點解要用 Password Manager 同 2FA？

雙重認證或者兩步驟驗證，甚或是多重要素驗證都係譯名黎，英文叫做 Two-factor authentication，簡稱為 2FA，係一種保障資訊安全嘅方式。有好多人唔明，點解要用密碼管理器整理好啲密碼、點解要搞 2FA 咁鬼麻煩？呢個系列我當寫俾朋友睇，因為佢哋話睇唔明薯伯伯寫啲咩（老老實實佢寫得經已好淺白）。雖然我講嘅應該都係好唔專業，但如果寫完一堆廢話你會明白搞好啲密碼同 2FA 嘅重要性，總算幫到你幫到你。

一個 Password 走天涯有幾大鑊

首先我哋呢度唔講偉大祖國嘅指紋同埋刷面系統，啲咁高級嘅嘢我唔曉。我淨係同你講普通嘅 GMail、Facebook、Instagram…試舉例如果你係某個 Facebook page 嘅 admin，你俾人入侵咗 Facebook 然後將成個 page delete 咗，你公司嘅心血完全無哂，仲分分鐘俾人炒埋，咁執正密碼同 2FA 對你黎講係唔係好重要先？唔好覺得呢啲事唔關你事，插畫家謝曬皮就曾經俾人偷過個 page，一個有 15 萬粉絲嘅 page，就算你無佢咁多 fans 但無咗個 brand 其實都係好慘。

講到呢度我想講香港人有一個特性，就係數位資產唔當係錢，唔係去到網上銀行呢個位都唔覺得有問題，但係你個 email 同網上登入可以連去好多地方，包括你嘅網上銀行、你未出街嘅論文、你嘅 Netflix 戶口、你響 Dropbox 嘅閃卡…呢啲完全唔 care，求期所有嘢用同一個 password 就算，就係搏「搞都搞啲有錢人唔會搞我啦」。可惜你唔知道嘅係，依傢啲搵食嘅只要有一組你嘅電郵或者 user name 同密碼流出過，佢哋就可以用機械嘅方式甚至係 AI 不停去唔同地方登入去試，然後閱讀入面嘅內容睇吓有無用。有人試過被黑客睇到放響 Evernote 嘅內容走去登入佢嘅密碼貸幣戶口偷走啲幣，咁你咪想像吓所有嘢使用同一個 password 有幾咁大鑊。

改咗個密碼咪得，有幾驚啫？

當然，改密碼係好，每一個唔同嘅服務用唔同嘅密碼就最好。只不過密碼要夠長夠複雜先至唔容易破解。你上網都可以 search 吓啲文，破解 6 位密碼只需 4 秒，你一生人有咁多個 password，你真係記得到同記得哂？於是密碼管理器 Password Manager 應運而生。佢哋除咗可以幫助你產生好多個字嘅密碼，仲可以幫你記住唔同網站唔同服務嘅密碼，畀你響桌面電腦、手機、瀏覽器應用。

事實上密碼管理器本身經已有好長嘅故仔：用邊隻牌子好？啲密碼其實儲存響邊度？佢嘅技術係點？原理係乜嘢？深入嘅我都唔識講亦都唔係我講，密碼管理器最簡單嘅解釋，就係用一個主密碼透過加密技術 Encryption 來封印千千萬萬個密碼，然後你可以利用科技將呢啲密碼隨身攜帶，並且隨時解除封印攞出黎使用。

於是你會問：唓，啲密碼寫落張紙唔好？放響 Google Doc 唔好？

即係咁，寫響張紙度，然後貼張 Post-it 響電腦，WFH 跟手你自拍唔記得咗，wow，molamola，《Ready Player One》套戲個反派都係咁樣出事㗎咋。又或者畀人執到，有朋友親戚黎見到，咁就，well。最搞笑係，你唔記得咗張紙放響邊度，咁我真係恭喜你。至於好似上面個 case 咁，俾人一嘢起咗個 Doc，你所有嘢就 GG了。

使用密碼管理器當然唔可以話係一努永逸，如果你唔記得咗個主密碼都係會杏加橙。只係除咗上面講過佢可以幫你產生唔同嘅密碼唔駛你傷腦筋之外，視乎唔同嘅技術層次，大部份密碼管理器儲存你嘅密碼嘅時候其實都係唔知你啲密碼係乜嘢，例如 Bitwarden 係用 end-to-end AES-256 bit encryption、salted hashing、PBKDF2 SHA-256 去加密儲存你果堆嘢，而本身密碼管理器連同你嘅主密碼就係解鎖嘅工具。用一個未必o岩得哂但係相似嘅比喻就係，你將啲密碼鎖咗入保險箱，你將個保險箱放入銀行個保險箱入面，咁你點樣 set 啲密碼銀行鬼知咩。當你需要使用某個服務嘅密碼嘅時候，先至向個櫃檯職員驗明正身，然後從保險箱中將啲密碼撈出來，就正正好似密碼管理器響你需要時先至用你個主密碼驗明正身由你解密返啲密碼出來，而且你係用緊業界高標準嘅 Encryption 同 Decryption 嘅方式。再者唔同嘅密碼管理器響安全性方面每年有 audit report，全球亦有好多人一直用緊，如果你擔心用密碼管理器個本質係唔安全，不如你想吓全球有幾多人同你一齊奶緊嘢？

密碼管理器嘅選擇甚至唔選擇

每種技術每個牌子都有自己嘅信徒，你覺得信唔過密碼管理器產生果啲密碼你咪自己作；你覺得解密返個密碼畀你唔安全亦有一啲使用 email 每次即時產生個密碼俾你用嘅選擇；覺得雲端唔安全可以架構自己嘅伺服器亦可以隨時 backup；你用開個牌子被 hack 過我就唔會用又可以拗一餐…有好多時候人類最大嘅問題除咗係不求甚解之外，最嚴重嘅就係俾籍口自己唔做件事。

例如瀏覽器都會幫我記密碼啦，無啦啦搞多個密碼管理器做乜？嗯，你肯定你個瀏覽器你部電腦無中毒？去咗啲唔安全嘅網站或者下載咗一啲唔安全嘅 Chrome extension，一聲唔該就可以打撈哂你啲密碼或者加入 keylogger 睇你平時打啲咩字，個黑客開通哂你全部權限就真係好興奮啦。而且隨著年齡增長，你記性真係會越黎越好記得哂咁多個密碼？都係果句，無事猶自可，出咗事之後就救唔返㗎嘞。

認真咁講，用咗密碼管理器加 2FA 係唔係一定唔會俾人 hack？我真係唔會講到咁死，科技日新月異，呢啲嘢點話得埋。我想表達嘅係，假設你係賊，你會花時間破解一個 20 位密碼，定係破解一個 6 位密碼？你會搞一個有雙重認證嘅戶口，定係搞一個無認證嘅戶口？成日都話，取易不取難，俾我係賊都唔會搞一個保安重重嘅戶口啦。

搞哂呢啲嘢之後，起碼你無見過我響 Facebook 去 tag 人哋話「你經已死了」啦係咪先？而我可以話你知就算我近排係咁俾人撞 Instagram password 我都未驚過。淨係唔駛收到 email 又食驚風散經已夠好。

有關密碼管理器我用乜嘢同埋點用，其實經已寫過一篇揮別一組密碼走天涯：使用密碼管理器 Bitwarden，我感到安全。我都好了解，如果要你好似我咁一口氣改哂幾百個密碼真係好甘亦好趕客。咁不妨先試吓，又唔駛死嘅係咪？寫到呢度只係講咗 Password Manager 嘅重要性都經已咁多廢話，2FA 只好留返下次再寫。