หลังเหตุการณ์ LastPass ข้อมูลหลุด ตอนนี้คู่แข่งสำคัญอย่าง 1Password ก็ออกมาแสดงความเห็นว่าแม้รหัสผ่านของผู้ใช้จะถูกเข้ารหัสด้วย PBKDF2 และทาง LastPass จะระบุว่าการเดารหัสผ่านจะใช้เวลานานนับล้านปี หากผู้ใช้ตั้งรหัสผ่านโดยสุ่มมาดีพอและยาว 12 ตัวอักษรขึ้นไป แต่ทาง 1Password ก็ชี้ว่าโดยทั่วไปมนุษย์ไม่สามารถตั้งรหัสผ่านคุณภาพสูงได้อยู่แล้วยกเว้นว่าจะใช้ซอฟต์แวร์สุ่มรหัสผ่านมาให้
รหัสผ่านแบบสุ่มสมบูรณ์ 12 ตัวอักษรนั้นมีความเป็นไปได้ถึง 2 72 หรือ 4,700 ล้านล้านล้านรูปแบบ แต่ในความเป็นจริงรหัสผ่านที่มนุษย์ตั้งก็จะคาดเดาง่ายกว่านั้นมาก และการยิงแฮช PBKDF2-H256 ที่ประสิทธิภาพดีที่สุดนั้นใช้ต้นทุนเพียง 100 ดอลลาร์ต่อการยิงหมื่นล้านรหัสเท่านั้น และการยิงหมื่นล้านรหัสก็น่าจะเพียงพอที่จะเจาะฐานข้อมูลของคนที่ตั้ง master password เองจำนวนมาก
1Password ใช้กระบวนการเข้ารหัสต่างออกไป คือ ระบบ Secret Key ที่เป็นอักษรสุ่มอย่างสมบูรณ์ 34 ตัวทำให้ความเป็นไปได้มากกว่า 2 128 รูปแบบ และ Secret Key นี้เก็บอยู่ในอุปกรณ์ที่ล็อกอิน 1Password ไว้ไม่ได้ส่งกลับเซิร์ฟเวอร์ ทำให้ในกรณีที่เลวร้ายที่สุดที่คนร้ายขโมยฐานข้อมูลของลูกค้าไปได้เหมือนเหตุการณ์ที่เกิดกับ LastPass ตัวฐานข้อมูลก็ยังไม่มีความเสี่ยงที่จะถูกยิงรหัสผ่าน
ที่มา - 1Password
Comments
เหยียบซ้ำเลย
lewcpe.com , @wasonliw
กระทืบดีกว่าครับ
เหยียบสุภาพไป...
+1
😂
🤣🤣🤣
555 ถ้าใส่ในข่าวได้คงใส่ไปแล้ว เลยต้องตามมาซ้ำในคอมเมนต์
..: เรื่อยไป
เริ่มสนใจแล้วว่า Bitwarden ใช้ท่าไหน
นั่นสินะ 🤔
-- ^_^ --
ตามนี้
https://bitwarden.com/help/what-encryption-is-used/
ขอบคุณครับ
อืมมม ผมชอบหน้า Interactive Cryptography Page เค้าแฮะ
Edit: ตาม comment ด้านบนครับ
ผมใช้ 1Password ตั้งแต่เปิดตัว
MasterPassword รหัสผ่านแบบสุ่มสมบูรณ์ ยาวเกิน 60 ตัวอักษร
หวังว่าคงปลอดภัยไปอีกนาน :D
จำยังไงครับ 60 ตัวอักษร ยาวมาก
ใช้ LastPass จำ master password ของ 1password อีกต่อนึง แฮร่!
เป็นภาษาไทยไม่มีความหมายแต่กดคีย์บอร์ดพิมพ์เป็นภาษาอังกฤษครับ :p
อันนี้สินะ "Password"
คนขี้ลืม | คนบ้าเกม | คนเหงาๆ
Password —> ญงรรตวเม
เดี๋ยว นี่มันกลับไปอีกข้างนึง
เช่น "ไก่จิกเด็กตายเด็กตายบนปากโอ่ง" แต่ถ้ากดแป้นอังกฤษจะได้ว่า "wdj0bdgfHd9kpgfHd9kp[oxkdFvj'" ใช่ไหมครับ
ใช่ครับ แต่พยายามหาคำที่เวลาพิมพ์ได้พวก &$#@=)(-=':"! มาด้วยครับ
คำก็อย่าให้มีความหมายเช่น อ่านเมซซี่จูบโรนัลโด้วิ่งลอดฟ้าไปหาเมียแต่ลูกค้าอย่างเดือดสีแดง
ได้เป็น vjkog,::uj0^[Fioy]Ffh;bh']vfahkwxskg,upc9j]^d8hkvpjk'gfnvflucf'
63 ตัวอักษร
เคยตั้งรหัสแบบนี้ แต่ปัญหาคือพอจะไปพิมพ์บนมือถือนี่งานหยาบครับ
1Password พิมพ์ในแอปมือถือครั้งเดัยว
แล้วเปลี่ยนเป็นสแกนนิ้วมือแทนได้
ตั้งค่าให้ต้องกรอก MasterPasswordใหม่ทุกๆ7 วัน เดือน หรือ กรอกครั้งเดียวได้ครับ
แต่ปกติผมไม่ใช้งานอะไรพวกนี้ในมือถือ พาสทุกอย่างจะใช้ผ่านเครื่อง Mac ที่ไม่มีลงแอปหรือEXtension แปลกๆ เครื่องเก่าจะเก็บไม่ขาย ห้ามหาย แยกกับเครื่องเล่นเกมส์หรือทำงานปกติ
เพราะถ้ามีปัญหา พนักงานกำลังผ่อนบ้านผ่อนรถ จะลำบากไปด้วย :D
+1
เคยพยายาม login ด้วยมือถือแล้วไม่ได้
จนต้องไปเปิดคอม พิมพ์บน notepad
แล้วพิมพ์ลอกจาก notepad ลงมือถือ
เพื่อจะ login บนมือถือได้ 😂
ผมเคยใช้
ThisIsACrazyLongPasswordNoOneWantsToRememberItButIWillFor#2019Resolutionอยู่นะครับแต่ตอนพิมพ์บนมือถือมันยาวเกิน ขี้เกียจ เลยเปลี่ยนใหม่ 5555
แต่ 1Password 8 ก็บังคับให้เก็บคลังรหัสไว้ที่เซิร์ฟเวอร์ของ 1Password แล้ว ไม่ได้ให้เก็บเองหรือเก็บใน Dropbox เหมือนรุ่นก่อนๆ เพื่อเก็บเงินค่าสมาชิก
เขาหมายถึง secret key ที่ฝังอยู่ในเครื่องครับ
ที่พอเราลง app ใหม่ เราต้องเอา secret key จาก app เดิมมาใส่ ตัวนั้นเขาไม่ได้ส่งกลับไปที่ server และน่าจะเป็น key สำหรับเข้ารหัสด้วย
แต่ ถ้า login ผ่าน web ก็น่าจะต้องส่งกลับไป แต่น่าจะไม่ได้เก็บลง db
ชอบ 1pass ตรง secret key นี่แหละ
Bitwarden ฟรี แต่ใช้แค่ username password
คนล้มอย่าข้าม ให้เหยียบซ้ำ
รออีกซักแปปจะกลับมาใช้ lastpass คนที่โดนหนักขนาดนี้น่าจะแข่งแกร่งขึ้นพอตัวหรือไม่ก็ล้มละลาย 5555
เหนื่อยใจ ย้ายดีไหมหรือไม่ย้ายดีบางเว็บก็มี 2fa บางเว็บก็ไม่มีเห้อออ
ถ้าไม่ใช่คนที่ภาษาที่มีรากฐานมาจากภาษาละตินเป็นภาษาแม่ ก็ให้พิมพ์เป็นภาษาของตัวเองแต่ตั้งคีย์เป็นภาษาอังกฤษก็จบแล้ว แถมยาวด้วย จะบ่นอะไรก็ได้ก็เป็น Passwords ได้หมด และส่วนมากมันจะโหดมากด้วย ถ้าไม่รู้เจ้าของ master password เป็นคนประเทสอะไรรสนิยมเป็นยังไงก็เดายากยกเว้นตั้งมาสั้น
กำลังเลือกใช้ ระหว่าง Bitwarden กับ 1password เลือกตัวไหนดีกว่าหรอครับ ลองไปใช้ ทั้งคู่แล้ว มันโอเคทั้งคู่เลยน่ะครับ แต่ติดต้อง 1 password มันสลัป vault ยาก 55555
ในแง่ความปลอดภัย 1Password ปลอดภัยกว่าเยอะในกรณี ผู้ให้บริการโดน hack เพราะ secret key มันอยู่ที่เราครับBitwarden หลักการมันยังคล้ายๆ Lastpass ซึ่งถ้าตั้ง master password ไม่แข็งแรง มันจะสุ่มง่ายมาก (สมัยนี้ตั้งเป็นคำๆ ยาวๆ ก็ไม่ช่วยมาก เพราะทำ dictionary attack ได้อยู่) แต่สังเกตว่าปัญหาของ Lastpass หลายอย่างเกิดจากการให้บริการมานาน เช่นข้อมูลบางส่วนเข้ารหัสด้วย key ความยาวต่ำไป แต่แก้ในพวก password ใหม่ๆ กรณีนี้ Bitwarden ที่มาทีหลัง มันจะดีกว่า เพราะใช้ practice ใหม่ๆ มาตั้งแต่แรก
แต่ผมแนะนำกรณีใช้ส่วนตัว ลง Vaultwarden (Unofficial Bitwarden server ข้อดีคือกินแรมน้อยกว่าของ official) ที่เครื่องตัวเองครับ แล้วทำ security best practice ง่ายๆ ก็ปลอดภัยดี ความเสี่ยงที่จะโดน hack ก็น้อยกว่า
ใช้ yubikey ทำ 2FA ก็จบนะ เดา pass ถูกก็ไม่ช่วยอะไร
ถ้าหมายถึง webauthn/FIDO นี่ไม่ช่วยนะครับ มันเป็นกระบวนการเก็บกุญแจเข้ารหัส
(ตัวกุญแจ Yubi มันรองรับการเก็บกุญแจเข้ารหัสอยู่ แต่ทั่วไปถ้าพูดถึง 2FA ไม่น่าใช้ฟีเจอร์นั้น)
lewcpe.com , @wasonliw
นึกว่าที่หลุดไปคือ master password กลับไปดูอีกที database หลุดไปด้วย