โปรแกรมจัดการรหัสผ่าน

โปรแกรมจัดการรหัสผ่าน หรือ โปรแกรมเก็บรหัสผ่าน (อังกฤษ: password manager) เป็นโปรแกรมคอมพิวเตอร์ที่ให้ผู้ใช้เก็บและจัดการข้อมูลบัญชีและรหัสผ่าน[1] เพื่อใช้กับแอปคอมพิวเตอร์หรือกับบริการออนไลน์ เช่น โปรแกรมประยุกต์บนเว็บ การซื้อของออนไลน์ หรือสื่อสังคม[2] แม้เว็บเบราว์เซอร์ปกติจะมีตัวจัดการรหัสผ่านในตัว แต่ก็มักมีข้อติเพราะไม่เก็บรหัสผ่านให้ปลอดภัยโดยเป็นค่าเบื้องต้น (เช่น ไม่เข้ารหัสลับ) จึงทำให้ถูกแฮ็กได้

โปรแกรมเช่นนี้ปกติจะสามารถใช้สร้างรหัสผ่าน[3] และกรอกแบบฟอร์มบนเว็บ[2] อาจมีรูปแบบเป็นทั้งแอปคอมพิวเตอร์ แอปอุปกรณ์เคลื่อนที่ และส่วนขยายเว็บบราวเซอร์[4]

โปรแกรมสามารถช่วยสร้างรหัสผ่านที่ซับซ้อนและปลอดภัย[1][5][6] แล้วเก็บไว้ในฐานข้อมูลที่ปกติเข้ารหัสลับ[7][8] นอกจากรหัสผ่าน โปรแกรมอาจช่วยเก็บข้อมูลอื่น ๆ เช่น บัตรเครดิต ที่อยู่ และข้อมูลสมาชิกต่าง [3]

ประโยชน์หลักของโปรแกรมนี้ก็เพื่อแก้ปัญหาความมั่นคงคอมพิวเตอร์ที่ผู้ใช้เบื่อการจำรหัสผ่านที่ต่าง ๆ กันสำหรับบริการต่าง [3] โปรแกรมปกติจะมีรหัสผ่านหลักเพื่อปลดล็อกและเข้าถึงข้อมูลที่เก็บไว้ในแอป[9] โปรแกรมอาจจะมีลูกเล่นให้พิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง[9] เช่น พิสูจน์ด้วยลายนิ้วมือหรือด้วยใบหน้า[10] แม้ปกติจะไม่บังคับ

ประวัติ

แก้

โปรแกรมแรกที่ออกแบบเพื่อเก็บรหัสผ่านอย่างปลอดภัย ก็คือ Password Safe ซึ่งเขียนโดยนักวิทยาการเข้ารหัสลับชาวอเมริกัน บรูซ ชไนเออร์ (Bruce Schneier) เป็นโปรแกรมฟรีที่ออกตัวในวันที่ 5 กันยายน 1997[11] ออกแบบเพื่อให้ใช้บนวินโดวส์ 95 ของไมโครซอฟท์ เป็นโปรแกรมที่ใช้ขั้นตอนวิธี"โบลว์ฟิช" ของบรูซ ชไนเออร์เองเพื่อเข้ารหัสลับเพื่อรักษารหัสผ่านและข้อมูลสำคัญอื่น ๆ แม้จะเป็นโปรแกรมฟรี แต่เพราะในเวลานั้นสหรัฐได้จำกัดการนำออกเครื่องมือการเข้ารหัสลับ ดังนั้น จึงมีแต่คนสหรัฐและแคนาดาเท่านั้นที่ดาวน์โหลดโปรแกรมได้[11] ปัจจุบันเพราะกูเกิล โครมได้กลายเป็นเว็บบราวเซอร์ยอดนิยม จึงมีการใช้ตัวจัดการรหัสผ่านของกูเกิลเองมากที่สุดเมื่อเดือนธันวาคม 2023

ชนิด

แก้

โปรแกรมจัดการรหัสผ่านมีหลายรูปแบบ แต่ละอย่างมีส่วนดีและส่วนเสีย[12]

ตัวจัดการรหัสผ่านของเว็บบราวเซอร์
มีอยู่ในบราวเซอร์รวมทั้งโครม ซาฟารี ไฟร์ฟอกซ์ และเอ็ดจ์ มีลูกเล่นในการจัดการรหัสผ่านขั้นพื้นฐาน โดยใช้บนอุปกรณ์ที่สนับสนุนบราวเซอร์นั้น ๆ แต่บางชนิดอาจจะขาดลูกเล่นบางอย่างเช่น การซิงค์อย่างปลอดภัยไปยังอุปกรณ์ต่าง ๆ หรือการเข้ารหัสลับที่ดี
โปรแกรมจัดการรหัสผ่านเฉพาะเครื่อง
เป็นแอปต่างหากที่ติดตั้งบนอุปกรณ์ของผู้ใช้ มีความมั่นคงที่ดีเพราะรหัสผ่านจะเก็บไว้เฉพาะในเครื่อง แต่ก็อาจจะเข้าถึงได้ที่เครื่องนั้นเท่านั้น โปรแกรมโอเพนซอร์สที่นิยมรวมทั้ง KeePass และ Password Safe
โปรแกรมจัดการรหัสผ่านที่อาศัยกลุ่มเมฆ
นี่จะเก็บรหัสผ่านที่เข้ารหัสไว้บนเซิร์ฟเวอร์ของบริษัท จึงสามารถเข้าถึงได้จากอุปกรณ์ที่สนับสนุนและต่อเน็ต ปกติจะมีลูกเล่นเช่นการซิงค์โดยอัตโนมัติ การแชร์รหัสผ่านอย่างปลอดภัย และการเข้ารหัสลับที่ดี ตัวอย่างโปรแกรมรวมทั้ง 1Password, Bitwarden และ Dashlane
ตัวจัดการรหัสผ่านสำหรับองค์กร
ออกแบบสำหรับองค์กรเพื่อให้จัดการบัญชีต่าง ๆ ที่ใช้ในองค์กร ซึ่งสามารถใช้ร่วมกับบริการสารบบและระบบควบคุมการเข้าถึงที่มีอยู่ มักจะมีลูกเล่นแบบซับซ้อนเช่น การให้อนุญาตตามบทบาทและการบริหารการเข้าถึงบัญชีที่มีอภิสิทธิ์ บริษัทที่ให้บริการรวมทั้ง CyberArk และ Delinea (ก่อนนี้เป็น Thycotic)
ฮาร์ดแวร์จัดการรหัสผ่าน
เป็นฮาร์ดแวร์ที่มักอยู่ในรูปแบบของอุปกรณ์ยูเอสบี ซึ่งเพิ่มความปลอดภัยให้กับการบริหารรหัสผ่านอีกระดับหนึ่ง บางอย่างทำหน้าที่เป็น security token เพื่อเข้าถึงข้อมูลรหัสผ่าน เช่น Yubikey และ OnlyKey แต่บางอย่างก็เพิ่มให้เก็บรหัสผ่านในที่เก็บออฟไลน์ด้วย เช่น OnlyKey

ความอ่อนแอ

แก้

การเก็บข้อมูลไม่ดี

แก้

โปรแกรมบางตัวเก็บข้อมูลในไฟล์ที่ไม่เข้ารหัสลับ ทำให้มัลแวร์หรือคนอื่นขโมยข้อมูลได้ง่าย

รหัสผ่านหลักอาจเป็นจุดอ่อน

แก้

โปรแกรมบางตัวกำหนดให้ผู้ใช้เลือกรหัสผ่านหลักเพื่อสร้างกุญแจในการเข้ารหัสลับ ความมั่นคงของวิธีนี้จึงอาศัยความเข้มแข็งของรหัสผ่านที่เลือก (ซึ่งคนอื่นหรือมัลแวร์อาจจะเดาได้) โดยจะต้องไม่เก็บรหัสผ่านหลักไว้ในที่ ๆ ซึ่งมัลแวร์หรือบุคคลอื่น ๆ เปิดดูได้ เพราะถ้ารหัสผ่านหลักหลุด ก็จะทำรหัสผ่านอื่นทั้งหมดที่เก็บไว้ให้หลุดออกไปด้วย ซึ่งหมายความว่า ความล้มเหลวที่จุด ๆ เดียว ก็จะทำให้ข้อมูลสำคัญอื่น ๆ หลุดออกไปทั้งหมด การใช้ตัวจัดการรหัสผ่านจึงอาจก่อภาวะความล้มเหลวที่จุด ๆ เดียว

อุปกรณ์ที่ใช้ต้องปลอดภัย

แก้

แม้โปรแกรมเช่นนี้ปกติจะช่วยรักษาความปลอดภัยของข้อมูลส่วนบุคคลได้ดี แต่จะดีแค่ไหนก็ขึ้นอยู่กับความปลอดภัยของอุปกรณ์ผู้ใช้ด้วย เพราะถ้าอุปกรณ์ติดมัลแวร์เช่นแบบที่เรียกว่า แรคคูน ซึ่งขโมยข้อมูลได้เก่งมาก วิธีการป้องกันความปลอดภัยของโปรแกรมเดี่ยว ๆ ก็อาจไม่ได้ผล เพราะมัลแวร์เช่นตัวบันทึกคีย์ (keylogger) จะสามารถขโมยรหัสผ่านหลักที่ใช้เข้าโปรแกรมจัดการรหัสผ่าน จึงทำให้เข้าถึงข้อมูลส่วนบุคคลที่เหลือซึ่งเก็บไว้ทั้งหมด ส่วนตัวดักก๊อปคลิปบอร์ดอาจใช้ก๊อปข้อมูลสำคัญที่ก๊อปออกมาจากตัวจัดการรหัสผ่าน อนึ่ง มัลแวร์บางอย่างอาจจะขโมยไฟล์ที่เข้ารหัสลับของตัวจัดการรหัสผ่านเอง ดังนั้น อุปกรณ์ที่ถูกแฮ็กหรือมีมัลแวร์ขโมยรหัสผ่าน ก็อาจทำการป้องกันความปลอดภัยของโปรแกรมเช่นนี้ให้ไม่ได้ผล และทำให้ข้อมูลสำคัญในที่สุดก็ถูกขโมยไปได้[13]

เหมือนกับวิธีการพิสูจน์ตัวผู้ใช้ด้วยรหัสผ่านอื่น ๆ ผู้ร้ายอาจใช้วิธีการบันทึกคีย์ (key logging) หรือวิธีการวิเคราะห์เสียงกดคีย์ (acoustic cryptanalysis) เพื่อ ให้ได้หรือใช้เดารหัสผ่านหลัก โปรแกรมเก็บรหัสผ่านบางตัวอาจพยายามแก้ปัญหานี้โดยใช้คีย์บอร์ดเสมือน (virtual keyboard) แต่นี่ก็อาจยังอ่อนแอต่อโปรแกรมบันทึกคีย์ (key logger) ที่เก็บการกดคีย์ไว้แล้วส่งไปให้ผู้ร้าย

การเก็บข้อมูลในกลุ่มเมฆ

แก้

โปรแกรมเก็บรหัสผ่านในกลุ่มเมฆ (Cloud-based) ช่วยให้สามารถเก็บข้อมูลบัญชีต่าง ๆ ไว้กับศูนย์กลาง แต่ก็อาจมีปัญหาทางความปลอดภัยเพิ่มขึ้น เช่น บริษัทที่เก็บไฟล์รหัสผ่านอาจจะถูกแฮ็กเอง ซึ่งถ้าเหตุการณ์เช่นนี้เกิดขึ้น ผู้ร้ายจะก็มีโอกาสได้ข้อมูลบัญชีผู้ใช้เป็นจำนวนมาก ปัญหาข้อมูลลับรั่วไหลในปี 2022 ที่เกิดกับโปรแกรมเก็บรหัสผ่าน Lasspass เป็นตัวอย่างหนึ่ง[14]

ความมั่นคงของตัวสร้างรหัสผ่าน

แก้

โปรแกรมบางตัวอาจมีตัวช่วยสร้างรหัสผ่าน (password generator) รหัสผ่านที่สร้างขึ้นอาจจะเดาได้ถ้าตัวสร้างรหัสผ่านใช้วิธีการสร้างซีด (seed) แบบสุ่มที่อ่อนแอ มีตัวอย่างที่พบ เช่น โปรแกรมจัดการรหัสผ่านของแคสเปอร์สกีในปี 2021 พบว่าใช้วิธีที่ทำให้เดารหัสผ่านที่สร้างขึ้นได้[15][16]

ความอ่อนแออื่น 

แก้

งานศึกษาปี 2014 ของนักวิจัยที่มหาวิทยาลัยคาร์เนกีเมลลอนพบว่า แม้ตัวจัดการรหัสผ่านของเว็บบราวเซอร์เองจะไม่ยอมใส่รหัสผ่านในหน้าล็อกอินที่เข้ารหัสลับต่างกับเมื่อจัดเก็บรหัสผ่าน (เอชทีทีพี เทียบกับเอชทีทีพีเอส) แต่โปรแกรมจัดการรหัสผ่านอื่นบางอย่างก็ยังใส่รหัสลับอย่างไม่ปลอดภัยในหน้าล็อกอินที่ไม่เข้ารหัสลับ (เอชทีทีพี) แม้เบื้องต้นจะได้เก็บรหัสผ่านจากหน้าเว็บที่เข้ารหัสลับ (เอชทีทีพีเอส) อนึ่ง โปรแกรมจัดการรหัสผ่านโดยมากก็ไม่ป้องกันการถูกโจมตีเนื่องกับ iframe และ URL redirection ด้วยซึ่งอาจทำให้รหัสผ่านมีโอกาสหลุดออกไปได้มากขึ้นเมื่อซิงค์ข้อมูลไปยังอุปกรณ์ต่าง [17]

การบล็อกไม่ให้ใช้ตัวจัดการรหัสผ่าน

แก้

มีเว็บไซต์ที่มีชื่อเสียงหลายแห่งซึ่งพยายามบล็อกไม่ให้ใช้ตัวจัดการรหัสผ่านเพื่อใส่รหัสผ่าน แต่ก็มักจะยอมเมื่อถูกเปิดเผยให้เป็นข่าว[18][19][20] เหตุผลที่มักอ้างรวมทั้งเพื่อป้องกันการถูกโจมตีด้วยระบบอัตโนมัติ เพื่อป้องกันฟิชชิง เพื่อป้องกันมัลแวร์ หรือไม่ก็อ้างอย่างโต้ง ๆ ว่าเข้ากันไม่ได้ ซอฟต์แวร์ความมั่นคง Trusteer ของบริษัทไอบีเอ็มมีลูกเล่นให้บล็อกโปรแกรมจัดการรหัสผ่านโดยเฉพาะ[21][22]

ส่วนคนมืออาชีพทางด้านการรักษาความปลอดภัยทางข้อมูลได้วิจารณ์ว่าการบล็อกเช่นนี้ทำให้ผู้ใช้ปลอดภัยน้อยลง[20][22] วิธีทำให้การบล็อกเกิดผลก็คือ การใช้โค๊ดว่า autocomplete='off' ในหน้าเว็บที่ให้ใส่รหัสผ่าน ดังนั้นต่อมา โปรแกรมต่าง ๆ จึงต่างไม่สนใจคำสั่งนี้ในหน้าเว็บที่เข้ารหัสลับ[17] รวมทั้งไฟร์ฟอกซ์ตั้งแต่รุ่น 38[23] โครมตั้งแต่รุ่น 34[24] และ ซาฟารีตั้งแต่รุ่น 7.0.2[25]

ดูเพิ่ม

แก้

เชิงอรรถและอ้างอิง

แก้
  1. 1.0 1.1 Waschke, Marvin (2017). Personal cybersecurity : how to avoid and recover from cybercrime (ภาษาอังกฤษ). Bellingham, Washington: Apress. p. 198. doi:10.1007/978-1-4842-2430-4. ISBN 978-1-4842-2430-4. OCLC 968706017.
  2. 2.0 2.1 "What is a Password Manager? - Definition from Techopedia". Techopedia.com (ภาษาอังกฤษ). สืบค้นเมื่อ 2022-12-14.
  3. 3.0 3.1 3.2 "What is a Password Manager? 2022 Explainer Guide". Tech.co (ภาษาอังกฤษแบบอเมริกัน). สืบค้นเมื่อ 2022-12-14.
  4. "Definition of password manager". PCMAG (ภาษาอังกฤษ). สืบค้นเมื่อ 2022-12-14.
  5. Seitz, Tobias (2018). Supporting users in password authentication with persuasive design (PDF) (วิทยานิพนธ์) (ภาษาอังกฤษ). Ludwig-Maximilians-Universität München. doi:10.5282/edoc.22619.
  6. University, Carnegie Mellon. "Password Managers - Information Security Office - Computing Services - Carnegie Mellon University". www.cmu.edu (ภาษาอังกฤษ). สืบค้นเมื่อ 2022-12-14.
  7. Price, Rob (2017-02-22). "Password managers are an essential way to protect yourself from hackers - here's how they work". Business Insider (ภาษาอังกฤษ). คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2017-02-27. สืบค้นเมื่อ 2017-04-29.
  8. Mohammadinodoushan, Mohammad; Cambou, Bertrand; Philabaum, Christopher Robert; Duan, Nan (2021). "Resilient Password Manager Using Physical Unclonable Functions". IEEE Access. 9: 17060–17070. doi:10.1109/ACCESS.2021.3053307. ISSN 2169-3536.
  9. 9.0 9.1 "Best Password Managers for Mac - Security". Tech.co (ภาษาอังกฤษแบบอเมริกัน). สืบค้นเมื่อ 2022-12-14.
  10. "Best Password Manager for iPhone 2022". Tech.co (ภาษาอังกฤษแบบอเมริกัน). สืบค้นเมื่อ 2022-12-14.
  11. 11.0 11.1 "Counterpane Systems Brings the Security of Blowfish to a Password Database". Counterpane Systems. เก็บจากแหล่งเดิมเมื่อ 1998-01-19. สืบค้นเมื่อ 2023-06-24.
  12. Kerner, Sean Michael (2023-05-02). "What is a password manager?". Security. เก็บจากแหล่งเดิมเมื่อ 2024-02-01. สืบค้นเมื่อ 2024-04-01.
  13. "Are Password Managers Safe to Use in 2024?". Cybernews. 2022-07-13. เก็บจากแหล่งเดิมเมื่อ 2024-03-24. สืบค้นเมื่อ 2024-03-31.
  14. "Are Password Managers Safe to Use in 2024?". Cybernews. 2022-07-13. เก็บจากแหล่งเดิมเมื่อ 2024-03-24. สืบค้นเมื่อ 2024-03-31.
  15. Claburn, Thomas (2021-07-06). "Kaspersky Password Manager's random password generator was about as random as your wall clock". The Register. เก็บจากแหล่งเดิมเมื่อ 2024-03-07. สืบค้นเมื่อ 2024-03-31.
  16. Arghire, Ionut (2021-07-07). "Kaspersky Password Manager Generated Passwords That Could Quickly Be Brute-Forced". SecurityWeek. เก็บจากแหล่งเดิมเมื่อ 2023-06-02. สืบค้นเมื่อ 2024-03-31.
  17. 17.0 17.1 "Password Managers: Attacks and Defenses" (PDF). สืบค้นเมื่อ 2015-07-26.
  18. Mic, Wright (2015-07-16). "British Gas deliberately breaks password managers and security experts are appalled". สืบค้นเมื่อ 2015-07-26.
  19. Reeve, Tom (2015-07-15). "British Gas bows to criticism over blocking password managers". สืบค้นเมื่อ 2015-07-26.
  20. 20.0 20.1 Cox, Joseph (2015-07-26). "Websites, Please Stop Blocking Password Managers. It's 2015". สืบค้นเมื่อ 2015-07-26.
  21. "Password Manager". สืบค้นเมื่อ 2015-07-26.
  22. 22.0 22.1 Hunt, Troy (2014-05-15). "The "Cobra Effect" that is disabling paste on password fields". สืบค้นเมื่อ 2015-07-26.
  23. "Firefox on windows 8.1 is autofilling a password field when autocomplete is off". สืบค้นเมื่อ 2015-07-26.
  24. Sharwood, Simon (2014-04-09). "Chrome makes new password grab in version 34". สืบค้นเมื่อ 2015-07-26.
  25. "Re: 7.0.2: Autocomplete="off" still busted". สืบค้นเมื่อ 2015-07-26.

แหล่งข้อมูลอื่น

แก้