特別報導

【TIME】【FORTUNE】全球中文獨家授權

使用了「密碼管理員」,就可以百分之百放心嗎?

2019/05/19 ,

評論

FORTUNE

Photo Credit: depositphotos

FORTUNE

財星雜誌是商業財經媒體中的全球領導者,旗艦內容包含全球前五百大企業報導、百大最佳企業雇主。

我們想讓你知道的是

密碼管理員一定安全嗎?駭客有辦法取得你存在密碼管理員中的密碼嗎?秘訣是你不只要保護密碼,還要保護你的密碼管理員。

文:LANCE WHITNEY
譯:彭于庭

你有沒有把密碼設成12345或是ABCDE過?如果有的話,那你並不孤單。有太多人的密碼很弱或是一模一樣,而且可能同一人的許多帳戶都用相同的密碼。

這等於是對駭客打開大門,讓他們很容易就取得你的密碼。使用密碼管理員可能是種解決之道,因為密碼管理員可以在你使用的所有網站上產生並管理安全性高且複雜的密碼。

但是密碼管理員一定安全嗎?駭客有辦法取得你存在密碼管理員中的密碼嗎?秘訣是你不只要保護密碼,還要保護你的密碼管理員。在網路上你可以找到五花八門的密碼管理員,有些是免費的,不過大部分都要繳年費或是月費。

當中比較受歡迎的有LastPass、1Password、Dashlane、RoboForm、Keeper Security、KeePass和Sticky Password。他們的運作模式大同小異,也就是透過該密碼管理員來產生某網站的安全密碼,然後你的帳號和密碼會儲存在密碼管理員的資料庫中,也可能存在雲端。

當你進入某網站時,你的帳號和密碼會自動輸入,然後就可以登入了。多數的密碼管理員都適用於Windows、macOS、iOS、和Android系統,以便民眾在所有裝置和瀏覽器做使用。

那如果有人駭進你的電腦或手機怎麼辦?駭客可以打開密碼管理員來竊取你所有的密碼嗎?想當然爾,你首先必須用密碼、PIN碼、指紋、臉部辨識等方式,保護好你的所有裝置。

你會需要一個安全性高的主密碼來保護密碼管理員。主密碼就像密碼管理員的門鎖,只有知道(或猜到)主密碼的人才能知道你的所有密碼。

提高密碼的安全性

請遵守以下幾個簡單原則,來保護你複雜的密碼。

你的主密碼必須比其他密碼更安全,也就是說主密碼要長一些,至少要12碼。或者要包含大小寫的英文字母和特殊符號。

你也可以隨機結合幾個單字,這可能比一串複雜密碼更安全。另外,即使你忘記主密碼,密碼管理員也不能允許重置或找回原先的密碼。

最重要的是,千萬別忘了你的主密碼。

密碼管理員會保護你的主密碼。多數密碼管理員都支援你手機或電腦內建的登入方式,例如PIN碼、指紋辨識、臉部辨識等,你一定要善用這項功能。

說到這裡,到底主密碼(即使安全性很高)容不容易被駭客取得?獨立安全評鑑公司(Independent Security Evaluators,以下簡稱ISE)的研究員,於2月發現好幾個密碼管理員在上鎖以後,還是以純文字的方式將主密碼存在電腦的記憶體裡。

也就是說有能力、有工具、有權限進入你電腦的人,不管是否透過遠端的方式,都可能取得你的主密碼。

據該研究的首席研究員阿德里安・貝德納雷克(Adrian Bednarek)表示,LastPass和RoboForm兩個密碼管理員已經解決此問題。其他密碼管理員可能一開始就沒有此問題、正在修復中,或是還沒有找到解決方式。貝德納雷克表示,ISE計劃在秋季進行一項後續追蹤研究,來看看這些密碼管理員是否已經能保護好主密碼。

不管你使用哪種密碼管理員,永遠要記得使用安全性強的密碼或是程式,防止他人用任何方式未經准許進入你的3C裝置。

越來越多的密碼管理員採取雙重身分驗證的方式,以增加安全性。啟用身分驗證後,只要使用新的裝置登入,你就會收到手機驗證碼。即使他人有辦法取得你的主密碼,他無法在沒有手機驗證碼的情況下,查看你的帳戶或資料。如果你的密碼有提供此功能,請務必啟用該功能。

打擊駭客

假設你已經盡可能地保護好你的密碼管理員,那你存在雲端裡的密碼呢?除了密碼管理員將密碼儲存在裝置裡之外,多數程式和網頁將密碼存在雲端。

根據ISE的研究,將密碼存在裝置中是比較安全的做法,因為別的裝置無法直接取得你的密碼。但這也代表在不同裝置之間共享或同步更新密碼是很困難的。如果你手上有好幾台電腦或手機,將資料存在雲端代表你可以在不同裝置間存取你的密碼,那這會是較方便的做法。

如果有人駭進密碼管理員的資料庫怎麼辦?

首先,不管是將密碼存到雲端或是裝置裡,你都需要一個複雜、安全性高的主密碼,當然主密碼越安全越好。

第二,將密碼儲存在雲端或在不同裝置間同步密碼時要特別小心。當然,你的資料不可能百分之百安全。LastPass就已經發現安全漏洞,而另一個密碼管理員OneLogin也是。但是,目前沒有密碼管理員資料外洩,導致使用者密碼被竊取的事件傳出。

沒錯,使用密碼管理員有利有弊。我們必須了解世界上沒有百分百安全的的措施,只有較好或較差的處理方式。而且如果你本身的密碼就很容易被破解,那麼使用密碼管理員的風險還是小的多。

在所有的網站都支援更完善的驗證方式之前,我們還是得使用密碼。所以就目前而言,選一個好的密碼管理員,並盡可能地保護好它會是你的最佳選擇。

© 2019 Time Inc. 版權所有。經Time Inc.授權翻譯並出版,嚴禁未經書面授權的任何形式與語言版本轉載。

責任編輯:朱家儀
核稿編輯:翁世航

專題下則文章:

導致數十起死亡與嚴重傷害事件,美國FDA對三款安眠藥發出「黑盒警示」



【TIME】【FORTUNE】全球中文獨家授權:

《關鍵評論網》獨家獲得時代雜誌與財星雜誌全球中文數位版授權,將每日提供兩大媒體品牌文章的中文譯文,題材涵蓋國際政治、財經、科技、文化、歷史、生活、娛樂等各領域。

看完整特別報導