1 คะแนน โดย GN⁺ 2025-03-09 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • หน่วยงานสืบสวนของรัฐบาลกลางสหรัฐประเมินว่าการขโมย คริปโตมูลค่าราว 150 ล้านดอลลาร์ ($150m) เมื่อวันที่ 30 มกราคม 2024 มีความเชื่อมโยงกับคลังรหัสผ่านที่ถูกขโมยจากเหตุละเมิดข้อมูลของ LastPass ในปี 2022
  • สำนักงานอัยการรัฐบาลกลางเขตแคลิฟอร์เนียเหนือได้ดำเนินกระบวนการยึด คริปโตมูลค่าราว 24 ล้านดอลลาร์ ($24m) ที่ถูกอายัดไว้ จากเงินที่ถูกขโมยอย่างเป็นทางการ เมื่อวันที่ 6 มีนาคม 2025
  • เอกสารการยึดระบุว่า FBI และ U.S. Secret Service เห็นว่ามีการใช้ ข้อมูลที่ถูกขโมยและรหัสผ่าน ที่เก็บไว้ในตัวจัดการรหัสผ่านออนไลน์เพื่อเข้าถึงบัญชีและขโมยคริปโต
  • นักวิจัยด้านความปลอดภัยพบจุดร่วมว่าผู้เสียหายได้เก็บวลี seed phrase ของคริปโตไว้ใน “Secure Notes” ของ LastPass ก่อนเหตุละเมิดปี 2022 โดยไม่พบการโจมตีนำร่องแบบทั่วไปอย่าง SIM swapping
  • LastPass ระบุว่ายังไม่เคยได้รับ หลักฐานชี้ขาด ที่พิสูจน์ความเชื่อมโยงนี้ แต่รหัสผ่านหลักที่อ่อนแอและจำนวนรอบการทำซ้ำที่ต่ำในบัญชีเก่ายังคงเป็นความเสี่ยงต่อการถอดรหัสแบบออฟไลน์

การขโมย 150 ล้านดอลลาร์และกระบวนการยึดทรัพย์

  • สำนักงานอัยการรัฐบาลกลางเขตแคลิฟอร์เนียเหนือระบุว่า หลังเหตุ ขโมยคริปโต 150 ล้านดอลลาร์ เมื่อวันที่ 30 มกราคม 2024 ได้มีการยึดคริปโตมูลค่าราว 24 ล้านดอลลาร์ที่กู้คืนและอายัดไว้ เมื่อวันที่ 6 มีนาคม 2025
  • แม้เอกสารการยึดจะระบุผู้เสียหายเพียงว่า “Victim-1” แต่ตามข้อมูลของนักวิจัยด้านความปลอดภัยบล็อกเชน ZachXBT ผู้เสียหายคือ Chris Larsen ผู้ร่วมก่อตั้งแพลตฟอร์มคริปโต Ripple
  • ZachXBT เป็นผู้ที่รู้จักกันว่า เปิดเผยเหตุขโมยนี้เป็นคนแรก
  • มาตรการครั้งนี้เป็นขั้นตอนที่ทำให้หน่วยงานสืบสวนสามารถ ยึดทรัพย์ที่ถูกอายัดไว้แล้วอย่างเป็นทางการ ได้

ความเชื่อมโยงกับการละเมิดข้อมูลของ LastPass

  • ประเด็นสำคัญของเอกสารการยึดคือ U.S. Secret Service และ FBI ได้ข้อสรุปตรงกับการวิเคราะห์เหตุละเมิดข้อมูล LastPass ของ KrebsOnSecurity เมื่อเดือนกันยายน 2023
  • ในเดือนกันยายน 2023 นักวิจัยด้านความปลอดภัยเห็นว่าการถอดรหัส รหัสผ่านหลัก ของคลังรหัสผ่านที่ถูกขโมยจาก LastPass ในปี 2022 เป็นสาเหตุที่ทำให้เกิดการขโมยคริปโตระดับมูลค่า 6 หลักดอลลาร์ซ้ำ ๆ กับผู้เสียหายหลายราย
  • เอกสารการยึดมีข้อความว่าทาง FBI ได้สืบสวนเหตุข้อมูลรั่วไหลที่เกี่ยวข้อง และผู้สืบสวนในคดีนี้ได้พูดคุยกับเจ้าหน้าที่ FBI จนทราบว่า
    • มีการใช้ ข้อมูลที่ถูกขโมยและรหัสผ่าน ที่เก็บอยู่ในบัญชีตัวจัดการรหัสผ่านออนไลน์ของผู้เสียหายหลายราย เพื่อเข้าถึงบัญชีอิเล็กทรอนิกส์โดยไม่ได้รับอนุญาต
    • การเข้าถึงดังกล่าวนำไปสู่การขโมยข้อมูล คริปโต และข้อมูลอื่น ๆ
  • เอกสารระบุว่ามี เหตุอันควรเชื่อได้ ว่าผู้โจมตีรายเดียวกันใช้รหัสผ่านที่ถูกขโมยซึ่งเก็บอยู่ในบัญชีตัวจัดการรหัสผ่านออนไลน์ของ Victim-1 เพื่อเข้าถึงวอลเล็ตหรือบัญชีคริปโตโดยไม่ได้รับอนุญาต

รูปแบบที่เกิดซ้ำในกลุ่มผู้เสียหาย

  • นักวิจัยด้านความปลอดภัย Nick Bax และ Taylor Monahan ตรวจสอบผู้เสียหายหลายสิบราย และเห็นว่าไม่พบการโจมตีนำร่องที่มักพบก่อนการขโมยคริปโตมูลค่าสูง เช่น
    • การเจาะบัญชีอีเมล
    • การเจาะบัญชีโทรศัพท์มือถือ
    • การโจมตีแบบ SIM swapping
  • จุดร่วมของผู้เสียหายคือ ได้เก็บ seed phrase ของคริปโตไว้ในส่วน “Secure Notes” ของบัญชี LastPass ก่อนเหตุละเมิดข้อมูลในปี 2022
  • seed phrase คือรหัสลับที่ใช้เข้าถึงสินทรัพย์คริปโต และผู้ที่มีรหัสดังกล่าวสามารถเข้าถึงสินทรัพย์นั้นได้
  • Bax และ Monahan ยังพบรูปแบบ การแปลงเงินที่ขโมยมาเป็นเงินสด เหมือนกัน คือเงินที่ถูกขโมยถูกย้ายอย่างรวดเร็วไปยังบัญชีพักจำนวนมากซึ่งกระจายอยู่ตามศูนย์แลกเปลี่ยนคริปโตหลายแห่ง
  • รัฐบาลระบุว่าในคดีของผู้เสียหายที่เป็นผู้ร่วมก่อตั้ง Ripple ก็มีความซับซ้อนในระดับใกล้เคียงกัน
    • ขนาดของการขโมยและการกระจายเงินอย่างรวดเร็วอาจต้องอาศัยความร่วมมือของผู้ไม่หวังดีหลายราย
    • หน่วยงานเห็นว่ารูปแบบนี้สอดคล้องกับการเจาะตัวจัดการรหัสผ่านออนไลน์และการขโมยคริปโตจากผู้เสียหายรายอื่นที่คล้ายกัน

คำโต้แย้งของ LastPass และลำดับเหตุการณ์การละเมิดปี 2022

  • LastPass ระบุว่าไม่เคยได้รับ หลักฐานชี้ขาด จากหน่วยงานสืบสวนของรัฐบาลกลางหรือจากที่อื่น ว่าการขโมยคริปโตครั้งนี้เชื่อมโยงกับเหตุละเมิดข้อมูลของ LastPass
  • บริษัทอธิบายว่าได้ทำงานอย่างใกล้ชิดกับตัวแทนหน่วยงานบังคับใช้กฎหมายหลายแห่งมาตั้งแต่มีการเปิดเผยเหตุการณ์ในปี 2022
  • LastPass ระบุว่าได้ลงทุนอย่างมากเพื่อเสริมมาตรการความปลอดภัย และจะดำเนินการต่อไป
  • ลำดับการเปิดเผยเหตุละเมิดข้อมูลปี 2022 เปลี่ยนไปเป็นขั้น ๆ ดังนี้
    • วันที่ 25 สิงหาคม 2022 Karim Toubba ซีอีโอของ LastPass แจ้งผู้ใช้ว่าตรวจพบกิจกรรมผิดปกติในสภาพแวดล้อมการพัฒนาซอฟต์แวร์ และผู้บุกรุกได้ขโมยซอร์สโค้ดบางส่วนกับข้อมูลเทคนิคที่เป็นกรรมสิทธิ์
    • วันที่ 15 กันยายน 2022 LastPass ระบุว่าผลการสอบสวนเหตุละเมิดในเดือนสิงหาคมพบว่าผู้โจมตีไม่ได้เข้าถึงข้อมูลลูกค้าหรือคลังรหัสผ่าน
    • วันที่ 30 พฤศจิกายน 2022 บริษัทได้แจ้งลูกค้าว่าเกิดเหตุความปลอดภัยที่ร้ายแรงกว่าซึ่งใช้ข้อมูลที่ถูกขโมยจากเหตุเดือนสิงหาคม และเปิดเผยว่ามีการละเมิดสำเนาคลังรหัสผ่านที่เข้ารหัสของผู้ใช้บางส่วนรวมถึงข้อมูลส่วนบุคคลอื่น ๆ

การถอดรหัสแบบออฟไลน์และความเสี่ยงของบัญชีเก่า

  • ผู้เชี่ยวชาญเห็นว่าเหตุละเมิดดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึงคลังรหัสผ่านที่เข้ารหัสได้แบบ ออฟไลน์ และสามารถใช้เวลานานในการถอดรหัสรหัสผ่านหลักที่อ่อนแอด้วยระบบประมวลผลกำลังสูง
  • ระบบลักษณะนี้สามารถลองเดารหัสผ่านได้หลายล้านครั้งต่อวินาที
  • นักวิจัยเห็นว่าผู้เสียหายจากการขโมยคริปโตจำนวนมากใช้รหัสผ่านหลักที่มีความซับซ้อนไม่สูงนัก และเป็นลูกค้าเก่าของ LastPass
  • ผู้ใช้ LastPass รุ่นเก่ามีแนวโน้มสูงกว่าที่จะมี จำนวนรอบการทำซ้ำ (iterations) สำหรับปกป้องรหัสผ่านหลักน้อยกว่ามาก
    • จำนวนรอบการทำซ้ำหมายถึงจำนวนครั้งที่รหัสผ่านถูกประมวลผลผ่านกระบวนการเข้ารหัสของบริษัท
    • โดยทั่วไปยิ่งมีจำนวนรอบมาก ผู้โจมตีแบบออฟไลน์ก็ยิ่งใช้เวลานานขึ้นในการถอดรหัสรหัสผ่านหลัก
  • เมื่อเวลาผ่านไป LastPass ได้กำหนดให้ผู้ใช้ใหม่ต้องใช้รหัสผ่านหลักที่ยาวและซับซ้อนขึ้น และเพิ่มจำนวนรอบการทำซ้ำขึ้นอย่างมากหลายครั้ง
  • นักวิจัยเห็นว่าพบสัญญาณชัดเจนว่า LastPass ไม่สามารถอัปเกรดลูกค้าเก่าจำนวนมากให้ใช้ข้อกำหนดรหัสผ่านและระดับการป้องกันใหม่ได้สำเร็จ

คำเตือนของนักวิจัยและความเสี่ยงที่ยังเหลืออยู่

  • Bax ระบุว่าหลังจากมีคำเตือนในปี 2023 เขาหวังว่าผู้คนจะย้ายเงินไปยังกระเป๋าคริปโตใบใหม่ แต่มีเพียงบางส่วนที่ทำเช่นนั้น และการขโมยก็ยังดำเนินต่อไป
  • Bax กล่าวว่าการที่ Secret Service และ FBI ยืนยันการวิเคราะห์ของนักวิจัยนั้นมีความหมาย แต่จะดีกว่าหากการแฮ็กลักษณะนี้ลดลงไปเลย
  • Bax เห็นว่าภัยคุกคามยังคงเกิดขึ้นจริง โดยระบุว่า ZachXBT และ SEAL 911 ยังได้ รายงานคลื่นการขโมยอีกระลอก ในเดือนธันวาคม 2024
  • Monahan วิจารณ์ว่า LastPass ยังไม่ได้แจ้งลูกค้าว่า ข้อมูลลับที่จัดเก็บไว้ รวมถึงความลับที่เก็บใน “Secure Notes” อาจตกอยู่ในความเสี่ยง
  • Monahan เห็นว่า LastPass สามารถแนะนำให้ผู้ใช้เปลี่ยนข้อมูลรับรองการเข้าถึงได้ และอาจป้องกันไม่ให้ผู้ไม่หวังดีขโมยเงินไปหลายล้านดอลลาร์

1 ความคิดเห็น

 
GN⁺ 2025-03-09
ความคิดเห็นบน Hacker News
  • 1Password เลือกเข้ารหัส vault ทั้งหมดด้วย secret key เอนโทรปีสูง ที่ส่งต่อระหว่างอุปกรณ์ ซึ่งดูเหมือนจะยังไม่ได้รับการยอมรับมากพอ
    ประสบการณ์ผู้ใช้และภาระงานซัพพอร์ตคงเพิ่มขึ้นอย่างชัดเจน แต่ก็น่าจะทำให้แม้เกิดเหตุรั่วไหลแบบนี้ ความเสียหายจริงแทบไม่มีนัยสำคัญ

    • Bitwarden เองก็ควรได้รับการยอมรับมากกว่านี้เช่นกัน ตรงที่เป็น โอเพนซอร์สเต็มรูปแบบ และมี Vaultwarden ซึ่งเป็นเซิร์ฟเวอร์อิสระที่ใช้งานร่วมกับไคลเอนต์ทางการได้
      สามารถรันเองบนเครื่องเสมือนของเซิร์ฟเวอร์ใต้โต๊ะได้
      อีก 50 ปีข้างหน้าไม่รู้ว่าบริษัทเหล่านี้จะยังอยู่ไหม แต่ถ้าหลาน ๆ ต้องการ ก็น่าจะเปิดไฟล์ gzip ที่เข้ารหัสด้วย gpg จาก ciphertext ที่ผมทิ้งไว้ แล้วดูรหัสผ่านใน CSV ได้
    • ในสถานการณ์กู้คืน กลับเหมือนว่าจะสูญเสียทุกอย่างไปมากกว่า
      ถ้าไฟไหม้หรือน้ำท่วมจนคอมพิวเตอร์ทั้งหมดหายไป recovery key ก็หายไปด้วย และไม่สามารถกู้ฐานข้อมูลได้ด้วยรหัสผ่านอย่างเดียว
      ผมใช้ KeePassXC กับรหัสผ่านที่ค่อนข้างยาวและ จำนวนรอบ PBKDF สูง แม้ทำอุปกรณ์หายก็ไม่ต้องใช้อุปกรณ์เฉพาะในการกู้คืน
    • ระดับนั้นสมัยนี้ควรเป็นข้อกำหนดพื้นฐานแล้ว
      LastPass ต่างหากที่ต่ำกว่ามาตรฐาน
  • LastPass ลดทอนความรุนแรงของเหตุรั่วไหล และยังพบว่าข้อมูลอย่างเช่นพื้นที่โน้ตก็ไม่ได้เข้ารหัสอย่างเหมาะสม
    ควรถูกคดีความเล่นงานจนยับไปแล้ว แต่จนถึงตอนนี้ก็เหมือนเลี่ยงความรับผิดมาได้
    LastPass มีงานอยู่แค่อย่างเดียว และก็ทำงานนั้นล้มเหลว การที่รู้ว่ารหัสผ่านมาสเตอร์ของผู้ใช้ไม่ปลอดภัยพอ แต่ไม่แจ้งอย่างจริงจังหรือรับมือเชิงรุก เป็นเรื่องที่ให้อภัยได้ยาก
    ถ้าตอนนี้ยังใช้ LastPass อยู่ ควรย้ายวันนี้ไปใช้ตัวเลือกที่น่าเชื่อถือกว่าอย่าง 1Password, Bitwarden, KeePass และเปลี่ยนรหัสผ่านทั้งหมดที่สำคัญกับตัวเอง

    • เพื่อบันทึกไว้ตามข้อเท็จจริง LastPass กำลังถูกฟ้องคดีขนาดใหญ่อยู่จริง
      https://www.courtlistener.com/docket/66607916/debt-cleanse-g...
      ต้องไปดูคดีด้วยตัวเอง แต่เพราะเป็นคดีแบบ class action หากแพ้ก็จะกระทบหนัก และถึงชนะ ค่าใช้จ่ายก็คงไม่น้อย
      ดูเหมือนศาลจะรวมหลายคดีเข้ากับคดีนี้ โดยจนถึงตอนนี้ LastPass ถูกฟ้องในศาลรัฐบาลกลางมาแล้ว 15 ครั้ง
      https://www.courtlistener.com/?q=lastpass%20AND%20(caseName%...
    • ผมย้ายไป Bitwarden เมื่อไม่กี่ปีก่อน และแทบไม่มีแรงเสียดทานเลย
      แค่ export จาก LastPass, import เข้า Bitwarden แล้วคุ้นเคยกับ UI quirks บางอย่างที่เลี่ยงไม่ได้ก็จบ
    • ใช้ 1Password มาหลายปีแล้วและค่อนข้างพอใจ แต่เสียดายที่ หลัง 1Password 7 แทบจะบังคับให้ใช้บริการคลาวด์แบบสมัครสมาชิก แทนพื้นที่เก็บข้อมูล iCloud ฟรี
  • ยังสับสนนิดหน่อยว่าเหตุแฮ็ก LastPass นำไปสู่การรั่วไหลของรหัสผ่านได้อย่างไร
    ถ้าตามวิธีของ 1Password ที่ผมเข้าใจ มันยังน่าจะยากมากหรือเป็นไปไม่ได้ เลยสงสัยว่าผมเข้าใจอะไรผิดเกี่ยวกับ password manager หรือวิธีทำงานของ LastPass
    ผมเข้าใจว่า 1Password แบ่งคีย์ถอดรหัสออกเป็นรหัสผ่านเดียวของผู้ใช้กับ secret key และต้องใช้ทั้งสองอย่างเพื่อถอดรหัส vault
    secret key ถูกสร้างแบบสุ่มและน่าจะประมาณ 128 บิต และเท่าที่รู้ ไม่ว่า 1Password จะสร้างแล้วส่งให้ผู้ใช้ หรือสร้างในเครื่อง หลังจากนั้นก็จะไม่เห็นมันอีก
    ดังนั้นแม้ vault ถูกขโมย ผู้โจมตีก็ต้องเจาะไม่ใช่แค่รหัสผ่านที่อาจค่อนข้างอ่อน แต่ยังต้องเจาะ secret key 128 บิตด้วย อย่างน้อยก็น่าจะได้ความปลอดภัยระดับ 128 บิตไม่ใช่หรือ
    LastPass ต่างกันตรงไหน? secret key ถูกขโมยไปด้วยหรือ? เป้าหมายที่ vault ถูกขโมยถูกโจมตีเพิ่มเติมจน secret key รั่วหรือ? LastPass ไม่ได้ใช้โครงสร้างคล้ายกับ 1Password หรือ? หรือจริง ๆ แล้ว 1Password ก็ไม่ได้ปลอดภัยเท่าที่ผมคิดตอนใช้อยู่?

    • LastPass ไม่ได้ใช้ แนวคิด secret key แบบ 1Password และใช้เพียงคีย์ที่ derivation มาจากรหัสผ่าน
      หลังเหตุรั่วไหล จึงรีบเพิ่มจำนวนรอบการแฮช [1] และเพิ่มฟีเจอร์ให้ผู้ดูแลระบบองค์กรตั้งจำนวนรอบขั้นต่ำได้ [2] แต่ ณ ตอนนั้นก็สายไปแล้ว
      [1] https://palant.info/2022/12/28/lastpass-breach-the-significa...
      [2] https://support.lastpass.com/s/document-item?language=en_US&...
    • LastPass เก็บ metadata ของ vault โดยไม่เข้ารหัส
      metadata มีข้อมูลอย่าง URL ทำให้ผู้โจมตีเลือกเจาะ vault ที่มีมูลค่าสูงก่อน
      เช่น ถ้า vault มีแค่ล็อกอิน facebook.com กับ google.com ก็ข้ามไป แต่ถ้ามี coinbase กับเว็บคริปโตอื่นอีก 10 แห่ง ก็ยอมจ่ายหลายพันดอลลาร์เพื่อลองเจาะ
      ที่มา: https://github.com/cfbao/lastpass-vault-parser/wiki/LastPass...
    • โดยพื้นฐานแล้วผมเข้าใจว่า LastPass รู้รหัสผ่านของผู้ใช้ ส่วน 1Password ไม่รู้
      เท่ากับว่า LastPass ถือคีย์ทั้งหมดไว้
      อย่างไรก็ตาม ในสภาพแวดล้อมองค์กร ผู้ดูแลสามารถรีเซ็ตรหัสผ่านเมื่อผู้ใช้ลืมได้ ดังนั้น 1Password ก็อาจ “รู้” รหัสผ่านของผู้ใช้ได้เช่นกัน
      เวอร์ชันเก่าหรือเวอร์ชันส่วนบุคคลอาจปลอดภัยกว่าก็เป็นได้
  • ผมเลิกใช้ LastPass ไปหลังเกิดการละเมิดความปลอดภัยครั้งใหญ่ครั้งที่สองราวปี 2013
    ใน Wikipedia ระบุเหตุการณ์ทั้งหมดไว้แค่ 3 ครั้ง แต่เท่าที่จำได้ ผมเคยเห็นข่าวรายงาน อย่างน้อย 5 ครั้ง ตั้งแต่ปี 2010 จนถึงตอนนี้
    ตลอดช่วงเวลานั้นผมยังเจอ LastPass ถูกใช้อยู่ในหลายบริษัท และพูดตรง ๆ ว่าทุกครั้งก็ยังประหลาดใจ โดนหลอกห้าครั้งแล้วควรเรียกว่าอะไรดี…

    • ไม่รู้เลยว่าสิ่งนี้ยังถูกกฎหมายได้อย่างไร
      ตอนนี้มันแทบจะกลายเป็น แนวปฏิบัติทางธุรกิจ ไปแล้วหรือเปล่า
      ถ้าเกิดอาหารเป็นพิษ รัฐบาลยังสั่งปิดร้านอาหาร แต่กรณีนี้ทำไมถึงไม่ทำอะไรเลยก็ไม่รู้
      ยิ่งถ้ามองว่าเงินทั้งหมดนี้ไหลไปยังประเทศฝ่ายอักษะ ก็ยิ่งร้ายแรงกว่านั้นมาก
  • เข้าใจได้ที่ LastPass มองว่าไม่มีหลักฐานเชื่อมโยงระหว่างสองเรื่องนี้
    แต่ก็ยากจะเชื่อว่าคนที่เก็บ “ของสะสม” มูลค่าหลายล้านดอลลาร์จะไม่เปลี่ยนรหัสผ่านอย่างน้อยปีละครั้ง
    ผมรู้ว่าการเปลี่ยนรหัสผ่านเป็นรอบ ๆ โดยไม่มีเหตุผลไม่ใช่แนวปฏิบัติที่ดีที่สุดอีกต่อไปแล้ว แต่ในกรณีนี้มันยังดูเหมือนเป็นมาตรการที่ค่อนข้างรอบคอบไม่ใช่หรือ?

    • seed phrase ของกระเป๋าเงินแบบอนุพันธ์เปลี่ยนไม่ได้
      ต้องสร้างกระเป๋าเงินใหม่แล้วโอนทรัพย์สินไป
  • มอง KeePassXC แบบโลคัลแล้วก็ใช้งานต่อไปอย่างสงบ

    • การมีอำนาจควบคุมแบบนี้กำลังกลายเป็น ความหรูหรา มากขึ้นเรื่อย ๆ
      ไม่รู้ว่าจะกลับไปสู่สภาพที่เรียบง่ายได้อย่างไร เช่น สมมติว่าเป็นครอบครัว 3 คนที่มีบริการและบัญชีร่วมกัน ถ้าจะเก็บทุกอย่างไว้ใน KeePass ก็ต้องจัดการซิงก์ไฟล์ระหว่างอุปกรณ์และระบบปฏิบัติการทั้งหมดเอง
      ในกระบวนการนั้น ข้อมูลประจำตัวอาจต้องผ่านบริการซิงก์ของบุคคลที่สาม และนั่นก็ทำให้ข้อดีส่วนใหญ่ของ KeePass หายไป
      การย้ายไปใช้อินสแตนซ์อย่าง Bitwarden ที่โฮสต์เองอาจเป็นทางที่ถูกต้อง แต่ก็แปลว่าสมาชิกครอบครัวคนหนึ่งต้องกลายเป็นผู้ดูแลระบบประจำไปตลอดชีวิต เพื่อรักษาอินสแตนซ์นั้นให้ปลอดภัย ขณะเดียวกันก็ต้องทำให้เข้าถึงได้ทุกที่ทุกเวลา
    • ไฟล์กุญแจออฟไลน์ของผม คุณคงแย่งไปได้จากฮาร์ดไดรฟ์ที่เย็นเฉียบและตายแล้วเท่านั้น
      บางอย่างไม่ควรถูกเอาขึ้นอินเทอร์เน็ต
    • สงสัยว่าการซิงก์ข้ามอุปกรณ์อย่างโทรศัพท์มือถือทำกันอย่างไร
      ฟีเจอร์อย่างการแชร์กับครอบครัวหรือการเข้าถึงฉุกเฉินจัดการอย่างไร?
  • เขาบอกให้เอารหัสผ่านขึ้นคลาวด์ แล้วบอกว่าจะไม่มีอะไรเกิดขึ้นหรอก

    • เคยได้ยินคนพูดว่าคลาวด์ก็เป็นแค่ดาต้าเซ็นเตอร์ของคนอื่นที่อยู่หลัง API
      แล้วผู้คนฟังไหม? ก็ไม่
  • ผ่านมานานขนาดนี้แล้ว การ รวมศูนย์ ข้อมูลประจำตัวของทุกคนก็ยังดูเป็นไอเดียที่อันตรายที่สุดอยู่ดี
    ถ้ามีอะไรที่ดึงดูดแฮกเกอร์ได้มากกว่านี้ ก็คงมีแค่เซ็กซ์กับยาเสพติดฟรี แต่สิ่งนั้นก็อยู่ได้แค่ชั่วคราว สุดท้ายก็จะกลับมาขโมยข้อมูลประจำตัวของทุกคนอีกอยู่ดี
    เป้าหมายอื่น ๆ ก็มีมากมาย ทั้งข้อมูลระบุตัวตนส่วนบุคคลของทุกคน ข้อมูลเพื่อน·ครอบครัว·สัตว์เลี้ยง คำตอบคำถามความปลอดภัย Mobile ID, PIN, เลขบัญชี, ลายเซ็น, รูปถ่าย, ลายนิ้วมือ, รูปแบบเสียง, การสแกนใบหน้า·จอประสาทตา, ท่าเดิน, DNA ไปจนถึง RNA ไมโทคอนเดรีย

    • มีความไม่พอใจคล้าย ๆ กัน แต่โดยรวมแล้วรู้สึกว่าการใช้ รหัสผ่านแบบสุ่ม สำหรับแต่ละบัญชีสำคัญกว่า
      Vaultwarden ที่โฮสต์เองคือดีที่สุด ไม่อย่างนั้นก็ต้องไม่ทำพัง
  • สงสัยว่าคนที่ใส่ใจเรื่องความปลอดภัยจัดการรหัสผ่านกันอย่างไร
    ดูเหมือนว่าจะต้องใช้รหัสผ่านเดียวกันทุกที่ หรือไม่ก็ต้องมีตัวจัดการรหัสผ่านสักรูปแบบหนึ่ง แต่พอรวมรหัสผ่านทั้งหมดไว้ที่เดียว ก็อดกังวลไม่ได้ว่าถ้าโดนเจาะจะไม่ใช่แค่อันเดียว แต่โดนหมด
    หลายวิธีก็ดูเหมือนต้องแลกกับความสะดวก
    จะวางแฟ้มจริงที่เขียนรหัสผ่านไว้ในห้องทำงานที่บ้านก็ได้ แต่ทุกครั้งต้องค้นหาแล้วพิมพ์เองก็ยุ่งยาก และเป็นความเสี่ยงใหญ่สำหรับคนที่เข้าถึงบ้านทางกายภาพได้

    • ถ้าคิดเรื่องการใช้งาน ก็ใช้ Bitwarden ได้เลย
      ถ้าทำได้และชอบโฮสต์เอง Vaultwarden ก็เป็นตัวเลือกที่ดี
      ตราบใดที่เชื่อมต่ออินเทอร์เน็ต สุดท้ายสักจุดหนึ่งก็ต้องไว้ใจใครบางคนอยู่ดี และการใช้การยืนยันตัวตนสองขั้นตอนที่แข็งแรง (ยกเว้น SMS/อีเมล) ร่วมกับการสำรองข้อมูล vault จะช่วยลดความเสี่ยงได้
      หลังใส่ลง vault แล้ว ควรรีเซ็ตรหัสผ่านทั้งหมดในสักช่วงหนึ่ง
      ใช้รหัสผ่านยาว ๆ ที่สร้างแบบสุ่มด้วยส่วนขยายหรือแอปของ Bitwarden ก็ง่ายพอแล้ว
      ควรเปิดการยืนยันตัวตนสองขั้นตอนที่แข็งแรงในแต่ละบริการด้วย
      https://bitwarden.com/help/setup-two-step-login/
      https://bitwarden.com/resources/guide-how-to-create-and-stor...
    • ถ้าเป็นไปได้ ใช้ passkey ที่ผูกกับฮาร์ดแวร์จริง เช่น โซลูชันแบบใช้ TPM ของ Windows Hello และสำหรับที่ที่ใช้ไม่ได้ก็ใช้ KeePass
      ฐานข้อมูล KeePass ซิงก์ผ่านคลาวด์ แต่ไฟล์ passkey ที่ใช้เปิดร่วมกับรหัสผ่านจะไม่ออกจากเครื่องนั้น
      อีกทั้งไฟล์กุญแจต้องใช้สิทธิ์ผู้ดูแลระบบในการอ่าน จึงรัน KeePass แบบยกระดับสิทธิ์ และด้วยเหตุนี้พื้นที่หน่วยความจำของโปรเซสก็ได้รับการป้องกันจากการสอดส่องในระดับผู้ใช้ด้วย
    • ใช้ อัลกอริทึม ง่าย ๆ
      ไม่ได้จำรหัสผ่านจริง แต่จำอัลกอริทึมที่สร้างรหัสผ่านเฉพาะสำหรับแต่ละไซต์หรือบริการ
      มันไม่สมบูรณ์แบบ แต่รหัสผ่านส่วนใหญ่จะออกมาไม่ซ้ำกัน
      ไม่รู้ว่าผู้เชี่ยวชาญจะมองอย่างไร แต่สำหรับผมมันใช้งานได้ดีมาตลอด
    • การโฮสต์ตัวจัดการรหัสผ่านเองไม่ใช่เรื่องเล็กน้อย แต่ก็ทำได้แน่นอน
  • จำได้ว่าตอน LastPass เปิดตัวครั้งแรก ทุกคนคิดว่ามันอ่อนแอและไม่น่าเชื่อถือ
    Pepperidge Farm ยังจำได้

    • Lujo Bauer ซึ่งเป็นศาสตราจารย์และนักวิจัยด้านความปลอดภัยที่ทำวิจัยเรื่องความปลอดภัยของรหัสผ่านมากมาย เคยแนะนำ LastPass ให้ผม
      แต่นั่นคือราวปี 2013 ตอนที่ยังเป็นสตาร์ทอัพยุคแรก ๆ
      สิ่งที่แย่กว่าจำนวนรอบการวนซ้ำของแฮชรหัสผ่านที่ต่ำ คือผมไม่รู้ว่าในขณะใช้ LastPass มีเมตาดาต้าจำนวนมากที่ไม่ได้เข้ารหัส และเรื่องนั้นน่ากังวลมาก
      ตอนนั้นและตอนนี้ผมใช้ ciphertext 96 บิต ดังนั้นในมุมมองการโจมตีแบบออฟไลน์ก็น่าจะปลอดภัยจากการละเมิด แต่เมตาดาต้าน่าจะรั่วออกไปอยู่ดี จึงรู้สึกไม่สบายใจ
      ผมย้ายไป 1Password ในปี 2017 จึงหวังว่าพวกเขาจะลบข้อมูลของผมก่อนเกิดการละเมิด แต่ใครจะไปรู้
    • อยากรู้แหล่งที่มา
      ความกังวลนั้นถูกเรียบเรียงไว้อย่างชัดเจนหรือเปล่า ไม่ใช่แค่คำพูดกว้าง ๆ แบบ “ตัวจัดการรหัสผ่านคือจุดล้มเหลวเดียว!”?