心得分享-密碼管理器

認真的說,資訊的時代,不要再使用背的起來的密碼了
密碼的用途不是拿來背的,試試看使用密碼管理器
前一週會覺得好麻煩好難用,但過了磨合期就會用的理所當然了 !!
強烈建議忍耐一週試試看

資訊時代的一個問題就是

每一個網站都要你註冊
一個人最基本有 20 個網站帳號,一點都不奇怪
而 20 個網站都使用一樣的密碼,似乎也是合情合理
畢竟誰記得住 20 組密碼呢

但這往往就是最容易產生問題的地方
因為只要一個網站密碼外洩,同時你其他 19 個網站的密碼也等於外洩了
就算你超信任那個網站或品牌,但你也無法確定他們有沒有黑心員工
或是離職前才狠弄一把的邪惡工程師

所以最好的方式就是
20 個網站就乖乖使用 20 個密碼
100 個網站 就使用 100 個密碼

但由於要一個人去記住 20 組密碼
對現代人來說 ~ 根本不可能
所以這時候密碼管理器的軟體就出來了


密碼管理器

對應到現實生活上來看,就只是一本有鎖的小本子
而特別的是這個鎖是目前科技無法破壞的 (SHA-256 加密)
雖然說量子計算機出現了,但目前好像只有 7 bit 的運算能力
等出了再擔心吧

特點 1 : 可以亂丟

是的可以亂丟,你不敢亂丟汽車,亂丟提款卡,因為都太容易暴力解鎖了
但 SHA-256 是可以亂丟的,送人人家也不要 XD

特點 2 : 無腦用反而更安全

工具軟體的好處就是有很多自動和無腦的功能
小本子翻頁翻頁翻半天找不到 ? 軟體使用搜尋 ( ctrl+f ) 馬上找到你要的
找到密碼還要自己 keyin 好麻煩 ? 軟體直接複製貼上不用 1 秒鐘 ,就算密碼長度 32 個字也不麻煩
每次都要想密碼好累 ? 軟體自動雜湊密碼給你用 ,連自己都不知道的密碼最安全

特點 3 : 自動同步無縫體驗

假設現實中你真的有一本小本子,出門忘了帶怎麼辦 ?
貓咪打翻咖啡了怎麼辦 ?
拜拜燒金紙不小心燒掉怎麼辦 ?
基於特點 1 的不可破解性質
小本子上傳雲端,自動同步你的電腦,手機,筆電
不管到哪裡都可以用
對啦你去沒網路的地方我也沒辦法


keepass

密碼管理器其實非常多品牌,隨便 google 都可以找到一堆,也很多是採用線上服務的
但由於這些 "閉源的軟體" 只有公司或工程師知道這個軟體幹了甚麼事情
基於這樣的理由,我個人不喜歡使用這些 "黑箱作業" 的軟體
我偏好開源的軟體,除了免費以外
對於熱門的軟體,其安全性受到全世界吃飽沒事幹的工程師監督
但是還是要注意一個地方,開源又不熱門沒有人監督的軟體,是絕對不安全的阿 XD
開源 不等於 安全
透明 + 很多人盯著看 = 才是安全

安裝

想當然你必須安裝它,這個步驟實在沒啥好說的,基本上就是一直下一步就裝好了
如果你無法自行安裝,我也幫不上忙了 Orz
安裝好後它會很體貼地問你要不要建立一個主檔案阿,但因為都是英文,先關掉不理它等等再說

語言

KeePass 支援很多語言,就是那些閒閒沒事的工程師翻譯的
看看你想用哪種語言,你可以在 Translations 找到你想要的語言包
解安裝丟到 你的安裝目錄\KeePass Password Safe 2\Languages 底下即可
或是在工具列上找到 > 檢視 > 選擇語言 > 打開新視窗後下面有個 開啟資料夾 點下去也會打開
好啦我知道你目前可能是英文版的
View > Change Language > 看到新視窗的下面 > open folder
請記得下載語言包要選對版本喔

設定

第一次使用設定建議做以下設定
當然先把剛剛辛苦裝上的語言包啟動它,然後會要求你重開,就重開阿布蘭咧 XD
先打開選項看看吧 工具 > 選項

我說明一些我自己覺得修改一下會比較好用的項目

工具列上找到 > 工具 > 選項

安全 :

  • 剪貼簿自動清除時間 :
    當你用了 ctrl+c ,過幾秒後他會自動清掉避免別人碰你電腦用了 ctrl+v 看到你的密碼,預設時間有點短可以自己視狀況調整,我習慣是 30 秒
  • 最小化到工作列後鎖定/最小化到通知區後鎖定 :
    這是說當你按下縮小,是不是要幫你鎖住
    如果鎖住的話,那下次開起就要重打一次密碼
    由於我是個人使用並且還沒有神經到這種程度,我是取消的
    我覺得如果真的很怕別人碰你電腦,比較好的習慣應該是
    鎖定整個 windows XD
    那你可以改勾選 在鎖定電腦時鎖定 ,你只要離開電腦就把 windows 鎖住才是比較有意義的方式

界面 : 

  • 最小化後不在工具列顯示 :
    勾起來它就會縮到系統列,不然看了很煩
  • 關閉按紐 X 將主視窗最小化而不是結束程式 :
    如果你選關掉,那一樣重開要再打一次密碼,我個人覺得一直關掉幹嘛 XD

其他就自己慢慢看吧,基本上預設就很好用了不太需要管

建立你的小本子

檔案 > 開新檔案
這邊會跳一個 新資料庫 的提醒,大概讀一下就可以,講得很厲害,但其實就是要建立一個檔案在你的電腦中而已
你可以先建立在桌面上,等等我們再移動到雲端 dropbox 或 其他有自動同步功能的雲端服務
確定好存檔位置就會出現下方的圖檔
專家選項中的內容我不建議勾選,因為容易造成不同裝置上使用的困擾,但安全性也更高就是了
困擾的部分例如想在手機使用的話,可能手機上的 APP 並沒有支援專家選項中的功能
基本上只要使用主密碼夠長就足夠安全了

建一個安全的主密碼

密碼的安全性經過眾多數學家的驗證後確定

密碼的安全性只和長度有關係
沒有一個男子漢會否認長度的重要性

什麼密碼要大小寫,要數字符號balabala,是能增加排列組合沒錯
但最直接影響的其實還是 長度
一般來說最基本都是建議 16 碼以上 (幼稚園才跟你用8碼)
雖然說使用密碼管理器只要記 1 組密碼 ,但是16碼也真是很難記
最簡單增加 你的長度 的方式很簡單,不用吃中藥,也不用吊啞鈴

就用 注音輸入法 來增長你的長度就好了

使用注音輸入法,一個中文字很容易轉換成 3 ~ 4 個按鍵
你只要記住 6 個中文字 就有常度足夠的 密碼了
例如 : 上古卷軸好玩,用注音打出來就變成 >>> g;4ej3rm035.6cl3j06
是不是就有一個很漂亮的密碼了 !!

如果你擔心手機切注音看不到對應的英文,或是沒有鍵盤你打不出密碼 ! 我也跟你有一樣的問題 !
所以請妥善背起來這個網址 http://www.ojelly.com/pw.php
這樣就不用擔心在外面按不出密碼的困擾了
若你擔心這個網站的安全性,請跟我索取原始碼,放在你自己喜歡的地方

請一定要用一個足夠安全的密碼當你的主密碼

下一步會跳加密設定的選項,用預設值就可以了,你願意研究可以很大程度提高安全性,但也會變難用就是

再下一步會跳出設定救援的設定,但是ㄋ ...

可以救援 = 存在風險

放錢包錢包會掉,用手機拍手機會掉,放桌上貓會把水打翻 XD
如果你很用心的乖乖使用 注音輸入法轉換密碼 那麼你應該不會忘記你的密碼才對,那麼就略過這個步驟吧 !

界面介紹

左側視窗中的 test 是這一個密碼庫的名稱(小本子) ,下面是分類
右測視窗則是分類中的密碼,你可以自由的增加刪除分類

新增一個密碼

當我們要註冊一個網站的時後,基於自己都不知道的密碼最安全的原則
最好是先在 keepass 中產生好密碼紀錄,再使用copy的方式去註冊網站
按下工具列上 左數 4 的按紐 或從 編輯 > 新增 來呼叫這個視窗

  • 標題 : 純識別用愛怎樣打都可以
  • 登入名稱 : 註冊用的帳號或email ,未來可用 ctrl+b 複製
  • 密碼 : 註冊用的密碼 ,未來可用 ctrl+c 複製 ,請使用紅框的功能產生密碼
  • 網址 : 純識別用愛怎樣打都可以(有自動功能 但我覺得不好用)
  • 備註 : 隨便你,有時候我會放一些 安全問題的 答案 或是其它我註冊留下的資料,或 TOTP 的金鑰
  • 逾期 : 主要是在清單頁提醒你這個密碼該換了,但不會隨便把他刪掉

密碼產生器

上圖紅框的地方,就是密碼產生器,基本上就是方便你無腦產生密碼的工具,選開啟密碼產生器可以看到下表
當然你要用它下面預設的也可以,有寫 (內建) 的就是,16dws,16wd 是我建立的常用規則

想建立自己常用的規則,如下圖中,你可以於 2 的地方設定好選項後 ,按下 3 存檔起來
配合台灣的使用 ,我建議建立 8 ,12 ,16 這 3 種長度的密碼規則
省的每次創密碼都要調來調去的 ,你設定好也可以在 1 的地方選預覽看看亂數產生的密碼
另外以 16 為例子,建議建一組不含特殊字元的規則 (就是我的16wd),因為台灣還有很多古代系統會跟你說不行

使用你的密碼時

可以依分類找你的密碼在哪 ,或是直接按下 Ctrl+f 輸入關鍵字或部分網址
點選你的密碼用 ctrl+b 複製帳號 > 貼到網站
點選你的密碼用 ctrl+c 複製密碼 > 貼到網站
或是點選你的密碼用 ctrl+v > keepass 或嘗試自動幫你輸入帳號和密碼,但常常出錯就是了 XD


如何跨裝置使用你的密碼 ?

首先 keepass 會將你的密碼小本子,以 xxxx.kdbx 存成一個檔案,就是剛剛有說可以先建立在桌面上那個
你只要使用支援 keepass 規格的應用程式都能夠打開這個檔案

你可以在 Getting KeePass - Downloads 看到下方有不同版本 不同作業系統 不同裝置的 keepass
甚至還有網頁板的,就是你先把檔案傳給它,用瀏覽器就可以打開看,雖然有 SHA-256加密,但還是不太建議啦 XD
所以我們只要解決能隨時取得這個檔案的問題就可以了
最簡單的方式就是使用 dropbox 這樣的軟體 ,dropbox 我就不解釋了自己 google

我使用 iphone 手機 ,我簡單介紹我使用的 app KeePass Touch
使用他的主要原因是,他支持指紋辨識,不然要我在手機上輸入 g;4ej3rm035.6cl3j06
也太痛苦了 = =

其他 app 應該也大同小異 ,我強烈推薦要用有指紋辨識的就都可以
以下很快很簡略的說明,我相信你是聰明的,如果看不懂,那還是先不要用好了 … XD

請記得同步前,先去左下的齒輪開啟指紋辨識,不然同步完登入後才開,又要重輸入一次密碼 XD

Android 上,我使用的是 KeePassDX,也是非常好用,而且他還可以增加專用鍵盤,輸入不用自己一直 copy


TOTP

現在越來越多 2FA 的兩步驟驗證,其實也就說明了資安問題真的越來越嚴重了
今天隨興翻一翻 Keepass 有看到 TOTP 的 plugin,這樣可以不用拿手機起來,覺得還蠻不錯的
我選了這個來用 KeeTrayTOTP 主要是因為他說能支援 Steam Guard 的驗證 ... 但 ... 等等再說

安裝

GIT Releases 頁面下載,下面有一個寫 KeeTrayTOTP.plgx 的檔案

之後到 Keepass 工具列 > 工具 > Plugin > 看到新視窗後 > 開啟資料夾 > 把剛剛抓的檔案丟進去重開就好
使用說明懶得寫了,因為一打開它就會跳 Welcome,大概看一下就會用了
或到 工具列 > 工具 > Tray TOTP plugin > help 也能打開說明頁面
但來說說啥是 TOTP 吧 XD

神秘的 QRcode

一般要開啟 2FA 
都會拿 Google Authenticator 掃條碼

如果你也曾經好奇的用其他 QRcode scanner 
你會發現掃出來是這樣的一段文字

otpauth://totp/TAK%3Ajelly%40eso-tw.com?secret=GETCWOBM26OX55AZ&issuer=TAK

掃描好就這樣 可以看到每 30 秒更新

亂碼

反正看不懂就說亂碼,這部分我沒問題 XD
但顏色和圖都標出來了應該很好懂吧

中間這段文字 GETCWOBM26OX55AZ 不是亂碼,而是你的 Seed (我喜歡叫它密碼就是了)
會叫它 種子 而不叫密碼,主要是因為它會幫你長出莫名其妙的 6 個數字這樣

這邊有很大一篇手把手告訴你 它怎麼長出來的 但我看不懂就是了,超越 + - * / 的數學我看不懂 XD

但由於如果你的 Seed 外洩的話,別人也能長出一樣的 6 個數字
所以我還是比較喜歡叫它 密碼 或 金鑰 XD

能破解嗎?

其實可以 XD
畢竟它是固定的 16 個 有規則 的字母,所以他並沒有 1636 或 3616 那麼多的排列組合
抱歉我不知道哪一個才是對的排列組合算法 XD
所以基本上就是暴力破解,用生命跟它跑下去就可以了 XD

很多人誤會它 30 秒變動一次很厲害,但其實 30 秒變一次的重點還是放在別的地方
TOTP 很方便的一個地方是它透過複雜的數學,算出了一個 6 個數字的結果
這讓你非常容易能夠完成密碼輸入,而且還只有數字而已 !

你可能會想問有沒有可能 4 個 或 2 個數字就好,那不更輕鬆
數學上應該可以,但現實中不行,因為 30 秒內是有機會暴力跑完 436 或 364 種組合的 XD

那倒底哪裡比較安全了

TOTP 最安全的地方在於它,不傳送不交換

一般你在網站上輸入帳密按下送出,你的封包就會被截取,然後那個人生命足夠的情況下就能算出你的密碼
但 TOTP 並不會送出你的 Seed,所以他連破解的機會都沒有,又因為它根本不知道你的 Seed 有多長,所以基本上不會有駭客想不開去 try 你的 TOTP

Gmail 的 2FA Seed 長度是 32 碼,一樣只算出 6 個數字給你按,誰要去破解 3236 或 3632 種組合的密碼阿 XD


如果你竟然有力氣看到這一行,休息一下,別猶豫了,去換用密碼管理器,保障你在網路世代的資訊安全吧 !