使用密碼管理工具建立強式密碼 Anchor link
重複使用密碼是一個非常糟糕的安全做法。如果有惡意人士得到您在多種服務中重複使用的一組密碼,他們就能存取您許多帳戶。這就是為什麼擁有多個強大的獨特密碼非常重要。
幸好,密碼管理工具能幫上忙。密碼管理工具是為您建立及儲存密碼的工具,讓您可以在各種網站及服務使用不同的密碼,而不需要把這些密碼背下來。密碼管理工具:
KeePassXC 就是一個開源(open-source)的免費密碼管理工具。您可以將它儲存在桌面,或整合到您的網頁瀏覽器中。KeePassXC 不會自動儲存您在使用時所做的更改,所以如果 KeePassXC 在您添加一些密碼後當機,您可能會永遠失去它們。您可以在設定中更改此設置。
想知道密碼管理工具是否適合您嗎?如果有個強大的敵人 (例如政府) 正以您為目標,它可能就不適合您。
記得:
-
使用密碼管理工具會產生單點故障 (single point of failure)。
-
密碼管理工具是敵人明顯的攻擊目標。
-
研究顯示,許多密碼管理工具有漏洞。
如果您擔心被數位技術攻擊而損失慘重,請考慮使用較低技術的方式管理您的密碼。您可以手動建立強式密碼 (請參閱下面的「使用骰子建立強式密碼」),將它們寫下來,並隨身保存在安全的地方。
等一下,我們不是應該把密碼記在腦海中,而且絕對不要寫下來嗎?其實,把它們寫下來,然後保存在您的皮夾等地方是有用的,這樣如果您寫下的密碼遺失或遭竊了,您至少會知道。
使用骰子建立強式密碼 Anchor link
有幾個密碼您應該記住,而且強度要特別高。這些包括:
許多人自己選擇密碼時遇到的困難之一,是不擅長做出隨機、不可預測的選擇。建立強大且難忘的密碼的一個有效方法,是使用骰子和單詞列表隨機選擇單詞。這些單詞組合起來,即為「複雜密碼」。「複雜密碼」是為了增加安全性而加長的一種密碼。對於全機加密和密碼管理工具,我們建議至少選擇六個單詞。
為什麼最少要用六個單詞?為什麼要用骰子隨機選擇詞組中的單詞?密碼愈長、愈隨機,電腦和人類就越難猜測。要進一步了解為什麼您需要這麼長、這麼難猜的密碼,這裡有一部影片說明。
嘗試使用 EFF 的單詞列表來製作複雜密碼。
如果您的電腦或裝置遭到攻擊並安裝了間諜程式,則間諜程式可以監視您輸入主密碼,並竊取密碼管理工具的內容。因此使用密碼管理工具時,保持電腦和其他裝置不受惡意程式侵襲依然非常重要。
關於「安全問題」的一些建議 Anchor link
小心網站用來確認您身分的「安全問題」。這些問題的真實答案通常是可在網路上查到的公開事實,有心的敵人很容易找到答案,而完全無須使用到您的密碼。
相反地,請提供除了您沒人知道的虛構答案。例如,如果安全問題問:
「您的第一隻寵物叫什麼名字?」
您的答案可以是密碼管理工具生成的隨機密碼。您可以將這些虛構的答案儲存在您的密碼管理工具中。
想想您使用過安全問題的網站,並考慮改變您的回答。請不要在不同的網站或服務上,為多個帳戶建立相同的密碼或安全問題答案。
同步多個裝置的密碼 Anchor link
許多密碼管理工具允許您以密碼同步功能跨裝置存取您的密碼。這表示當您在一部裝置上同步密碼檔案時,它將更新到您的所有裝置上。
密碼管理工具可以將密碼儲存在「雲端」,表示將密碼加密在遠端伺服器上。當您需要密碼時,這些管理工具將會自動為您檢索和解密密碼。如果密碼管理工具有自己專屬的伺服器來儲存或協助同步您的密碼,這樣會更方便,但是會稍微容易受到攻擊。如果您的密碼既儲存在電腦上,也儲存在雲端,攻擊者無須接管您的電腦,就能找出您的密碼。(不過他們會需要破解您密碼管理工具的複雜密碼。)
如果有這樣的顧慮,請勿將您的密碼同步到雲端,而是選擇將其只儲存在您的裝置上。
請保留密碼資料庫的備份,以防萬一。如果在當機時遺失了密碼資料庫,或者您的裝置被帶走,備份就會派上用場。密碼管理工具通常可以建立備份檔案,您也可以使用您常用的備份程式。
多因素認證和單次密碼 Anchor link
強大獨特的密碼會讓惡意人士更難存取您的帳戶。要進一步保護您的帳戶,請啟用雙因素驗證。
某些服務提供雙因素驗證 (也稱為 2FA、多因素認證或兩步驟驗證),要求用戶使用兩個部分 (一個密碼和第二個因素) 來存取他們的帳戶。第二個因素可能是一次性的祕密代碼,或是在行動裝置上的程式所產生的數字。
使用手機進行雙因素驗證可以藉由兩種方式之一完成:
- 您的手機可以執行產生安全碼的身分驗證應用程式 (例如 Google Authenticator 或 Authy),也可以使用獨立的硬體裝置 (如 YubiKey);或
- 可以向您發送帶有額外安全碼的簡訊服務,無論您何時登錄,都需要輸入該安全碼。
如果可以選擇的話,請選擇身分驗證應用程式或獨立的硬體裝置,而不要藉由簡訊接收代碼。比起繞過驗證程式,攻擊者更容易將這些代碼重新導向到他們自己的手機。
某些服務 (如 Google) 也允許您生成單次密碼列表,也稱為一次性密碼。這些是用來列印或寫在紙上,隨身攜帶。這些密碼只能使用一次,所以如果其中有一個密碼在輸入時被間諜程式竊取,小偷未來也無法用這個密碼做任何事。
如果您或您的組織有自己的通信基礎設施,可以使用免費軟體來啟用存取您系統的雙因素驗證。請搜尋提供執行開放標準的軟體:「限時單次密碼」或 RFC 6238 的軟體。
有時候,您需要揭露您的密碼 Anchor link
揭露密碼的相關法律各地不同。在某些司法管轄區,您或許可以透過法律,挑戰要您提供密碼的要求,而在其他地區,當地法律允許政府要求公開密碼,甚至可以因懷疑您可能知道密碼或金鑰而將您囚禁。刑求威脅可用來強迫某人供出密碼。或者您可能會發現,例如在跨越邊境時,如果您拒絕提供密碼或解鎖裝置,當局可以讓您延後通關或扣留您的裝置。
我們有一個獨立出來關於跨越美國邊境的指引,就如何處理來往美國旅行的裝置存取要求提供建議。在其他情況下,您應該思考某人可能會如何迫使您或他人提供您的密碼,以及可能會有什麼結果。