習慣使用密碼管理器
文:薯伯伯

最好的密碼,是連自己也記不住的密碼。例如我 Facebook 上一次的密碼是:

ukjPLMENnrNmPYXCLFKNXMD{u#Z8F6ik,49LpXLyFkMs??QHJYqEFNJmy3d6Q$cH

密碼共有 64 位,加上大小寫字母,數字及符號。萬一有人逼供要我交出密碼,我也愛莫能助,因為連我自己也記不住。最好的密碼,是自己都記不住密碼,所以必須要使用密碼管理器(Password Manager)。

經常有人問我,把密碼放進密碼管理器,會否反而更不安全呢?但在資訊安全方面的考慮,不是說完全排除所有風險,而是相對的情況作比較。例如用戶擔心密碼管理器不安全,那麼會如何做呢?

用紙和筆寫下密碼?

用純文字檔案記下密碼?

用純文字檔案記下密碼,再把該檔案加密?

在不同網站用上大同小異的密碼,例如 abcde, Abcde123, Abcde123!@# 等?

抑或是經常處於「登入」狀態,乾脆避免經常要打密碼?

如果你都有以上習慣,那就不應該質疑密碼管理器是否安全,因為密碼管理器比以上其他方法都安全得太多太多倍。

推介使用軟件:1Password

https://1password.com/

(順便分享一個小秘技,有時申請服務前,去 https://slickdeals.net/ 搜尋一下,或許能找到一些折扣優惠,或更長的免費試用期。另外,在 1Password 可以容許用戶匯出資料,再匯入到另一平台,所以用了它,以後不喜歡,也可以輕易轉台。)

1Password 這個軟件,顧名思義,就是說你只要記住一個打開密碼管理器的密碼,就可以打開其他網站的密碼。坊間有不少密碼管理器,但我比較推介 1Password,因為介面相對簡單易用,最易入口,而且可以選擇把密碼檔案加密並存儲到雲端,跨平台使用較方便,可以把密碼同步到 Mac, Windows, iOS, Android 等平台。

剛開始時,我建議大家先開一個 1Password 的戶口,以後到訪任何已登記的網站時,選擇「忘記密碼」或「重設密碼」,然後用密碼管理器製造一條隨機的密碼,再記錄下來。我覺得在電腦上去做這些過程,比手機操作稍微方便一些。

至於密碼管理器本身是否安全,尤其是把你的密碼倉褲(vault)放上雲端。近日黑警肆虐(我指的是黑色暴雨警告),大家對雲端有疑慮也屬正常。不過密碼倉庫本身有加密,而你必須好好保管加密的鑰匙(secret key)。即使別人取得你的主密碼,但想在其他電腦打開密碼倉庫,還是需要該鑰匙。

使用密碼管理器,要有心理準備,整個轉移過程要花些心機及耐性,但是成功使用後,當你可以輕鬆登入任何網站,你會覺得花時間去研究密碼管理器是值得的。

* * *

另外,1Password 本身有個博客介紹計劃,說只要我推介一個人,就會有兩美金或年金的 25% 作報酬,但我在寫這個資訊安全系列的文章時,寧願不提供任何介紹碼,那麼大家看到我推介一些 app 或服務時,就知我是因為認為該服務值得推介,而非其他金錢誘因。

我覺得現在這樣較好,大家在 Patreon 上支持我,我又可以不受干預地去發掘不同的題材,繼續寫作。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *