Password Manager

มีคนถามมานานแล้วว่าใช้ Password Manager อะไรดี ส่วนตัวแล้วไม่เคยตอบได้ (เอาจริงๆ ถ้าใช้แล้วตั้งรหัสกันได้ดีขึ้น ตัวดังๆ ก็ดีหมด) เลยมาตั้งคำถามว่า “ดี” คืออะไร มองนิยามของตัวเอง

  • ใช้งาน offline ได้: ยุคนี้เราบ้า cloud กันเกินจำเป็นไปหน่อย จริงๆ โดยตัว cloud มันไม่มีปัญหาอะไร แต่สำหรับ password manager มันควรมีทางเข้าทางออกชัดเจน ว่าไฟล์เข้ารหัสแล้วค่อยขึ้น cloud จะ backup ก็ออกไฟล์ไป
  • ใช้งานบนเดสก์ทอปได้: อันนี้เป็นความจำเป็นส่วนตัว ไม่ชอบใช้บน mobile อย่างเดียว (คำแนะนำนี้เลยอาจะไม่ตรงคนอื่นนัก)
  • มีการตรวจสอบชัดเจน: code audit คงจำเป็นขึ้นเรื่อยๆ ในช่วงหลัง สำหรับซอฟต์แวร์ที่ต้องการความปลอดภัยสูง
  • โอเพนซอร์ส: อันนี้ไม่จำเป็นนัก แต่ก็เพิ่มโอกาสให้การตรวจสอบวงกว้างทำได้ง่ายขึ้น (ซึ่งถ้าเป็นแอปได้รับความนิยมสูง มันก็มีคนตรวจเยอะจริงๆ)

หามาตัวเลือกแรกกลับเป็น vim เพราะมีฟีเจอร์เข้ารหัสในตัว (:X) ใช้การเข้ารหัสแบบ blowfish เปิดที่ไหนก็ได้ มี vimtouch ใช้บนโทรศัพท์มือถือได้ แต่ปรากฎว่าไม่ผ่านเพราะ vimtouch เป็น vim 7.3 ที่ใช้การเข้ารหัส blowfish ที่มีช่องโหว่ ต้องเลือกเป็น blowfish2 ที่แก้ไขแล้ว แม้ว่าบนลินุกซ์ส่วนใหญ่จะรองรับ แต่เอามาเปิดบน mobile ไม่ได้

ค้น Password Manager บน Google Play ตกข้อ offline เกือบหมด แทบทุกตัวชอบซิงก์คลาวด์ หรือไม่ก็ต้องต่อเน็ตเพื่อโฆษณา ผ่านตัวเดียวคือ Keepass2Android Offline อันนี้ตรงหมด ไม่มี permission ออกเน็ตเวิร์ค, export ไฟล์ฐานข้อมูลไปใช้บนเดสก์ทอปได้ ตัวโครงการหลัก keepass2 อยู่บนลินุกซ์ส่วนใหญ่อยู่แล้ว, โอเพนซอร์ส, และสหภาพยุโรปกำลังทำ code audit ให้ (อันนี้ขี้โกงหน่อย คือยังไม่ได้ทำ แค่จะทำ)

สำหรับคนทั่วไปคงไม่ได้แนะนำตัวไหนเป็นพิเศษ แค่ว่าเลือกตัวที่น่าเชื่อถือหน่อย อ่านสิทธิ์ว่ามันต้องการสิทธิ์อะไรไปทำไม และดูหน้าตา+ฟีเจอร์ว่ามันตรงการใช้งานไหม

 

lewcpe

CTO at MFEC PLC. Chief Editor at Blognone.com