Loading AI tools
จากวิกิพีเดีย สารานุกรมเสรี
โปรแกรมจัดการรหัสผ่าน หรือ โปรแกรมเก็บรหัสผ่าน (อังกฤษ: password manager) เป็นโปรแกรมคอมพิวเตอร์ที่ให้ผู้ใช้เก็บและจัดการข้อมูลบัญชีและรหัสผ่าน[1] เพื่อใช้กับแอปคอมพิวเตอร์หรือกับบริการออนไลน์ เช่น โปรแกรมประยุกต์บนเว็บ การซื้อของออนไลน์ หรือสื่อสังคม[2] แม้เว็บเบราว์เซอร์ปกติจะมีตัวจัดการรหัสผ่านในตัว แต่ก็มักมีข้อติเพราะไม่เก็บรหัสผ่านให้ปลอดภัยโดยเป็นค่าเบื้องต้น (เช่น ไม่เข้ารหัสลับ) จึงทำให้ถูกแฮ็กได้
โปรแกรมเช่นนี้ปกติจะสามารถใช้สร้างรหัสผ่าน[3] และกรอกแบบฟอร์มบนเว็บ[2] อาจมีรูปแบบเป็นทั้งแอปคอมพิวเตอร์ แอปอุปกรณ์เคลื่อนที่ และส่วนขยายเว็บบราวเซอร์[4]
โปรแกรมสามารถช่วยสร้างรหัสผ่านที่ซับซ้อนและปลอดภัย[1][5][6] แล้วเก็บไว้ในฐานข้อมูลที่ปกติเข้ารหัสลับ[7][8] นอกจากรหัสผ่าน โปรแกรมอาจช่วยเก็บข้อมูลอื่น ๆ เช่น บัตรเครดิต ที่อยู่ และข้อมูลสมาชิกต่าง ๆ[3]
ประโยชน์หลักของโปรแกรมนี้ก็เพื่อแก้ปัญหาความมั่นคงคอมพิวเตอร์ที่ผู้ใช้เบื่อการจำรหัสผ่านที่ต่าง ๆ กันสำหรับบริการต่าง ๆ[3] โปรแกรมปกติจะมีรหัสผ่านหลักเพื่อปลดล็อกและเข้าถึงข้อมูลที่เก็บไว้ในแอป[9] โปรแกรมอาจจะมีลูกเล่นให้พิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง[9] เช่น พิสูจน์ด้วยลายนิ้วมือหรือด้วยใบหน้า[10] แม้ปกติจะไม่บังคับ
โปรแกรมแรกที่ออกแบบเพื่อเก็บรหัสผ่านอย่างปลอดภัย ก็คือ Password Safe ซึ่งเขียนโดยนักวิทยาการเข้ารหัสลับชาวอเมริกัน บรูซ ชไนเออร์ (Bruce Schneier) เป็นโปรแกรมฟรีที่ออกตัวในวันที่ 5 กันยายน 1997[11] ออกแบบเพื่อให้ใช้บนวินโดวส์ 95 ของไมโครซอฟท์ เป็นโปรแกรมที่ใช้ขั้นตอนวิธี"โบลว์ฟิช" ของบรูซ ชไนเออร์เองเพื่อเข้ารหัสลับเพื่อรักษารหัสผ่านและข้อมูลสำคัญอื่น ๆ แม้จะเป็นโปรแกรมฟรี แต่เพราะในเวลานั้นสหรัฐได้จำกัดการนำออกเครื่องมือการเข้ารหัสลับ ดังนั้น จึงมีแต่คนสหรัฐและแคนาดาเท่านั้นที่ดาวน์โหลดโปรแกรมได้[11] ปัจจุบันเพราะกูเกิล โครมได้กลายเป็นเว็บบราวเซอร์ยอดนิยม จึงมีการใช้ตัวจัดการรหัสผ่านของกูเกิลเองมากที่สุดเมื่อเดือนธันวาคม 2023
โปรแกรมจัดการรหัสผ่านมีหลายรูปแบบ แต่ละอย่างมีส่วนดีและส่วนเสีย[12]
โปรแกรมบางตัวเก็บข้อมูลในไฟล์ที่ไม่เข้ารหัสลับ ทำให้มัลแวร์หรือคนอื่นขโมยข้อมูลได้ง่าย
โปรแกรมบางตัวกำหนดให้ผู้ใช้เลือกรหัสผ่านหลักเพื่อสร้างกุญแจในการเข้ารหัสลับ ความมั่นคงของวิธีนี้จึงอาศัยความเข้มแข็งของรหัสผ่านที่เลือก (ซึ่งคนอื่นหรือมัลแวร์อาจจะเดาได้) โดยจะต้องไม่เก็บรหัสผ่านหลักไว้ในที่ ๆ ซึ่งมัลแวร์หรือบุคคลอื่น ๆ เปิดดูได้ เพราะถ้ารหัสผ่านหลักหลุด ก็จะทำรหัสผ่านอื่นทั้งหมดที่เก็บไว้ให้หลุดออกไปด้วย ซึ่งหมายความว่า ความล้มเหลวที่จุด ๆ เดียว ก็จะทำให้ข้อมูลสำคัญอื่น ๆ หลุดออกไปทั้งหมด การใช้ตัวจัดการรหัสผ่านจึงอาจก่อภาวะความล้มเหลวที่จุด ๆ เดียว
แม้โปรแกรมเช่นนี้ปกติจะช่วยรักษาความปลอดภัยของข้อมูลส่วนบุคคลได้ดี แต่จะดีแค่ไหนก็ขึ้นอยู่กับความปลอดภัยของอุปกรณ์ผู้ใช้ด้วย เพราะถ้าอุปกรณ์ติดมัลแวร์เช่นแบบที่เรียกว่า แรคคูน ซึ่งขโมยข้อมูลได้เก่งมาก วิธีการป้องกันความปลอดภัยของโปรแกรมเดี่ยว ๆ ก็อาจไม่ได้ผล เพราะมัลแวร์เช่นตัวบันทึกคีย์ (keylogger) จะสามารถขโมยรหัสผ่านหลักที่ใช้เข้าโปรแกรมจัดการรหัสผ่าน จึงทำให้เข้าถึงข้อมูลส่วนบุคคลที่เหลือซึ่งเก็บไว้ทั้งหมด ส่วนตัวดักก๊อปคลิปบอร์ดอาจใช้ก๊อปข้อมูลสำคัญที่ก๊อปออกมาจากตัวจัดการรหัสผ่าน อนึ่ง มัลแวร์บางอย่างอาจจะขโมยไฟล์ที่เข้ารหัสลับของตัวจัดการรหัสผ่านเอง ดังนั้น อุปกรณ์ที่ถูกแฮ็กหรือมีมัลแวร์ขโมยรหัสผ่าน ก็อาจทำการป้องกันความปลอดภัยของโปรแกรมเช่นนี้ให้ไม่ได้ผล และทำให้ข้อมูลสำคัญในที่สุดก็ถูกขโมยไปได้[13]
เหมือนกับวิธีการพิสูจน์ตัวผู้ใช้ด้วยรหัสผ่านอื่น ๆ ผู้ร้ายอาจใช้วิธีการบันทึกคีย์ (key logging) หรือวิธีการวิเคราะห์เสียงกดคีย์ (acoustic cryptanalysis) เพื่อ ให้ได้หรือใช้เดารหัสผ่านหลัก โปรแกรมเก็บรหัสผ่านบางตัวอาจพยายามแก้ปัญหานี้โดยใช้คีย์บอร์ดเสมือน (virtual keyboard) แต่นี่ก็อาจยังอ่อนแอต่อโปรแกรมบันทึกคีย์ (key logger) ที่เก็บการกดคีย์ไว้แล้วส่งไปให้ผู้ร้าย
โปรแกรมเก็บรหัสผ่านในกลุ่มเมฆ (Cloud-based) ช่วยให้สามารถเก็บข้อมูลบัญชีต่าง ๆ ไว้กับศูนย์กลาง แต่ก็อาจมีปัญหาทางความปลอดภัยเพิ่มขึ้น เช่น บริษัทที่เก็บไฟล์รหัสผ่านอาจจะถูกแฮ็กเอง ซึ่งถ้าเหตุการณ์เช่นนี้เกิดขึ้น ผู้ร้ายจะก็มีโอกาสได้ข้อมูลบัญชีผู้ใช้เป็นจำนวนมาก ปัญหาข้อมูลลับรั่วไหลในปี 2022 ที่เกิดกับโปรแกรมเก็บรหัสผ่าน Lasspass เป็นตัวอย่างหนึ่ง[14]
โปรแกรมบางตัวอาจมีตัวช่วยสร้างรหัสผ่าน (password generator) รหัสผ่านที่สร้างขึ้นอาจจะเดาได้ถ้าตัวสร้างรหัสผ่านใช้วิธีการสร้างซีด (seed) แบบสุ่มที่อ่อนแอ มีตัวอย่างที่พบ เช่น โปรแกรมจัดการรหัสผ่านของแคสเปอร์สกีในปี 2021 พบว่าใช้วิธีที่ทำให้เดารหัสผ่านที่สร้างขึ้นได้[15][16]
งานศึกษาปี 2014 ของนักวิจัยที่มหาวิทยาลัยคาร์เนกีเมลลอนพบว่า แม้ตัวจัดการรหัสผ่านของเว็บบราวเซอร์เองจะไม่ยอมใส่รหัสผ่านในหน้าล็อกอินที่เข้ารหัสลับต่างกับเมื่อจัดเก็บรหัสผ่าน (เอชทีทีพี เทียบกับเอชทีทีพีเอส) แต่โปรแกรมจัดการรหัสผ่านอื่นบางอย่างก็ยังใส่รหัสลับอย่างไม่ปลอดภัยในหน้าล็อกอินที่ไม่เข้ารหัสลับ (เอชทีทีพี) แม้เบื้องต้นจะได้เก็บรหัสผ่านจากหน้าเว็บที่เข้ารหัสลับ (เอชทีทีพีเอส) อนึ่ง โปรแกรมจัดการรหัสผ่านโดยมากก็ไม่ป้องกันการถูกโจมตีเนื่องกับ iframe และ URL redirection ด้วยซึ่งอาจทำให้รหัสผ่านมีโอกาสหลุดออกไปได้มากขึ้นเมื่อซิงค์ข้อมูลไปยังอุปกรณ์ต่าง ๆ[17]
มีเว็บไซต์ที่มีชื่อเสียงหลายแห่งซึ่งพยายามบล็อกไม่ให้ใช้ตัวจัดการรหัสผ่านเพื่อใส่รหัสผ่าน แต่ก็มักจะยอมเมื่อถูกเปิดเผยให้เป็นข่าว[18][19][20] เหตุผลที่มักอ้างรวมทั้งเพื่อป้องกันการถูกโจมตีด้วยระบบอัตโนมัติ เพื่อป้องกันฟิชชิง เพื่อป้องกันมัลแวร์ หรือไม่ก็อ้างอย่างโต้ง ๆ ว่าเข้ากันไม่ได้ ซอฟต์แวร์ความมั่นคง Trusteer ของบริษัทไอบีเอ็มมีลูกเล่นให้บล็อกโปรแกรมจัดการรหัสผ่านโดยเฉพาะ[21][22]
ส่วนคนมืออาชีพทางด้านการรักษาความปลอดภัยทางข้อมูลได้วิจารณ์ว่าการบล็อกเช่นนี้ทำให้ผู้ใช้ปลอดภัยน้อยลง[20][22]
วิธีทำให้การบล็อกเกิดผลก็คือ การใช้โค๊ดว่า autocomplete='off'
ในหน้าเว็บที่ให้ใส่รหัสผ่าน
ดังนั้นต่อมา โปรแกรมต่าง ๆ จึงต่างไม่สนใจคำสั่งนี้ในหน้าเว็บที่เข้ารหัสลับ[17]
รวมทั้งไฟร์ฟอกซ์ตั้งแต่รุ่น 38[23]
โครมตั้งแต่รุ่น 34[24]
และ ซาฟารีตั้งแต่รุ่น 7.0.2[25]
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.