Creating Strong Passwords

使用密碼管理工具建立強式密碼 Anchor link

重複使用密碼是一個非常糟糕的安全做法。如果有惡意人士得到您在多種服務中重複使用的一組密碼，他們就能存取您許多帳戶。這就是為什麼擁有多個強大的獨特密碼非常重要。

幸好，密碼管理工具能幫上忙。密碼管理工具是為您建立及儲存密碼的工具，讓您可以在各種網站及服務使用不同的密碼，而不需要把這些密碼背下來。密碼管理工具：

生成一個人無法猜到的強式密碼。
安全儲存多個密碼 (以及安全問題的答案)。
用一個主密碼保護您的所有密碼 (或複雜密碼)。

KeePassXC 就是一個開源（open-source）的免費密碼管理工具。您可以將它儲存在桌面，或整合到您的網頁瀏覽器中。KeePassXC 不會自動儲存您在使用時所做的更改，所以如果 KeePassXC 在您添加一些密碼後當機，您可能會永遠失去它們。您可以在設定中更改此設置。

想知道密碼管理工具是否適合您嗎？如果有個強大的敵人 (例如政府) 正以您為目標，它可能就不適合您。

記得：

使用密碼管理工具會產生單點故障 (single point of failure)。
密碼管理工具是敵人明顯的攻擊目標。
研究顯示，許多密碼管理工具有漏洞。

如果您擔心被數位技術攻擊而損失慘重，請考慮使用較低技術的方式管理您的密碼。您可以手動建立強式密碼 (請參閱下面的「使用骰子建立強式密碼」)，將它們寫下來，並隨身保存在安全的地方。

等一下，我們不是應該把密碼記在腦海中，而且絕對不要寫下來嗎？其實，把它們寫下來，然後保存在您的皮夾等地方是有用的，這樣如果您寫下的密碼遺失或遭竊了，您至少會知道。

使用骰子建立強式密碼 Anchor link

有幾個密碼您應該記住，而且強度要特別高。這些包括：

您裝置的密碼
加密用的密碼 (如全機加密)
密碼管理工具的主密碼或「複雜密碼」
您的電子郵件密碼

許多人自己選擇密碼時遇到的困難之一，是不擅長做出隨機、不可預測的選擇。建立強大且難忘的密碼的一個有效方法，是使用骰子和單詞列表隨機選擇單詞。這些單詞組合起來，即為「複雜密碼」。「複雜密碼」是為了增加安全性而加長的一種密碼。對於全機加密和密碼管理工具，我們建議至少選擇六個單詞。

為什麼最少要用六個單詞？為什麼要用骰子隨機選擇詞組中的單詞？密碼愈長、愈隨機，電腦和人類就越難猜測。要進一步了解為什麼您需要這麼長、這麼難猜的密碼，這裡有一部影片說明。

嘗試使用 EFF 的單詞列表來製作複雜密碼。

如果您的電腦或裝置遭到攻擊並安裝了間諜程式，則間諜程式可以監視您輸入主密碼，並竊取密碼管理工具的內容。因此使用密碼管理工具時，保持電腦和其他裝置不受惡意程式侵襲依然非常重要。

關於「安全問題」的一些建議 Anchor link

小心網站用來確認您身分的「安全問題」。這些問題的真實答案通常是可在網路上查到的公開事實，有心的敵人很容易找到答案，而完全無須使用到您的密碼。

相反地，請提供除了您沒人知道的虛構答案。例如，如果安全問題問：

「您的第一隻寵物叫什麼名字？」

您的答案可以是密碼管理工具生成的隨機密碼。您可以將這些虛構的答案儲存在您的密碼管理工具中。

想想您使用過安全問題的網站，並考慮改變您的回答。請不要在不同的網站或服務上，為多個帳戶建立相同的密碼或安全問題答案。

同步多個裝置的密碼 Anchor link

許多密碼管理工具允許您以密碼同步功能跨裝置存取您的密碼。這表示當您在一部裝置上同步密碼檔案時，它將更新到您的所有裝置上。

密碼管理工具可以將密碼儲存在「雲端」，表示將密碼加密在遠端伺服器上。當您需要密碼時，這些管理工具將會自動為您檢索和解密密碼。如果密碼管理工具有自己專屬的伺服器來儲存或協助同步您的密碼，這樣會更方便，但是會稍微容易受到攻擊。如果您的密碼既儲存在電腦上，也儲存在雲端，攻擊者無須接管您的電腦，就能找出您的密碼。(不過他們會需要破解您密碼管理工具的複雜密碼。)

如果有這樣的顧慮，請勿將您的密碼同步到雲端，而是選擇將其只儲存在您的裝置上。

請保留密碼資料庫的備份，以防萬一。如果在當機時遺失了密碼資料庫，或者您的裝置被帶走，備份就會派上用場。密碼管理工具通常可以建立備份檔案，您也可以使用您常用的備份程式。

多因素認證和單次密碼 Anchor link

強大獨特的密碼會讓惡意人士更難存取您的帳戶。要進一步保護您的帳戶，請啟用雙因素驗證。

某些服務提供雙因素驗證 (也稱為 2FA、多因素認證或兩步驟驗證)，要求用戶使用兩個部分 (一個密碼和第二個因素) 來存取他們的帳戶。第二個因素可能是一次性的祕密代碼，或是在行動裝置上的程式所產生的數字。

使用手機進行雙因素驗證可以藉由兩種方式之一完成：

您的手機可以執行產生安全碼的身分驗證應用程式 (例如 Google Authenticator 或 Authy)，也可以使用獨立的硬體裝置 (如 YubiKey)；或
可以向您發送帶有額外安全碼的簡訊服務，無論您何時登錄，都需要輸入該安全碼。

如果可以選擇的話，請選擇身分驗證應用程式或獨立的硬體裝置，而不要藉由簡訊接收代碼。比起繞過驗證程式，攻擊者更容易將這些代碼重新導向到他們自己的手機。

某些服務 (如 Google) 也允許您生成單次密碼列表，也稱為一次性密碼。這些是用來列印或寫在紙上，隨身攜帶。這些密碼只能使用一次，所以如果其中有一個密碼在輸入時被間諜程式竊取，小偷未來也無法用這個密碼做任何事。

如果您或您的組織有自己的通信基礎設施，可以使用免費軟體來啟用存取您系統的雙因素驗證。請搜尋提供執行開放標準的軟體：「限時單次密碼」或 RFC 6238 的軟體。

有時候，您需要揭露您的密碼 Anchor link

揭露密碼的相關法律各地不同。在某些司法管轄區，您或許可以透過法律，挑戰要您提供密碼的要求，而在其他地區，當地法律允許政府要求公開密碼，甚至可以因懷疑您可能知道密碼或金鑰而將您囚禁。刑求威脅可用來強迫某人供出密碼。或者您可能會發現，例如在跨越邊境時，如果您拒絕提供密碼或解鎖裝置，當局可以讓您延後通關或扣留您的裝置。

我們有一個獨立出來關於跨越美國邊境的指引，就如何處理來往美國旅行的裝置存取要求提供建議。在其他情況下，您應該思考某人可能會如何迫使您或他人提供您的密碼，以及可能會有什麼結果。

上次查閱：

2017 年 10 月 16 日