• Special Report 04.09.2014

    กลับมาเขียนให้เสร็จกับหัวข้อ การจัดการ Password ให้ปลอดภัย จากคราวที่แล้วผมแนะนำโปรแกรมชื่อ Lastpass ไปแล้วนะครับ แต่ในความเห็นส่วนตัว Lastpass นั้นดูจะเหมาะกับคนที่เป็นผู้ใช้งานทั่วไป (Consumer) มากกว่าโดยที่เน้นการใช้เฉพาะการเข้าใช้งาน Web Application เป็นหลัก แต่ก็สามารถเอามา Adapt เพื่อการเก็บ Password ได้เท่านั้นเอง แต่งานของคน IT ผมว่าไม่ได้มีแค่นั้นซิครับ เราต้องเข้า Server หรือ Kios กับบ้างแหละ ดังนั้นผมขอแนะนำ Tools อีกตัวที่เหมาะกับคน IT ด้วยกันจะดีกว่า นั้น คือ KeePass Password Safe

    KeePass Password Safe แปลตรงตามชื่อเลยครับ มันคือ ตู้เซฟของ Password ซึ่งตัวนี้เป็น Freeware และ Open source Software ขนาดเล็กไม่หนักเครื่อง แต่ก็รับบริจาค (Donate) เพื่อการพัฒนานะ ถ้าใช้แล้วชอบ และ อยากสนับสนุน

    สำหรับ KeePass เป็น Password Utility ที่พัฒนาขึ้นมาจาก Platform ของ ASP.NET สำหรับ Windows และ Mono-Project สำหรับ Linux (รวมทั้ง MacOS ด้วย) แต่สำหรับ Linux จะอยู่ในนามของ KeePassX แทนนะครับ

    ลักษณะการทำงานเป็นแบบ Standalone Software บนเครื่อง PC ต้องย้ำก่อนว่าไม่ใช่ Agent หรือ Client ดังนั้นการใช้งานก็จะไม่ได้ฉลาดแบบ Lasspass แต่เป็น Password Utility ในแบบมาตรฐานมากกว่า คือ เป็นเหมือนสมุดจด และ เราต้องทำการจดด้วยตัวเองมากกว่า แต่มี Plug-in ให้เล่นเยอะพอสมควรเลยครับ แน่นอนมี Integration กับ Browser ด้วย แนะนำให้ไปลองเล่นดูครับ แต่ตรงนี้จะขอพูดแค่พื้นฐานของ Keepass เท่านั้น

    ขึ้นตอนพื้นฐานของ Keepass ทำงานด้วยการสร้าง File Safe (KDBX File) ขึ้นมาเพื่อเก็บ Password File ซึ่งเราสามารถตั้ง Master Password และ Key Encryption File หรือ ตรวจสอบผู้ใช้งาน เพื่อปกป้อง File ได้ด้วย ซึ่งไม่ง่ายเลยที่จะ Crack กันง่ายๆ ครับ

    image_thumb[11]

    Note: ส่วนตัวจะแนะนำให้ทำแค่ Master Password และ Key file เท่านั้นครับ เพราะ Windows User Account จะค่อนข้างผูกกับตัวเครื่องมากเกินไป ในกรณีเครื่องพังอาจจะมีปัญหาได้

    สำหรับภายในจะคล้ายๆ กับ Password Utility ทั้งไปคือ แบ่งเป็น Folder ต่างๆ เพื่อให้การจัดการทำได้ง่าย และ เป็นหมวดหมู่

    image_thumb[14]

    สำหรับการเก็บค่า Key จะเรียกว่า Entry ซึ่งแต่ละ Entry จะมีพื้นฐานตามภาพด้านล่าง ซึ่งทำความเข้าใจได้ง่าย

    image_thumb[18]

    อันทั้งใน Entry จะมี Quality สามารถตรวจสอบความยากของ Password ได้ หรือจะใช้ Key Generator ก็มีมาให้เช่นกัน รองรับมี Short key มาให้ สำหรับการ Copy – Paste เช่น

    • Ctrl + B เป็นการ Copy User
    • Ctrl + C เป็นการ Copy Password
    • Ctrl + U เป็นการ Copy URL

    เป็นต้น และ ยังสามารถทำ auto-Clear Clipboard เพื่อล้าง Password ออกจาก Clipboard ได้อัตโนมัติ ไม่ค้างคาใน Memory ให้คนอื่นมาขโมยได้อีก และ Autolock Workspace เวลาไม่ Active ได้ด้วย สำหรับผมถือว่าใช้ได้ดีเลยทีเดียวครับ

    สำหรับข้อเสียของ Keepass คือ การที่มันเป็น Standalone Software ดังนั้นมันไม่สามารถใช้งานแบบ Online ได้นั้นเอง แต่…

    การประสานงานอย่างยอดเยี่ยมกับ Cloud Storage

    ถึงแม้ว่า Keepass จะเป็น Offline Standalone Software ซึ่งแปลว่า ไม่รองรับการ Online แต่วิธีการทำงานของ Keepass เป็นลักษณะการใช้งานผ่าน file KDBX ดังนั้นเราสามารถเอา Cloud Storage มาในให้ File นี้ Online ขึ้นไปได้ ซึ่งส่วนตัวผมจะใช้ Onedrive และ Dropbox แต่จะแนะนำให้ใช้ Dropbox มากกว่าครับ เพราะ สามารถตั้งให้ File เป็น Favorite เพื่อใช้แบบ Offline ได้ (Onedrive ยังไม่รองรับ Offline File ครับ) เท่านี้เราก็สามารถ Keepass Database file ไปด้วยกันกับเรา Anywhere anytime แล้วครับ

    ต่อไปก็ต้องนำ File มาใช้ ซึ่งสำหรับ Windows และ Linux Platform คงจะไม่มีปัญหากันอยู่แล้ว แต่ Mobile Platform หล่ะ จะมีอะไรให้ใช้มั้ย คำตอบ คือ มีครับ แถมยังมีหลายตัวให้เลือกใช้ด้วย สามารถไปดูได้ที่ Keepass Download Page

    แน่นอนว่าเคยบอกไปแล้วว่า Keepass ตัวอื่นเป็น Unofficial นะครับ ดังนั้นให้ Backup File ก่อนใช้ และ อ่านคำแนะนำดีๆ เพราะ บางตัวมีการแจ้งเตือนเรื่องการแก้ไข file อาจจะมีปัญหาได้ครับ (อาจจะต้องรอการพัฒนาหลังจากนี้)

    สำหรับผมจะแนะนำ 2 ตัว คือ

    iOS Platform – minikeepass image

    Android Platform – KeePassDroid image

    ซึ่งการทำงานพื้นฐานจะคล้ายกับ Keepass ที่เป็นตัว Offcial มาก จึงเข้าใจการทำงานได้ไม่ยากครับ ซึ่งสำหรับในส่วนนี้ผมจะนำเสนอเฉพาะ Minikeepass นะครับ

    สำหรับเจ้า Minikeepass จุดเด่นของมันก็คือการที่ Integrate กับ Cloud Storage ได้หลายตัวครับ ซึ่งจากภาพด้านล่างก็จะเห็นว่า เมื่อเราเลือก Open in… เราก็จะพบ Minikeepass ให้เลือกได้ทันทีเลย

    IMG_5035

    ซึ่งเมื่อเปิดขึ้นมาแล้ว เราก็จะต้องใส่ Password และ/หรือ Key File (แนะนำให้ใส่ไว้ใน Dropbox เช่นกัน) เพื่อเข้าถึงข้อมูลเหมือนเดิมครับ (จะเห็นว่าไม่มีหัวข้อ Windows User Account ผมจึงไม่แนะนำให้ใช้ครับ)

    IMG_5036

    เมื่อเปิดขึ้นมาตั้ว UI ก็จะคล้ายคลึงกับ Keepass ตัว Original เลยครับ เมื่อเปิดก็จะเป็นดังภาพ

    image

    image

    ซึ่งตอนนี้เราก็จะได้ระบบจัดการ Password ที่เราพกพาไปไหนมาไหนได้แล้ว ส่วนตัวก็ใช้วิธีนี้อยู่ครับ (ต้องบอกว่าผมเชื่อมั่นในความ Classic ของพวก Offline File อยู่พอสมควรเลย)

    บทสรุป

    Password เปรียบเสมือนกุญแจเข้าบ้านครับ ดังนั้นต้องรักษาเอาไว้ให้ดี หลายคนใช้กุญแจดอกเดียวในการเข้าบ้าน แม้จะสะดวกแต่ก็ไม่ปลอดภัย เพราะ ถ้าใครได้กุญแจไปก็เปิดได้หมดเลยทีนี่ ดังนั้นการหากระเป๋าเก็บกุญแจดีๆ มาเพื่อช่วยให้การบริหารจัดการของเราง่ายขึ้นก็ขอให้ลองดูซักนิดนึงนะครับ สำหรับผมขอแนะนำให้มี Lasspass สำหรับการจัดการเรื่องของ Password บน Web Browser ส่วนเรื่องอื่นๆ ก็ใช้ Keepass ไป แล้วรู้จักการดัดแปลงพวก Cloud Service นิดนึงระบบที่เดิมที่ออกแบบมาอย่างง่ายๆ มีข้อจำกัดก็ดูจะก้าวผ่านขีดจำกัดแล้วดู Advance ขึ้นมาโดยทันที แต่ก็ใช้แค่อันใดอันหนึ่งก็ได้แล้วแต่ความถนัดครับ Smile

    กลับไปอ่าน: การจัดการ PASSWORD ให้ปลอดภัย (ตอนที่ 1)

    Comments

    comments

    Posted by yuttanah @ 3:22 am

    Tags: , ,

  • Leave a Reply

    Your email address will not be published. Required fields are marked *

    Time limit is exhausted. Please reload CAPTCHA.