Spectre 首頁寫道「我們堅信在應用程式儲存密碼、或將密碼全部上傳雲端是一場災難。唯一不會遺失、被盜用或被勒索強取的密碼是一個不存在的密碼」,聽起來很有意思對吧?現今絕大多數密碼管理工具都會聲稱以加密方式儲存使用者密碼,但很可能因為資安事件而遭到攻擊者竊取,即使加密也還是有諸多風險疑慮,因此不要將密碼保存在遠端伺服器,不過跨裝置使用時又很不方便,那有沒有更安全的密碼管理方式呢?
很久以前我寫過一篇「Master Password 忘掉你的密碼吧!超簡單、聰明的跨平台密碼產生器」,它其實就是以主密碼、使用者名稱製作出特定密碼組合的演算法,搭配上網站網址就成為獨一無二的密碼。使用者只需要記住自己的主密碼、全名即可重複演算出相同密碼,而且不需要連上網路、離線就能使用,不過也有缺點,若不幸將主密碼遺失,可能就無法產生同一組密碼。
Master Password 原理和「Salty.PW 讓你的密碼管理更簡單!以主密碼搭配網站名稱調製隨機密碼組合」密碼產生器類似,Salty.PW 是以基本密碼(Base Password)加上網站名稱來產生密碼,後者略為簡單一些,而且只有網頁版可用,儘管是離線服務、不會上傳或紀錄使用者資訊,但必須打開網頁才能取得密碼還是比較麻煩一些,不像是 Master Password 可以儲存密碼,每次開機後就不用重複輸入主密碼。
去年底開發者 Maarten Billemont 在官網公告「Spectre 將成為 Master Password」接續者,也是一個基於支持 Master Password 演算法的新平台,是一個完全重寫過、現代化的軟體套件,將取代原有軟體並實現未來將加入的所有新功能。維護和開發計畫將會側重於 Spectre ,建議 Master Password 使用者移轉到 Spectre。
如果你原本就在 iPhone / iPad 使用 Master Password App,移轉會很簡單,只要下載 Spectre 應用程式,開啟後將原有的資料匯入即可,這部分是全自動,幾乎沒有操作上的難度,而且新介面變得更好看。
可惜 Spectre 目前還沒有在各種平台完整推出(可能還要一段時間),因此也可選擇繼續用 Master Password 或是使用線上版「Spectre Web」,這是一個依然在測試中的版本,可以在網頁做到 Spectre 密碼演算法產生器功能,而且資料 100% 離線、不會傳輸或儲存在任何伺服器。
如果你想要透過 Spectre 在各網站使用足夠安全的密碼組合,Spectre Web 可以幫到忙,它就是一個網頁版密碼產生器,輸入使用者全名、主密碼後就能產生獨特的密碼,達到更安全、可靠的密碼管理方式,至少密碼不會被儲存在任何伺服器,而你也能隨時回到 Spectre 取得需要登入服務的密碼,相對於依賴雲端的密碼管理工具來說會更為安全。
Spectre Web
https://spectre.pw/
使用教學
STEP 1
開啟 Spectre Web 網頁版介面,會看到設定使用者全名、主密碼的畫面,如果有用過 Master Password 的朋友就知道是什麼意思,其實只要設定任何你記得住的使用者名稱、密碼,登入後就能夠為你產生密碼,因此這就能做為密碼管理工具使用,因為只有使用者自己知道真實名稱和主密碼的特定組合。
底下演算法部分有四種版本可選擇,沒有特別需要的話維持最新的 V3 即可。
這項服務是 100% 完全離線,因此不會儲存、傳送或紀錄使用者輸入的任何字串內容,可以放心使用,
STEP 2
登入後輸入網站網域名稱來產生特定的密碼(Site Password),也可以建立各種字串像是網站登入名稱(Site Login Name)或是網站安全問題的答案(Site Security Answer),達到一個真正強大、匿名且很難被別人猜到的內容,還能使用底下的 Site Counter 選擇不同組合。
STEP 3
Spectre 預先準備很多種密碼類型,例如最複雜的密碼、長密碼、中等長度密碼、短密碼、基本密碼、PIN(四位數字)、名稱或是詞組。
STEP 4
點選下方產生的密碼就能快速複製,就如同是 Master Password 網頁版,方便使用者從瀏覽器來產生各種密碼組合,也能管理不同網站、應用程式或網路服務使用的密碼,即使有任何密碼外洩也不擔心,因為每個密碼都是各自獨立,很難被猜出來其他密碼,也無法回推使用者的名稱和主密碼。
值得一試的三個理由:
- Spectre 是 Master Password 接續者,經過重新編寫、現代化密碼管理工具
- 未來會在各種平台推出,等待時可先使用 Spectre 網頁版來產生密碼
- 只要使用者名稱、主密碼和網域名稱一致就能演算出相同密碼組合