Keepass Password Safe

其實以前一直都使用著固定幾組的通用密碼,我想一般人和我一樣,只有二、三組,頂多四、五組密碼,然後每個網站都是用同樣的這些密碼。

而且為了好記,其實是含有一些複雜度不那麼高的單字和數字在裡面。畢竟如果完全的亂碼,還真的記不太起來又不好輸入。當然這裡面有一些技巧在裡面,讓它好記可是又夠亂,例如說使用一般單字,但是錯誤的文法來製造密碼串,或者說以我們台灣人來說,用注音的拆碼,來增加密碼的亂度。但是不管怎樣,人腦記憶有限,很多網站都必需共用這些密碼。

這有什麼風險呢?當你使用相同密碼的網站越多時,由於你通常也是使用相同的 id 或 email ,你的帳號密碼組合被偷走而導致許多網站帳號同時被駭的機率就大增。就算到了 2012 年的今年,還是有許許多多的網站使用明碼,或用可以還原的加密來儲存使用者密碼。一旦被駭,使用者的密碼也同時完全曝光。更別提一些來路不明的情色、盜版軟體論壇,會不會有一些是駭客故意開來收集帳號密碼個資的,你也不曉得。

其結果,就是你的通用帳密曝露在極高的風險之下。

安全性這種東西,一般來說,一定是越安全就越麻煩,想要越方便,就一定越不安全,所以我們只能取得一個相對的平衡點。

要每個網站都使用不同的密碼,人腦的記憶容量有限,如果筆記本裡面記著帳號密碼,也不怎麼高明(筆記本被偷看就完了)。其中一個解決方案就是,把你的帳號密碼存在一個資料檔中加密起來,你只要想一組,只要一組夠強夠亂的主密碼(master password),拿來加密你的密碼資料檔,需要使用密碼的時候再將它解開。

想要達到這種目的,市面上也有 lastpass, roboform 之類的付費程式。不過我對這種東西一向有疑慮,因為你不了解他同步的技術細節,難保他後面不會有問題。例如說,有人就說過以前 Google Browse Sync,密碼同步是用明碼存在雲端(大汗),雖然真實性不明,也還真的很有可能。

所以後來選來選去,就看中了這套叫做 Keepass Password Safe 的軟體。並不是非常跨平台,但是至少目前我使用的 Windows/Linux/Android 都勉強能用。雖然比起 lastpass 或 roboform ,功能上較弱,但是因為公開原始碼和技術細節,至少用起來比較安心,麻煩之處就靠黑手工程師的功力來補足了。

其實很多人介紹過,應該不需要花太多篇幅,但是還是簡介一下。

總之,有了這個軟體,你可以為每一個網站產生完全亂數的密碼,預設是20碼大小寫英數組合。根據網站對於密碼字元和長度的要求,也可以用 password manager 自行產生適合的密碼。

除了每個網站都有專用的密碼,「夠亂」這一點也是很重要的。以現在的技術,就算密碼用 hash 儲存,但是不夠亂的密碼,萬一駭客取得 hash,搭配 rainbow table,你的密碼就和明碼沒什麼兩樣。

Keepass 考慮了很多安全方面的問題,例如說幾分鐘沒用,資料檔就自動上鎖。另外若將密碼拷貝到剪貼簿,一定的時間之後會將剪貼簿清除,提高安全性。另外,雖不像 lastpass 那麼方便,但是便利性也還是足夠,他在 Windows 底下可以比對視窗的標題,然後根據你設定的序列,自動幫你輸入密碼。

如果需要在不同的電腦之間同步,我個人使用 dropbox 同步,這樣我在每台電腦都可以存取 keepass 的資料檔了。

對安全性比較偏執的人,除了主密碼之外,可以額外選擇做一支密鑰來加密資料檔。當然前面說過,要安全就是會比較不方便,既然你用了密鑰,就不該同步到 dropbox 上,而應該使用隨身碟之類的東西來儲存,要用的時候才插上電腦。我個人選擇不使用,其理由是萬一密鑰遺失或損壞,那我的 dropbox 資料檔也同時就沒用了,我還不太想考驗每個網站的 "forgot password" 功能,因為就經驗來說,真的用到的時候,至少有 1/10 的網站是有點問題的。

除了密鑰,還有一個選擇是可以「綁定」你的 Windows 帳號。只要不是這台電腦的這個帳號,檔案就打不開,當然這就會喪失能夠同步的便利性,而且同理,只要這台電腦或該帳號損壞,你的資料檔也就變成垃圾了。

目前用了二個多月,想到就設,我想應該還有很多網站沒設進去。要不要猜猜看我設了幾組密碼進去? 答案是總共 150 組。也許一般人不會那麼多,但是說真的,有 30~50 組也是非常正常的,要不要考慮換個保管密碼的方式呢?

留言

  1. [...] 上次才說為了密碼安全開始用Keepass2,今天網路上就爆發出linkedin密碼流出事件。 [...]

    回覆刪除

張貼留言

這個網誌中的熱門文章

文言文

談談台灣人使用統傳漢字的優越心態

台灣工程師常唸錯的英文單字