你手上有多少組密碼?你覺得管理密碼是件容易的事嗎?在你回答之前,先讓我們檢閱幾個關於密碼的重要原則:
- 每個網站都必須有不同的密碼。
大部份的人為了怕麻煩,應該都是兩組密碼在換來換去的吧。在現在幾乎所有服務都是用Email來當帳號的情況下,只要一組密碼外流,你的隱私帝國就全部瓦解了。 - 密碼內不能包含個人資訊,例如生日。
當初我的簡易密碼被公司同事猜出來之後,這一條就一直是我在設定密碼的最高準則。 - 密碼必須沒有意義,必且要8個字以上,其中至少要含一個大寫、一個小寫、一個數字,以及一個符號。
這一點就幾乎把所有人打死了,沒有意義的密碼,就表示你沒辦法用聰明的腦袋記下來了。(記得第1點嗎?你起碼要記上十來個密碼。) - 密碼必須定期更換。
這點要求就有些爭議了。網路銀行通常會這樣要求,但是大多數人只不過是兩個密碼在換來換去而已。 - 密碼必須保存在安全的地方。
能完整達成以上四點的達人,相信大多是將密碼記錄在某種文件上吧。如東只是抄寫在筆記本上,那這一切又都是白搭了。
你有完整達到這些要人命的龜毛需求嗎?我自己是沒有辦法,所以常年以來,我都是設了兩組比較複雜的密碼,再根據需求換來換去。例如,主要的Email密碼設成A,其他利用這個Email做用戶名的系統,再用B來當密碼。但這種作法有高度的風險性,只要A或B任何一個密碼被人知道了,那其他所有網站的機密差不多就完了。尤其現在許多論壇網站都需要註冊才能存取裡頭的資源,在不知道對方網站的安全等級的情況下,使用這兩組密碼做登錄,相當就是拿其他網站的個人機密來做抵押了。
因應個人密碼的管理需求,有人開發了密碼管理的軟體,來解決上述種種令人頭大的問題。這些密碼軟體通常都具備以下幾項特色:
- 用一或兩道主密碼,來保護你所有的密碼。程式的資料庫都是經過加密的,所以如果沒有你的主要密碼,任何人拿到檔案也是無法開啟資料庫的。
- 密碼產生器,自動為你產生符合複雜需求的密碼。
- 結合瀏覽器,在輸入密碼時自動儲存網站的密碼到加密資料庫中,下次登入網站時,可以自動進行登入。
- 跨平台,無論是iPhone、Android、Windows,還是Mac,都可以跨平台同步,讓你走到哪裡都可以找到想要的密碼。
密碼管理軟體的先鋒 – eWallet
幾年前在用Windows Mobile手機的時候,開始出現了一種密碼管理工具。那時最有名的工具叫做eWallet。
eWalet可以管理密碼、信用卡、個人資訊等資料,功能算是滿齊全的。我那時也的確嘗試過使用eWallet來管理我所有的密碼。eWallet有個桌上版的軟體,可以利用ActiveSync,將手機的資料與桌上版的eWallet資料庫作同步。
eWallet的特色是,把各種密碼的管理,弄得像錢包裡的信用卡一樣。要查詢密碼,就像在錢包裡找信用卡,這也是它eWallet名稱的由來吧。為了這點,eWallet還提供了各種卡片圖樣,甚至還可以讓使用者自己設計卡片的樣式。聽起來是不錯,但是後來我終究沒有用他。理由有二,第一是Windows Mobile的開機率對我來說,還是太低了,很少會為了要查一個密碼,還得開手機,Key碼密,然後再一個一個字的敲進畫面。 (那時我不知道桌上版有自動輸入密碼這功能。) 第二則是同步太麻煩了,每次都得透過電腦才能同步,不能在線上同步。這對Exchange都用Air sync的我來說,是很不能接受的一件事。
最好還有一個小問題,那就是eWallet的畫面,真的是太陽春了,陽春到你打開程式看到密碼後,就想匆匆把它關掉。不過這點在現在稍有改善就是了。
我之前使用eWallet時,只有推出Windows Mobile和Windows版。到了現在eWallet在跨平台上,也有滿大的進步。目前eWallet支援了以下平台:
- Windows Mobile
- BlackBerry
- iPhone,iPad,iPod Touch
- MacOS X
- Android (限Viewer)
- Windows PC
就平台而言,eWallet可能是目前的領先者,但是比較過Desktop的介面後,我最後還是放棄了eWallet。
雲端的密碼管理服務 – LastPass
在使用AB兩光密碼策略多年後,前一陣子我突然想,該好好把密碼的事情解決一下了。於是又開始Survey新的密碼管理工具。不同於上次是以Windows Mobile為出發點來Survey,這次則是改用iPhone來尋找了。果然讓我找到了有趣的一項服務。
LastPass (http://lastpass.com/) 是一項很特別的雲端服務。不同於其他密碼管理軟體是把密碼儲存在本機資料庫中,LastPass則是統一將密碼全部存在LastPass的網路伺服器上。
把自己最重要的密碼存在別人的伺服器上!?
是的,你沒看錯。只要LastPass的員工心存邪念,還是有個網路駭客剛好踩到LastPass的漏洞,後果就不堪設想了。可晚我當初是下了多大的決心 (或是無知),才會認真試用這項服務的。
先撇開這些疑慮不看,LastPass提供的服務的確是很具創意的。首先,由於密碼是存在雲端,所以自然避開了自行備份以及同步的問題。任何時候只要登入LastPass Vault的網站,就可以存取你所有的密碼。只要有瀏覽器和網路的地方,就可以存取到你的密碼,簡單吧?
當然,網路服務的罩門就是,無法控制系統上的軟體,也就是說用起來會憋手憋腳的。為了解決這個問題,LastPass開發了大量的瀏覽器外掛程式,讓你不管使用哪種瀏覽器,都可以輕鬆達成自動記憶和自動輸入密碼的功能。
LastPass支援的瀏覽器列出來會嚇死人:
- Internet Explorer
- Firefox
- Google Chrome
- Safari
- iPhone
- Android
- Dolphin Browser HD
- Firefox Mobile
- BalckBerry
- Windows Phone 7
- Windows Mobile
- HP webOS
- Symbian S60
LastPass的使用也非常地簡單,只要在輸入密碼的地方,LastPass的瀏覽器外掛會自動做標記,表示可以為你在這裡輸入帳號密碼。當然,在新增帳號時,瀏覽器也會自動出現資訊列問你是否要記憶密碼。
LastPass的使用體驗非常地真覺,讓我使用一下下,就能整掌出它的操作邏輯。才剛開始使用這個服務,就有一種「就是它了,它就是我終極的密碼管理方案」的感覺。
疑?是不是有件事忘了提?這麼方便的服務,至底會收你多少錢呢?
LastPass在這方面還滿識相的,只要你是使用一般的密碼服務,一律免費讓你用到爽。只有LastPass Premium服務才需要收費。LastPass Premium的服務重點,就是包含了所有的Mobile平台的服務。也就是說,上面提到的iPhone、iPad、Android、Windows Phone,或是Symbian外掛,全都是要付費會員才能夠使用的。不過LastPass Premium的服務是採用訂閱制的,一年USD$ 12元。算起來還不是太誇張。
不過就在拿出信用卡之前,我突然想起一件事。剛才好像都在講網站密碼的部份,但是其他的呢?例如信用卡資料、提款卡密碼,還是軟體序號之類的。
對於這類非網站密碼的資訊,LastPass統一用筆記的方式來解決。也就是他提供了一個Note的功能,你可以自行新增Note,裡面自由輸入你想輸入的文字。就這樣交差了事了。
這當然沒辦法說服我接受。而且再加上這個雲端服務儲存了大量的使用者密碼。就好像在飢渴的餓犬前面,放上一大塊鮮嫩的美國牛肉一樣。你說哪個自信滿滿的駭客不想挑戰自己的極限呢?我可不想拿我的MSN密碼來做賭注。免得那天大家突然都向我要起上次幫我買遊戲點數的錢了。
我的終極方案 – 1Password
在放棄了LastPass這樣有創意的服務之後,我轉變了方向,改成由MacOS X的角度當出發點,重新Survey。這回終於讓我找到我的理想方案了,這個方案就是1Password。
就像eWallet是從Windows平台崛起的一樣;1Password是從MacOS平台發跡的。1Password的功能,幾乎完全等同於eWallet,不管是網站碼、信用卡,還是軟體序號,全部都能一起管理進來。但是與eWallet相較,1Password有個最大的優勢。
那就是1Password的介面真的很漂亮。
1Password的介面,就很像一個金庫一樣,你必須打開密碼才能開啟金庫。
1Password在MacOS X的畫面很炫麗,除了每個網站都有圖示說明之外,在內容頁上,還有這個網站的網頁截圖。這比什麼密碼卡片要來的有意義多了。不過至於1Password在Windows PC上的介面,就跟新版的eWallet沒什麼太大的差距了。最近一陣子常在使用Windows、Mac OS,以及之前的Windows Mobile和現在的iPhone,我有一個發現,就是Mac的系統在介面上普遍要比Windows的華麗多了。真不知道問題出在哪裡。
與eWallet一樣,1Password現在也是朝全平台的方向進行。1Password目前支援Mac、Windows、iPhone、iPad,以及Android。目前還沒有Windows Phone的版本,不過這已經不是我關切的重點了。1Password在iOS的版本用兩層密碼來做保護,第一層是四個數字的密碼,可以讓你進入資料庫,根據重要性,你可以指定哪些網站需要第二層密碼才可以存取,第二層密碼則是較複雜的文數字密碼了。
接下來是最精彩的同步的部份了。1Password提供了兩種同步方法,一種是Wi-Fi直接電腦對電腦同步。另一種則是我最讚賞的,利用Dropbox進行同步。1Password和Dropbox的接合非常地緊密,在安裝好桌上版的1Password時,它會自動抓到你有安裝Dropbox,並會在第一次執行的時候問你要不要將本機的密碼資料庫轉到Dropbox上。之後的其他電腦或iOS設備,只要安裝好1Password,連問都不問,就直接幫你把Dropbox中的資料庫抓出來了。
利用Dropbox進行同步有很多好處,首先是密碼資料庫可以存在雲端硬碟,省掉了local硬碟掛掉而欲哭無淚的風險。再來就是,密碼不是像LastPass一樣,一個一個明確地存在伺服器上,而是把資料庫經過加密後,再儲存在伺服器。所以就算哪天有人開了你的Dropbox硬碟,偷走了這個資料庫,沒有加密的密碼,也只是個佔空間的無用檔案罷了。
利用檔案的方式來進行同步,會有一個很大的風險。就是如果有兩台機器同時對本地的資料庫新增了一筆資料,一經過同步後,有一台機器上的密碼就會被另一台機器的檔案給複寫掉了。再加上這種密碼管理程式產生出的密碼又是超複雜的,所以密碼被改寫掉,也就只有重新申請一途了。1Password最今人讚賞的就是,它利用了很巧妙的方法來避開這種同步複寫的問題。1Password不是將整個資料庫做成一個檔案,而是為每一個網站建立出一個檔案來存放密碼。如此只要有任何機器更動到某個網站的密碼資料,也只會對一個檔案做變更而已,對其他網站的密碼資料自然沒有影響。更妙的是,1Password存放的密碼檔竟然還是純文字檔。反正編過碼後的文字也沒有任何意義,給你看到也無妨。
我這個星期已經將所有的密碼轉到1Password上了,一位也轉移到1Password的同事A在使用後也表示:「我回不去了。」就是這樣,這種系統會徹底改變你的電腦使用習慣,用過後一定會上癮。唯一的缺點是,1Password是這幾個方案中最貴的。
現在你覺得密碼管理是件容易的事嗎?在我看來,只有用對工具,答案當然是肯定的。
