Password Managers

3 min readAug 17, 2022

TLDR; Password Manager เป็นโปรแกรมที่ทำหน้าที่เหมือนตู้เซฟสำหรับจัดเก็บชื่อผู้ใช้และรหัสผ่านด้วยการเข้ารหัสที่แข็งแกร่ง และสามารถสร้างรหัสผ่านที่มีความซับซ้อนโดยที่ผู้ใช้จำเพียงแค่ Master Password

ในปัจจุบันที่ Services ต่าง ๆ ให้บริการในรูปแบบออนไลน์มากขึ้น ผู้ใช้ต่างต้องสร้างบัญชีสำหรับใช้บริการเหล่านั้นเป็นจำนวนมาก การที่ต้องใช้รหัสผ่านที่ซับซ้อนและแตกต่างกันเพื่อความปลอดภัยจึงกลายเป็นปัญหาใหญ่สำหรับผู้ใช้งาน เพราะยิ่งมีบัญชีมาก ก็ยิ่งจำรหัสผ่านของแต่ละบัญชีได้ยาก จึงทำให้ผู้ใช้งานตั้งรหัสที่ง่ายต่อการจดจำหรือใช้รหัสซ้ำกันในหลาย Services

จากการสำรวจจากข้อมูลรหัสผ่านที่เกิดการรั่วไหลมากกว่า 15,212,645,925 รหัสผ่าน พบว่า 10 อันดับรหัสผ่านที่คาดเดาง่ายที่สุด คือ

123456
123456789
qwerty
password
12345
qwerty123
1q2w3e
12345678
111111
1234567890

รหัสทำให้ง่ายต่อการคาดเดาและ Brute-force Attack หรือในกรณีที่ใช้รหัสผ่านซ้ำกัน เมื่อเกิดการรั่วไหลของข้อมูลในเว็บไซต์ที่ใช้บริการอยู่ จะมีโอกาสที่ผู้ไม่ประสงค์ดีจะนำรหัสผ่านที่รั่วไหลไปมาใช้ซ้ำ ทำให้บัญชีที่ใช้รหัสผ่านเดียวกันไม่ปลอดภัย โดยสามารถตรวจสอบได้ที่ haveibeenpwned.com

Source: https://haveibeenpwned.com/Passwords

Password Manager คือ ?

Password Managers คือซอฟต์แวร์ หรืออุปกรณ์ฮาร์ดแวร์ที่ช่วยจัดเก็บและจัดการรหัสผ่าน และช่วยสร้างรหัสผ่านที่คาดเดาได้ยาก โดยทั่วไปรหัสผ่านที่เก็บไว้ทั้งหมดจะถูกเข้ารหัสและถูกจัดเก็บในเซิร์ฟเวอร์ของผู้ให้บริการหรือในอุปกรณ์ของผู้ใช้งาน ให้ความสะดวกกับผู้ใช้งาน โดยผู้ใช้งานต้องสร้างรหัสผ่านหลัก (Master Password) และจดจำแค่รหัสผ่านหลัก (Master Password) เพื่อเข้าถึงรหัสผ่านที่จัดเก็บไว้

โดยแต่ละผลิตภัณฑ์จะมีความแตกต่างกัน มีทั้งแบบ Open source และ Subscription ซึ่งจะมีความสามารถแตกต่างกันไป โดยส่วนมากจะมีความสามารถพื้นฐาน คือ การสุ่มรหัสผ่านที่มีความแข็งแกร่ง การกรอกฟอร์มในเว็บไซต์ให้อัตโนมัติด้วยข้อมูลที่เราบันทึกไว้ในซอฟต์แวร์

ทำไมถึงควรใช้ Password Manager?

จากการสำรวจเกี่ยวกับพฤติกรรมการใช้รหัสผ่านสำหรับการใช้บริการออนไลน์พบว่า

ประมาณ 50% ของผู้ตอบแบบสอบถามยังคงใช้รหัสผ่านเดียวกันทุกบัญชี (LastPass, 2021)
ผู้ใช้อินเตอร์เน็ตที่มีอายุมากกว่า 50 ปี ส่วนมากจะใช้รหัสผ่านที่ไม่ซ้ำกันในแต่ละบัญชี (Comparitech, 2020)
ประมาณ 60% ของผู้ตอบแบบสอบถามให้เหตุผลว่า ขี้เกียจจะสร้างรหัสผ่านใหม่จึงใช้รหัสผ่านเดิมอยู่บ่อยครั้ง (MSN, 2021)
ประมาณ 60% ของผู้ตอบแบบสอบถาม จะสร้างรหัสผ่านใหม่ที่มีความคล้ายกับรหัสผ่านเดิมที่เคยสร้าง (MSN, 2021)
35% ของผู้ตอบแบบสอบถาม เลือกรหัสผ่านที่สะดวกในการจดจำ มากกว่าความปลอดภัยของรหัสผ่าน (SecureLink, 2021)

เนื่องจากสามารถสร้างและจัดเก็บรหัสผ่านที่มีความซับซ้อนให้รอดพ้นจากผู้ไม่ประสงค์ดี และสร้างความสะดวกสบายให้กับผู้ใช้งาน เช่น

สามารถสร้างรหัสผ่านที่ปลอดภัยสูงให้โดยอัตโนมัติ
ประหยัดเวลา นอกเหนือจากการจัดเก็บรหัสผ่าน Password manager ยังสามารถป้อนข้อมูลที่เราได้บันทึกไว้ได้อัตโนมัติ เช่น ชื่อ ที่อยู่อีเมล หมายเลขโทรศัพท์ และข้อมูลบัตรเครดิตได้
สามารถใช้เป็น Multi-factor authentication (MFA) ได้
ในบางผลิตภัณฑ์สามารถแจ้งเตือนการ Phishing ได้

Password Managers ทำงานยังไง?

Password Managers จะเข้ารหัสบัญชีผู้ใช้และเก็บในรูปแบบไฟล์เข้ารหัส (Vault) ส่วนมากมักจะใช้การเข้ารหัสที่แข็งแกร่ง เช่น AES-256 ,AES-128 ซึ่งในกรณีที่เกิดการรั่วไหลของข้อมูล ผู้ไม่ประสงค์ดีจะได้ไฟล์เข้ารหัส (Vault) ไปแทน ถ้าไม่มีรหัสผ่านหลัก (Master Password)

Source:https://www.websiterating.com/th/cloud-storage/what-is-aes-256-encryption/

Password Managers แบ่งออกเป็น 3 ประเภท

1.Offline Password Managers

Source:https://keepass.info/news/n090705_2.08.html

ซอฟต์แวร์จะทำการเข้ารหัสข้อมูลที่ผู้ใช้ทำการบันทึก โดยไม่ต้องทำการเชื่อมต่อกับอินเตอร์เน็ต (Air Gap) ซึ่งจะเป็นการเพิ่มความปลอดภัย การเก็บไฟล์เข้ารหัส (Vault) จะถูกจัดเก็บในหน่วยความจำของอุปกรณ์ เช่น โทรศัพท์มือถือ คอมพิวเตอร์ โดยไฟล์ที่เข้ารหัสแล้วจะถูกเก็บแยกกับตัวซอฟต์แวร์ ทำให้สามารถนำไฟล์ที่เข้ารหัสไปแยกเก็บที่อื่นได้ บางผลิตภัณฑ์สามารถแยกไฟล์เข้ารหัสได้ทำให้เพิ่มความปลอดภัยในการเก็บมากขึ้น

อย่างไรก็ตามก็ยังต้องใช้รหัสผ่านหลัก (Master Password) ในการเข้าถึงไฟล์เข้ารหัส ยิ่งรหัสผ่านหลัก (Master Password) มีความซับซ้อนมากเท่าไรยิ่ง ลดความเสี่ยงในการรั่วไหลของรหัสผ่าน ในกรณีที่อุปกรณ์ถูกขโมย หรือผู้ไม่ประสงค์ดีสามารถเข้าถึงไฟล์ที่เข้ารหัส (Vault) ได้ ทำให้ยากต่อการนำไฟล์ที่เข้ารหัส (Vault) ไปทำการ Brute-Force Attack

Source:https://cybernews.com/best-password-managers/how-do-password-managers-work/

ข้อดี

ลดความเสี่ยงในการรั่วไหลของข้อมูล
สามารถแยกเก็บเป็นหลายไฟล์เข้ารหัส (Vault) โดยแยก รหัสผ่านหลัก(Master Password)ได้
Air Gap
ฟรี

ข้อเสีย

เสี่ยงต่อการสูญหาย
ไม่สะดวกต่อการใช้หลายอุปกรณ์

2. Online Password Manager Services

Source:https://www.wired.com/story/best-password-managers/

โดยส่วนมากซอฟต์แวร์จะเป็น web-based ที่เข้าใช้งานด้วยส่วนขยายของเบราเซอร์ และโมบายล์แอปพลิเคชั่น โดยซอฟต์แวร์จะทำการเข้ารหัสข้อมูลที่ผู้ใช้ทำการบันทึก และจะเก็บไฟล์เข้ารหัส (Vault) ในเซิร์ฟเวอร์ของผู้ให้บริการ ช่วยให้ผู้ใช้สามารถเข้าถึงได้หลายอุปกรณ์

การทำงานของ Online password manager จะทำงานโดยการเข้ารหัสด้วยรหัสผ่านหลัก (Master Password) ที่ฝั่งผู้ใช้งาน (Client-side) ก่อนที่จะนำไปเก็บที่เซิร์ฟเวอร์ของผู้ให้บริการ ซึ่งผู้ให้บริการจะไม่สามารถอ่านไฟล์เข้ารหัส (Vault) ที่ผู้ใช้ส่งเข้าไปเก็บที่เซิร์ฟเวอร์ของผู้ให้บริการ แต่อย่างไรก็ตามถ้าหากอุปกรณ์ที่ใช้ถูกฝัง Keylogger ก็อาจจะทำให้เกิดการรั่วไหลของรหัสผ่านได้ ถ้าไม่ได้เปิดใช้งาน Multi-factor authentication(MFA)

ข้อดี

สามารถใช้งานได้หลายอุปกรณ์
บางผู้ให้บริการมีการตรวจสอบ Phishing ก่อนที่จะกรอกรหัสผ่าน

ข้อเสีย

ใช้อินเตอร์เน็ตในการเข้าใช้งาน
ผู้ให้บริการเป็นคนเก็บไฟล์เข้ารหัส (Vault)
มีค่าบริการ

3. Token-based Password Managers

Source:https://documentation.its.umich.edu/2fa/get-and-enroll-u-m-hardware-token-or-u-m-yubikey

Token-based password managers หรือ Security token จะมีรูปแบบเป็นฮาร์ดแวร์คล้ายกับ USB Device ที่ทำหน้าที่เก็บ Key ที่ใช้ปลดล็อคไฟล์เข้ารหัส (Vault) ไว้ แต่ตัวเครื่องจะไม่ได้เก็บรหัสผ่านหลัก (Master Password) ไว้ โดยการใช้งานจะไม่จำเป็นต้อง sync กับ ไฟล์เข้ารหัส (Vault) ในครั้งแรก และจะทำการสุ่ม Key ใหม่ทุกครั้งที่ใช้งาน

สามารถตั้งเป็น Multi-factor authentication(MFA) ได้ โดยใช้ร่วมกับรหัสผ่านหลัก (Master Password) เพื่อลดความเสี่ยงในการรั่วไหลของไฟล์เข้ารหัส (Vault) ในกรณีที่รหัสผ่านหลัก (Master Password) เกิดการรั่วไหล ผู้ไม่ประสงค์ดีจะไม่สามารถใช้งานไฟล์เข้ารหัส (Vault) ได้ ถ้าไม่มี Key จากฮาร์ดแวร์

ข้อดี

เก็บรหัสผ่านไว้ได้หลายที่
มีความปลอดภัยมากขึ้น

ข้อเสีย

ถ้าอุปกรณ์หาย จะไม่สามารถใช้งาน (Vault) ได้

อย่างไรก็ตาม Password Manager สามารถช่วยได้แค่การจัดการรหัสผ่าน และลดความเสี่ยงในด้านรหัสผ่านที่อ่อนแอ (Weak password) แต่ยังมีความเสี่ยงที่รหัสผ่านหลัก (Master Password) อาจจะรั่วไหล และควรจะมี Password Manager มากกว่า 1 ที่ หรือเปิดใช้งาน Multi-factor authentication(MFA)