Technology

Lastpass จุดจบของสายลืม Password

By Arnon Puitrakul - 01 มิถุนายน 2020 - 1 min read min(s)

Lastpass จุดจบของสายลืม Password

ปัจจุบันนี้เรามีตัวตนในโลกของอินเตอร์เน็ตเยอะขึ้นมาก หนึ่งในปัญหาไม่ว่าจะเป็นคนรุ่นใหม่ ๆ เอง หรือ  คนแก่ ๆ เองก็น่าจะเป็นเรื่องของ การยืนยันตัวตน (Authentication) ที่ยังคงนิยมทการใช้รหัสผ่าน (Password) กันอยู่ ซึ่งหลาย ๆ คนก็จะเข้าใจว่า มันเป็นอะไรที่ถ้าเราทำให้ซับซ้อน มันก็จะจำยาก พอเราทำให้มันง่าย มันก็จะไม่ปลอดภัย วันนี้เราจะพาทุกคนมาทำความรู้จักกับ Lastpass ที่เป็น Password Manager สำหรับคนที่ไม่ชอบจัดการ Password แสนยุ่งยาก

ทำไม Password ไม่ดี ?

จริง ๆ เมื่อก่อนตอนที่มันถูกคิดขึ้นมา เราว่ามันเป็นอะไรที่ดีมาก ๆ เพราะตอนนั้นเรายังไม่ได้มีอุปกรณ์ที่ช่วยในการยืนยันตัวตนเหมือนในปัจจุบันนี้ การ Key มันเข้าไปในระบบ เราว่าเป็นก็เป็นอะไรที่ง่ายมาก เพราะอุปกรณ์คอมพิวเตอร์แทบทุกตัวมันก็สามารถที่จะรับข้อมูลเข้าได้หมดละ

แต่ปัญหาคือ Password มันเป็นอะไรที่ตั้งแล้วเราต้องจำได้ แน่นอนว่า มันก็จะมีคนที่จำไม่ได้เป็นเรื่องปกติอยู่แล้ว ยังไม่นับว่า Password เราแข็งแกร่งมาก ก็เถอะ เอาแบบ Password โง่ ๆ ในเว็บ ๆ เดียว ยังไม่รอดเลย แล้วถ้าเรามีสมาชิกอยู่จะ 10 เว็บก็แย่แล้ว หรือถ้าเราบอกว่างั้นเราก็ตั้ง Password เดียวแล้วใช้หมดทุกที่เลย

นั่นก็ทำให้เกิดปัญหาเรื่องความปลอดภัยขึ้นได้อย่างเช่น ถ้าสมมุติว่า มีที่ใดที่นึงที่เราเป็นสมาชิกแล้วทำ Password ของเราหลุดออกมา สมาชิกของที่เหลือก็จะโดนหมดนั่นเอง

ไหนจะเรื่องความแข็งแรงอีกที่ ความแข็งแรง มันขึ้นกับว่า Password ของเรายาวเท่าไหร่ และ ประกอบด้วย อักขระอะไรบ้าง เช่น Password ที่ดี มันควรจะมีทั้ง ตัวเลข ตัวอักษรตัวเล็กกับใหญ่ และ อักขระพิเศษ

ถ้า Password ของเราไม่แข็งแรง การโจมตีที่เกิดขึ้นได้คือ Brute Force ง่าย ๆ ก็คือ การที่ผู้โจมตี ไม่รู้หรอกว่า Password ของเราคืออะไร แต่ก็สุ่มไปเรื่อย ๆ ทำให้ถ้า Password เรามีแค่ตัวเลข มันก็เดาแปบเดียวก็ได้แล้ว

สุดท้าย เอาจริง ๆ คือ ถ้าเราอยากให้เราปลอดภัย เราก็ต้องตั้ง Password ที่แข็งแรง แต่มันก็แลกมากับ การที่มันจำยากมาก พร้อมกับ ทุก ๆ ที่ เราต้องใช้ Password ที่ไม่เหมือนกันอีก ยุ่งยากมาก

สำหรับการป้องกันพวก Brute Force ณ ตอนนี้คือ การที่เราจะมีช่วงเวลาลงโทษสำหรับการใส่ Password ผิด เช่นอาจจะรอ 1 นาที แล้วรอบต่อไป 2 นาที รอบต่อไป 4 นาทีไปเรื่อย ๆ เพื่อชะลอเวลาให้ ผู้ไม่ประสงค์ดี เข้าสู่ Account ของเราได้ยากขึ้น

อีกวิธีนึงที่ถูกพูดถึงมาสักพักแล้วนั่นคือ การเปลี่ยนระบบการยืนยันตัวตนของเราไปเลย แบบที่ไม่ได้ใช้ Password ซึ่งอาจจะเป็นอย่างอื่น อย่างการใช้หน้า, ลายนิ้วมือ หรือ Security Key อย่าง Yubikey ที่เคยรีวิวไปก่อนหน้านี้ ก็จะช่วยในการแก้ปัญหาเรื่องการลืม Password ได้ดี

แต่ก็นั่นแหละ อย่างที่เราบอกไปว่า ตอนนี้ใคร ๆ ก็ยังเลือกใช้ Password ในการยืนยันตัวตนกันอยู่ เราก็ยังคงต้องใช้มันต่อไป

LastPass ผู้ช่วยในการจัดการ Password

LastPass

ถ้า Password ที่ แข็งแรง มันจะจำได้ยากขนาดนี้ เราขอเสนอให้ทุกคนหันมาใช้ LastPass กัน

มันจะทำหน้าที่เหมือนคนช่วยเราจำ Password ของเราเอง โดยที่เราจำแค่ Password ตัวเดียวคือ Master Password สำหรับเปิด LassPass ขึ้นมานั่นเอง

โดยที่ความดีของมันคือ มันอยู่ไปทั่วมาก ๆ เพราะมันมีเป็น App ในทั้ง iOS และ Android ไปเลย หรือบน Web Browser เอง มันมีเป็น Plug-in ในหลาย ๆ Web Browser เจ้าดัง ๆ เลย อย่างที่เราใช้ก็เป็น Google Chrome ก็มีเหมือนกัน

พวก App และ Plugin อะไรพวกนี้ ถ้าใช้งาน LastPass เราแนะนำให้ติดตั้งไว้ทุกอุปกรณ์ที่เราใช้งานเลย ไม่งั้นมันจะใช้งานอะไรได้ยากขึ้นมาก เพราะ Password มันพิมพ์ยากไป๊

ความง่ายของมันเมื่อเราใช้งานผ่าน Plug-in บน Web Browser คือ เมื่อเรา สมัครสมาชิก หรือสร้าง Account จากเว็บอะไร มันจะเด้งหน้าต่างขึ้นมาถามเราเลยว่า เราจะเพิ่ม Username และ Password นี้ลงไปใน ระบบเลยมั้ย ทำให้เราไม่ต้องมานั่งกดเพิ่มเองเสียเวลามาก ๆ

หรือ ถ้าเราไม่อยากคิด Password เอง เราก็ให้มันสร้าง Password ให้เราเลยก็ได้ ซึ่ง เราสามารถเลือกได้เลยว่า เราอยากที่จะให้ใน Password มีตัวอักขระแบบไหนบ้าง และ จำนวนกี่ตัว เราบอกให้เลยว่า ปกติถ้าไม่จำกัด เราใช้ 64 ตัว มีทุกอย่าง ตัวเล็ก  ตัวใหญ่ ตัวเลข และ  อักขระพิเศษมาหมด

ส่วนเวลาเราจะ Login เราก็แค่เข้าไปในหน้า Login ของเราได้ตามปกติ โดยที่บางหน้ามันก็จะ Fill-in Username และ Password ให้เราแล้ว ถ้าเว็บนั้นมันเขียนมาได้มาตรฐานละนะ

แต่ถ้าหน้าเว็บไหนเขียนมาแย่ (เจอเยอะมาก ในพวกเว็บจากไทยทั้งหมดเลยเนี่ย) ถ้าเราใช้ใน Google Chrome ที่ Icon ของ LastPass เองกดเข้าไป มันจะมีโชว์ขึ้นมาเลยว่า อยากจะ Fill Account นี้มั้ย ถ้า Auto-Fill มันใช้งานไม่ได้ เราก็อาจจะกด Copy Username เอามาวาง และ กด Copy Password เอามาวางเองก็ได้

และสุดท้ายของการใช้งานคือ เมื่อเราเปลี่ยน Password ในหน้าเว็บส่วนใหญ่ เมื่อเราเปลี่ยน Password มันก็จะเด้งหน้าต่างแบบเดียวกับที่มาถามว่าจะเพิ่มลงไปในระบบมั้ย อันนี้มันก็จะมาถามว่าจะเปลี่ยน Password ในระบบมั้ย กด Update ไปมันก็เข้าไปจัดการของมันเองใน LastPass

และด้วยความที่มันเป็น Cloud ทั้งหมดทำให้ Password ของทั้งหมด สามารถเข้าถึงได้จากที่ไหนก็ได้ ที่มีอินเตอร์เน็ต และ สามารถลง App หรือเข้าเว็บของ LastPass ได้เลย

Lastpass on iOS

ตัวอย่างเช่น บน iOS และ iPadOS เองที่มี App ของ LastPass มาเลย เวลาเราจะเข้าใช้งานอะไรบางอย่าง เช่น Facebook มันจะเด้งขึ้นมาถามเราเลยว่า เราต้องการจะใช้ Username นี้เข้าใช้งานมั้ย

ถ้าเราต้องการ เราก็กด มันจะให้เรา Authenticate ก่อนด้วย วิธีที่เราใช้งาน สำหรับ Apple Device ที่มี FaceID ก็สามารถสแกนหนังหน้าได้เลย หรือถ้าไม่มีใช้ TouchID ก็ใช้หนังนิ้วสแกนใช้งานได้เลย ถือว่าเป็นอะไรที่ค่อนข้างสะดวกมาก ๆ

ปัญหาที่เจอ

ในเมื่อเขาไม่ได้จ่าย เราก็พูดถึงปัญหาได้แหละ ฮ่า ๆ ใช่ มันสะดวกมาก เพราะเราไม่ต้องจำ Password ของแต่ละเว็บ และเราก็ใช้ Password ที่ Generate มาจาก LastPass เรามั่นใจได้เลยว่า มันจะแข็งแรงมาก

dR6yh10b2rD%T7MMxUXxVIBGFCCUXOm7

เนี่ยคือ ตัวอย่างของ Password ที่ Generate มาจาก LastPass เราจะเห็นได้เลยว่า มันซับซ้อน และพิมพ์ยากมาก

ปัญหามันจะเกิดเมื่อเราไปใช้งานเครื่องอื่นที่อาจจะไม่ได้ลง LastPass เอาไว้เช่น ต้องออกไปทำงานข้างนอกที่อาจจะไม่ให้เราใช้เครื่องของตัวเอง แต่ Password เราอยู่ใน LastPass เราก็ต้องเปิดโทรศัพท์ของเราขึ้นมา ดู Password แล้วพิมพ์ตาม ก็นะ กว่าจะพิมพ์เสร็จพอดี เลิกงานพอดี

เอาให้ชัด ๆ เลยคือ อย่างใน Playstation 4 ที่เราใช้เล่นเกม เมื่อเรา Login มันจะเรียกหา Password อันนี้แหละ Keyboard จริง ๆ ก็ไม่ได้ต่อ (ปกติคนเขาต่อ Keyboard บน PS4 ด้วยเหรอ) ก็ต้องค่อย ๆ ใช้ Controller มาเลื่อน ๆ กด ๆ ไปทีละตัวไปเรื่อย ๆ คือ มันนานมาก ใส่ผิดก็ต้องใส่ใหม่อีก

แต่ปัญหาพวกนี้ส่วนใหญ่มันจะเกิดกับพวกอุปกรณ์ที่เราไม่ได้ต้อง Login บ่อย ๆ หรือทุกครั้งที่เราใช้งาน ทำรอบเดียวแล้วจบ มันก็โอเคแหละ แต่ถ้าเจออะไรที่ใช้งานทุกวันเราก็ไม่ไหวเหมือนกัน

สรุป LastPass เป็น Password Manager ที่ทำให้ชีวิตง่ายขึ้นมาก

การใช้ Password Manager ถือว่าเป็นตัวช่วยที่ดีในการจัดการกับ Password ของเราให้มีความแข็งแรงอยู่ตลอด เพื่อป้องกันการถูกโจมตีด้วยวิธีที่เรียกว่า Brute Force ในขณะที่เราไม่ต้องมานั่งจำอะไรมากมาย เราก็แค่จำแค่ Master Password แค่อันเดียวแล้วเลิกเลย เราว่ามันไม่เหมาะกับแค่คนแก่ ๆ ที่อาจจะจำ Password อะไรไม่ได้เลย แต่ยังเหมาะกับคนรุ่นใหม่ที่มี Account อยู่บนอินเตอร์เน็ตมากมาย