現今最安全、最有效的帳號保護機制就屬「雙重驗證」(Two-Factor Authentication),也就是在密碼以外加入另外一道防護,當使用者輸入正確密碼後,需要將驗證碼產生器隨機出現的數字填入才能成功登入,有時候也會以簡訊、Email 或是語音電話做為替代方案,確保登入者必須是本人。不過任何防護方式並非萬無一失,最好的作法還是要建立良好的安全觀念,例如在不同服務使用不同密碼(透過密碼管理工具產生強度足夠的密碼),在重要服務開啟兩步驟驗證功能等等。
密碼管理
Bitwarden Send 更安全的隱私資料傳輸工具,傳送密碼讀取後自動刪除
將密碼抄寫在紙上是一件很危險的事,然而透過網路傳輸密碼給其他人也不安全,但有時候我們又必須將密碼、安全憑證或私密文件傳給特定人士,你必須選擇一個更安全、令人信任且經得起檢驗的方法。有數據顯示 57% 的 IT 決策者使用未加密的方式共享密碼,這可能帶來許多潛在性的風險,如果你想尋找夠安全可靠、但又不會太過複雜的資料傳輸方式,接下來介紹的服務會是個絕佳選擇。
Apple 提供 iCloud 密碼瀏覽器外掛,可在 Windows 同步鑰匙圈密碼(Chrome 擴充功能)
如果你是 Mac 或 iPhone、iPad 使用者,應該很習慣透過 iCloud 同步備份資料,其中有個「鑰匙圈」(Keychain)很方便,可協助我們在不同裝置儲存或隨機產生密碼、管理信用卡資訊、Wi-Fi 網路資訊或其他帳號資訊,這些資料會以 256 位元 AES 加密技術進行保護,即使是 Apple 也無法讀取內容,兼具安全和便利性。
Google 密碼安全檢查確認使用者密碼有無外洩,提醒強度不足密碼需更新
今年年初 Google 推出 Password Checkup 密碼檢查工具,透過 Chrome 額外安裝擴充功能方式為使用者即時監測密碼安全性,也就是當你使用的密碼遭到洩漏或公開,外掛就會跳出警告通知,要求使用者更換或重設密碼。Google 也宣布將在 2019 年底前將密碼檢查功能內建 Google Chrome 瀏覽器。去年底 Mozilla 帶來的 Firefox Monitor 是一個類似的 Email 監測工具,若使用 Firefox 瀏覽器登入並註冊帳戶就會自動協助使用者監測 Email 有沒有在已知的資安事件中遭到外流。
DotPass 利用手勢結合文字產生不同的密碼組合,支援 Mac、iOS 兩大平台
根據 Firefox Monitor 網站給使用者的安全說明,有提到「停止重複使用相同密碼」,這個意思就是不要在不同的網路服務使用相同的密碼組合,避免因其中一組密碼外洩而使其他帳號陷入危險,若要一次變更那麼多密碼也相當耗費時間。但我們又無法記住那麼多不同的密碼組合,這時候就必須借助密碼管理工具,例如 KeePass Password Safe,而我個人則偏好 Master Password 可以單一主密碼來計算並產生多種隨機密碼組合。
UpdateYourPass 收錄各大服務重設密碼鏈結,快速變更你所有帳號密碼
網路服務因為漏洞或被入侵導致大規模密碼外洩層出不窮,如果以 Pwned Passwords 或 Firefox Monitor 檢測一下應該很難倖免,雖然大多數服務都聲稱將密碼加密處理後再進行保存,但有沒有明碼因而洩漏誰也無法保證。之前 Google 推出 Password Checkup 密碼檢查工具可以協助使用者確認當前使用的密碼是否安全,用於比對現在已知的外洩密碼資料庫,就能在密碼可能不夠安全時收到提醒。
