Kasin.ME

ทุกคนคงเคยได้ยินคำแนะนำพวกนี้

• ใช้รหัสผ่านที่ไม่มีใครเดาได้(ง่ายๆ) แต่เราจำได้ง่าย
• ใช้รหัสผ่านที่ประกอบด้วยตัวอักษรหลายๆ แบบ ทั้งตัวใหญ่ ตัวเล็ก ตัวเลข เครื่องหมาย สัญลักษณ์ต่างๆ ยิ่งใช้ภาษาอื่นที่ไม่ใช่ภาษาอังกฤษยิ่งดี
• อย่าใช้รหัสผ่านเดียวกันกับทุกเว็บไซต์
• เปลี่ยนรหัสผ่านบ่อยๆ
• บลาๆๆ…

ทุกคนคงรู้ว่าถ้าเราตั้งรหัสผ่านเหมือนกันหมดทุกบัญชี ถ้ามีใครรู้รหัสของบัญชีใดบัญชีหนึ่ง ก็มีโอกาสสูงที่จะถูกลองใช้รหัสผ่านนั้นกับบัญชีอื่นๆ ของเราได้ แต่บางคนอาจไม่รู้ว่าเหตุผลที่รหัสผ่านจะถูกล่วงรู้ได้ มีเยอะแยะมากมาย เช่น

• เราอาจมีความจำเป็นต้องบอกรหัสผ่านให้เพื่อนช่วยทำงานให้
• ถูกแอบมองเวลาพิมพ์รหัสผ่าน
• ติดไวรัสที่แอบขโมยรหัสผ่าน เดี๋ยวนี้ไวรัสมันแอดวานซ์เหลือเกิน บางทีเข้าเว็บดีๆ ทั่วไป ที่โดนเจาะฝัง script ไวรัสลงไป ไม่ใช่เว็บไซต์แปลกๆ เครื่องเราก็ติดด้วยแล้ว กรณีนี้มักจะเป็นคอมพิวเตอร์ส่วนตัวที่โดน
• บางครั้งไปใช้คอมตามร้านอินเทอร์เน็ต หรือคอมคนอื่น อาจโดนร้านที่ไม่หวังดีลงโปรแกรม Key Logger ไว้ (อ่านเพิ่มได้ที่บทความ Keystroke logging ที่ Wikipedia) ซึ่งจะแอบบันทึกว่าเรากดปุ่มอะไรบนคีย์บอร์ดบ้าง
• เข้าเว็บไซต์ที่พยายามปลอมตัวเป็นเว็บไซต์ของจริง เช่น สะกด URL ให้คล้ายๆ กัน จากตัวโอเป็นเลขศูนย์ เติมขีด หรืออะไรก็ตาม และทำหน้าตาให้เหมือนกับของจริงเปี๊ยบ เพื่อหลอกให้เราพิมพ์ Username + Password ลงไป (เพราะเราคิดว่ากำลังล็อกอินเว็บจริงๆ อยู่)
• อันนี้ค่อนข้างแอดวานซ์ คือ เวลาเราสมัครสมาชิกกับเว็บไซต์เนี่ย เว็บพวกนั้นก็ต้องเก็บรหัสผ่านของเราเข้าฐานข้อมูลไว้ เพื่อเทียบกับรหัสผ่านที่เราป้อนเข้าระบบในครั้งต่อๆ ไป ระบบจะได้รู้ว่าเราพิมพ์รหัสผ่านถูกหรือไม่ ซึ่งแปลว่าเว็บมาสเตอร์ที่ไม่หวังดี สามารถเข้าไปดูข้อมูลบนฐานข้อมูลโดยตรงได้ ก็จะเห็นรหัสผ่านของเราที่ถูกเซฟไว้อย่างสวยงาม เว้นเสียแต่ว่ารหัสผ่านเหล่านั้นถูกเข้ารหัสไว้ ก็จะดูตรงๆ ไม่ได้

ดังนั้นจึงเป็นเหตุผลที่ไม่ควรใช้รหัสผ่านเดียวกันทุกเว็บไซต์ แต่พอเอาเงื่อนไขทุกข้อมารวมกันแล้วก็เรียกว่าทำได้ยากเหลือเกิน คนบางคนอาจจะมีแค่รหัสผ่านอีเมล 1-2 บัญชี บวกรหัสผ่านเข้าเว็บไซต์ที่เข้าบ่อยๆ อาจจะยังพอไหว ถ้าจะตั้งให้ไม่เหมือนกันได้ แต่ลองดูว่าถ้าคุณ บางคนตื่นมาตอนเช้าในแต่ละวัน รหัสผ่านที่ต้องใช้ในวันใหม่นี้อาจประกอบด้วย:

• รหัสปลด Encryption ของคอมพิวเตอร์ก่อนจะ Boot เครื่อง
• รหัสผ่านล็อกอินเข้าวินโดวส์
• รหัสผ่านเปิดเข้าระบบที่ 2, 3, 4, … ที่ทำงาน
• รหัสผ่านเข้าระบบลูกค้า
• รหัสผ่านเข้าอีเมล 4 บัญชีของคุณ
• รหัสผ่านเข้า Facebook
• รหัสผ่านเข้าเว็บพันทิป
• รหัสผ่านเข้าอินเทอร์เน็ตแบงกิ้งอีก 6 ธนาคาร
• บางคนเป็นเว็บมาสเตอร์ ดูแลลูกค้า บวกเข้าไปอีก ทั้งรหัสผ่านเข้า Control Panel, รหัสผ่าน FTP, รหัสผ่านฐานข้อมูล, ฯลฯ
• …และอื่นๆ อีกมากมาย

และอย่าลืม ว่าที่พูดทั้งหมดนั่นมันไม่ได้ใช้ Username เหมือนกัน -_-”

ก่อนหน้านี้เคยจะพยายามเรียงลำดับความ “สำคัญ” ของบัญชีทั้งหลายเหล่านี้ และตั้งรหัสผ่านของสิ่งที่มีความสำคัญระดับเดียวกันให้เหมือนกัน เพื่อให้จำง่ายขึ้น เช่น อีเมลอาจจะสำคัญที่สุด เพราะเวลาจะ reset รหัสผ่านอะไรพวกนี้ก็ต้องยืนยันผ่านทางอีเมล แต่รหัสผ่านบางตัวอาจเป็นแบบ “ใช้แล้วทิ้ง” เช่นต้องการสมัครสมาชิกชั่วคราว เพราะจะดาวโหลดไฟล์บางไฟล์ และไม่คิดจะกลับมาเว็บนี้อีกแล้ว เป็นต้น

แต่ไปๆ มาๆ ก็ทำไม่สำเร็จอยู่ดี เพราะความสำคัญมันก็ไม่ได้ชัดเจนขนาดนั้น หลายๆ ครั้งความสัมพันธ์ของบัญชีแต่ละอย่างก็ไขว้กัน และเงื่อนไขการตั้งรหัสผ่านของแต่ละที่ก็ไม่เหมือนกันอีก บางที่ห้ามยาวเกิน 8 ตัวอักษร บางทีต้อง 8 ตัวอักษรขึ้นไป บางที่ต้องมีทั้งตัวอักษร ตัวเลข ตัวอักษรพิเศษ แต่บางที่ไม่ให้มีตัวอักษรพิเศษซะงั้น

ซึ่งโปรแกรม KeePass สามารถช่วยเหลือเรื่องรหัสผ่านกับคุณได้อย่างมากมายเลย เช่น

• เป็นโปรแกรม Open Source และฟรี
• สามารถ Generate รหัสผ่านโดยระบุเงื่อนไขได้ เช่น ความยาว ให้มีตัวอักษรตัวเล็กตัวใหญ่ ตัวเลข สัญลักษณ์ ฯลฯ
• บันทึก Username และรหัสผ่าน พร้อมทั้ง URL (ถ้ามี) ไว้ได้เลย
• ตั้งกลุ่มของรหัสผ่านให้เป็นหมวดหมู่ได้ ยกตัวอย่างเช่น ที่ทำงาน ส่วนตัว ธนาคาร ฯลฯ
• มีระบบ Auto-type ช่วยพิมพ์ไอ้เจ้ารหัสผ่านยาวๆ พวกนั้นลงบนช่องรหัสผ่านให้เราโดยอัตโนมัติ

ดังนั้นเราก็จะจำรหัสผ่านเพียงแค่ตัวเดียวเท่านั้น คือเป็นรหัส Master Key ที่ใช้ในการเปิดเจ้าโปรแกรม KeePass นี้นั่นเอง

แต่ข้อเสียก็โปรแกรม KeePass ก็มี เท่าที่มองตอนนี้ได้แก่

• ความปลอดภัยของรหัสผ่านทั้งหมดที่รวมกันอยู่ที่เดียว หากไฟล์ฐานข้อมูลรหัสผ่านที่เราบันทึกไว้ หลุดไปพร้อมกับ Master Key ล่ะก็ เรียกได้ว่าฝันร้ายมาเยือนแน่ๆ แต่โอกาสก็อาจจะมีไม่มากนักที่จะหลุดไปพร้อมกันทั้งหมด อีกทั้งตัว KeePass เองมีระบบป้องกันระดับหนึ่ง ที่อนุญาตให้เราใช้ข้อมูลอื่นๆ มาร่วมเป็น Master Key ด้วย นอกจากรหัสผ่าน ได้แก่ ไฟล์เอกสารอะไรก็ได้ หรือโปรไฟล์ของวินโดวส์ ที่ต้องมีพร้อมกันทั้งหมด จึงจะเปิดใช้ฐานข้อมูลรหัสผ่านของเราได้ เป็นต้น
• ความสะดวกในการใช้งาน เนื่องจากเราต้องมีไฟล์ฐานข้อมูลและโปรแกรม KeePass อยู่ในคอมพิวเตอร์ที่เรากำลังใช้งานด้วย จึงจะสามารถเข้าถึงรหัสผ่านของเราได้ แต่อย่างไรก็ตาม KeePass สามารถเปิดและเซฟฐานข้อมูลผ่าน URL ได้ เช่นฝากไฟล์ไว้บนเซิร์ฟเวอร์ที่ให้บริการ จะฟรีหรือไม่ฟรีก็แล้วแต่ จะทำให้เราสามารถเข้าถึงไฟล์ได้จากทุกที่ที่มีอินเทอร์เน็ต (และไม่บล็อกเว็บไซต์ที่เราไปเก็บไฟล์ไว้) สำหรับโปรแกรมก็สามารถดาวโหลดจากเว็บไซต์ของ KeePass ได้เองตลอด และมีแบบ Portable ที่สามารถใช้งานได้โดยไม่ต้องติดตั้งโปรแกรม (สำหรับคนที่ไม่มีสิทธิ์ในการติดตั้งโปรแกรม เช่นคอมพิวเตอร์ของบริษัท) แน่นอนว่าการนำไฟล์เราไปเก็บไว้บนโลกอินเทอร์เน็ต อาจทำให้ผู้ไม่หวังดีเข้าถึงไฟล์ฐานข้อมูลเราได้ก็เป็นได้ และทั้งนี้ทั้งนั้น การที่เรามีรหัสผ่านที่เราจำได้เอง สำหรับบัญชีบางตัวที่เราใช้บ่อยๆ เช่นอีเมลหลัก ก็เป็นการเตรียมพร้อมที่ดี ไม่อย่างนั้นคงตลกน่าดูถ้าคอมพิวเตอร์คุณมีปัญหา แล้วคุณต้องยืมเครื่องคนอื่นใช้ แต่เข้าอีเมลตัวเองไม่ได้ เพราะต้องไปดาวโหลด KeePass พร้อมฐานข้อมูลมาก่อน -_-”
• หากไฟล์ฐานข้อมูลนี้หายไป เรียกว่าเป็นหายนะรอบสองเหมือนกัน เนื่องจากพอเรามาใช้โปรแกรมนี้แล้ว เราก็จะเป็นโรคขี้เกียจทันที จำอะไรไม่ได้ แถมยังตั้งรหัสผ่านซะยาวเหยียด สิบยี่สิบตัวอักษร (ก็โปรแกรมมัน Generate ให้เราได้นี่นา ยาวๆ แปลว่าปลอดภัยไม่ใช่เหรอ) ถ้าเกิดฐานข้อมูลหายขึ้นมาล่ะก็ ไม่รู้จะเริ่มจากตรงไหนเลย ดังนั้นเก็บไฟล์ไว้ให้ดีๆ นะครับ จะส่งเป็นไฟล์แนบหาตัวเองบ้างเป็นระยะๆ ก็เป็นความคิดที่ดีนะครับ