HOME
SECURITY FIRST
TWNGO.XYZInformation 資訊篇
安全地記錄密碼
在入門部份我們己向你介紹過如何建立一組強度高又好記的密碼.但是因為不同的服務帳號你需要不同的密碼,也需要固定地更新它們。幸運的是現在有一些軟體工具可以為不同的帳戶產生隨機而安全的密碼,並記錄在一個可攜帶且加密的密碼資料庫像是 KeePass
這些密碼管理工具可以透過一個主要密碼來保護你所有的密碼,所以你只須記得主密碼。當然如果你採用這個方式,不管是用 KeePass 或其它你選用的密碼軟體,創建與記住主密碼就格外重要了。當你需要密碼登入某些服務,你只需要輸入你的主要密碼來取得帳戶密碼的資訊,這也讓上述建議變得更易操作。
KeePass 可用於你的電腦,也可以存於攜帶式,例如存在 USB 記憶卡上,以應付你人不在常用的電腦前而需要登入網站時。
你可在 Keepass 工具指南了解如何安裝與使用它。
使用密碼管理的小竅門
在使用密碼管理資料庫時,有幾件事要記得:
- 如果你遺失或是不小心刪了唯一的密碼資料表,你將無法再近用任何包含其密碼的相關帳號服務。因此備份你的 KeePass 資料就很重要。看看我們的備份課程來了解如何進行相關操作。
- 如果你忘了自己的 KeePass 主密碼,也沒有其它方法可以復原或取得資料內容,所以記得要選擇一個記得住又高強度的主密碼!
- 將密碼管理工具妥善保管也很重要
有些密碼管理工具提供存放在雲端的服務,也就是把你的密碼經過加密後放在一個遠端的伺服器上,當你的筆電或手機需要它們時,可以把它們下戴過來進行解密使用。像這樣的密碼管理工具當然更為方便,但代價是它們也容易遭到攻擊。如果你只把密碼存在電腦上,萬一有人拿走你的電腦也可能可以取得你的密碼。如果你存放在雲端,你的對手也可以以它為目標進行攻擊。通常我們不需要過於擔心,除非你的對手具有合法權力來控制密碼管理公司或是對手向來針對某些公司或網路流量。
- 當使用密碼管理工具時,密碼與主密碼的安全要等同於安裝與使用的電腦。如果你的電腦或設備是妥協折衷或被直入了間諜軟體,它可以監測你打入的主密碼進而偷取密碼內容。所以保管好你的電腦以及免受到惡意軟體的侵害很重要。更多關於惡意軟體課程找到。
二步驟認證
訛多服務與軟體工具可讓你進行二步驟認證。它的概念是為了可以順利登入服務,你必須先擁有一些實體的物件,通常是手機。然而在某些特別的設備上它被稱作安全標章。使用二步驟認證可以確保如果網站服務遭到駭入或是密碼被偷了,小偷仍無法登入除非他們手上也有用於第二步驟認證的東西,像是你的手機或是特別登入碼。
二步驟認證使用手機通常有二種方:當要登入服務時,系統傳送你一則文字簡訊到手機上 ,它上面有安全碼可讓你完成輸入符合後順利登入。另一種方式是,你的手機可以執行一些認證的應用程式,例如 Google Authenticator。它會在手機上生成一些安全碼,可以用於協助保護你的帳號即使對方知道密碼但沒辧法實際取得你的手機的情況。
一次性密碼
有些服務如Google,可讓你產生一列只用一次的密碼,它也稱之為單一使用密碼,這為了列出來或寫到紙上隨身帶著。
如果服務未提供這種勁功能你就沒法使用這種一次性密碼。
如果你的組織自己運行通訊架構,例如自己管理郵件伺服器,也有一些免費的軟體可以建立二階段認證功能來讀取郵件。詢問網路系統管理員來找出有提供開放標準或是以時間基礎的一次用密碼的合適軟體 RFC 6238
滑動右側到課程檢查表
到初學者課程了解如何建立一個高強度的密碼
初學者課程{.button .green}
如果你認為可能被迫交出密碼,可到專家課程尋求建議。
專家課程{.button .purple}