密碼管理一直是我很有興趣且持續思考的議題,或許你也是,我多半用 KeePass 來管理不同服務的帳號密碼,好處是我不用記住每一組密碼,且能依照需產生難度更複雜(安全係數更高)的隨機密碼組合,我會選擇軟體而不是網路服務的原因在於:我認為密碼檔應盡可能被越少人取得越好,即使經過加密,仍有外流被有心人取得的風險。
後來我又介紹了另一款「Master Password 忘掉你的密碼吧!超簡單、聰明的跨平台密碼產生器」,是更貼近理想的密碼管理工具,不同於 KeePass 需要我們來自訂密碼,這個工具直接利用主密碼加入演算法,搭配字串來快速計算、產生出多種隨機密碼組合,這也表示使用者只要記住主密碼,就能夠算出每個你所使用的密碼,達成更安全又方便的目的。
最近我發現一個名為 Salty.PW 的線上工具,跟 Master Password 有些類似,運用一組基本密碼(Base Password)搭配輸入的網站名稱,就能「調製」出一個密碼組合。
然而在決定要相信這項服務前,有些事需要先釐清一下,特別是安全部分。
首先,Salty.PW 是一個開放原始碼專案,原始碼已經放在 GitHub,任何人都可以檢查程式碼,甚至下載備份或提交修改,亦能查看編輯歷史紀錄;再者,Salty.PW 所有計算密碼動作都在瀏覽器中完成,既不會保存你的基本密碼、網站名稱,也不會將結果傳送到任何伺服器上,這段過程是非常安全的。
最後你可能會問:如果 Salty.PW 網站消失或不幸斷線,那麼我的密碼是不是就無法取得呢?Salty.PW 是一個完全靜態的網站,也就是你能利用瀏覽器「另存網頁」功能,將網頁完整儲存到本機使用,甚至在沒有連上網路的環境,也可使用該網頁的演算功能來算出相同密碼組合。
或者你也能使用 GitHub 專案頁面的原始碼來建構出類似的密碼工具。
Salty.PW 網站上有明確的演算法說明,如果你有撰寫程式的能力,或許在幾分鐘之內就能將它實做出來,並不會太困難(但不表示 Salty.PW 產生密碼不夠安全)。
網站名稱:Salty.PW
網站鏈結:https://salty.pw/
使用教學
STEP 1
Salty.PW 使用上非常簡單,只要輸入你的主密碼(Base Password),然後加上一些些的 Salt ,這是什麼呢?網站建議你使用網站名稱做為 Salt,利用主密碼加上你輸入的名稱就能計算出一個特定的隨機密碼。
實際去操作一次,就會知道 Salty.PW 的實際用途了!當然你也可以把它拿來做為隨機密碼產生器,Salty.PW 產生的密碼皆有 10 個字元,混合大小寫字母、數字或是特殊符號,即使透過暴力破解方式也有一定的破解難度。
最後,我仍要再次提醒使用者:沒有任何一種防護措施 100% 安全!即使產生強度很高的密碼組合,還是有可能被使用任何方式破解,對於重要資料我認為應該謹慎處理,特別在保護上應該特別用心。
若你對於 Salty.PW 的密碼管理方式很有興趣,但又覺得線上工具不那麼安全,我會建議你使用 Master Password ,這是一個類似的密碼產生器,但不用連網就能使用。
值得一試的三個理由:
- 開放原始碼專案,每個人都能將檢視程式碼或下載使用
- 可將網頁完整保存,在沒連上網路時亦能計算密碼
- 產生的密碼複雜度高,混合大小寫字母、數字及特殊符號