知道時常更改密碼很重要,只是沒有動力去做,確實我也有一些自以為不重要的服務是採用同一密碼的。想到順藤摸瓜,只要分析到幾組密碼就有可能破解其他密碼,再加上近日環境我不敢托大,只好老老實實的使用密碼管理軟體逐個處理。花了四天時間,我更改了 260 多組密碼。

在此我不打算與大家分析各品牌密碼管理器的好壞,只是說說我做了些甚麼。

1. 決定使用 Bitwarden

首先輕鬆地研究一下使用哪個密碼管理器,有很多技術大大推坑而又開源的 Bitwarden 吸引了我的視線,反正只是一個 chrome extension,安裝試用也不太難,而且它是免費的,也有手機應用程式和網頁版,付費更可解鎖高級功能如 Yubico 身分認證裝置及掃描密碼是否外洩等,確實是一個先試後買的好方案。最屈機是 Bitwarden 可以自設密碼伺服器而不使用官方的雲密碼庫,我知道有人把它架設在自己家中的 Synology 伺服器中,這些高階應用我是不懂的,只是有人說過如果自架密碼伺服器使用 command line 不用付費也可以達到高階功能,有能力的朋友可 Google 研究一下,不妨參考自建 Bitwarden 密码服务器。此外我也常到鬼佬連登 Reddit 的 r/Bitwarden 版參看一下。

2. 訂下密碼組合心法

然後我需要一些心法,例如怎樣更改密碼組合,那些密碼放在密碼管理器那些不放的時候就正好看到這篇 妳該使用密碼管理工具嗎?,內裡介紹 Bitwarden 安全機制強化了我使用她的決定。於是我訂下了這樣的邏輯:

  • Bitwarden 的主密碼:用腦記
  • 銀行、金融、常用交易所密碼:用腦記
  • 能夠回復密碼的電郵地址的密碼:用腦記
  • Authy 雙重認證程式的 Backup password:用腦記(縱使 Bitwarden 都有 Authenticator Key (TOTP) 功能,我並不打算將所有東西放在同一籃子內)

其他就交給 Bitwarden 去記。能開雙重認證 ( 2-Factor Authentication ) 的服務我都盡用,不是因為內裡有甚麼密碼,而是現世代個人資訊就等於金錢,能減少外洩還是盡量減少的好。能夠用雙重認證程式的時候我不會使用 SMS 以避免訊息被欄截。假設我的手機被竊,破得了開機密碼也破不了雙重認證,又沒有 Bitwarden 的主密碼,賊人甚麼也做不了。就算能攻破電郵地址得到回復密碼沒有雙重認證也不能用。最重要的是能夠回復密碼的電郵地址都被雙重認證,Bitwarden 的主密碼也可以作雙重認證,對於取易不取難的賊人通常都會放棄。

3. 查詢密碼是否被竊

在更改密碼前還是要查一下有甚麼密碼問題以免重蹈覆徹。老牌的 ‘; — have i been pwned?Firefox Monitor 當然是好方法,然而 Chrome ( 一鍵檢查密碼有沒有外洩!Google Chrome 內建功能幫你降低帳密被盜風險 )、Google 密碼管理員 ( Google 密碼管理員,一鍵匯出你透過 Google 帳戶儲存的帳號及密碼 ) 和 iOS ( iOS 14 密碼洩漏提醒:在 iPhone 查看網站密碼是否遭洩漏或高風險 ) 都有自家的密碼管理工具,放著不用實在浪費。

4. 更改密碼

不過瀏覽器儲存密碼是危險的,例如走開一會兒不記得鎖起電腦就會被別人操作了而不自知,再者瀏覽器不同版本爆發安全風險亦時常發生,使用密碼管理器就可以避免這個問題。以往在 Chrome 儲起的密碼也不是沒有用,可以作為更改的依據。在安全的網絡環境下,匯出 Google 密碼 ( 管理與匯出 Google 帳號上 自動填入 保存的帳號與密碼 ),然後一個接一個到相關網站使用 Bitwarden 的密碼 Generator 更改及儲存新密碼。

有些教學,例如 LastPass最佳替代工具 BitWarden 會教人把匯出的密碼檔案直接匯入 Bitwarden 再修改,雖然好像省了時間,可是有些網站有四五種服務就有四五條 URL,然而修改的都是同一組密碼,到頭來會變得很混亂,所以我還是 old school 地,逐個在檔案查看再逐個網站處理。

每次更改完密碼,記得重新登入再登出,測試一下是已更改的密碼是否沒有問題。要記著以後不要再讓瀏覽器為你儲存密碼了。

5. 清除瀏覽器中所有舊密碼

完成修改所有密碼以後, Google 的舊密碼都可以直接刪除。我也會在 Bitwarden 導出密碼備份到沒有網絡連接的硬盤中以策萬全。

修改密碼時最慘就是「貼算損失」的時候,上面登入未遂經已算好,整個網站沒有了,甚至一些 走佬交易所 都讓我捏了一把汗。不要以為駭客不會找上你,在查找資料的過程中看見有人 Netflix 帳戶被盜,被更改密碼和電郵地址卻繼續在刷自己的信用卡,就算可以拿回來但嚇死寶寶也不是太好。

雖然這篇文章 《詐騙交鋒》:我們都會認為密碼可以保護我們的安全,但太天真了 說設定了密碼後還是有機會被 social engineering 或以其他方式騙取密碼,但總好過甚麼也不做。此外,如果有程式需要你的生物特徵作為密碼的一部份,例如指紋等,更應當要留神,畢竟連 DNA 都不想給人家的時候,指紋開鎖這回事並不是甚麼有型的象徵,反而增加多一重風險吧 ( 研究發現以假指紋解鎖手機,破解率高達 80% )。