網絡服務多不勝數,要使用個人化服務就要註冊。有些人過往會「一個密碼走天涯」,不過這樣一旦一個網站被駭,可能會連累多個帳戶被連鎖式騎劫,所以網絡保安專家都會呼籲大家不要重用密碼。不過密碼多起來,不止記住它們有困難,連保存管理都會變得好麻煩。因此「密碼管理軟件」變成現代人愈來愈重要的工具。今期我們趁新年除舊迎新,打造一套適合自己的私有雲密碼管理方案。
一套完整的密碼管理包括一個安全的密碼庫、一個可以跨平台使用的密碼管理軟件,和一個可以安全保管備用驗證碼等機密文件的儲存空間。使用時,大家只需要記住一個主密碼,甚至透過指紋認證等免密碼方式就能解鎖,並透過自動填寫功能自動輸入登入資料。
跨平台密碼管理 全四講
一:平台大比拼
二:Qsync 同步
三:1Password
四:密碼同步
密碼管理大原則
不要重用密碼
《 PCM 》近年經常報道多宗網站資料洩漏的新聞,雖然大網站保存上可能會將密碼先進行雜湊,但小網站就很難擔保會有同樣級數的保安,而且可能沒有被報道出去。暗網上就充滿了駭來的用戶資料供買賣,用戶如果「一個密碼走天涯」,一旦小網站洩漏密碼,駭客就可以用它到不同社交網站以至網上銀行來嘗試登入,後果非同小可。
密碼「亂」中有法
今時今日電腦效能已經相當高,加上人工智能的幫助,一串 8 位字母只要幾分鐘以至幾秒就能拆解,所以決定密碼時一定要盡量避免字典裡能完全查得到的字,而且還要混雜大小寫、數字和符號,就能大大提升密碼破解的難度。
當然這可能會讓密碼並不容易記住。簡單的設計原則可以是將自己印象很深的字串和那個網站的名稱按字音分拆並加入大小寫,再混雜自訂規則的符號和數字,例如 John 想要開個淘寶( TaoBao )戶口,用「 Jo_Tao#1234#Bao_hn 」可能是不錯的選擇,記住一套法則比逐個密碼去記容易。
多因素驗證絕對要用
由於今時今日單一密碼的保護效果已經愈來愈低,很多網站都會提供「雙重密碼」以至「多因素驗證」功能,以只有帳戶擁有人才知道的一次性密碼來驗證登入。大公司可能會用上成本高的短訊來發送一次性密碼,小網站也可以整合 RFC6238 TOTP 算法,透過 Authenticator 手機軟件如《 Google Authenticator 》取得一次性密碼。如果你所用的網絡服務有提供「多因素驗證」就一定要用!
定期更換密碼
密碼一旦長期使用,被人猜中的機會率就會與日俱增,身邊人偷看到密碼的機會也很大。昔日長期不換密碼的經典例子是灣仔警察總部鄰接公園的後門密碼,以前是不少灣仔金鐘一帶上班族的午飯捷徑。定期更換密碼可以減少密碼被重用的風險,即使對方一時知道密碼,過一會便不能再利用,會起到一定保護作用。
保留密碼履歷好重要
你有沒有收過一些恐嚇電郵說你的密碼已被破解,要求你支付贖金?電郵中很多時還會附有其中一個你去過的網站的密碼。你可能會給這種電郵嚇了一跳。那個密碼可能是從保安不足的小網站駭來,或者透過暗網買來。不過如你有遵守上面提過不重用密碼的原則,並且每次更換密碼都有保留密碼履歷,一旦收到這種恐嚇信就可以立即查出那個密碼的洩漏渠道和波及範圍,從而採取適當的補救措施。
密碼管理方案比較
沒錯,嚴格管理的密碼一定不好記!加上數量的話根本不可能一一記下。這個時候,你需要一個幫你記住密碼又容易存取的密碼庫。當然,現在 iPhone 的備忘錄可以上鎖又可以透過 iCloud 傳送到手上各個 Apple 裝置,看來是不錯的密碼庫選擇。不過我們對密碼庫還有更多要求!
存放位置
密碼庫放置的位置也是要考慮的地方,現時最方便的當然是專門的密碼管理服務供應商,例如 1Password 之類,好處是容易管理,便攜性也高,缺點是密碼放在人家手上,擔心對方會惡意運用,又或者因被駭客集中攻擊而洩漏。放在自己家裡一般的電腦對損壞的抗性不足,而且很多時要與家人共用電腦,秘密程度有限。
加密
如果密碼只以平文來儲存,一旦裝置或檔案遺失,豈不所有密碼都給人看光光?!嚴謹的密碼庫所保存的密碼必須要經過加密,而且最好是用上 128 bits 以上的加密算法,這樣即使密碼庫檔案被盜也沒那麼輕易被破解。加上使用 BitLocker ( Windows 10 Pro )或 FileVault ( macOS )的整碟加密就萬無一失了。
便攜性
現代人手上有很多電腦裝置:枱機、筆電、手機、平板,甚至電視都可以上網登入服務,所以密碼管理也講究便攜性,跨平台存取或同步是必要的,也希望可以自動填寫以免被旁人偷看或鍵盤側錄,如果連 TOTP 一次性密碼都能一併保存就更方便了。
中央遙距管理
如果密碼庫採用跨平台同步的方式來的話,還需要留意裝置遺失時密碼可能會一併落入壞人手上。手機的話 iOS 和 Android 平台都有遠端清除手機內容的功能,不過電腦就可能會沒有類似功能。不過如果電腦是以 NAS 的檔案同步功能如 QNAP NAS 的 QSync 來同步的話,就可以用到 QSync Central 的遠端銷毀功能來清除遺失電腦的密碼庫。
其他類型機密檔案的保存
今時今日的網絡服務要保存的不單是一串密碼字串,例如有多因數驗證的網絡服務通常都會有「備用檢驗證碼」文件,另外還有各種密鑰、證書等檔案都需要小心保存,這些東西雖然不需要考慮便攜性,但放在甚麼地方其實跟密碼庫存放位置一樣重要。
現時可以選擇放置密碼庫的地方主要有五種:
1. 家中電腦
私密性:★★★★☆
可攜性:★★☆☆☆
抗損壞:★☆☆☆☆
中央管理:★★☆☆☆
跨平台方式:自行拷貝/Wi-Fi 同步
保存其他機密檔案:★★★☆☆
家中電腦好處是「基本上」是私密的,不過這要看是否與家人共用。一般來說 Windows 提供的便攜性很低,通常都是以拷貝方式同步密碼庫。一般人家中電腦最大的問題就是抗損壞的能力很低,一旦死了硬碟就會化為烏有。
2. iPhone Keychain
私密性:★★★★☆
可攜性:★★☆☆☆
抗損壞:★★★☆☆
中央管理:★★☆☆☆
跨平台方式:雲端同步
保存其他機密檔案:☆☆☆☆☆
iPhone 內有一粒 T2 安全晶片,專門負責密碼管理和加密,保安程度是很高的。可惜就無法與 Windows 、 Android 協同使用,所以便攜性很低。而備用驗證碼等機密文件存放在手機也不理想。
3. NAS 私有雲
私密性:★★★★☆
可攜性:★★★☆☆
抗損壞:★★★★☆
中央管理:★★★★☆
跨平台方式:Wi-Fi 同步/雲端同步
保存其他機密檔案:★★★★★
以 NAS 來建立私有雲表面上跟家中電腦差不多,但實際上由於 NAS 專為儲存而設計,用上 Raid 1 或以上就有一定抗損壞的能力,像 QNAP 的 NAS ,有整個磁碟區加密、電腦間跨平台同步、遠端銷毀、用戶區隔、快照備份等功能應有盡有,可以連同密鑰、證書等一拼儲存,是安置密碼庫的不錯選擇。不足之處是礙於 iOS 限制而令它與手機密碼管理軟件之間無法直接同步,需要透過像 1Password 的 WLAN Server 之類功能來解決。
4. 雲端空間
私密性:★★★☆☆
可攜性:★★★★☆
抗損壞:★★★★★
中央管理:★★★☆☆
跨平台方式:雲端同步
保存其他機密檔案:★★★☆☆
雲端空間現在用起來非常方便,跨平台同步的能力很高,例如 Dropbox 就可以直接與 1Password 同步密碼庫,用起來很簡單。不過有些功能需要付費用戶才能享用,例如連接多過三部裝置、遠端銷毀等。另外, Dropbox 也曾發生用戶資料洩露事故,這也是必須考量的。
5. 密碼管理服務
私密性:★★★☆☆
可攜性:★★★★★
抗損壞:★★★★★
中央管理:★★★☆☆
跨平台方式:雲端同步/Wi-Fi 同步
保存其他機密檔案:★★★☆☆
最方便的密碼管理當然是直接使用密碼管理供應商的雲端服務了,甚麼也不用煩。問題是你是否信得過把密碼都放在該公司。另外你也要注意由於需要雲端存取密碼,一旦你去到國內等互聯網不開放的地區,密碼同步就可能會出問題,而這些供應商通常都會提供選擇,讓你決定去旅行時是否保留密碼庫在裝置裡。