พอดีเจอบทความ How Browsers Store Your Passwords (and Why You Shouldn’t Let Them) ที่อธิบายถึงความปลอดภัยของการบันทึกรหัสผ่านไว้ในเบราว์เซอร์ ซึ่งจากการทดลองก็พอสรุปได้ดังนี้ (เฉพาะ Windows)

• Chrome 27: [เจาะง่าย] ใช้ API ของ Windows ที่ชื่อว่า CryptProtectData ผู้ใช้ต่างบัญชีจะเข้าถึงไม่ได้แต่ถ้าล็อกออนอยู่แล้วเจอมัลแวร์เข้าไปก็ได้รหัสผ่านมาง่าย ๆ (ในบทความเขียนสคริปต์ python ไม่กี่บรรทัดก็ได้แล้ว)
• IE 10: [เจาะง่าย] สถาณการณ์เดียวกันกับ Chrome แค่เขียนสคริปต์ C# ก็เจาะได้แล้ว
• Firefox 21: [เจาะยาก] Firefox มีไลบารี่ Network Security Services (NSS) เป็นของตัวเองทำให้เจาะยากขึ้นแต่ก็ยังพอทำได้อยู่ สถานการณ์จะพลิกก็ต่อเมื่อใช้รหัสผ่านหลัก (Master Password) ซึ่งรหัสผ่านหลักจะทำหน้าที่เป็น global salt ทำให้การจะเอารหัสผ่านที่มีรหัสผ่านหลักครอบอีกชั้นหนึ่งนั้นเข้าขั้นยากมาก

ถ้าจะเก็บรหัสผ่านไว้ในเครื่องก็ทำให้แน่ใจว่าเครื่องเราต้องปลอดภัยจากมัลแวร์และไวรัส หรือถ้าเป็นคอมพิวเตอร์ที่คนเข้าถึงได้ง่ายเช่นที่ออฟฟิศ ก็ควรจะตั้งรหัสผ่านในระบบปฏิบัติการด้วย เพราะสคิรปต์แค่ไม่กี่บรรทัดก็สามารถเก็บรหัสผ่านไปได้หมดแล้ว ถ้าใช้ Firefox ก็ตั้งรหัสผ่านหลักด้วยจะทำให้รหัสผ่านที่เก็บไว้นั้นปลอดภัยมาก ๆ หรือถ้าจะไว้ใจ cloud ก็ใช้ตัวจัดการรหัสผ่านอย่าง LastPass หรือ 1Password อาจจะเป็นโปรแกรมจัดเก็บบนเครื่องอย่าง KeePass ก็ได้เช่นกัน

วิธีตั้งค่า https://support.mozilla.org/en-US/kb/use-master-password-protect-stored-logins

แต่สำหรับตัวผมเอง ก็ให้ Firefox จำให้เหมือนกันแต่เป็นพวกเว็บที่ไม่สำคัญ เช่นเว็บข่าว ฯลฯ ถ้าเป็นเว็บที่สำคัญ ๆ อย่างเว็บธนาคาร หรืออีเมล จะไม่ใช้ตัวช่วยเด็ดขาด (หน่วยงานด้านความมั่นคงอย่าง NSA สามารถเข้าถึงข้อมูลเว็บดัง ๆ ได้ตลอดเวลา จะเกิดอะไรขึ้นถ้าเขาขอเข้าเว็บเก็บรหัสผ่าน?) โดยจะมีการสร้างรหัสผ่านที่แตกต่างกันไปแต่ละไซต์ ไม่ยากและง่ายต่อการจำ (ส่วนตัวเชื่อว่าจำบ่อยๆ จะทำให้สมองมีการใช้งานตลอดเวลา) เช่น

เว็บ mhafai ก็ทำรหัสผ่าน 123456@iafahM ซึ่ง 123456 ก็มาจากความยาวตัวอักษรของคำว่า mhafai ใส่อักขระพิเศษอย่าง @ แล้วย้อนคำของคำว่า mhafai เป็น iafahM ใช้ M ใหญ่ในท้ายประโยค ก็ทำให้ได้รหัสผ่านที่มีทั้งอักขระพิเศษ ตัวเลข และตัวพิมพ์เล็กพิมพใหญ่ในรหัสเดียว แถมไม่ยากต่อการจำด้วย อันนี้แค่เป็นแนวทาง (รหัสผ่านผมเองซับซ้อนกว่านี้) ยังมีวิธีคิดได้อีกเยอะครับ เช่นเปลี่ยนจาก @ เป็น * อะไรประมาณนี้ก็ได้

ที่่มา – RaiderSec