การจัดการ Password ตอนที่ 1 – Introduction

เคยมีคนถามคำถามเหล่านี้กับคุณมั้ยครับ
– ตอนนี้ Account ของคุณมีเยอะแค่ไหนแล้วครับ
– ตั้งแต่มี Account มาเคยเปลี่ยนรึเปล่า
– แล้วตอนนี้ Password นั้นยังปลอดภัยอยู่รึไม่

มีเยอะแค่ไหน…ในโลกยุค Internet นี้ ผมค่อนข้างมั่นใจอย่างน้อยทุกท่านก็คงจะมี Account อย่างน้อย 2 – 3 ที่ เช่น Email (Yahoo, Gmail, Outlook) หรือ Social Media (Facebook, Twitter, LinkedIn) นี่ยังไม่นับพวก Corporate Password (รหัสใช้งานของ บ.) อีกนะครับ ส่วนตัวเป็น Engineer ลึกลับก็ยังมี Account ในมือต่ำ ๆ ก็เกือบ 30 ตัวแนะ

เคยเปลี่ยนมั๊ย…เป็นคำถามต่อไปผมว่าหลายคนคงไม่เปลี่ยนกัน เหตุผลง่ายๆ คือ ขี้เกียจจำ Password ใหม่ ถ้าไม่โดนบังคับก็คงไม่ยินยอมจะเปลี่ยนแต่โดยดีเท่าไหร่ ส่วนตัวก็เปลี่ยนปีละครั้งครับ

แล้วตอนนี้ยังปลอดภัยมั๊ย…ส่วนตัวก็ยังสงสัยอยู่ แต่ที่รู้แน่ๆ คือ ผมโดน Try Default Account แทบทุกวัน ไม่ว่าจะเป็น Administrator/Root Password ของ Server หรือ Facebook นี่ก็โดนบ่อยเหมือนกัน ไม่แน่ใจว่าจะปลอดภัยไปจนถึงเมื่อไหร่ นี่คือเหตุผลว่า ทำไม Password ของไม่ควรจะอยู่นิ่งจนเกินไป

แต่ถามว่าการเปลี่ยน Password ตลอดเวลามันเหนื่อยมัย ก็บอกได้เลยว่า ถ้า Account มีเยอะก็เหนื่อยมากครับ ช่วงหลังผมจึงเริ่มคิดใช้ Pattern-Based Password เข้ากับ Personal Account ของผม ทำให้มันง่ายขึ้น แต่คงไม่เปิดเผยเคล็ดลับอะไรมาก แต่ก็ขอตัวอย่างเช่น

<Year>-<Name>-<Number> เอามาตั้ง Password ว่า Snake-FaceBook-01 เป็นต้น
(คำแปล: ปีนี้ปีงู…เป็น Password เข้า Facebook และ เปลี่ยนครั้งที่ 1 เป็นต้น)
PS. Pattern นี้ผมคิดสดนะ ใครอยากเอาไปใช้ก็เชิญ แต่มันไม่ใช่ Pattern ของผมนะ 555+

แต่ผมจะไม่เอา Pattern ของผมมาใช้ร่วมกับ Corporate เพราะ Account บางตัวเป็น Shared Password จึงใช้วิธีนี้ไม่ได้ และตาม Policy (ที่ผมกำหนดขึ้นเอง 555+) Pattern ดูจะไม่เวิร์ค เพราะ มันสั้นไป และ เปลี่ยนบ่อยจน Pattern หมด จำแล้วเหนื่อยมาก เพราะ ระบบจะคอยดักการใช้ Pattern เดิมไว้ด้วย (ทำตัวเองแท้ๆ)

เหมือนความเหนื่อยถึงจุดอิ่มตัว ผมก็เริ่มหา Password Management Tool มาช่วยซึ่งก่อนหน้านี้ก็มีเพื่อนแนะนำมาตังนึงชื่อ Password Keychain ซึ่งตอนนี้ก็ได้เลิกการพัฒนาไปเรียบร้อยแล้วครับ

image
Password Keychain

แต่ตอนนี้ผมมีตัว Replacement และ ตัวที่ใช้เป็น Tools เฉพาะสำหรับการใช้งานบนหน้า Web ซึ่งในตอนนี้จะขอเกรินก่อน คือ

image

1. LastPass : เจ้านี้เป็น Password Management ที่ทำงานเป็นลักษณะ Cloud-Based คือ มีการเก็บ Content ไว้บน Internet คุณสมบัติเด่น การ Share ข้อมูล และ มี Plug-in มาให้สามารถ Integrate กับ Browser ชั้นนำอย่าง Internet Explorer, Firefox และ Chrome ได้ และรองรับ Auto-Login ได้อีกด้วย แถมยังมี App ให้ Load มาใช้ซึ่งอยู่ใน App Store และ Play Store อีก (แต่ไม่ฟรีนะครับ)

image

2. KeyPass Password Safe เจ้านี้เป็น Password Management แบบ Traditional คือ Store ข้อมูลไว้ในเครื่อง ซึ่งเหมาะกับการทำงานแบบ Personal มากกว่า, ความเสี่ยงน้อยจากการถูกขโมยข้อมูลบน Internet เพราะ ข้อมูลไม่ได้อยู่บน Internet แต่มีการดัดแปลง (โดยตัวผมเอง) จนเกือบจะเป็น Cloud-Based เหมือน LastPass แต่ไม่รองรับ Auto-Login เท่านั้นเอง (ซึ่งส่วนตัวไม่ซีเรียสเรื่องนี้)

จริงๆ ผมได้ยินว่ามีอีกตัว คือ 1Password แต่ผมขอผ่านตัวนั้น เพราะ ไม่ได้ใช้ อีกทั้งมีค่าใช้จ่ายที่ค่อนข้างดุ ก็ขอให้ผู้มีกำลังซื้อเอามาลองเองละกันครับผม

image
1Password

ตอนที่ 2 ผมจะเสนอในส่วนของ LastPass ก่อน เพราะ ดูจะเหมาะกับคนใช้งานทั่วไปมากกว่า แล้วตอนที่ 3 จะเป็นของ KeyPass2 ซึ่งจะมีวิธีการ Apply ให้เหมาะสมกับเหล่า Admin ทั้งหลายด้วยครับ Smile

Advertisements

About yuttanah

Just the Line who Live in Live way
This entry was posted in Howto, Knowledge, Security and tagged , , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s