零基資安訓練營(六):習慣使用密碼管理器
文:薯伯伯
最好的密碼,是連自己也記不住的密碼。例如我 Facebook 上一次的密碼是:
ukjPLMENnrNmPYXCLFKNXMD{u#Z8F6ik,49LpXLyFkMs??QHJYqEFNJmy3d6Q$cH
密碼共有 64 位,加上大小寫字母,數字及符號。萬一有人逼供要我交出密碼,我也愛莫能助,因為連我自己也記不住。最好的密碼,是自己都記不住密碼,所以必須要使用密碼管理器(Password Manager)。
經常有人問我,把密碼放進密碼管理器,會否反而更不安全呢?但在資訊安全方面的考慮,不是說完全排除所有風險,而是相對的情況作比較。例如用戶擔心密碼管理器不安全,那麼會如何做呢?
用紙和筆寫下密碼?
用純文字檔案記下密碼?
用純文字檔案記下密碼,再把該檔案加密?
在不同網站用上大同小異的密碼,例如 abcde, Abcde123, Abcde123!@# 等?
抑或是經常處於「登入」狀態,乾脆避免經常要打密碼?
如果你都有以上習慣,那就不應該質疑密碼管理器是否安全,因為密碼管理器比以上其他方法都安全得太多太多倍。
推介使用軟件:1Password
https://1password.com/
(順便分享一個小秘技,有時申請服務前,去 https://slickdeals.net/ 搜尋一下,或許能找到一些折扣優惠,或更長的免費試用期。)
1Password 這個軟件,顧名思義,就是說你只要記住一個打開密碼管理器的密碼,就可以打開其他網站的密碼。坊間有不少密碼管理器,但我比較推介 1Password,因為介面相對簡單易用,最易入口,而且可以選擇把密碼檔案加密並存儲到雲端,跨平台使用較方便,可以把密碼同步到 Mac, Windows, iOS, Android 等平台。
剛開始時,我建議大家先開一個 1Password 的戶口,以後到訪任何已登記的網站時,選擇「忘記密碼」或「重設密碼」,然後用密碼管理器製造一條隨機的密碼,再記錄下來。我覺得在電腦上去做這些過程,比手機操作稍微方便一些。
至於密碼管理器本身是否安全,尤其是把你的密碼倉褲(vault)放上雲端。近日黑警肆虐(我指的是黑色暴雨警告),大家對雲端有疑慮也屬正常。不過密碼倉庫本身有加密,而你必須好好保管加密的鑰匙(secret key)。即使別人取得你的主密碼,但想在其他電腦打開密碼倉庫,還是需要該鑰匙。
使用密碼管理器,要有心理準備,整個轉移過程要花些心機及耐性,但是成功使用後,當你可以輕鬆登入任何網站,你會覺得花時間去研究密碼管理器是值得。
延伸閱讀:
密碼設定的常識及密碼管理器的介紹,參考 Codybase 這篇文章:
〈容易被遺忘的資安措施:密碼管理器 Password Manager〉
https://codybase.com/blog/you-should-never-reuse-password-again-start-using-password-manager
* * *
另外,1Password 本身有個博客介紹計劃,說只要我推介一個人,就會有兩美金或年金的 25% 作報酬,但我在寫這個資訊安全系列的文章時,寧願不提供任何介紹碼,那麼大家看到我推介一些 app 或服務時,就知我是因為認為該服務值得推介,而非其他金錢誘因。
如果大家想支持我的寫作,請訂閱 Patreon 頻道,支持不受干預的獨立創作、分析及評論。 http://patreon.com/pazu
同時也有10000部Youtube影片,追蹤數超過2,910的網紅コバにゃんチャンネル,也在其Youtube影片中提到,...
key 檔案 windows 在 軟體廚房 Facebook 的精選貼文
因為 .NET Core 的發展,從 Windows 轉換到 Linux 朋友愈來愈多了,推薦一個我長期以來一直在使用的管理工具 - MobaXterm,它支援多種遠端登入的協定,有免費版,而付費版的也不貴,內建的工具很多,我用到的算少。
--
Sftp:直接上傳/下載遠端主機的檔案,而且內建的文字編輯器會直接下載並且打開遠端主機上的檔案,修改完畢還會問你要不要覆蓋遠端主機上的檔案,這個工具讓我脫離了 vi 的掌控。
--
SSH key generator:其實它就是 PuTTYgen,MobaXterm 把它給包進來。
--
Remote Monitoring:即時監控遠端主機的一些硬體數據
--
Marcos:腳本錄製,它會將我們對遠端主機所輸入的鍵盤動作錄製下來。
其他還有很多工具,就請各位朋友自行發掘了,發掘到什麼好用的工具也請不吝分享給我,感謝。
https://mobaxterm.mobatek.net/
key 檔案 windows 在 車庫一姊 Facebook 的最讚貼文
今天公司法規課程裡提到「不可安裝非法軟體」,我才意識到在我的Macbook裡真的沒有非法軟體,而其中影像編輯的final cut pro我花了$300美金,用了一年多,覺得非常值得,而圖片編輯軟體pixelmator大約$30美金,可以處理圖層打開psd檔案,更是讓人覺得物超所值!
其他的,幾乎全部可以雲端處理。
想當初我還用Windows時代,好多軟體都貴到爆炸,公司用那一套已經很舊了,家裡不能裝,動不動就啟動失敗,只好安裝破解。在之前也曾經接觸過什麼狂人、X Y Z大補帖,裡面安裝說明.txt複雜的要命,還有key generator 打開好像邪教的入口,黑色的畫面加上詭異的電子音樂,果然是做非法勾當的fu.
說到音樂,spotify月費下去,電腦裡就沒有mp3了,當年有一顆備份硬碟裡面好像還放了上千首。讀研究所的時候有一位學長櫃子裡放滿了布丁桶(壯觀呢)裡面全都是💋謎片。
從網路亂下載東西,結果就是不斷地中毒,裝了防毒軟體之後系統就變得好慢,而且動不動叫你檢查、隔離和刪除,我這麼累到底為了哪樁?
還有一次買軟體,寄給我一個zip檔案,我沒有軟體解開,只好下載一個winzip安裝檔,沒想到那個安裝檔也是zip 👊!
我好像終於來到了一個舒適的年代?