วิธีเข้ารหัส USB Flash Drive อย่างปลอดภัย

หากคุณมีข้อมูลที่ละเอียดอ่อนอยู่ในไดรฟ์ USB(USB drive)คุณควรพิจารณาใช้การเข้ารหัสเพื่อรักษาความปลอดภัยข้อมูลในกรณีที่สูญหายหรือ(loss or theft)ถูก ขโมย ฉันได้พูดไปแล้วเกี่ยวกับวิธีการเข้ารหัสฮาร์ดไดรฟ์ของคุณโดยใช้BitLockerสำหรับWindows หรือ FileVault(Windows or FileVault)สำหรับMacทั้งคุณสมบัติของระบบปฏิบัติการ ในตัว(operating system)

สำหรับไดรฟ์ USB(USB drive)คุณสามารถใช้การเข้ารหัสบนไดรฟ์ได้หลายวิธี: การใช้BitLockerบนWindows การซื้อ (Windows)ไดรฟ์ USB(USB drive)ที่เข้ารหัสด้วยฮาร์ดแวร์จากบริษัทอื่น หรือใช้ซอฟต์แวร์เข้ารหัส(encryption software) ของบริษัท อื่น

ในบทความนี้ ฉันจะพูดถึงทั้งสามวิธีและวิธีที่คุณสามารถนำไปใช้ ก่อนที่เราจะลงรายละเอียด ควรสังเกตว่าไม่มีวิธีการเข้ารหัส(encryption solution)ที่สมบูรณ์แบบและรับประกัน น่าเสียดายที่โซลูชันทั้งหมดที่กล่าวถึงด้านล่างประสบปัญหาตลอดหลายปีที่ผ่านมา

พบช่องโหว่ด้านความปลอดภัยและช่องโหว่ในBitLocker ซอฟต์แวร์เข้ารหัส(encryption software)ของบริษัทอื่น และไดรฟ์ USBที่เข้ารหัสด้วยฮาร์ดแวร์จำนวนมากสามารถถูกแฮ็กได้ ดังนั้นจึงมีประโยชน์ในการใช้การเข้ารหัสหรือไม่? ใช่อย่างแน่นอน. การแฮ็กและใช้ประโยชน์จากช่องโหว่นั้นยากมากและต้องใช้ทักษะด้านเทคนิคมากมาย

ประการที่สอง การรักษาความปลอดภัยได้รับการปรับปรุงอยู่เสมอและมีการอัปเดตซอฟต์แวร์ เฟิร์มแวร์ ฯลฯ เพื่อรักษาความปลอดภัยของข้อมูล ไม่ว่าคุณจะเลือกวิธีใด อย่าลืมอัปเดตทุกอย่างอยู่เสมอ

วิธีที่ 1 – BitLocker บน Windows

BitLockerจะเข้ารหัสไดรฟ์ USB(USB drive) ของคุณ และกำหนดให้ต้องป้อนรหัสผ่านทุกครั้งที่เชื่อมต่อกับพีซี ในการเริ่มต้นใช้ งาน BitLockerให้เชื่อมต่อไดรฟ์ USB(USB drive)กับคอมพิวเตอร์ของคุณ คลิกขวาที่ ไดรฟ์ แล้วคลิก(drive and click)เปิดBitLocker( Turn on BitLocker)

เปิด bitlocker

ถัดไป คุณจะมีตัวเลือกให้เลือกว่าต้องการปลดล็อกไดรฟ์อย่างไร คุณสามารถเลือกใช้รหัสผ่าน ใช้สมาร์ทการ์ด หรือใช้ทั้งสองอย่าง สำหรับผู้ใช้ส่วนบุคคลส่วนใหญ่ตัวเลือกรหัสผ่าน(password option)จะเป็นตัวเลือกที่ดีที่สุด

ปกป้อง USB ไดรฟ์

ถัดไป คุณจะต้องเลือกวิธีบันทึกคีย์การกู้คืน(recovery key)ในกรณีที่ลืมรหัสผ่าน

บันทึกคีย์การกู้คืน

คุณสามารถบันทึกลงในบัญชี Microsoft(Microsoft Account) ของคุณ บันทึกลงในไฟล์ หรือพิมพ์คีย์การกู้(recovery key)คืน หากคุณบันทึกลงในบัญชี Microsoft(Microsoft Account)คุณจะมีเวลากู้คืนข้อมูลในภายหลังได้ง่ายขึ้นมาก เนื่องจากข้อมูลดังกล่าวจะจัดเก็บไว้ในเซิร์ฟเวอร์ของ Microsoft (Microsoft)อย่างไรก็ตาม ข้อเสียคือ หากหน่วยงานบังคับใช้กฎหมาย(law enforcement)ต้องการข้อมูลของคุณMicrosoftจะต้องดำเนินการกู้คืนคีย์(recovery key) ของคุณ หากได้รับหมายค้น

หากคุณบันทึกลงในไฟล์ ตรวจสอบให้แน่ใจว่าไฟล์นั้นได้รับการจัดเก็บในที่ที่ปลอดภัย หากใครสามารถค้นหาคีย์การกู้คืน(recovery key) ได้ง่าย แสดงว่าบุคคล นั้นสามารถเข้าถึงข้อมูลทั้งหมดของคุณได้ คุณสามารถบันทึกลงในไฟล์หรือพิมพ์กุญแจแล้วเก็บไว้ในกล่องล็อคของธนาคารหรืออย่าง(bank lockbox or something)อื่นที่ปลอดภัยมาก

เข้ารหัสไดรฟ์

ถัดไป คุณต้องเลือกจำนวนไดรฟ์ที่คุณต้องการเข้ารหัส หากเป็นพื้นที่ใหม่ เพียงเข้ารหัสพื้นที่ที่ใช้แล้วจะเข้ารหัสข้อมูลใหม่เมื่อคุณเพิ่ม หากมีบางอย่างอยู่แล้ว ให้เข้ารหัสทั้งไดรฟ์

โหมดการเข้ารหัส

คุณอาจไม่เห็นหน้าจอนี้ทั้งนี้ขึ้นอยู่กับเวอร์ชันของWindows ที่คุณใช้ (Windows)ในWindows 10คุณจะถูกขอให้เลือกระหว่างโหมดการเข้ารหัส(encryption mode) ใหม่ หรือโหมดที่เข้ากันได้ Windows 10มีการเข้ารหัสที่ดีกว่าและแข็งแกร่งกว่า ซึ่งจะเข้ากันไม่ได้กับWindows รุ่นก่อนหน้า . หากคุณต้องการความปลอดภัยมากขึ้น ให้ไปที่โหมดใหม่ แต่ถ้าคุณต้องการเชื่อมต่อไดรฟ์กับWindows เวอร์ชันเก่า ให้ไปที่โหมดที่เข้ากันได้

หลังจากนี้มันจะเริ่มเข้ารหัสไดรฟ์ เวลาจะขึ้นอยู่กับขนาดของไดรฟ์และปริมาณข้อมูลที่ต้องเข้ารหัส

การเข้ารหัสเสร็จสมบูรณ์

ตอนนี้ ถ้าคุณไปที่ เครื่อง Windows 10 เครื่องอื่นและเสียบ(machine and plug)ไดรฟ์ คุณจะเห็นข้อความเล็กๆ ปรากฏขึ้นในพื้นที่แจ้ง(notification area)เตือน ในWindows เวอร์ชันก่อนหน้า ให้ไปที่Explorer

ไดรฟ์ได้รับการปกป้อง

นอกจากนี้ คุณจะเห็นไอคอนไดรฟ์(drive icon) ที่ มีการล็อกไว้เมื่อคุณดูไดรฟ์ในExplorer

ล็อคไดรฟ์

สุดท้าย เมื่อคุณดับเบิลคลิกที่ไดรฟ์เพื่อเข้าถึง คุณจะได้รับแจ้งให้ป้อนรหัสผ่าน หากคุณคลิกตัวเลือกเพิ่มเติม(More Options)คุณจะเห็นตัวเลือกสำหรับการใช้คีย์การกู้คืน(recovery key)ด้วย

ปลดล็อคไดรฟ์ usb

หากคุณต้องการปิดBitLockerในภายหลัง เพียงคลิกขวาที่ไดรฟ์แล้วเลือกManage BitLocker (Manage BitLocker)จากนั้นคลิกที่ปิด BitLocker( Turn off BitLocker)ในรายการลิงก์

ปิด bitlocker

คุณยังสามารถเปลี่ยนรหัสผ่าน สำรองคีย์การกู้คืน(recovery key)อีกครั้ง เพิ่มการตรวจสอบสมาร์ทการ์ด(card verification)และเปิดหรือปิดการล็อกอัตโนมัติ โดยรวมแล้ว เป็นวิธีที่ง่ายและปลอดภัยในการเข้ารหัสแฟลชไดรฟ์ที่ไม่ต้องใช้เครื่องมือของบุคคลที่สาม

วิธีที่ 2 – เวราคริปต์

มี ซอฟต์แวร์เข้ารหัส(encryption software)ข้อมูลบุคคลที่สามจำนวนมากที่อ้างว่าปลอดภัย แต่ไม่มีการตรวจสอบใด ๆ เพื่อให้แน่ใจว่ามีคุณภาพที่เรียกว่า เมื่อพูดถึงการเข้ารหัส คุณต้องแน่ใจว่ารหัสนั้นได้รับการตรวจสอบโดยทีมผู้เชี่ยวชาญด้านความปลอดภัย

โปรแกรมเดียวที่ฉันอยากจะแนะนำในตอนนี้คือVeraCryptซึ่งอิงจากTrueCrypt ที่ได้รับความนิยมก่อนหน้า นี้ คุณยังคงสามารถดาวน์โหลดTrueCrypt 7.1aซึ่งเป็นเวอร์ชันเดียวที่แนะนำ(recommend version)สำหรับการดาวน์โหลด แต่ใช้งานไม่ได้อีกต่อไป รหัสได้รับการตรวจสอบแล้ว(code has been audited)และโชคดีที่ไม่พบช่องโหว่ด้านความปลอดภัยที่สำคัญ

อย่างไรก็ตาม มันมีปัญหาบางอย่าง ดังนั้นจึงไม่ควรใช้อีกต่อไป โดยทั่วไป เวราคริปต์ใช้TrueCrypt (VeraCrypt)และ(TrueCrypt)แก้ไขปัญหาส่วนใหญ่ที่พบในการตรวจสอบ ในการเริ่มต้น ให้ดาวน์โหลดVeraCryptแล้วติดตั้งลงในระบบของคุณ

เมื่อคุณเรียกใช้โปรแกรม คุณจะได้หน้าต่างที่มีอักษรระบุไดรฟ์จำนวนมากและปุ่มสองสามปุ่ม เราต้องการเริ่มต้นด้วยการสร้างโวลุ่มใหม่ ดังนั้นคลิกที่ปุ่มCreate Volume

veracrypt

วิซาร์ดการสร้างโวลุ่ม(volume creation wizard)จะปรากฏขึ้นและคุณจะมีตัวเลือกสองทาง คุณสามารถเลือกสร้างคอนเทนเนอร์ไฟล์ที่เข้ารหัส(Create an encrypted file container)หรือเลือก Encrypt a non-system partition/driveระบบ ตัวเลือกแรกจะสร้างดิสก์เข้ารหัสเสมือนที่จัดเก็บไว้ในไฟล์เดียว ตัวเลือกที่สองจะเข้ารหัสUSB แฟลช(USB flash)ไดรฟ์ ทั้งหมดของคุณ ด้วยตัวเลือกแรก คุณสามารถเก็บข้อมูลบางส่วนไว้ในโวลุ่มที่เข้ารหัส และส่วนที่เหลือของไดรฟ์สามารถมีข้อมูลที่ไม่ได้เข้ารหัสได้

เนื่องจากฉันเก็บข้อมูลสำคัญไว้บนไดรฟ์ USB ไดรฟ์(USB drive)เดียว ฉันจึงใช้การเข้ารหัสตัวเลือกไดรฟ์(drive option) ทั้งหมด เสมอ

เข้ารหัสไดรฟ์ข้อมูล

ในหน้าจอถัดไป คุณต้องเลือกระหว่างการสร้างโวลุ่ม S tandard ของเวราคริปต์(tandard VeraCrypt volume)หรือวอลลุ่มลับ(Hidden VeraCrypt volume) ของเวราคริ ปต์ อย่าลืมคลิกที่ลิงค์เพื่อทำความเข้าใจรายละเอียดความแตกต่าง โดยพื้นฐานแล้ว ถ้าคุณต้องการบางสิ่งที่ปลอดภัยเป็นพิเศษ ให้ไปกับวอลลุมที่ซ่อนอยู่เพราะจะสร้างโวลุ่มที่เข้ารหัสที่สองภายในโวลุ่มที่เข้ารหัสแรก คุณควรจัดเก็บข้อมูลสำคัญที่แท้จริงไว้ในโวลุ่มที่เข้ารหัสที่สอง และข้อมูลปลอมบางส่วนในโวลุ่มที่เข้ารหัสแรก

ปริมาณที่ซ่อนอยู่มาตรฐาน

ด้วยวิธีนี้ หากมีคนบังคับให้คุณยกเลิกรหัสผ่าน พวกเขาจะเห็นเฉพาะเนื้อหาของเล่มแรก ไม่ใช่เล่มที่สอง ไม่ซับซ้อนเป็นพิเศษเมื่อเข้าถึงวอลลุ่มลับ คุณเพียงแค่ต้องป้อนรหัสผ่านอื่นเมื่อคุณเมานต์ไดรฟ์ ดังนั้นฉันขอแนะนำให้ใช้วอลลุ่มที่ซ่อนอยู่เพื่อเพิ่มความปลอดภัย

หากคุณเลือกตัวเลือก(hidden volume option) วอลลุ่มลับ ให้เลือกโหมดปกติ(Normal mode)ในหน้าจอถัดไป เพื่อให้เวราคริปต์สร้างวอล(VeraCrypt)ลุ่มปกติและวอลลุ่มลับสำหรับคุณ ถัดไป คุณต้องเลือกตำแหน่งของโวลุ่ม

ตำแหน่งปริมาณ

คลิกที่ปุ่มSelect Deviceแล้วมองหาอุปกรณ์ที่ถอดออกได้ของคุณ โปรดทราบว่าคุณสามารถเลือกพาร์ติชั่นหรืออุปกรณ์ทั้งหมดได้ คุณอาจพบปัญหาบางอย่างที่นี่เนื่องจากการพยายามเลือกRemovable Disk 1ให้ข้อความแสดงข้อผิดพลาด(error message)ที่ระบุว่าโวลุ่มที่เข้ารหัสสามารถสร้างขึ้นได้เฉพาะในอุปกรณ์ที่ไม่มี(t contain)พาร์ติชั่นเท่านั้น

เข้ารหัสพาร์ติชั่นไดรฟ์

เนื่องจากแท่ง USB(USB stick) ของฉัน มีพาร์ติชั่นเดียว ฉันจึงเลือก/Device/Harddisk/Partition1 E:และมันใช้ได้ดี หากคุณเลือกสร้างวอลลุ่มลับ หน้าจอถัดไปจะตั้งค่าตัวเลือกสำหรับ วอล ลุ่ม(outer volume)ภายนอก

ประเภทการเข้ารหัส

ที่นี่คุณต้องเลือกอัลกอริธึมการเข้ารหัส(encryption algorithm)และ อัลกอริธึ มแฮช (hash algorithm)หากคุณไม่รู้ว่าอะไรหมายถึงอะไร ให้ปล่อยไว้เป็นค่าเริ่มต้นแล้วคลิก(default and click) ถัด(Next)ไป หน้าจอถัดไปจะกำหนดขนาดของโวลุ่มภายนอก(outer volume)ซึ่งจะมีขนาดเดียวกับพาร์ติชั่น ณ จุดนี้ คุณต้องป้อนรหัสผ่านโวลุ่ม(outer volume password)ภายนอก

รหัสผ่านโวลุ่มภายนอก

โปรดทราบว่ารหัสผ่านสำหรับโวลุ่มภายนอก(outer volume)และโวลุ่มที่ซ่อนอยู่จะต้องแตกต่างกันมาก ดังนั้นให้นึกถึงรหัสผ่านที่ดี ยาวและรัดกุม ในหน้าจอถัดไป คุณต้องเลือกว่าต้องการรองรับไฟล์ขนาดใหญ่หรือไม่ พวกเขาแนะนำว่าไม่ ดังนั้นให้เลือกใช่ถ้าคุณต้องการเก็บไฟล์ที่มีขนาดใหญ่กว่า 4GB บนไดรฟ์จริงๆ

จัดรูปแบบปริมาตรภายนอก

ต่อไป คุณต้องฟอร์แมตโวลุ่มภายนอก(outer volume)และฉันขอแนะนำว่าอย่าเปลี่ยนการตั้งค่าใดๆ ที่นี่ ระบบไฟล์ FAT(FAT filesystem) ดี กว่าสำหรับVeraCrypt คลิก(Click)ปุ่มรูปแบบ(Format)และจะลบทุกอย่างในไดรฟ์แล้วเริ่มกระบวนการสร้าง(creation process)โวลุ่มภายนอก(outer volume)

การดำเนินการนี้อาจใช้เวลาสักครู่เนื่องจากรูปแบบนี้จริง ๆ แล้วเขียนข้อมูลแบบสุ่มทั่วทั้งไดรฟ์ ซึ่งต่างจากรูปแบบด่วนที่มักเกิดขึ้นในWindows เมื่อ(Once)เสร็จแล้ว คุณจะถูกขอให้ดำเนินการต่อและคัดลอกข้อมูลไปยังโวลุ่ม(outer volume)ภายนอก นี่ควรจะเป็นข้อมูลที่ละเอียดอ่อนปลอมของคุณ

เนื้อหาปริมาณภายนอก

หลังจากที่คุณคัดลอกข้อมูลไปแล้ว คุณจะเริ่มกระบวนการสำหรับโวลุ่มที่ซ่อนอยู่ ที่นี่คุณต้องเลือกประเภทของการเข้ารหัสอีกครั้ง ซึ่งฉันจะปล่อยให้อยู่คนเดียวเว้นแต่คุณจะรู้ว่าทั้งหมดนี้หมายถึงอะไร คลิกถัดไป(Click Next)และตอนนี้คุณสามารถเลือกขนาดของโวลุ่มที่ซ่อนอยู่ได้แล้ว หากคุณแน่ใจว่าจะไม่เพิ่มอย่างอื่นในโวลุ่มภายนอก(outer volume)คุณสามารถเพิ่มระดับเสียงที่ซ่อนไว้สูงสุดได้

อย่างไรก็ตาม คุณสามารถทำให้วอลลุ่มที่ซ่อนอยู่มีขนาดเล็กลงได้เช่นกันหากต้องการ ที่จะทำให้คุณมีพื้นที่มากขึ้นในระดับเสียง(outer volume)ภายนอก

ขนาดเสียงที่ซ่อนอยู่

ถัดไป คุณต้องให้ รหัสผ่านกับวอล ลุ่มลับ(hidden volume) ของคุณ จากนั้นคลิกรูปแบบ(Format)ในหน้าจอถัดไปเพื่อสร้างโวลุ่มที่ซ่อนอยู่ สุดท้าย คุณจะได้รับข้อความบอกวิธีเข้าถึงวอลลุ่มลับ

การเข้าถึงระดับเสียงที่ซ่อนอยู่

โปรดทราบว่าวิธีเดียวในการเข้าถึงไดรฟ์ในตอนนี้คือการใช้VeraCrypt หากคุณพยายามคลิกที่อักษรระบุไดรฟ์(drive letter)ในWindowsคุณจะได้รับข้อความแสดงข้อผิดพลาด(error message)ว่าไม่รู้จักไดรฟ์และจำเป็นต้องฟอร์แมต อย่า(Don)ทำเช่นนั้นเว้นแต่คุณต้องการสูญเสียข้อมูลที่เข้ารหัสทั้งหมดของคุณ!

ให้เปิดเวราคริปต์(VeraCrypt)แล้วเลือกอักษรระบุไดรฟ์(drive letter)จากรายการด้านบนแทน จากนั้นคลิกที่Select Device และเลือกพาร์ติชั่น ( Select Device )ดิสก์(disk partition)แบบถอดได้จากรายการ สุดท้าย ให้คลิกปุ่มเมาน ต์ (Mount)ที่นี่คุณจะถูกขอให้ป้อนรหัสผ่าน หากคุณป้อนรหัสผ่านโวลุ่มภายนอก โวลุ่ม(outer volume password)นั้นจะถูกต่อเชื่อมกับอักษรระบุไดรฟ์(drive letter)ใหม่ หากคุณป้อนรหัสผ่านโวลุ่ม(volume password) ที่ซ่อนอยู่ โวลุ่ม นั้นจะถูกโหลด

เมานต์โวลุ่ม veracrypt

เจ๋งไปเลย!? ตอนนี้คุณมี แฟลชไดรฟ์ USBเข้ารหัสซอฟต์แวร์ที่มีความปลอดภัย(secure software)สูง ซึ่งทุกคนจะไม่สามารถเข้าถึงได้

วิธีที่ 3(Method 3) - แฟลช ไดรฟ์USB เข้ารหัสด้วยฮาร์ดแวร์(– Hardware Encrypted USB Flash)

ตัวเลือกที่สามของคุณคือซื้อแฟลชไดรฟ์USB ที่เข้ารหัสด้วยฮาร์ดแวร์ (USB)อย่า(Never)ซื้อซอฟต์แวร์เข้ารหัสแฟลชไดรฟ์เพราะอาจใช้อัลกอริธึมการเข้ารหัสที่เป็นกรรมสิทธิ์ซึ่งสร้างโดยบริษัทและมีโอกาสถูกแฮ็กมากขึ้น

แม้ว่าวิธีที่ 1 และ 2 จะดีมาก แต่ก็ยังเป็น โซลูชัน การเข้ารหัสซอฟต์แวร์(software encryption)ซึ่งไม่เหมาะเท่าโซลูชันที่ใช้ฮาร์ดแวร์ การเข้ารหัสฮาร์ดแวร์(Hardware encryption)ช่วยให้เข้าถึงข้อมูลในไดรฟ์ได้เร็วขึ้น ป้องกันการโจมตีก่อนบูต และจัดเก็บคีย์เข้ารหัสไว้บนชิป ทำให้ไม่จำเป็นต้องใช้คีย์การกู้คืน(recovery keys) ที่เก็บไว้ ภายนอก

เมื่อคุณซื้ออุปกรณ์ที่เข้ารหัสด้วยฮาร์ดแวร์ ตรวจสอบให้แน่ใจว่าอุปกรณ์นั้นใช้ AES-256 บิตหรือเป็นไปตาม FIPS คำแนะนำหลักของฉันในแง่ของบริษัทที่น่าเชื่อถือคือIronKey

ที่เก็บข้อมูลเข้ารหัสของ ironkey

พวกเขาอยู่ในธุรกิจมาเป็นเวลานานและมีผลิตภัณฑ์ด้านความปลอดภัยที่สูงมากสำหรับผู้บริโภคไปจนถึงองค์กร หากคุณต้องการแฟลชไดรฟ์ที่ปลอดภัยจริง ๆ และไม่ต้องการทำเอง นี่คือตัวเลือกที่ดีที่สุด ไม่ถูก แต่อย่างน้อยคุณก็รู้สึกดีที่ข้อมูลของคุณถูกเก็บไว้อย่างปลอดภัย

คุณจะเห็นตัวเลือกราคาถูกมากมายในเว็บไซต์เช่นAmazonแต่ถ้าคุณอ่านบทวิจารณ์ คุณจะพบว่าคนที่ "ตกใจ" เมื่อเกิดอะไรขึ้นและพวกเขาสามารถเข้าถึงข้อมูลได้โดยไม่ต้องพิมพ์รหัสผ่านหรือ สิ่งที่(password or something)คล้ายกัน

หวังว่าบทความเชิงลึกนี้จะช่วยให้คุณมีความคิดที่ดีเกี่ยวกับวิธีเข้ารหัสข้อมูลในแฟลชไดรฟ์และเข้าถึง(drive and access)อย่างปลอดภัย หากคุณมีคำถามใด ๆ โปรดแสดงความคิดเห็น สนุก!



ชนิภา ดิเรกวิทยา

About the author

ฉันเป็นช่างคอมพิวเตอร์ที่มีประสบการณ์มากกว่า 10 ปี รวมถึง 3 ปีในฐานะพนักงานสาขา員 ฉันมีประสบการณ์ทั้งในอุปกรณ์ Apple และ Android และมีทักษะพิเศษในการซ่อมและอัพเกรดคอมพิวเตอร์ ฉันยังสนุกกับการดูภาพยนตร์บนคอมพิวเตอร์และใช้ iPhone เพื่อถ่ายภาพและวิดีโอ


Related posts