現在是2019年,我們擁有許多酷炫的小玩意兒:像飛行計程車這樣的機器甚至正在研發中。但我們還是要面對密碼這個網路生活中令人頭痛的問題。谷歌最近發布了一項關於網路安全的調查結果,報告顯示,52%的受訪成年人會在多個帳戶中使用同一個密碼。考慮到記住那麼多字母和數字有多麻煩,這倒也情有可原。但有些人——足足13%——甚至在所有帳戶中都使用同一個密碼。這可就太糟糕了。
在同一項調查中,約有四分之一的受訪者表示他們使用密碼管理器來解決這個問題。這些結果有力地提醒我們,密碼管理平台(例如 1Password 和 LastPass 等熱門選擇)雖然並非完美無缺,但卻是解決個人網路安全問題的有效方案。
密碼管理器主要有兩個功能:一是自動填入現有密碼,二是更棒的是,它們還能產生一個長而複雜的隨機密碼並儲存起來。 Chrome 和 Safari 等瀏覽器已經具備此功能(例如,蘋果會將這些密碼保存在 iCloud 鑰匙圈中)。如果您主要使用一個系統,例如 iPhone、Mac 和 Safari,那麼這些服務會是一個不錯的選擇。
但第三方密碼管理器可以跨多個平台運行——從應用程式到不同的瀏覽器,無論是Google產品還是蘋果產品。
真正的安全優勢在於密碼管理器會為你產生並保存那些冗長而複雜的密碼,這肯定比你自己寫的任何密碼系統都要好。 「對於絕大多數人來說,要保持良好的密碼習慣真的很難,因為他們需要管理的帳戶實在太多了,」網路安全公司Shape Security的首席技術長Shuman Ghosemajumder說。
使用此類服務的一個重要原因是,數百萬個電子郵件地址和密碼已經落入不法分子手中,他們可能會試圖利用這些資訊。例如,據報道,名為「Collection #1」的清單包含超過7億個電子郵件地址和約2,100萬個密碼。這類資料並非單一安全漏洞造成的,而是多次安全漏洞的結果,不法分子可能會試圖利用這些資訊登入他們本不應存取的帳戶,例如銀行網站。這種攻擊手法稱為撞庫攻擊。根據Shape Security的一份估計報告[PDF]顯示,2017年零售商網站平均80%到90%的流量都來自此類攻擊。
但如果您使用過的每個密碼都各不相同且十分複雜,那麼在一次安全漏洞中洩漏的密碼在其他網站上就完全失效了。想更進一步嗎?像 YubiKey 或 Google Titan Security Key 這樣的實體設備可以幫助提升雙重登入的安全性。
密碼管理器並非完美無缺,它們也存在一些使用者體驗上的缺陷——例如,使用像 1Password 這樣的系統,需要你先讓它記住你現有的密碼。然後,你必須更改該密碼,它才能為你建立一個新密碼。
不過,你應該要明白我的意思。即使不完美的解決方案也比你記在腦子裡的密碼方案要好。 「對於任何非安全專家來說,使用密碼管理器都比使用他們自己摸索出來的任何手動密碼系統要好得多,」Ghosemajumder說。
