怎樣管理密碼?
阿恆
最近有一位朋友需要登入一個已經一整年沒有登入的系統,他完全忘記了密碼,試了幾個自己常用的密碼都無效後,系統便把他的帳號鎖死,最後要管理員替他重設密碼。
銀行、公司、討論區、Facebook、電郵、政府部門等等,我們要記著的密碼何其多?怎樣管理密碼才最方便、最安全?
初級使用者
很多人會用同一個密碼,應用在大部分的系統,這個密碼一般比較易記,而且長時間不會改動,通常應用在不太重要的系統,例如網上討論區等。這種做法的好處是一個密碼走天涯,絕對不會忘記。缺點是這個密碼一般很容易破解,因為它很可能是你的生日日期、車牌號碼、流動電話號碼、親人的個人資料、或者以上各項資料的合體,又或者把以上的資料作輕微的改動,熟悉你的人很容易猜到。一旦破解,他們便可以冒充你登入所有系統。
至於重要的系統,例如網上銀行、保險公司、稅局、公司系統等,都有獨立的密碼,但為了容易記憶,這些密碼都是從一個主密碼演變出來的,例如在主密碼後加上 1 - 9 數字。主密碼可能會定期修改,這時所有系統的密碼便要逐一修改。這種密碼比較難破解,但只要破解了一個,其他系統便中門大開了。何況,破解隨機的密碼不一定是困難的。
中級使用者
不太重要的系統上,他們跟初級使用者一樣使用通用密碼。
至於重要的系統,他們會使用隨機的獨立的密碼,例如根據當時的時間組成一個六位數字,加上前一天股票市場的指數,組成一個密碼。這種密碼實在很難記憶,所以他們會把密碼寫在一張紙上(或記錄在一個檔案裏),身為中級使用者,在紀錄時會加上一些改動,例如會把第一和最後一個數字互換,這張紙片或者檔案即使給別人見到也不是那麼容易解讀。
問題是他們必須確保當需要時這張紙片或檔案一定在手邊,所以需要複製多個備份,備份遺失了怎麼辦呢?遺漏了其中一個備份沒有更新又怎麼辦呢?若果其中一個密碼被別人解讀出來,紙片上的其他密碼便等同公告天下,那又怎麼辦呢?
高級使用者
這種使用者眼中所有系統都是重要的系統,密碼的處理方法一視同仁,都要採取最安全保密的方式來紀錄和保存,而且沒有兩個系統使用相同的密碼。
一個密碼越複雜便越難破解,所以越安全,例如它同時包含了大小寫的英文字母、數字和標點符號,完全隨機產生,長度則達到系統容許的上限。這種密碼無疑是安全的,但卻幾乎不可能記得,何況每一個系統的密碼都不相同,數以百計的這樣的密碼如何處理?他們會把密碼放入一種稱為「密碼夾萬」的軟件裏,這類軟件專門用來儲存密碼,夾萬需要一個主密碼才能開啟,這個主密碼只有使用者本人才知曉,而且非常複雜,除了使用者的記憶中,永遠不會記錄在任何地方,例如它是莎士比亞著作裏的其中兩句,總長度達到數十個字符,其中混合了大小寫英文字母和數字。夾萬開啟後,其他密碼便可以隨時讀取或修改。這個夾萬可以放在一些檔案分享的網站以便在任何地方都可以讀取。
每一個人都應該做高級使用者
高級使用者並不一定是科技專家,他們所有的方法其實非常簡單,效果卻驚人的安全。所以每一個人都應該採取相同的方法來保護他們的密碼。以下是一些具體的做法。
- 下載一個「密碼夾萬」軟件,例如 KeePass,這個軟件完全免費,而且有很多安全保護措施。
- 全面更新所有系統的密碼,新密碼應該是隨機的,長度越長越好,可以試一試 random.org 的免費隨機字串產生服務。
- 把新密碼記錄在「密碼夾萬」內,並為夾萬設立一個非常複雜,非常長,無須寫下也記得的密碼,例如某名著裏的句子,或者某名人的警句,或者某一段你喜歡的諺語,最好包含超過一句句子,有大小寫英文字母、標點符號和數字。
- 把夾萬檔案上傳到一個檔案分享網站,例如 DropBox 或者 SugarSync。
你可能對於要學習使用 KeePass、random.org 的服務、DropBox、SugarSync 等東西感到恐懼,但想一想萬一你的密碼被陌生人破解,你的私隱、財富完全暴露在別人眼前,甚至被放在網絡上給人隨意瀏覽,哪一種更令你恐懼?