Pazu 薯伯伯

Pazu 薯伯伯

旅遊寫作人,為最早一批在網上連載遊記的香港人,多年來足迹遍佈歐、亞多國,在喜馬拉雅山麓、東南亞、南亞等地區生活。著有《風轉西藏》、《北韓迷宮》、《西藏西人西事》及《不正常旅行研究所》,分別在香港、北京及首爾出版。作者 Facebook:https://www.fb.com/pazukong;網誌:https://pazu.com/blog;Pazu 兒歌網:https://www.pazu.com;相集:https://www.instagram.com/pazu;Patreon 頻道:https://www.patreon.com/pazu

2020/6/8 - 17:25

零基資安訓練營(六):習慣使用密碼管理器

圖片來源:1Password Facebook 專頁

圖片來源:1Password Facebook 專頁

最好的密碼,是連自己也記不住的密碼。例如我 Facebook 上一次的密碼是:

ukjPLMENnrNmPYXCLFKNXMD{u#Z8F6ik,49LpXLyFkMs??QHJYqEFNJmy3d6Q$cH

密碼共有 64 位,加上大小寫字母,數字及符號。萬一有人逼供要我交出密碼,我也愛莫能助,因為連我自己也記不住。最好的密碼,是自己都記不住密碼,所以必須要使用密碼管理器(Password Manager)。

廣告

經常有人問我,把密碼放進密碼管理器,會否反而更不安全呢?但在資訊安全方面的考慮,不是說完全排除所有風險,而是相對的情況作比較。例如用戶擔心密碼管理器不安全,那麼會如何做呢?

用紙和筆寫下密碼?
用純文字檔案記下密碼?
用純文字檔案記下密碼,再把該檔案加密?
在不同網站用上大同小異的密碼,例如 abcde, Abcde123, [email protected]# 等?
抑或是經常處於「登入」狀態,乾脆避免經常要打密碼?

如果你都有以上習慣,那就不應該質疑密碼管理器是否安全,因為密碼管理器比以上其他方法都安全得太多太多倍。

推介使用軟件:1Password

(順便分享一個小秘技,有時申請服務前,去 Slickdeals 搜尋一下,或許能找到一些折扣優惠,或更長的免費試用期。)

1Password 這個軟件,顧名思義,就是說你只要記住一個打開密碼管理器的密碼,就可以打開其他網站的密碼。坊間有不少密碼管理器,但我比較推介 1Password,因為介面相對簡單易用,最易入口,而且可以選擇把密碼檔案加密並存儲到雲端,跨平台使用較方便,可以把密碼同步到 Mac、Windows、iOS、Android 等平台。

剛開始時,我建議大家先開一個 1Password 的戶口,以後到訪任何已登記的網站時,選擇「忘記密碼」或「重設密碼」,然後用密碼管理器製造一條隨機的密碼,再記錄下來。我覺得在電腦上去做這些過程,比手機操作稍微方便一些。

至於密碼管理器本身是否安全,尤其是把你的密碼倉庫(vault)放上雲端。近日黑警肆虐(我指的是黑色暴雨警告),大家對雲端有疑慮也屬正常。不過密碼倉庫本身有加密,而你必須好好保管加密的鑰匙(secret key)。即使別人取得你的主密碼,但想在其他電腦打開密碼倉庫,還是需要該鑰匙。

使用密碼管理器,要有心理準備,整個轉移過程要花些心機及耐性,但是成功使用後,當你可以輕鬆登入任何網站,你會覺得花時間去研究密碼管理器是值得。

延伸閱讀:
密碼設定的常識及密碼管理器的介紹,參考 Codybase 這篇文章:〈容易被遺忘的資安措施:密碼管理器 Password Manager〉


另外,1Password 本身有個博客介紹計劃,說只要我推介一個人,就會有兩美金或年金的 25% 作報酬,但我在寫這個資訊安全系列的文章時,寧願不提供任何介紹碼,那麼大家看到我推介一些 app 或服務時,就知我是因為認為該服務值得推介,而非其他金錢誘因。

 

零基資安訓練營系列

作者 Facebook / Patreon