習慣使用密碼管理器
文:薯伯伯
最好的密碼,是連自己也記不住的密碼。例如我 Facebook 上一次的密碼是:
ukjPLMENnrNmPYXCLFKNXMD{u#Z8F6ik,49LpXLyFkMs??QHJYqEFNJmy3d6Q$cH
密碼共有 64 位,加上大小寫字母,數字及符號。萬一有人逼供要我交出密碼,我也愛莫能助,因為連我自己也記不住。最好的密碼,是自己都記不住密碼,所以必須要使用密碼管理器(Password Manager)。
經常有人問我,把密碼放進密碼管理器,會否反而更不安全呢?但在資訊安全方面的考慮,不是說完全排除所有風險,而是相對的情況作比較。例如用戶擔心密碼管理器不安全,那麼會如何做呢?
用紙和筆寫下密碼?
用純文字檔案記下密碼?
用純文字檔案記下密碼,再把該檔案加密?
在不同網站用上大同小異的密碼,例如 abcde, Abcde123, Abcde123!@# 等?
抑或是經常處於「登入」狀態,乾脆避免經常要打密碼?
如果你都有以上習慣,那就不應該質疑密碼管理器是否安全,因為密碼管理器比以上其他方法都安全得太多太多倍。
推介使用軟件:1Password
https://1password.com/
(順便分享一個小秘技,有時申請服務前,去 https://slickdeals.net/ 搜尋一下,或許能找到一些折扣優惠,或更長的免費試用期。另外,在 1Password 可以容許用戶匯出資料,再匯入到另一平台,所以用了它,以後不喜歡,也可以輕易轉台。)
1Password 這個軟件,顧名思義,就是說你只要記住一個打開密碼管理器的密碼,就可以打開其他網站的密碼。坊間有不少密碼管理器,但我比較推介 1Password,因為介面相對簡單易用,最易入口,而且可以選擇把密碼檔案加密並存儲到雲端,跨平台使用較方便,可以把密碼同步到 Mac, Windows, iOS, Android 等平台。
剛開始時,我建議大家先開一個 1Password 的戶口,以後到訪任何已登記的網站時,選擇「忘記密碼」或「重設密碼」,然後用密碼管理器製造一條隨機的密碼,再記錄下來。我覺得在電腦上去做這些過程,比手機操作稍微方便一些。
至於密碼管理器本身是否安全,尤其是把你的密碼倉褲(vault)放上雲端。近日黑警肆虐(我指的是黑色暴雨警告),大家對雲端有疑慮也屬正常。不過密碼倉庫本身有加密,而你必須好好保管加密的鑰匙(secret key)。即使別人取得你的主密碼,但想在其他電腦打開密碼倉庫,還是需要該鑰匙。
使用密碼管理器,要有心理準備,整個轉移過程要花些心機及耐性,但是成功使用後,當你可以輕鬆登入任何網站,你會覺得花時間去研究密碼管理器是值得的。
* * *
另外,1Password 本身有個博客介紹計劃,說只要我推介一個人,就會有兩美金或年金的 25% 作報酬,但我在寫這個資訊安全系列的文章時,寧願不提供任何介紹碼,那麼大家看到我推介一些 app 或服務時,就知我是因為認為該服務值得推介,而非其他金錢誘因。
我覺得現在這樣較好,大家在 Patreon 上支持我,我又可以不受干預地去發掘不同的題材,繼續寫作。
https://www.patreon.com/posts/38002570
密碼真係好難搞,我睇完都研究緊,同埋如果有NAS將個密碼庫擺係自己度會唔會仲好啲?
理論上越少雲端越好,但係因為我覺得備份呢一點,好多用戶未必識做,所以用少少雲端輔助都可以。
如果你可以唔用雲端,建議用 KeepassXC。
請問你對Kaspersky嘅Password Manager 有冇咩意見?
我本身無用 Kaspersky 嘅軟件,但呢間公司同俄羅斯有點關連,雖然冇證據顯示佢哋將資料交俾政府,但係我用嘅時候都會相對較為小心。係網絡科技界對呢一間公司有唔同嘅意見,不妨參考一下。以下嘅連結主要係針對該公司旗下嘅防毒軟件:https://www.tomsguide.com/us/is-kaspersky-safe,news-25983.html
我建議你不妨睇下 Bitwarden 免費版本,用過覺得好之後先至用收費版本。
chrome/edge 都會儲存低你用過O既密碼, Windows Hello 可以當鑰匙用; iOS 都有類似功能
如果可以嘅話,最好避免用 browser 或 OS 指定嘅 password manager
你認為SplashID 點?
呢個我無用過,比較少人提,好似只支援 SMS/EMail 嘅 2FA,我比較喜歡可以支援 Yubikey 嘅二步認證。
可以用 Yubikey 來保護 1Password 嘅 login 嗎?
可以的。