Password တွေကို ဘယ်လိုကိုင်တွယ်ကြမလဲ

Thu Jan 23 2020

ကျွန်တော်တို့ ဒီနေ့ password တွေ အများကြီးကို မှတ်နေကြရပါပြီ။ ဒါကို လွယ်ကူအောင် ဘယ်လိုလုပ်ကြမလဲ။ Gmail နဲ့ Facebook password နှစ်ခုလောက်ပဲ မှတ်ဖို့လိုအပ်တဲ့လူတွေအတွက်တော့ ဒိလမ်းညွှန်အတိုင်းလုပ်ဖို့ အလုပ်ရှုပ်လွန်းပါတယ်။ အဲ့ password ၂ ခုကို မှတ်ထားလိုက်တာတောင် ပိုလွယ်ပါတယ်။ 🙂

Authentication graphics

Password အများကြီးသုံးနေရတယ် ဆိုရင်တော့ password manager တစ်ခုသုံးတာက အတော်လေး အဆင်ပြေပါတယ်။ Password manager တွေရဲ့ သဘောက password အများကြီးကို မှတ်စရာမလိုတော့ပဲ manager ကို ဝင်ရတဲ့ password လေး တစ်ခုထဲကို မှတ်ရင် ရပြီ။ ကျန်တဲ့ password တွေ သူတို့ တာဝန်ထားလို့ ဆိုတဲ့ သဘောပါပဲ။

Password Manager မှာ အကြမ်းဖျဉ်း (၂) မျိုးရှိတယ်။

တစ်မျိုးက online service အနေနဲ့ register လုပ်ပြီး browser မှာ extension တစ်ခုသွင်းပြီး အဲ့ဒီ service နဲ့ ချိတ်ဆက်သုံးတာမျိုးပါ။ ဒါကို cloud အခြေပြု လို့ ခေါ်ကြပါစို့။
နောက်တစ်မျိုးကတော့ password နဲ့ ကာထားတဲ့ password database ဖိုင်တစ်ခုကို ကိုယ့်စက်မှာ ဖွင့်ပြီး သုံးတာမျိုးပါ။ ဖိုင်အခြေပြုစနစ်လို့ ခေါ်ပါမယ်။ ဒါပေမယ့် အဲ့ဖိုင်ကို Google Drive လို cloud storage ပေါ်ထားပြီး တခြားစက်တွေကနေလည်း ဖွင့်ဖတ်သုံးစွဲနိုင်ပါတယ်။ (အဲ့လိုပဲ သုံးကြတာများပါတယ်။)

တချို့က ပထမပုံစံ ဖြစ်တဲ့ cloud အခြေပြုစနစ်တစ်ခုကို ကိုယ့်ရဲ့ password အကုန်လုံးကို တင်ထားရတာ စိတ်ထဲ သက်တောင့်သက်သာ မရှိနိုင်ပါဘူး။ (သူတို့သဘောနဲ့ သူတို့ envrypt-decrypt လုပ်နေတာတွေကို ကိုယ့်အနေနဲ့ မယုံရဲဘူး ဆိုတာ ဖြစ်နိုင်ပါတယ်။) ဒါမှမဟုတ်ရင်လည်း မှတ်မယ့် password တွေရဲ့ သဘောသဘာဝက အရမ်း sensitive ဖြစ်တာ၊ ဘယ်လိုမှ ပေါက်ကြားလို့ မဖြစ်တာဆိုရင်တော့ အပေါ်က ဒုတိယနည်းဖြစ်တဲ့ ဖိုင်အခြေပြုစနစ်ကို ရွေးချယ်သင့်တယ် ထင်ပါတယ်။ (ရုံးတွင်းမှာပဲ လူအများ မျှဝေသုံးစွဲတဲ့ password မျိုးတွေဆိုရင်လည်း ဒုတိယစနစ်ကိုပဲ သုံးနိုင်ပြီး password ဖိုင်ကို network shared drive တစ်ခုထဲထားပြီး သုံးစွဲတတ်ကြပါတယ်။)

Cloud အခြေပြုဝန်ဆောင်မှုများ

Cloud အခြေပြုဝန်ဆောင်မှု တွေထဲမှာ နာမည်ရှိတာကတော့−

LastPass
BitWarden
1Password

Cloud-based password managers

1Password က free မရပါဘူး၊ LastPass နဲ့ Bitwarden ကတော့ free plan ရှိပါတယ်။ တခြား Roboform တို့ Dashlane တို့လည်း ရှိပါသေးတယ်။ ကျွန်တော့်အနေနဲ့တော့ BitWarden ကို ညွှန်းချင်ပါတယ်။

Cloud-based service တွေရဲ့ အဓိက အားသာချက်ကတော့ ကရိကထမများပဲ သုံးရတာပိုလွယ်တယ်။ Cloud ထဲမှာ ရှိနေလို့ အမြဲ up-to-date ဖြစ်တယ်။ အတူတွဲသုံးရတဲ့ extension တွေ၊ mobile app တွေက သုံးစွဲရတာ လွယ်ကူချောမွေ့အောင် ပြင်ဆင်ထားတတ်ကြတယ်။ Website မှာ register လုပ်ပြီး website က လမ်းညွန်တဲ့ browser extension လေးတစ်ခု ကိုယ်ရဲ့ default browser မှာ သွင်းလိုက်ရုံနဲ့

Website တစ်ခုကို login ဝင်ရင် password ကို manager ထဲမှာမှတ်မလား တိုက်တွန်း (prompt) ပါတယ်။
နောက်တစ်ခါ အဲ့ website ကို သွားရင် extension ခလုပ်လေးနှိပ်ပြီး အကောင့်လေး နှိပ်လိုက်ရုံနဲ့ username, password အကုန်ဖြည့်ပေးသွားမှာပါ။ (auto-fill ပေါ့။)

Website က သွင်းခိုင်းတဲ့ mobile app သွင်းလိုက်ရင် သိမ်းထားတဲ့ account ရဲ့ username တွေ password တွေနဲ့ phone မှာပါ အလွယ်တကူ login ဝင်လို့ ရသွားမှာဖြစ်ပါတယ်။ ခုနောက်ပိုင်း fingerprint တွေ face ID တွေနဲ့ ချိတ်လိုက်ရင် auto-fill ကို လက်ဗွေတွေ မျက်နှာတွေ ပြရုံနဲ့ auto ဖြည့်ပေးသွားမှာမို့ password မေ့တဲ့ ဒုက္ခ ကင်းဝေးသွားမှာပါ။

အားနည်းချက်ကတော့ အပေါ်မှာပြောခဲ့သလိုပဲ လုံခြုံရေးအရ စိတ်မချစရာရှိတာပဲ။ အဲ့ဝန်ဆောင်မှုက ဘယ်လောက်လုံခြုံစိတ်ချရသလဲ။ သူတို့ကိုယ်တိုင် လုံခြုံရေး မကျိုးပေါက်နိုင်ဘူးလား။ ကျိုးပေါက်နိုင်ပါတယ်။ Lastpass ဆို ကြုံခဲ့ဘူးပါပြီ။ တခြား website တစ်ခုက လုံခြုံရေးကျိုးပေါက်ရင် ကိုယ့်အကောင့်လေးတစ်ခုပဲ ပါမှာပါ။ ခုက ကိုယ့်ရှိရှိသမျှ အကုန်ပါမယ့်သဘောပါ။ ဒါပေမယ့် တစ်ခုတော့ ရှိတာက ဒီ manager service တွေက ကိုယ့် password တွေကို text file လို plain ကြီးမှတ်တာတော့ မဟုတ်ပါဘူး။ End-to-end encryption လို့ခေါ်တဲ့ ကိုယ့်စက်က မထွက်ခင်ကတည်းက encrypt လုပ်ပြီးမှ server ပေါ်တင်တာမျိုးပါ။ ကြားထဲကလည်း ဖြတ်ဖတ်လို့ မရသလို server ပေါ်ရောက်ရင်လည်း encrypt လုပ်ပြီးသားမို့ ဝန်ဆောင်မှုပေးတဲ့ ကုမ္ပဏီကလူတွေလည်း ကိုယ့် password တွေကို ဖွင့်ကြည့်လို့ မရပါဘူး။ (အခြား အခြားသာ နည်းပညာတွေ အားလုံးလိုပဲ ဒါဟာ 100% secure မဟုတ်ပါဘူး။ ဒါကိုတော့ သတိချပ်စေချင်ပါတယ်။ တော်နေကြာ… နောက်တော့မှ “မင်းပြောတုန်းကတော့ အကုန်ဟန်ကျနေတာပဲ” ဖြစ်နေမှာ စိုးလို့ပါ။ အဲ့ဒီလို လစ်ဟာနိုင်မှုရဲ့ သက်ရောက်မှုကို လျှော့ချဖို့အတွက် နည်းလမ်းတွေ ရှိပါသေးတယ်။ 2FA လို့ ခေါ်တဲ့ password အပြင် နောက်ထပ်တစ်ဆင့် ဂဏန်း (၆) လုံး အကောင့်လုံခြုံရေး ထပ်ခံနိုင်တဲ့ အကြောင်းပါ။ အဲ့ဒါနဲ့ ပတ်သက်ပြီး နောက်ထပ် post တစ်ခု ရေးပါဦးမယ်။)

ဖိုင်အခြေပြုစနစ်

File-based password managers ဖိုင်အခြေပြုစနစ် ဆိုတာကတော့ ကိုယ့်စက်ထဲမှာပဲ လုံခြုံရေးအထူးကောင်းမွန်တဲ့ ဖိုင်လေးတစ်ခုဖွင့်ပြီး အဲ့ဒီမှာပဲ login တွေကို မှတ်သားတာပါ။ အဲ့ဖိုင်လေးကို အလွယ်တကူ KDBX လို့ ခေါ်ပါ့မယ်။ ဒါပေမယ့် စက်ထဲမှာပဲထားထားရင် စက်နဲ့ ဝေးတဲ့တစ်နေရာ ရောက်လို့ password တွေ တခုမှ မသိတော့ရင် အဆင်မပြေပါဘူး။ အဲ့ဒီအတွက် အပေါ်မှာပြောခဲ့သလို အဲ့ဒီ KDBX ဖိုင်လေးကို cloud file storage တစ်ခုမှာ ထည့်ထားပြီး တခြားစက်၊ ဒါမှမဟုတ် ဖုန်းကနေ လှမ်းယူချိတ်ဆက် ဖွင့်ဖတ်သုံးစွဲ နိုင်ပါတယ်။ အောက်ကဟာကတော့ recommended setup ပါ။ (Google Drive နေရာမှာ DropBox, iCloud Drive တွေလည်း သုံးနိုင်ပါတယ်။)

ပထမဆုံး dekstop/laptop မှာ KDBX ဖိုင်တစ်ခု ဖွင့်ရပါမယ်။ ရှည်လျားပြီး လုံခြုံတဲ့ master password တစ်ခု ကြိုတင်စဉ်းစားထားပါ။ အဲ့ဒီ password ကို မေ့လို့မရပါဘူး။ မေ့ရင် အထဲမှာ save ထားတဲ့ password တွေအားလုံးကို ဖွင့်ဖတ်လို့ ရတော့မှာ မဟုတ်ပါဘူး။
- Windows ဆိုရင် စက်ထဲကို KeePassXC သွင်းပါ။ ခုနက စဉ်းစားထားတဲ့ master password နဲ့ KDBX ဖိုင်တစ်ခုလုပ်ပါ။ ဖိုင်ကို စက်ရဲ့ Google Drive တနေရာမှာ ထားပါ။
- Mac ဆိုရင် စက်ထဲကို MacPass သွင်းပါ။ ခုနက စဉ်းစားထားတဲ့ master password နဲ့ KDBX ဖိုင်တစ်ခုလုပ်ပါ။ ဖိုင်ကို စက်ရဲ့ Google Drive တနေရာမှာ ထားပါ။
တခြား desktop/laptop တွေကနေ လှမ်းဖတ်ဖို့ KeePassXC (Windows) ဒါမှမဟုတ် MacPass (macOS) သွင်းပြီး ဖိုင်အသစ်မလုပ်တော့ပဲ ခုနက Google Drive (or DropBox or iCloud) ထဲက KDBX ဖိုင်ကို ဖွင့်ပါ။ Master password ဖြည့်ဖို့ လိုပါမယ်။
Browser extension အတွက်
- Chrome/Brave/Edge ဆိုရင် KeePass Tusk သွင်းပြီး Google Drive နဲ့ ချိတ်လို့ KDBX ဖိုင်ကို ဖွင့်ပြီး auto-fill ရယူနိုင်ပါတယ်။
- Firefox အတွက် Kee – Password Manager သုံးနိုင်ပါတယ်။
- ကိုယ်က Windows သုံးလို့ အပေါ်မှာ ညွှန်းထားတဲ့ KeePassXC သုံးနေတာဆိုရင် KeePassXC-Browser ဆိုတာကို သုံးပြီး KeePassXC နဲ့ browser နဲ့ကို ချိတ်ဆက်နိုင်ပါတယ်။
Mobile တွေအတွက် ဆိုရင်တော့
- Android အတွက်ဆိုရင် Keepass2Android သွင်း၊ Google Drive နဲ့ ချိတ်ဆက်ပြီး password တွေကို ဖွင့်ဖတ်ရုံမက auto-fill ပါ လုပ်လို့ ရပါပြီ။
- iOS အတွက် ဆိုရင်တော့ KeePassium ရဲ့ free version က လုံလုံလောက်လောက် ကောင်းပါတယ်။ Auto-sync, Auto-fill ကောင်းကောင်းရတဲ့အပြင် Face ID, Touch ID support လုပ်ပါတယ်။

Password Generator

Password တစ်ခုထဲကို နေရာတကာသုံးတာဟာ ကောင်းတဲ့ အလေ့အထတစ်ခုမဟုတ်ဘူးလို့ ကျွမ်းကျင်သူတွေက သတိပေးလေ့ရှိပါတယ်။ website တခုနဲ့ တခု မတူတဲ့ မူတွေနဲ့ ဘယ်နှလုံးအနည်းဆုံး ဘာတွေပါကို ပါရမယ်။ ဘာတွေကတော့ မပါရဘူး ဆိုပြီးရှုပ်ယှက်ခတ်ရတဲ့ ကြားထဲ website တစ်ခု တစ်မျိုးများ password တွေ မှတ်ရရင် မလွယ်ပါဘူး။ ဒီပြဿနာကို ဖြေရှင်းဖို့ manager တွေက အများကြီး အထောက်အကူ ပေးပါတယ်။ အဲ့အပြင်ကို password manager တွေမှာ password generator ပါပါတယ်။

password အလုံးရေဘယ်လောက် လိုချင်လဲ။
စာလုံးအကြီးအသေး ရောချင်လား။
နံပါတ် ပါချင်လား။ ဘယ်နှလုံးပါချင်လဲ။
သင်္ကေတတွေ ပါချင်လား။ ဘယ်နှလုံးပါချင်လဲ။

စသဖြင့် ကိုယ်လိုချင်တဲ့ သတ်မှတ်ချက်တွေအတိုင်း ရှည်လျားပြီး ခန့်မှန်းဖို့ ဘယ်လိုမှ မလွယ်ကူတဲ့ password တွေ ဖန်တီးပေးပါတယ်။ ဒါကို manager ထဲ ထည့်မှတ်ပြီးသုံးရင် ကိုယ့် password ကိုယ်တောင် မမှတ်မိလို့ အလုံခြုံဆုံးပါပဲ။