零基資安訓練營(六):習慣使用密碼管理器
文:薯伯伯
最好的密碼,是連自己也記不住的密碼。例如我 Facebook 上一次的密碼是:
ukjPLMENnrNmPYXCLFKNXMD{u#Z8F6ik,49LpXLyFkMs??QHJYqEFNJmy3d6Q$cH
密碼共有 64 位,加上大小寫字母,數字及符號。萬一有人逼供要我交出密碼,我也愛莫能助,因為連我自己也記不住。最好的密碼,是自己都記不住密碼,所以必須要使用密碼管理器(Password Manager)。
經常有人問我,把密碼放進密碼管理器,會否反而更不安全呢?但在資訊安全方面的考慮,不是說完全排除所有風險,而是相對的情況作比較。例如用戶擔心密碼管理器不安全,那麼會如何做呢?
用紙和筆寫下密碼?
用純文字檔案記下密碼?
用純文字檔案記下密碼,再把該檔案加密?
在不同網站用上大同小異的密碼,例如 abcde, Abcde123, Abcde123!@# 等?
抑或是經常處於「登入」狀態,乾脆避免經常要打密碼?
如果你都有以上習慣,那就不應該質疑密碼管理器是否安全,因為密碼管理器比以上其他方法都安全得太多太多倍。
推介使用軟件:1Password
https://1password.com/
(順便分享一個小秘技,有時申請服務前,去 https://slickdeals.net/ 搜尋一下,或許能找到一些折扣優惠,或更長的免費試用期。)
1Password 這個軟件,顧名思義,就是說你只要記住一個打開密碼管理器的密碼,就可以打開其他網站的密碼。坊間有不少密碼管理器,但我比較推介 1Password,因為介面相對簡單易用,最易入口,而且可以選擇把密碼檔案加密並存儲到雲端,跨平台使用較方便,可以把密碼同步到 Mac, Windows, iOS, Android 等平台。
剛開始時,我建議大家先開一個 1Password 的戶口,以後到訪任何已登記的網站時,選擇「忘記密碼」或「重設密碼」,然後用密碼管理器製造一條隨機的密碼,再記錄下來。我覺得在電腦上去做這些過程,比手機操作稍微方便一些。
至於密碼管理器本身是否安全,尤其是把你的密碼倉褲(vault)放上雲端。近日黑警肆虐(我指的是黑色暴雨警告),大家對雲端有疑慮也屬正常。不過密碼倉庫本身有加密,而你必須好好保管加密的鑰匙(secret key)。即使別人取得你的主密碼,但想在其他電腦打開密碼倉庫,還是需要該鑰匙。
使用密碼管理器,要有心理準備,整個轉移過程要花些心機及耐性,但是成功使用後,當你可以輕鬆登入任何網站,你會覺得花時間去研究密碼管理器是值得。
延伸閱讀:
密碼設定的常識及密碼管理器的介紹,參考 Codybase 這篇文章:
〈容易被遺忘的資安措施:密碼管理器 Password Manager〉
https://codybase.com/blog/you-should-never-reuse-password-again-start-using-password-manager
* * *
另外,1Password 本身有個博客介紹計劃,說只要我推介一個人,就會有兩美金或年金的 25% 作報酬,但我在寫這個資訊安全系列的文章時,寧願不提供任何介紹碼,那麼大家看到我推介一些 app 或服務時,就知我是因為認為該服務值得推介,而非其他金錢誘因。
如果大家想支持我的寫作,請訂閱 Patreon 頻道,支持不受干預的獨立創作、分析及評論。 http://patreon.com/pazu
Search