จากข่าว พบช่องโหว่บน Chrome เผยรหัสผ่านที่ถูกบันทึกไว้, กูเกิลบอกรับทราบแต่ไม่แก้ ทางทีมพัฒนาของ Google Chrome ได้ออกมาชี้แจงเหตุผลแล้ว
Google บอกว่าถ้ามีผู้ไม่หวังดีสามารถเข้ามาใช้งานเครื่องได้แล้ว เขาสามารถที่จะเอาข้อมูล cookie, history รวมถึงสามารถติดตั้งซอฟต์แวร์หรือ extension ที่เอาไว้ดักข้อมูลพฤติกรรมการใช้งานเบราว์เซอร์ได้อยู่แล้ว ดังนั้นเมื่อไหร่ก็ตามที่ผู้ไม่หวังดีสามารถเข้าถึงเครื่องได้ เกมจบทันที นอกจากนี้ยังบอกอีกว่า มีคนเรียกร้องฟังก์ชัน master password มานานแล้ว แต่ที่ Google ไม่ทำ เพราะการที่มีฟังก์ชันดังกล่าวนั้นจะทำให้ผู้ใช้เข้าใจผิดว่าการตั้ง master password แล้วให้คนอื่นมาใช้เครื่องนั้นมีความปลอดภัย ทั้งที่จริงๆ แล้วมันไม่ปลอดภัยเลย
ดูท่าทางแล้ว คนที่หวังจะให้ Chrome มีระบบ master password คงเป็นไปได้ยาก ทางที่ดีที่สุดในเวลาที่มีคนอื่นมายืมใช้คอมคือต้องสลับให้ไปใช้ user account อื่นแทนครับ
ที่มา - SC Magazine, Hacker News
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
แก้ตรงลิงค์ของข่าวที่บรรทัดแรกหน่อยครับ
แก้แล้วครับ ขอบคุณครับ
จริงๆแล้ว คำว่า ไม่ปลอดภัยเลย นั้นก็ไม่ถูกซะทีเดียว
ต้องดูด้วยว่า ใครเป็นคนเข้าถึงคอม มี skill ในการแฮกสูงแค่ไหน
ถ้าสมมุติว่าเป็นแฟนมาใช้คอม แล้วแอบเอารหัส facebook ไปง่ายๆ แล้วไปดูว่าเราคุยกับใครอยู่นี่สิ งานเข้า
ปกติแฟนกันก็ถามกันตรงๆ นี่แหละครับ ถ้าไม่บอกแปลว่าไม่จริงใจ master password คงช่วยอะไรไม่ได้
ยกตัวอย่างเฉยๆครับ ลองคิดกรณีอื่นๆ
ที่คนไม่หวังดี แต่ไม่มีความรู้ด้านการ hack อะไรเลย
แค่แอบมาตอนเราเผลอแล้วกดเอาไปง่ายๆนั่นแหละครับ
การป้องกันการ hack เค้าก็มีแนวคิดอยู่ว่า ไม่มีทางไหนป้องกันได้ 100%
แค่ทำให้คนแฮกนั้นใช้เวลานานที่สุดเท่าที่จะทำได้
เวลาที่นานจะคัดกรองคน ให้เหลือคนไม่กี่กลุ่มที่แฮกได้
และเวลาที่นาน ก็ทำให้คนที่แฮกนั้น แฮกไม่ทันเปลี่ยนรหัส หรืออัพเดทเวอร์ชั่นปิดช่องโหว่ หรืออื่นๆ
มีอีกหลายวิธีครับ ในการกันไม่ให้คนอื่นมาใช้เครื่องเรา เช่นล๊อกออฟ แต่ถ้าเราเปิดเครื่องทิ้งไว้แล้วไม่อยู่และให้คนอื่นเข้ามาได้ แสดงว่าข้อมูลไม่ได้สำคัญจริงครับ
ผมว่า ถ้าเกิดเป็นแฟนมาขอใช้คอม ถึงระดับความปลอดภัยของโปรแกรมจะ 100% แต่ผมว่าไม่รอดเหมือนเดิมนะครับ เพราะความปลอดภัยทางร่างกาย อาจลดเหลือ 0
5555
Firefox รุ่นปัจจุบัน (Firefox 23) ก็โชว์รหัสผ่านได้ครับ ไม่เห็นมีใครบอกว่าเป็นช่องโหว่เลย
firefoxตั้งmaster passwordล็อคได้ไงครับ
+1 เคยหาใน forum มาหลายปีแล้ว คนบ่นเยอะเหมือนกัน แต่ Google ก็ไม่มิได้นำพา
กูเกิลก็บอกไว้แล้วไงว่า master password จริงๆ แล้วมันไม่ปลอดภัยเลย
นั้นหมายความว่า 1Password และ LastPass ก็ไม่ปลอดภัยด้วยซินะครับ
ถึงจะมี Master Password แต่ถ้าถูกแอบติดตั้ง extension ไม่ประสงค์ดีไว้ก็เสร็จครับ เช่น hook หน้าเว็บเพจแล้วอ่าน onchange ที่ช่องรหัสผ่าน หรือใช้ API ดักจับ Web Header
นั้นมัน main in the browser เป็นเรื่องที่กันยากอยู่แล้วครับ ประเด็นคือการ access เข้าข้อมูลที่เป็นความลับได้ง่ายเกินไปต่างหากที่ควรแก้ไข (หรือปิดเป็นค่าเริ่มต้น)
ใช่ครับ จริงๆ ถ้า Physical Access ได้มันก็แทบจะไม่เหลือความปลอดภัยแล้วล่ะ
Cracking the 1Password Master Password
ก็เลยไม่คิดจะป้องกันเพิ่มเติม มันเหมือนกับบอกว่า เอารหัสผ่านแปะไว้หน้าคอมฯ แล้วไม่ล็อคกุญแจบ้าน ถ้าคนเข้าบ้านได้ก็เข้าคอมพิวเตอร์ได้ซินะครับ ><"
Nothing is really bulletproof. ครับ เราก็แค่เปลี่ยนการดูแล password จากเราดูแลเอง ไปให้คนอื่นดูแลแทน ซึ่งก็มีโอกาสจะถูก hack ด้วยเช่นกัน
หรือแม้แต่เว็บไซต์ที่เรา login ก็มีโอกาสถูก hack เหมือนกันครับ
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
ใช่ครับ แต่การทำให้มันยากขึ้นอีก 1 ขั้นตอนก็ช่วยให้ปลอดภัยมากขึ้น (บ้าง) เช่นวิธี multi factor authentication ที่กำลังมีบทบาทมากขึ้นในปัจจุบันครับ
และกูเกิลก็ทำเป็นเจ้าแรกๆ เลยไม่ใช่หรือครับ? มันก็แสดงว่ากูเกิลก็เอาใจใส่เรื่องความปลอดภัยเสมอมา (ระบบ master password ไม่ปลอดภัยพอสำหรับกูเกิล กูเกิลเลยเลือกใช้ระบบ 2 step กับบริการของตัวเอง, เตือนในระบบตั้งค่าเสมอว่าเราใช้รหัสมานานแค่ไหน, เตือนเมื่อมีพฤติกรรมการล็อกอินแปลกๆ) และในกรณีนี้กูเกิลก็ชี้แจงเหตุผลแล้ว (การใช้ master password ทำให้ผู้ใช้เข้าใจว่ามันปลอดภัย) แต่งวดนี้แปลกที่คุณ Ford พยายามเลี่ยงการพูดประเด็นนี้ไปเป็น user มาข้อจำกัดบลาๆๆๆๆๆๆๆ
ในโลกความปลอดภัย นักคอมพิวเตอร์ควรเรียนรู้ และถ่ายทอดการเรียนรู้เหล่านี้สู่ผู้ใช้ต่อๆ ไม่ใช่คิดแทน user ว่าอย่างนั้นยุ่งอย่างนี้ง่าย ต้องอธิบายแนวคิดให้ แต่ถ้า user ยังไม่ใส่ใจ ก็ต้องบอกว่า คุณเลือกที่จะเสี่ยงเอง อย่างข่าวแรกที่ทำให้เป็นข่าวผมก็ว่าถูกต้องแล้วที่เผยแพร่ออกมาให้ผู้ใช้ทราบ
คอมพิวเตอร์เป็นเครื่องส่วนบุคคล ถ้าเป็นในหน่วยงานเขาก็ออกแบบเรื่องแยกบัญชีผู้ใช้เป็นระบบพื้นฐานมานานแล้ว (มีทุก OS และมีมานานนนนนมาก) การพยายามช่วยบอกว่าบางครั้งติดโน่นนี่นั่น เปลี่ยน user ไม่ได้ switch ไม่สะดวก ฯลฯ อันนี้เป็นการจงใจพยายามเลี่ยงแนวคิดระบบความปลอดภัยขั้นพื้นฐานที่สุดไปแล้ว ถ้าเป็นคนอื่นๆ ไม่เท่าไหร่ แต่พอเป็นคุณ Ford แล้วผมอึ้งไปเลย -_-'
เรื่อง multi factor ที่ผมไม่พูดถึงในกรณีนี้เพราะ Google ไม่ได้พูดถึงครับ และมองว่า master password เป็นเรื่องไม่จำเป็น เหมือนบอกปัดว่า การทำงานคล้ายๆ multi factor มันไม่สำคัญ ซึ่งผิดวิสัยมากเกินไป
ส่วนตัวในช่วง 2-3 วันนี้ผมเพิ่งทำ POC ตัว 2 factor authen ไป และเห็นว่ามันสำคัญ และการเข้าถึงระบบแบบยืนยันตัวตนหลายชั้น (หรือหลายครั้ง) ที่เพิ่มความปลอดภัยมากขึ้น นั้นสำคัญ แต่ในกรณีนี้ ผมกลับแปลกใจท่าที Google ผมจึงค่อนข้างไม่เห็นด้วยกับคำอธิบายของ Google อย่างมากครับ
ในฐานที่ผมทำงานด้านนี้แล้วก็เข้าใจเรื่อง Security พอสมควร เลยค่อนข้างไม่เห็นด้วยว่าการไร้ซึ่ง master password ใดๆ และพยายามในการอธฺิายว่า มันมีความจำเป็น และส่วนใหญ่คนที่ไม่เห็นด้วยก็เข้าใจดีว่ามันสำคัญอย่างไร แล้วทำเหมือนว่าเดินเข้าไปดูกันง่ายๆ แบบนั้น มันไม่ปลอดภัยเอาเสียเลย แต่ Google ยอมให้เราทำระบบ sync ทุกอย่างบน Chrome ได้ แต่กลับไม่ยืนยัน หรือทำอะไรให้มีประโยชน์มากกว่านั้น ซึ่งส่วนตัวผมว่ามันแย่
แน่นอนว่าการไม่บอกอะไร user เลยแล้วบอกว่ามันปลอดภัยก็ไม่ดี แต่การไม่ทำอะไรให้ปลอดภัยมากขึ้น แม้จะสามารถทำได้ มันก็ไม่ดีเช่นกันนะครับ
สำหรับการ switch user ผมกำลังบอกว่า มันมีบางช่วงเวลาและการทำงานบางอย่างที่ทำแบบนั้นไม่ได้ครับ มันไม่ได้ใช้ได้ทุกกรณีในการทำงาน ซึ่งขอเทียบได้กบัการที่ระบบภายในบ้าน ยังมีกุญแจอีกชั้นที่ล็อคตามสิ้นชัก และตู้นิรภัยต่างๆ เพื่อป้องกันคนขโมยของในสิ่งเหล่านั้น เมื่อคนเข้ามาในบ้านหลังจากผ่านประตูที่ป้องกันอยู่แล้วโดยเจ้าของบ้านเองก็ยังสำคัญครับ
สุดท้าย ผมมองว่าการ save password ไว้ที่ใด เพื่อความสะดวก เป็นเรื่องต้องรับความเสี่ยงอยู่แล้ว ซึ่งผมเชื่อว่าคนที่อ่านข่าวนี้น่าจะเข้าใจได้ดี จึงไม่พูดซ้ำครับ จริงๆ ส่วนตัวกำลังเขียน blog เรื่อง 2 factor authen อยู่พอดี ซึ่งคิดว่าคงได้พูดเรื่องกรณีนี้เช่นกัน
รหัสผ่านเฟซบุ๊กเพื่อนผมมันเคยเซฟไว้ แต่ไม่ Auto-Fill แต่ตอนนี้เจอแล้วละ :)
สรุปสั้น ๆ Google บอกว่าถ้าคุณเปิดเครื่องของคุณ Logon User ของคุณไว้ แล้วให้คนอื่นยืมใช้เครื่อง มันไม่ปลอดภัยตั้งแต่ตอนนั้นแล้วล่ะ
สมมติว่าแค่ logon e-mail โหลดไฟล์งานนี่ต้อง switch กันวุ่นวายเลยซินะ ><"
คุณก็เกินไป กรณีแบบนี้ผมก็เจอ คุณคิดไม่ออกจริงๆเหรอว่าจะแก้ปัญหานี้ยังไง
คือผมเข้าใจ แต่ Google กำลังคิดแทน user ครับว่าคุณควรทำยังไง
google คิดแทนว่าการปล่อยใช้คนอื่นมาใช้เครื่องเราเป็นเรื่องที่ไม่ปลอดภัย (ผมว่า google คิดถูก)
ปล.กรณีคนอื่นมาใช้เครื่องผม การ switch user แค่คลิก mouse 2-3 ทีก็ได้แล้ว สำหรับผมใช้วิธีขอ user password ของเพื่อนมาเชค mail ให้ด้วยตัวเอง นอกจากจะไม่ถูกล้วง password แล้ว การที่คนอื่นมาใช้เครื่องเรา กลับเป็นโอกาสให้เราได้ล้วง password ของเพื่อนแทนด้วยซ้ำไป อิอิ
การทำงานบางอย่าง switch user มันให้ทำงานไม่ได้นะครับ
เช่นงานอะไรครับ?
เอาง่ายๆ อย่างงานเอกสารและไฟล์งานที่มีขนาดใหญ่ ที่มีคนเข้ามาช่วยแก้ไขในช่วงเวลาหนึ่งๆ (ไม่นาน) การ swtich ไปมาอาจไม่ง่ายนักในการแก้ไขหรือทำเวลาให้รวดเร็ว ซึ่งผมเชื่อว่าคนพบเจอเหตุการณ์นี้กันบ่อยๆ แน่นอนครับ นียังไม่รวมถึงการให้คนอื่นๆ เข้ามาช่วยแก้ไขปัญหาบน user นั้นๆ อย่าง helpdesk เอง ซึ่ง switch user คนใช้ไม่ได้กับกรณีนี้
้help desk ใช้สิทธิ Admin ทำได้แทบทุกอย่างอยู่แล้วครับ
ส่วนการสลับ user นี่ผมจำได้ว่าอย่างน้อยบน Windows รองรับการสลับอย่างเร็วโดยไม่จำเป็นต้อง logout ก่อนเพื่อให้อีกคน login เข้ามาได้ (จริง ๆ ไม่มั่นใจเหมือนกันว่าเรียกว่าอะไร)
switch user ครับ กด win+l
แล้วตกลงแก้ปัญหายังไงหรอครับ?
ผมตอบไปแล้วครับ แค่คุณเลื่อนสายตาลงมาอ่านซักหน่อยก็คงเห็น
กรณีนี้ก็ไม่ได้ save password อยู่แล้วนี่ครับ
ผมเฉยๆนะเรื่องนี้ จะว่าถูกมันก็ถูก จะว่าผิดมันก็ผิด น่าจะขึ้นอยู่กับมุมมองของแต่ละคน
ดังนั้นเพื่อความปลอดภัยของท่าน อย่า save password account ที่เป็นความลับสุดยอดเลยครับ
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
ใช่ครับ ส่วนตัวเวลาผมให้คนยืมคอมใช้ ผมจะดูก่อนว่าไว้ใจได้แค่ไหน แต่กับ browser นี่บางอย่างมันก็แก้ไขได้ง่ายๆ นะ คือใช้ master password สักชั้นเพื่อไม่ให้ access ตัว paintext password ได้ก็เพียงพอในระดับหนึ่งแล้วครับ
ผมก็เป็นคนนึงที่เจอปัญหาเดียวกัน switch user ไปมา
แต่บางอย่างก็ switch ไม่ได้ เช่น เวลาเพื่อนมาขอเล่นเกมอะไรอย่างนี้ ก็ save มันอยู่ที่ user นี้นี่
"ทางที่ดีที่สุดในเวลาที่มีคนอื่นมายืมใช้คอมคือต้องสลับให้ไปใช้ user account อื่นแทนครับ"
มันก็ควรเป็นอย่างนั้นหรือเปล่าครับ ปกติเพื่อนจะยืมเล่นเน็ตผมก็ Ctrl+Shift+N ให้มันไปเลย สบายใจทั้งสองฝ่าย ไม่เคยกลายเป็นเกย์ด้วย
ก็แค่ไม่ใช้ มันก็แค่นั้น ตอนนี้ใช้ LastPass แทน Sync มันทุก browser ทำ 2 factor authen ได้สบาย
Chrome ถามทุกครั้งว่าจะให้มันเซฟรหัสไหม
แต่ไม่เห็นมันเคยบอกอันตรายแบบชัดๆ ว่าถ้าจะเซฟรหัสต้องแลกกับอะไรบ้าง ผู้ใช้คงต้องขุดเข้าไปอ่านกันเอง
ขึ้นเป็นค่า default เลย แถมจะไปลบออก ต้องคลิ้กหลายขั้นตอน และอยู่ในส่วนของ advance settings ที่เป็น link ต้อง expand ออกมาอีกที ><"
ไฟร์ฟอกซ์ก็ถามครับ แต่ไม่เห็นมันเคยบอกอันตรายแบบชัดๆ ว่าถ้าจะเซฟรหัสต้องแลกกับอะไรบ้าง ผู้ใช้คงต้องขุดเข้าไปอ่านกันเอง ถ้าจะกดเข้าไปดูรหัสจะมีข้อความเตือนว่า แน่ใจนะว่าคุณอยากดูรหัส? -*- และ master password ก็ไม่ใช่ค่าปริยายด้วยครับ
โอเปร่าก็ถามครับ แต่ไม่เห็นมันเคยบอกอันตรายแบบชัดๆ ว่าถ้าจะเซฟรหัสต้องแลกกับอะไรบ้าง ผู้ใช้คงต้องขุดเข้าไปอ่านกันเอง และกด Show รหัสได้ง่ายพอๆ กับโครมครับ
สรุปคือถ้าเป็นค่าปริยายก็มีแค่เท่าๆ กันครับ
ที่พิมพ์มานี่ไม่ได้บอกว่าโครมแย่แล้วเอาอย่างอื่นที่แย่ๆ มาแก้ต่าง แต่จะบอกว่าเมื่อผ่านระบบบัญชีผู้ใช้ในระบบปฏิบัติการมาแล้ว หลายๆ โปรแกรมก็เข้าใจได้ว่าเป็นผู้ใช้ที่มีสิทธิเข้าถึงอยู่แล้ว ซึ่งมันก็สมเหตุสมผลดี
ผมก็เลยเลิกใช้ระบบเก็บรหัสผ่านของทุกค่ายไงครับ มันดูง่ายทุกค่ายเลย firefox ก็ใช่ย่อย โปรแกรมอื่นๆ ก็เข้าไปดูรหัสได้ง่ายๆ ใช้ 1password สบายใจกว่า ซิงค์มันทุกอุปกรณ์เลย
ปล. เครื่องผู้ใช้คนไทยส่วนใหญ่ ไม่ได้ล็อกรหัสเข้าเครื่อง
นี่คือสิ่งที่ชาวไอทีที่เชี่ยวชาญควรแนะนำและบอกต่อครับ เป็นความปลอดภัยขั้นพื้นฐานที่สุดที่ต้องเรียนรู้เมื่อใช้คอมพิวเตอร์
ผมเชื่อว่าชาวบล็อกนอนทุกคนทราบและเข้าใจและพร้อมแนะนำผู้อื่น แต่อ่านคอมเห็นบางส่วนในข่าวนี้ผมเงิบ เพราะจงใจหลีกเลี่ยงไปเฉย
เรื่องประเด็นรหัสผ่านเคยเป็นเรื่องหลายปีก่อนทีหนึ่งเมื่อมีคนพบว่า Pidgin ไม่เข้ารหัสรหัสผ่าน
Pidgin เขียนสรุปเหตุผลไว้ที่นี่ครับ
TL;DR: เข้ารหัสจะหลอกให้ user ตายใจ แต่ถ้าเป็นไปได้ก็ควรจะ integrate เข้ากับระบบเก็บรหัสผ่าน (keyring) ของระบบแทน
+1 filezilla ก็เหตุผลเดียวกัน
เราคงเข้ากันไม่ได้ ลาก่อน Chrome
นิดๆหน่อยๆเอง ทำไมทำให้ไม่ได้ เรื่องนี้ก็มีคนเถียงกันเยอะอยู่
ผมเห็นด้วยนะ
การทำ master password ไม่ค่อยช่วยอะไรมาก
เรารู้สึกว่า master password นั้นปลอดภัยกว่า เพราะตอนนี้มันไม่มีครับ
ตัวอย่างเช่น
Chrome ปัจจุบัน ไม่มี master password
ผู้ใช้ธรรมดา > เข้ามาใช้อย่างปกติแล้วก็ไป
ผู้ใช้ที่ไม่หวังดี > เข้าไปใน settings กดดู แล้วก็ได้ password ไป
ถ้ามี master password ขึ้นมา
เมื่อผู้ใช้ที่ไม่หวังดีกดเข้าไปดูใน settings ไม่ได้ ก็จะแบ่งเป็น
ไม่ใช้วิธีอื่น > อดดู
ใช้วิธีอื่น เช่น ลง add-on ดัก password > ได้ password ไป
ทำให้เรารู้สึกว่า มันเหมือนจะปลอดภัยกว่า
แต่ถ้าในอนาคต master password กลายเป็นสิ่งที่มีกันทุกเครื่อง ก็จะกลายเป็น
ผู้ใช้ธรรมดา > เข้ามาใช้อย่างปกติแล้วก็ไป
ผู้ใช้ที่ไม่หวังดี > ลง add-on ดัก password แล้วก็ได้ password ไป
มันเป็นแค่การย้ายช่องโหว่ครับ
วิธีที่อื่นไม่เป็นที่รู้กันโดยทั่วไปเพราะว่าวิธีแรกมันได้รับความนิยมมากกว่า และง่ายกว่านิดนึง
ถ้าวิธีแรกหายไป วิธีที่สองก็จะกลายเป็นวิธีที่รู้กันโดยทั่วไป และกลายเป็นวิธีที่ได้รับความนิยมแทนครับ
และการลง add-on บน chrome มันก็ง่ายมากด้วย คลิกไม่กี่ทีก็เสร็จ ใช้เวลาไม่นานไปกว่ากดดู password ใน settings เลย
หากอนาคต การมี master password บน chrome กลายเป็นเรื่องปกติ ผู้ไม่หวังดีที่ตั้งใจจะขโมย password เขาก็ย่อมต้องรู้วิธีการอื่นอยู่แล้ว
ถ้ามีผู้ไม่หวังดีเข้าถึงเครื่องได้ แล้วเจ้าของเครื่องทิ้งเครื่องไปไม่ดู หรือดูแต่ดูไม่เป็นว่าเขาทำอะไร กันไว้แค่ไหนมันก็จบครับ
ผมไม่คิดว่า add-on สำหรับดู password จะลงกันได้ง่ายๆ เหมือน add-on อื่นๆ นะครับ มันคงไม่ไปอยู่ใน Google Store แบบแผ่หราแน่ๆ
That is the way things are.
ตรงนี้ผมว่าเป็นเหตุผลที่ไม่ค่อยจะสมเหตุสมผลสักเท่าไหร่ครับ เหมือนกำลังจะบอกว่า ยังไงถ้าโจรจะมาปล้นก็คงจะปล้นอยู่ดี ฉะนั้นเราไม่จำเป็นต้องมีรั้ว มีประตูบ้าน มีลูกบิดหรือแม่กุญแจเอาไว้ล็อคบ้านแต่อย่างใดเพราะกันไว้แค่ไหนมันก็จบ
ของ Chrome นี่เขาอธิบายประมาณว่า ถ้าปล่อยให้โจรเข้ามาในบ้านได้แล้ว จะล๊อกอะไรไว้ก็ไร้ประโยชน์เขาก็ขนไปได้หมดบ้านอยู่ดี
พ่อผมก็ชอบพูดแบบนี้แหละ (ฮา) แต่เขาก็เก็บเงินเอาไว้ในเซฟนะ
ถ้ามี add-on แบบนั้นใน Store ทาง Google ก็เสียหายครับ เป็นไปไม่ได้ที่ google จะยอม
ผมว่าไม่น่าใช่ประเด็นนี้มากกว่า
add-on นี่ผมยกเป็นตัวอย่างครับ
ถ้าเข้าถึงเครื่องได้มันมีวิธีอีกมาก ที่จะได้ password ไป
ลง keylogger
ลง trojan
ส่ง email ไฟล์ที่ใช้เก็บ password กลับไปถอดรหัสที่บ้าน
ฯลฯ
จริงอยู่ว่าวิธีการพวกนี้สามารถแก้ได้ด้วยการลง software อื่นมาช่วย
แต่ปัญหาปัจจุบันก็แก้ได้โดยใช้ software อื่นมาช่วยเช่นกันครับ
กรณีที่กล่าวมามันต้องใช้ผู้ที่มีความรู้ด้าน IT ครับ คนทั่วไปคงทำได้ยาก
แล้วทำไม Google ไม่คิดถึงจุดนี้ คิดว่าทุกคน hack ได้หมดรึยังไง
ไม่ต้องถึงขั้นmaster password หรอก แค่ก่อนจะเข้าดูรหัสได้ให้ ล็อค อิน อีเมลอีกครั้งก็พอแล้ว ไม่ใช่ใครหน้าไหนก็กดเข้ามาดูได้หน้าตาเฉย
Signout chrome ง่ายกว่าไหม? (ถ้าจำไม่ผิด ทุกอย่างที่ sync ควรจะหายไปด้วย ถ้าไม่หายก็ raise เป็น bug เลย)
ปล. ผมล่ะโครตเกลียด วิธีการแก้ปัญหาที่ไม่ตรงจุด ทำให้การทำงานปกติยากขึ้นไปด้วย สุดท้ายแทนที่จะได้ประโยชน์ กลับเสียประโยชน์มากกว่า อารมณ์ประมาณว่าสร้างปัญหาใหม่มาทับปัญหาเดิมไปเรื่อยๆ สุดท้ายระบบก็พังในที่สุด
ผมอยากให้มี master password หรืออะไรก็ได้ที่คล้ายๆ
เพื่อจำกัดกลุ่มคนที่สามารถสร้างความเสียหายต่อเราได้
ก็น่าจะเหลือแต่พวก Expert, Sciptkiddy แทนที่จะมีใครก็ได้สามารถดูได้ถ้าล็อคอินอยู่
อย่างน้อยถ้าใครก็ได้จะพัฒนาเป็น scriptkidddy ก็ไม่ไช่วันนี้ แต่คงเป็นคราวหลัง
แล้วถ้าจะกลับมาโคจรเจอกันอีกก็คงใช้เวลาซักพัก
หรือคนนั้นอาจจะเปลี่ยนใจที่จะไม่สร้างความเสียหายไปแล้วก็ได้เมื่อเวลาผ่านไป
ถ้าจะให้หักดิบไม่มี save password ก็โหดร้ายไปหน่อย
ยกตัวอย่างเช่นคนอยู่หอ หอห้ามติดอินเตอร์เน็ท
หอให้ user password ที่ประกอบไปด้วย พิมพ์ใหญ่ พิมพ์เล็ก ตัวเลข สัญลักษณ์
แล้วดันเป็น case sensitive ทั้ง user password
และต้อง login ใหม่ทุกๆ 2 ชั่วโมง หรือไฟดับ
ถ้าให้ user ไปใช้อินเตอร์เน็ทผ่านมือถือ GSM ก็ hack กันง่ายๆ แถมที่นี้กระจายเป็นกิโลเลย
ถ้าจะให้ user ซื้อ wifi แรงๆ ยิงไปหา .@ TRUEWIFI หรือ @3BB หรือ ฯลฯ
ก็คงจะไม่ปลอดภัยเหมือนกัน
เรื่องอาจไม่เกี่ยวข้องกันนะที่เขียน
แต่คืออยากจะบอกว่า ไม่เห็นจะมีอะไรปลอดภัยเลย....
แต่มันก็ควรจะมีกันไว้บ้าง อย่างน้อยก็กันเด็กน้อยได้จริงมะ
เวลาคนอื่นมาใช้เครื่องผม ไม่กลัวเขารู้ password หรอกครับ แต่กลัวเขาเปิดไปเจอโฟลเดอร์บางอย่าง
(โดยเฉพาะถ้าคนนั้นคือแฟน)
Educational Technician
เค้าก็บอกอยู่โท้งๆว่า master password ทำให้เข้าใจผิดว่าปลอดภัย
แล้วจะทำไปทำไม?
ในเมื่อ Chrome รู้ว่ายังไงก็ทำให้ปลอดภัยไม่ได้ เค้าก็ต้องให้คนรู้ตัวเอง ก็ถูกแล้วนิ
ถามผมนะ ทำแบบเดิมเลย ให้ถาม save เป็น default เหมือนเดิม แต่ทำเป็นสีแดงแบบอันตรายหน่อยก็พอ
Master password อย่างน้อยก็ป้องกันการแอบดูได้ จากบุคคลทั่วไปไงครับ เพราะการจะแอบลงโปรแกรมเพิ่ม มันก็มีร่องรอยบ้าง ไม่ว่าจะเป็นพวกkeystroke keylogger หรือextension
แต่การกดshow passwordนี่แทบไม่มีร่องรอยเลยก็ว่าได้ เดินผ่านมาไม่ต้องเสียเวลาลงโปรแกรม กดshow ปุ๊บ จด หรือแอบถ่ายรูปไปก็จบเห่แล้ว ใช้เวลาไม่ถึงนาที
คือมันป้องกันสุดยอดโจร(hacker)ไม่ได้ก็จริง แต่อย่างน้อยมันก็ป้องกันโจรกระจอกได้ไงครับ
เหมือนกับระบบล็อครถ เรารู้ว่ามันสะเดาะกลอนง่ายมาก แค่ช่างกุญแจเอาลวดยาวๆแหย่ลงไปเขี่ยก็เปิดประตูได้แล้ว เราเลยต้องมีระบบป้องกันอื่นๆเพิ่ม เช่นพวกclick lockหรือระบบกันขโมยอื่นๆเพื่อถ่วงเวลามากกว่านั้น
แม้ว่าเราจะรู้ว่าการล็อครถธรรมดาป้องกันโจรที่มีความรู้ไม่ได้ แต่เราก็ยังล็อครถเป็นพื้นฐาน เพื่อป้องกันคนธรรมดา ที่เดินผ่านไปมาแล้วเห็นของในรถ เลยลองดึงเปิดประตูดูได้ไงครับ(มีนะครับ ผมเคยเห็นพวก เดินเนียนๆ เปิดประตูรถทุกคันที่จอดอยู่ คงกะว่าบางคันลืมล็อครถ)
การป้องกันมีหลายระดับ ผมว่าเราควรจะมีbasic security ที่อย่างน้อยป้องกันการรั่วไหลโดยบังเอิญได้ด้วยเช่นกัน
ทางที่เสี่ยงน้อยที่สุดคือไม่ save password ถ้า password นั้นมันสำคัญครับ แต่ถึงอย่างนั้นมันก็ไม่ได้ปลอดภัย เพราะอาจจะโดนจากเรื่องอื่นๆเช่น keylogger ก็ได้
เรื่อง risk management เป็นสิ่งที่คนควรรู้มาตั้งนานแล้ว ผมดีใจนะที่มีข่าวแบบนี้ออกมาบ้าง คนจะได้ตื่นตัวเรื่องความปลอดภัยและความเป็นส่วนตัวของตนเองและปฏิบัติให้ถูกต้องกันซักที
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
ถึงว่า chromium มันไม่ค่อยยอมให้รันด้วย root permission
จากนั้นก็เสริมเข้าไป เสริมเข้าไป Master Password >> Lord Password >> Hero Password >> King Password >> Angel Password >> God Password >> True Password >> Nirvana Password บลาบลาบลา (ฮา)
เอาเป็นว่าถ้าจะละจากหน้าจอคอมฯก็ Log Off จาก Windows แล้วใส่พาสเวิร์ดของ User เอาไว้ จบ.
Google มีการโปรโมตรให้ใช้ multi factor ในการเข้าถึง Google Account แต่ในกรณี Chrome กลับคิดตรงกันข้าม ><"
ก็ใช้ master password นั่นแหละครับในการที่จะทำอะไรที่เสี่ยงต่อระบบ เหมือนใน OSX
นอกเรื่องหน่อยนะครับ
ทำไม Pantip ถึงตั้ง Auto Fill Password ไม่ได้อะครับ
ต้องมานั่งพิมพ์เองตลอด ระบบจำ Login ก็แปปๆวันสองวันหลุด
ก็เขาจะไม่ทำให้อ่ะ เขาไม่ได้ประโยชน์ใครจะทำไมอิอิ
ผมเฉยๆครับ ไม่มีก็ไม่เป็นไร ยังไงก็ไม่ได้ให้คนอื่นเข้ามาใช้คอมง่ายๆอยู่แล้ว
ถ้าเพื่อนอยากใช้ก็แค่เปลี่ยนยูสเซอร์ให้มัน แค่นั้น
ผมงงว่าทำไมไม่ทำ Master password แบบ Firefox มันยากมากเลยเหรอหรือว่ามันมีผลเสียอะไรขนาดที่จะไม่ทำ
ผมเห็นด้วยนะครับว่าการมี Master password นะมันไม่ได้กันพวก Hacker ได้หรอก แต่มันกันโจรกระจอกได้เป็นอย่างดี :)
กูเกิลอธิบายตามข่าวแล้วครับ
ถ้าจะลุกจากโต๊ะแล้ว log out/log off เครื่อง และเครื่องมีรหัสผ่าน ก็กันโจรกระจอกได้ทุกบราวเซอร์ ทุกโปรแกรม อยู่แล้วครับ
มันกันกรณี ให้คนอื่นใช้ไม่ได้ไงครับ
ลองนึกถึงกรณี คุณเอาเครื่องไปให้ helpdesk หรือเพื่อนร่วมงานทำอะไรบางอย่างดูก็ได้ ซึ่งทางhelpdeskนี่คงไม่สามารถลง keylogger อะไรได้ง่ายนัก เพราะผิดpolicyร้ายแรงและอาจตรวจเจอภายหลังได้ แต่ถ้าแค่แอบดูpass ในเครื่องเรา มันง่ายนิดเดียวไงครับ
อย่างที่เคยยกไป ล็อคประตูรถ กันโจรขโมยรถไม่ได้ กันโจรทุบกระจกไม่ได้ แต่กันโจรกระจอกมือบอนได้ครับ
Google พูดถูก ขนาด lock screen ไว้ยังสามารถเอา thrumbdrive hack เข้าเครื่องได้เลย
แต่ขอให้มี feature นี้หน่อยเถอะ เพราะเชื่อว่าร้อยละ 99 ของคนไทย ไม่ได้ตั้งรหัสผ่านเข้าเครื่องส่วนตัวของตัวเองเลย
ถ้าผู้ใช้ทำแบบนั้น ต่อให้ Google ทำระบบออกมาดีแค่ไหนก็ไม่มีประโยชน์ครับ
คือเอาจริงๆ เนี่ย การมานั่งหน้าเครื่องแล้วเปิด password manager แล้วกดดูรหัสผ่าน มันอยู่ในระดับที่ใครๆ ก็ทำได้นะ แต่อย่างกรณีที่กูเกิลบอกคือคุ้ยเข้าไปหาไฟล์เก็บรหัสผ่านในเครื่อง อันนั้นมันไม่ใช่ว่าทำได้กันทุกคน การมี master password มันจะมาช่วยในกรณีนี้ครับ
นึกถึงตอน FileZilla ที่บอกจะไม่เข้ารหัสผ่าน last connection เลย บอกว่าอยากให้ปลอดภัยก็ตั้ง permission เอา - -
ผมว่าเรื่องของเรื่อง Google Chrome ไม่อยากแก้ปัญหาเรื่องลืม Master Password หรือเปล่า?
ปัญหาลืม Master Password ก็แค่ลบทิ้ง แล้วเซ็ตใหม่ครับ
พาสเวิร์ดเก่า ๆ ก็สูญไป ตั้งใหม่หมด
นี่เป็นการออกแบบของระบบ Master Password อยู่แล้วครับ
Google: การจดจำ Password นั้นก็ไม่ปลอดภัยตั้งแต่แรกอยู่แล้ว เอาอย่างนี้สิ ... ปิดฟังก์ชั่นนี้ แล้วใช้เฉพาะบริการที่รองรับ Google+ Sign On อย่างเดียวพอ จะได้ใช้พาสเวิร์ดชุดเดียวทำได้ทุกอย่าง ไม่ต้องมานั่งจำ Password เยอะ ๆ
ตามความคิดผมน่ะครับ
มันก็เหมือนการล๊อกกุญแจบ้านละครับ เราจะล๊อกทำไมในเมื่อ ช่างกุญแจ หรือผู้ชำนาญก็ปลดล๊อกได้อยู่ดี(อาจเป็นโจรด้วย) แต่เราล๊อกกุญแจเพื่อป้องกัน พวกผู้ไม่หวังดี ที่ฝีมือไม่ถึงมาโขมยสิ่งสำคัญไป
ซึ่งการล๊อกกุญแจนี้อย่างน้อยมันก็ป้องกันได้อย่างดี สำหรับคนทั่วไปที่ไม่มีความรู้เรื่องการปลดล๊อกกุญแจ ส่วนถ้าคุณเจอโจรที่เก่งๆมาถึงบ้านคุณกุญแจอะไรก็ช่วยไม่ได้ครับ นอกจากไปแจ้งตำรวจ
แต่ Google
1. ไม่คิดที่จะป้องกันด้วยตัวเอง(ล๊อกกุญแจหน้าห้อง)
2. มัวแต่อ้าง หวังพึ่งระบบป้องกันคนอื่น (Microsoft) ยกตัวอย่าง เช่น ระบบ key card ของคอนโด
ดังนั้นใครเดินเข้าคอนโดผ่านระบบ key card มาได้มันก็ดูห้องเราได้หมดล่ะครับ (คนในคอนโดเปิดประตูให้กันมีเยอะแยะ)
แม้ว่าจะกันพวกผู้ชำนาญไม่ได้ แต่ดีกว่าไม่ทำอะไรเลยพึ่งแต่คนอื่น เหมือน Google