心得分享-密碼管理器

認真的說, 資訊的時代, 不要再使用背的起來的密碼了
密碼的用途不是拿來背的, 試試看使用密碼管理器
前一週會覺得好麻煩好難用, 但過了磨合期就會用的理所當然了 !!
強烈建議忍耐一週試試看


資訊時代的一個問題就是, 每一個網站都要你註冊
一個人最基本有 20 個網站帳號, 一點都不奇怪
而 20 個網站都使用一樣的密碼, 似乎也是合情合理, 畢竟誰記得住 20 組密碼呢

但這往往就是最容易產生問題的地方
因為只要一個網站密碼外洩, 同時你其他 19 個網站的密碼也等於外洩了
就算你超信任那個網站或品牌, 但你也無法確定他們有沒有黑心員工
或是離職前才狠弄一把的邪惡工程師

所以最好的方式就是 20 個網站 使用 20 個密碼
100 個網站 就使用 100 個密碼

但由於要一個人去記住 20 組密碼
對現代人來說 ~ 根本不可能
所以這時候密碼管理器的軟體就出來了

密碼管理器, 對應到現實生活上來看, 就只是一本有鎖的小本子
而特別的是這個鎖是目前科技無法破壞的 (SHA-256 加密)
特點 1 就算你把這本小本子亂丟, 也不用擔心害怕

工具軟體的好處就是有很多自動和無腦的功能
小本子翻頁翻頁翻半天找不到 ? 軟體使用搜尋 ( ctrl+f ) 馬上找到你要的
找到密碼還要自己 keyin 好麻煩 ? 軟體直接複製貼上不用 1 秒鐘 , 就算密碼長度 32 個字也不麻煩
每次都要想密碼好累 ? 軟體自動雜湊密碼給你用 , 連自己都不知道的密碼最安全

特點 2 軟體就是方便輕鬆不用腦, 無腦反而更安全

假設現實中你真的有一本小本子, 出門忘了帶怎麼辦 ?
貓咪打翻咖啡了怎麼辦 ?
拜拜燒金紙不小心燒掉怎麼辦 ?
基於特點 1 的不可破解性質
小本子上傳雲端, 自動同步你的電腦, 手機, 筆電
不管到哪裡都可以用 (對啦你去沒網路的地方我也沒辦法)
特點 3 自動同步, 無縫體驗


密碼管理器其實非常多品牌, 隨便 google 都可以找到一堆, 也很多是採用線上服務的
但由於這些 “閉源的軟體" 只有公司或工程師知道這個軟體幹了甚麼事情
基於這樣的理由, 我不推薦使用這些 “黑箱作業" 的軟體
我偏好 “開源" 的軟體, 除了免費以外, 安全性受到全世界吃飽沒事幹的工程師監督
所以我要推薦的是

keepass

1. 安裝他, 這個步驟實在沒啥好說的, 基本上就是一直下一步就裝好了

2. 看看你想用哪種語言, 你可以在 Translations 找到你想要的語言包,
解安裝丟到 你的安裝目錄\KeePass Password Safe 2\Languages 底下即可
請記得選對版本喔

3. 第一次使用設定
請選擇 View > Change Language 先更換成你喜歡的語言 (以下都用中文)
請選擇 工具 > 選項 , 我說明一些我覺得修改一下會比較好用的項目

安全 :
剪貼簿自動清除時間 : 當你用了 ctrl+c , 過幾秒後他會自動清掉避免別人碰你電腦用了 ctrl+v 看到你的密碼, 預設時間有點短可以自己視狀況調整
最小化到工作列後鎖定/最小化到通知區後鎖定 : 當你按下縮小, 是不是要鎖住, 下次開起就要重打一次密碼, 由於我是個人使用並且還沒有神經到這種程度, 我是取消的, 我覺得如果真的很怕別人碰你電腦, 比較好的習慣應該是鎖定整個 windows , 那你可以勾選 在鎖定電腦時鎖定 , 你只要離開電腦就把 windows 鎖住是最好的方式
界面 :
最小化後不在工具列顯示 : 不然看了很煩
關閉按紐 X 將主視窗最小化而不是結束程式 : 我個人覺得一直關掉幹嘛
其他就自己慢慢看吧, 基本上預設就很好用了不太需要管

4. 建立你的小本子, 檔案 > 開新檔案
會跳一個 新資料庫 的提醒, 大概讀一下就可以, 然後就要建立一個檔案在你的電腦中, 你可以先建立在桌面上, 等等我們再移動到雲端 dropbox 或 其他有自動同步功能的雲端服務
確定好存檔位置就會出現下方的圖檔, 專家選項中的內容我不建議勾選, 因為容易造成不同裝置上使用的困擾, 例如想在手機使用的話, 基本上只要使用主密碼就足夠安全了

5. 如何建立安全的主密碼, 密碼的安全性經過眾多數學家的驗證
密碼的安全性只和長度有關係
什麼密碼要大小寫, 要數字符號balabala, 是能增加排列組合沒錯
但最直接影響的其實是長度
一般來說最基本都是建議 16 碼以上 (幼稚園才跟你用8碼)
雖然說使用密碼管理器只要記 1 組密碼 , 但是16碼也真是很難記
最簡單增加密碼長度的方式就是使用

注音輸入法轉換密碼

使用注音輸入法, 一個中文字很容易轉換成 3 ~ 4 個按鍵
你只要記住 6 個中文字 就有常度足夠的 密碼了
例如 : 上古卷軸好玩 > g;4ej3rm035.6cl3j06
是不是就有一個很漂亮的密碼了 !!

如果你擔心手機切注音看不到對應的英文
或是沒有鍵盤你打不出密碼
! 我也跟你有一樣的問題 !
請妥善背起來這個網址
http://www.ojelly.com/pw.php
這樣就不用擔心在外面按不出密碼的困擾了
若你擔心這個網站的安全性, 請跟我索取原始碼, 放在你自己喜歡的地方

請一定要用一個足夠安全的密碼當你的主密碼

6. 加密設定的步驟, 我建議用預設值就可以了, 你是專家就自己多研究很多選項

7. 救援資料表我建議略過, 可以救援 = 存在風險
如果你很用心的乖乖使用 注音輸入法轉換密碼 那麼你應該不會忘記你的密碼才對, 那麼就略過這個步驟吧 !

8. 界面介紹
左側視窗中的 test 是這一個密碼庫的名稱(小本子) , 下面是分類
右測視窗則是分類中的密碼, 你可以自由的增加刪除分類

9. 新增一個密碼
當我們要註冊一個網站的時後, 基於自己都不知道的密碼最安全的原則
最好是先在 keepass 中產生好密碼紀錄, 再使用copy的方式去註冊網站
按下工具列上 左數 4 的按紐 或從 編輯 > 新增 來呼叫這個視窗

標題 : 純識別用愛怎樣打都可以
登入名稱 : 註冊用的帳號或email , 未來可用 ctrl+b 複製
密碼 : 註冊用的密碼 , 未來可用 ctrl+c 複製 , 請使用紅框的功能產生密碼
網址 : 純識別用愛怎樣打都可以(有自動功能 但我覺得不好用)
備註 : 隨便你, 有時候我會放一些 安全問題的 答案 或是其它我註冊留下的資料
逾期 : 主要是在清單頁提醒你這個密碼該換了, 但不會隨便把他刪掉

10. 密碼產生器
密碼產生器基本上就是方便你無腦產生密碼的工具
你可以於 2 的地方設定好選項後 , 按下 3 存檔起來
配合台灣的使用 , 我建議建立 8 , 12 , 16 這 3 種長度的密碼規則
省的每次創密碼都要調來調去的 , 你設定好也可以在 1 的地方選預覽看看亂數產生的密碼

當你要使用你的密碼時
可以依分類找你的密碼在哪 , 或是直接按下 Ctrl+f 輸入關鍵字或部分網址
點選你的密碼用 ctrl+b 複製帳號 > 貼到網站
點選你的密碼用 ctrl+c 複製密碼 > 貼到網站
或是 點選你的密碼用 ctrl+v > keepass 或嘗試自動幫你輸入帳號和密碼
(但常常出錯就是了 XD)


如何跨裝置使用你的密碼 ?
首先 keepass 會將你的密碼庫 以 xxxx.kdbx 存成一個檔案
你只要使用 keepass 規格的應用程式都能夠打開這個檔案

你可以在 Getting KeePass – Downloads 看到下方有不同版本 不同作業系統 不同裝置的 keepass
所以我們只要解決 能隨時取得這個檔案的問題就可以了
最簡單的方式就是使用 dropbox 這樣的軟體 , dropbox 我就不解釋了自己 google

我使用 iphone 手機 , 我簡單介紹我使用的 app KeePass Touch
使用他的主要原因是, 他支持指紋辨識, 不然要我在手機上輸入 g;4ej3rm035.6cl3j06
也太痛苦了 = =
其他 app 應該也大同小異 , 我強烈推薦要用有指紋辨識的
以下很快很簡略的說明, 我相信你是聰明的
如果看不懂, 那還是先不要用好了 …

首先把 keepass 關掉 , 把 xxxx.kdbx 移到 dropbox 資料夾 並確定與手機同步完成 (這好廢話喔)
打開你的 app 然後看圖吧 !!