakung
iPhoneAndroidWindows
on 31 May 2018 - 11:18 #1052508
horakung's picture

Lastpass + 2FA อีกชั้นด้วยช่วยให้ชีวิตง่ายขึ้นมากครับ


Azur Lane #ป่วยเรือก็เช่นกัน

By: adente
ContributorSUSESymbianWindows
on 31 May 2018 - 11:42 #1052520
adente's picture

ผมใช้ enpass เป็นโปรแกรม passmaanger ครับเพราะผมชอบ offline แต่ตัวโปรแกรมสามารถเข้ารหัสแล้วซิงค์ไป cloud storage ได้ทำให้หมดปัญหากรณีใช้หลาย device เพราะมันซิงค์กันได้ สุดท้ายก็อยู่ที่เรา 2FA ตัว cloud storage ที่ใช้ดีแค่ไหน

By: PowerBerry
Android
on 1 June 2018 - 16:12 #1052862

ไม่จำเป็นครับ ใช้ อัลกอริทึม + เข้ารหัสในหัว เจนออกมาเว็บต่อเว็บไม่ซ้ำกันแล้วจำได้ทุกเว็บครับ

By: kentaonline
iPhoneWindows PhoneBlackberry
on 15 June 2018 - 08:41 #1055516 Reply to:1052862

เหมือนผมเลย Gen ใหม่เรื่อยๆ สูตรเดิม

By: Configuleto
AndroidWindows
on 14 June 2018 - 21:47 #1055470
Configuleto's picture

ไม่รู้จะยาวไหม กำลังงงๆเมากาแฟ

มีความจำเป็นมั้ย

ผมเทียบเหมือนถาม 'จะออกจากบ้านต้องล็อกบ้านก่อนป่าว' ผมเชื่อว่าเกือบร้อยในร้อยคนบอกจำเป็น

แต่พอดีบ้านผมหลังเดี่ยวโดดๆกลางทุ่งนา จะไปซื้อไอติมในหมู่บ้าน ไอ้ร้านขายของเนี่ยห่างร้อยเมตร ระยะสายตามองมาเห็นบ้านทั้งหลังไม่มีอะไรบัง ผมเลยก็บอกไม่จำเป็นต้องล็อคบ้าน แป๊บเดียวก็กลับ (แต่กรณีอื่นๆนอกนั้นผมก็ล๊อกบ้านนะเออ 🤣)

ดั่งที่ยกมา คำตอบคือ depend, ก็จำเป็นและไม่จำเป็น นั่นแหละครับ เพราะแต่ละคนมีความต้องการแตกต่าง ความจำเป็นตอบเจาะจงให้ไม่ได้ ควรใช้ในยามที่ควรใช้ ดีกว่าควรใช้แล้วไม่ใช้

จะว่าไปผมเคยทำแบบ กขกท. เลยครับ รหัสสำคัญตั้งดีๆใช้ไม่ซ้ำ แต่เว็บไม่ซีเรียสใช้เหมือนกันหมด หลุดก็ช่างมัน

...ช่างมันจริงๆ เพราะพอเว็บหนึ่งโดนแฮก ผมต้องตามเปลื่ยนอีกสองร้อยเว็บที่รหัสเหมือนกัน เปลื่ยนอยู่สามวันก็ไม่เสร็จ (จำได้ไม่หมดว่าตัวเองมี account ที่ไหนบ้าง)

ดังนั้นเบื้องต้นผมว่า รหัสสำคัญๆจำเอาเหมือนเดิม แต่รหัสที่ใช้กับเว็บไม่ซีเรียสทั้งหลาย คุณใช้ Password Manager ช่วยแทนเลยครับ

หลังจากใช้ไปซักพักอย่างน้อยก็มี insight ระดับหนึ่ง คุณก็ตัดสินใจได้ดีขึ้นละ ว่าจะเอาไงต่อจากนั้น :)

ปลอดภัยมั้ย

เลือก Password Manager ที่ได้มาตฐาน มันก็ปลอดภัยสิครับ แต่ไม่มีอะไรปลอดภัย 100% ในโลกนี้

ใครเคยใช้หรือกำลังใช้โปรแกรมประเภท Password Manager รบกวนเล่าประสบการณ์หน่อยครับ

ผมใช้ KeePass 2 ตามที่ BSI หน่วยงานความปลอยภัยรัฐบาลเยอรมันแนะนำ

มันตอบโจทย์ที่ต้องการได้หมด

  • เก็บ offline ในเครื่องตัวเองเท่านั้น ผมมั่นใจว่ารักษาความปลอยภัยให้เครื่องตัวเองได้ดีพอ ถ้าคิดว่าทำแบบนั้นไม่ได้ก็น่าไปใช้ lastpass, 1password ดีกว่า

  • ป้องกัน mem dump ตอนโปรแกรมรันอยู่ แต่ถึงงั้น ผมยังระวังโปรแกรมป้องกันโกงเกมบางตัว เช่น BattlEye บอกไว้ชัดว่าอ่านข้อมูลใน ram เราส่งไปหาต้นทางด้วย เป็นต้น ถ้าจะเล่นเกมที่ใช้พวกนี้ (เช่น R6, ARMA3) ผมต้อง lock workspace ใน keepass ก่อนเสมอ

  • keepass เขียนด้วย c# บางที archlinux มีปัญหากับ mono บ้าง ก็สลับไปใช้ KeeWeb แทนได้ มีช่วงหนึ่ง mono crash บ่อยมากบน i3 ผมเลยต้องสลับ ปัจจุบันเสถียรลื่นๆ

  • จริงๆ android มีแอพให้เปิดไฟล์ .kbx ได้ แต่นั่นหมายความว่าต้องเก็บไฟล์ในมือถือด้วย เก็บไฟล์สองที่=ต้อง sync ไฟล์ให้ทันสมัยเท่ากัน โปรแกรมมันมีวิธี sync ผ่านหลายทางอยู่แต่ผมขี้เกียจ และไม่ได้ใส่ pass บนมือถือบ่อยขนาดนั้น ผมเลยใช้วิธีหากต้อง sign-in อะไรในมือถือ ผมเปิด keepass ใน pc ดูรหัส พิมพ์ลงมือถือเอาเอง

  • auto-type เวลาจะเข้าเว็บไหน กด Ctrl+Alt+A มันจะพิมพ์ให้ ไม่ใช่เฉพาะ browser อ่ะ ไม่จำกัดโปรแกรมเลย แต่ keepass มันจับคู่กับโปรแกรมที่ต้องการไม่เจอบ้าง แนะนำ AutoTypeSearch plugin ช่วย

  • นอกจากตั้ง master password สามารถใช้ keyfile ช่วยได้ มีแต่ master password ไม่มี keyfile ก็ไม่ปลด อันนี้ทำเป็น hardware key คนจนได้ ใช้ thumbdrive แทน 5555

  • ผมตั้งให้ตัว password gen ยาวววไว้ก่อน บางเว็บมีข้อจำกัดเรื่อง max length password ก็ลำบากหน่อยบางที / ผมใช้ Readable plugin (มี word dictionary ของตัวเอง) ก็อย่างที่ xkcd ว่าไว้

No Description

ผม backup ไฟล์เสมออยู่ล่ะ ป้องกันทับอีกชั้นด้วย พูดไปขั้นตอนพวกนี้ไม่ลำบากสำหรับผม แต่หลายคนอาจรู้สึกว่าลำบากเกิน ผมแนะนำ lastpass, 1password ใช้แทนได้ดี

อา.. เล่าขนาดนี้เท่ากับให้ข้อมูลตัวเองกับผู้ร้ายไปเยอะเลยเนี่ย 😐

ควรใช้มั้ยครับ

ควรครับ หลายที่มี 2fa ก็ช่วยได้อีก

ควรใช้ในยามที่ควรใช้ ดีกว่าควรใช้แล้วไม่ใช้

ส่วนตัวผมคิดว่าวิธีการนี้มีข้อเสียคือถ้า Master Password โดน hack คนร้ายก็จะเข้าถึงข้อมูลทุกอย่างได้เลย

และนั่นเองคือที่มาของพวงกุญแจ ไม่ว่ากุญแจบ้าน กุญแจรถ ฯลฯ เอามารวมกันทำไมไม่รู้หายทีซวยที แต่ทำไงได้บางคนยิ่งไม่เอามารวมกันยิ่งทำหายมั่วไปใหญ่ รวมกันดูแลง่ายกว่า ต่างคนต่างปัจจัย

มนุษย์คือจุดอ่อนในระบบ

No Description

ต้องช่างน้ำหนักเอา ว่าอะไรควรเก็บแบบไหน

By: wegang
ContributorAndroid
on 17 June 2018 - 18:19 #1055927 Reply to:1055470
wegang's picture

ได้ความรู้มากเลย โดยเฉพาะตรงการ์ตูนของ xkcd ขอบคุณมากครับ