* 本文主要是關於「帳號密碼安全性」:如何設定夠強的密碼,並且降低洩漏帳號密碼的風險。至於「使用網路時的隱私和匿名」,請見本網站的 “Tor”(洋蔥網路)系列文章。
* 本文雖主要是針對桌機/筆電上的 Windows 使用者而寫,但是:
- 安全處理帳號密碼的觀念在任何系統都一樣;
- Mac、Unix-like 和手機用戶也能找到類似的軟體和設定。
目錄
- 前言:帳號密碼洩漏的途徑
- 1. 與電腦無關的,自己多小心
- 2. 保護帳號密碼的全攻略
- 2.1. 只使用加密連線來登入網站
- 2.2. 縮短瀏覽器或程式記憶帳號密碼的時間
- 2.3. 給瀏覽器安裝 NoScript 插件
- 2.4. 每個網站使用不同的帳號密碼
- 2.5. 使用「強密碼」
- 2.6. 不要把帳密寫在紙上,也不要嘗試記憶全部的密碼
- 2.7. 安裝防毒軟體
- 2.8. 設定「使用者登入密碼」
- 2.9. 螢幕自動鎖定,逾時重新登入
- 2.10. 把常用的 Windows帳號改成「標準帳戶」,不使用「系統管理員」登入
- 2.11. 磁碟加密
- 2.12. 使用「密碼管理員」程式
- 2.13. 只需要記三個密碼
- 2.14. 加強英文能力
- 3. 結尾警語
前言:帳號密碼洩漏的途徑
假設現在你要登入一個網站或必須連網的應用程式,帳號、密碼(以下簡稱「帳密」)的洩漏大致有幾種途徑:
- 如果你把帳密記在腦中:自己說出去;
- 如果你把帳密寫在紙上:這張紙被別人取得;
- 如果你把帳密記在電腦檔案裡:(1) 這個檔案被別人取得;(2) 從這個檔案複製某阻帳密時,剪貼簿(記憶體的一部份)被間諜程式側錄;
- 不管是哪一種記憶密碼的方式,使用記載著帳密的物件或輸入密碼時:(1) 別人在旁邊看到;(2) 鍵盤被間諜程式側錄。
- 登入過程,網路連線被竊聽;
- 登入之後,還沒登出的程式被他人使用,或者暫存著登入資訊的檔案或記憶體被他人取得。
1. 與電腦無關的,自己多小心
這節不是本文重點,但是參考一下也有益於保密防諜。本文的重點是3(2), 4(2), 5, 6的處理,請見第2節。
對付洩漏途徑1, 2, 3(1):只能靠你自己時時小心,不要把腦中的帳號密碼告訴任何人,不要把寫著密碼的紙或密碼的檔案給任何人(包括只是給看),就算你覺得對方可以信任,就算是你的另一半、至親、摯友。因為多一個人知道,必然增加洩漏的風險。對方可能被他人強制、威脅而交出你的帳號密碼,此外他記憶和使用帳號密碼的方式一樣有著上述的全部風險。
對付洩漏途徑4 (1):只能靠你自己時時小心,輸入前先環顧一下身邊沒有人在看,也沒有監視攝影機。
2. 保護帳號密碼的全攻略
基本中的基本觀念:安全和隱私一定要犧牲一些方便性來交換。
以下的「每個」項目要全部做到,才能完整保護帳號密碼。
如果你一下子做不來全部,可以分次完成,多做一個就增加一分保護,盡量做到全部。
至於順序:其實建議從「磁碟加密」開始做,然後是「使用者登入密碼」,然後是「密碼管理員」。因為「磁碟加密」是整個系統的安全性基礎;「使用者登入密碼」是個別使用者的安全性基礎;「密碼管理員」是所有帳號密碼的安全性基礎,而且還能減少為每個網路帳號設定不同密碼時的麻煩。但因為「磁碟加密」和「密碼管理員」對於許多人來說很陌生,設定時間也較長,可能帶來較高的心理障礙,所以本文先從容易的小措施和基本觀念開始介紹。
你會發現很多措施是針對瀏覽器的,因為現代人使用瀏覽器的時間佔據使用網路的最多時間,從瀏覽器洩漏帳密的風險也就隨之大增。但是其他程式同樣也有洩漏帳密的問題(尤其聊天軟體),所以類似的設定最好也在每個會連上網路的程式裡執行。
2.1. 只使用加密連線來登入網站
雖然加密連線已經發明二十幾年了,但仍有許多網站沒有加密連線,就赤裸裸地傳輸過幾十、幾百台電腦,等於是讓別人可以輕易在中間偷窺。有些網站則是使用過於老舊的加密技術,不能招架現在的攻擊方式。
為了使用加密連線,如果是瀏覽器的話,基本上有兩種方式:
(1) 個別網站處理,比較沒效率:把網址從 http://xxxxx 改成 https://xxxxx
(2) 一次處理:安裝 HTTPS Everywhere(官網)這個插件或外掛。只要網站有支援加密連線,它會自動改用加密連線。
* 如果你使用(1) 的方法卻不能開啟網頁,或者使用 (2)之後在某個網站的網址列沒看到 https:// 的開頭,就不要在這裡使用帳號密碼登入,放棄使用這個網站。因為它沒有加密。
如果是瀏覽器以外的應用程式:只能靠你自己去搜尋這個程式是否使用加密連線(搜尋關鍵字:程式名 TLS SSL 連線)。
也可以利用這個網站(https://www.ssllabs.com/ssltest/index.html) 來測試任何網站的加密等級。如果發現不安全,要避免使用這網站或程式,就算你很喜歡或依賴它。
- 例如蕃薯藤、東森新聞雲、甚至 Facebook 的 SSL Test 都是 B,雖勝過完全不加密,但相較於 A 的網站存在較大的風險。你仍可以閱讀它們的網站內容,但若要設立帳號就要考慮一下。
- 另有一些台灣流量前15大的網站用上述工具測不出有加密連線,例如自由新聞網、NOWNews、伊莉討論區。雖然只要不註冊帳號就不用怕被盜,但就網路隱私而言,使用這些網站的同時等於讓任何有心人都能偷窺你在瀏覽什麼網頁。
- 至於鄉民最愛的PTT,如果使用一般的 BBS 軟體或者網頁版,是沒有加密的,要使用 SSH 連線才能加密連上PTT。
2.2. 縮短瀏覽器或程式記憶帳號密碼的時間
手動登出:登入一個網站或程式(例如聊天軟體、線上遊戲)後如果用完了,立即登出是最安全的。當人們使用公共電腦時(例如圖書館裡的)通常會記得登出,但是用自己電腦時卻通常不會這樣做。這是很危險的,因為別人可能趁你離開電腦時使用你已登入的網站。如果你用完後短期內(例如15分鐘)沒有要關掉瀏覽器或那個程式,應該手動登出。
自動刪除 cookies:cookies 是用來記憶登入資訊的小檔案。一般瀏覽器和程式會永久保存 cookies,這表示只要你登入過某個帳號一次,以後都不用再次輸入帳號密碼。這是很危險的,因為別人可能趁你離開電腦時使用你已登入的網站或程式。就算你很有熱情做上述的手動登出,我們建議:為了避免百密一疏、忘記登出,請做下面的兩個設定:
- 打開你的瀏覽器的「設定」或「選項」,找到 “cookies” 相關的設定,設定為「關閉瀏覽器後即刪除」或類似的選項。
- 在瀏覽器和各種連網程式的設定裡面尋找「不要記憶帳號密碼」。
這雖然會造成你每次重新開啟瀏覽器後都必須重新輸入一次網站的帳號密碼,看似有點麻煩,卻能大大提高安全性。而且這個不方便只是暫時的,在下面的步驟(使用「密碼管理員」)完成後,將會恢復方便並且更加安全。
2.3. 給瀏覽器安裝 NoScript 插件
任何網站要竊取你的資料都必須讓你的瀏覽器執行某種腳本程式 (Script)。所以給瀏覽器安裝 NoScript 插件,並且預設為禁止所有的 Scripts,只在你信任的網站暫時容許執行 Script,能大大提高安全性。
* NoScript 的設定和使用方法,見本站之前文章(第9點)。
2.4. 每個網站使用不同的帳號密碼
最佳的保密方法是對於每個網站使用不同的帳號、密碼,這樣就算別人破解你幾個網站的帳密(例如 facebook),他仍然無法進入你的其他網站(例如 email, 購物網站)。
2.5. 使用「強密碼」
強密碼的基本標準:
- 不能包含任何語言的單字(不論是英文、法文、德文 …,甚至中文拼音、日文羅馬拼音…任何能寫成字母拼音的語言單字都不能使用):「字典攻擊法」就是按照字典會出現的單字來猜測密碼。
- 至少要有12個字符(24個以上最好,因為可以保證密碼強度有 128 bits 以上;當然越長越好),並且以下每個種類都要包含,才是最難破解的:英文字母大寫、英文字母小寫、阿拉伯數字、特殊符號 ~!@#$&*-_=[]\.,;:'”?/
因為這樣的密碼不容易記憶,尤其是如果在很多網站和程式設定了不同的帳號和密碼組合之後。建議搭配使用「密碼管理員」,例如 KeePass(詳見本文下面),可以自動產生複雜的密碼、計算密碼強度、幫助管理許多組帳號密碼。
2.6. 不要把帳密寫下來,也不要嘗試記憶全部的密碼
為什麼不建議記在腦中?因為每個人設有帳號密碼的網站很多,如果你按照上兩個小節做,只有記憶力超人才能記得許多的帳密組合,而凡人大多想到的解決方法是「每個網站使用一樣的帳號密碼」,或者「交互使用少數幾組帳號密碼」加上「把那少數幾個密碼設得很複雜」。然而這仍然是非常不安全的,只要先攻擊幾個不夠安全的網站,就能輾轉攻下其他網站。
為什麼不建議寫在紙上?很明顯,(1) 有遺失的風險,(2) 遭竊或被偷窺時,可能一次就洩漏所有網站的帳密。--如果你擁有很堅固安全的保險箱,雖然可以寫下來鎖進保險箱裡,但是這樣你外出時無法取用帳號密碼。
我們建議使用「密碼管理員」程式來儲存及取用所有的帳號密碼(詳見下面)。雖然你最終仍是必須記住密碼管理員程式的主控密碼,但是你可以把它設得很複雜。因為如果按照本文的建議步驟,你將只需要記得1~3個密碼,減少了記憶數量,可以記住比較複雜的。
但在介紹密碼管理員之前,應該先把作業系統本身的安全性做好。
2.7. 安裝防毒軟體
所有的作業系統都會受到電腦病毒和惡意程式攻擊,不是只有 Windows。所以不管你是用 Windows, Mac OS, Linux, Android 還是 iPhone,所有的作業系統都需要防毒軟體。(如果有人跟你說 Mac 或 Linux 好棒棒不會中毒,他一定在唬爛,或者不懂電腦。)
壞人可能騙你安裝鍵盤側錄程式(例如偽裝成無害的廣告騙你按下連結),或者騙你安裝某個程式才能看影片。這情況下,就算你使用了密碼管理員程式來保存其他的帳號密碼,並設定一個非常複雜的主控密碼,但是你總是需要「打開密碼管理員」才能使用它,只要側錄你給密碼管理員的主控密碼,別人就能進入你的資料庫一覽所有的帳號密碼。
壞人也可能騙你安裝記憶體側錄程式(例如偽裝成免費好用的小工具或遊戲),竊取你複製到剪貼簿的帳密;當你手動輸入帳密時,竊取程式或瀏覽器存在記憶體中的帳密。
此外,壞人也可能偽裝成你常用的網站或軟體來騙你登入,取得你的帳號密碼。
為了處理這些問題,你應該安裝一套強大的防毒軟體。付費版的可以參考這網頁,免費版的可以參考這網頁。付費的優於免費的。當有惡意軟體要安裝時,合格的防毒軟體會警告你,優良的甚至直接拒絕安裝。優良的防毒軟體也可以把每個新安裝的程式都安裝在「沙箱」(sandbox) 裡面讓它雖然可以運作,但不能影響其他程式和檔案。
* 有些網站告訴你「防毒軟體會讓電腦變慢」。記得我們說過「基本中的基本觀念」:安全和隱私一定要犧牲一些方便性來交換。如果真的慢到受不了,建議您更換一些零組件,例如把傳統硬碟換成 SSD,或者多加一些記憶體。如果還是很慢,建議您換台新電腦。
* 有些網站會教你「小心一點的話根本不需要防毒軟體」。我們則強調:百密一疏。而且如果要一切靠自己,等於你必須隨時追上資訊安全界的新聞,知道有什麼新手法在竊取帳號密碼,知道有什麼方法可以避免被害--先評估一下你有沒有這個能力和時間。
2.8. 設定「使用者登入密碼」
有些程式記憶帳號密碼,在下次開機時自動登入,而且你找不到「不要記憶帳號密碼」的選項。那麼只要別人能夠讓你的電腦進入桌面,就能使用這些程式。為了避免這情況,你應該設定使用者的登入密碼:
Windows 設定步驟:開始(左下角的視窗圖)> 設定 > 帳戶 > 登入選項 > 密碼
* 這個設定的 Windows 登入密碼是你少數應該記在腦中的三組密碼之一。因為若不登入 Windows,你無法打開密碼管理員。
* 網路上很多文章教人取消 windows 登入密碼,這是非常危險的作法。
2.9. 螢幕自動鎖定,逾時重新登入
就算程式和瀏覽器不會記憶帳號密碼、不會自動登入,但如果你自己登入了某些程式和網站,仍要擔心:(1) 離開電腦時被別人直接使用你已開啟的網站或程式,(2) 瀏覽器或程式暫時存著的帳號密碼被讀取或複製。
最好的方法當然是:每次要離開電腦時,手動將 Windows 帳戶「鎖定」或登出。
但是百密一疏,有時候你就是會忘記手動鎖定或登出,而給他人可趁之機。這就要透過「逾時重新登入」來彌補。方法:
1. 逾時自動睡眠
步驟:開始(左下角的視窗圖)> 設定 > 系統 > 電源與睡眠 > 將睡眠的兩個選項(使用電池、插電時)設定在5~15分鐘以內。
斟酌一下你的使用習慣(是否經常盯著螢幕發呆?),時間越短越好。
2. 上一個步驟還要加上「喚醒後要重新登入」才有保密的作用:
步驟:開始(左下角的視窗圖)> 設定 > 帳戶 > 登入選項 > 需要登入 > 當電腦從睡眠狀態中喚醒
3. 用於替代1與2,你也可以設定「螢幕保護程式」。但因為1與2的「睡眠」功能同時有省電的效果,所以比較推薦使用。螢幕保護程式設定:
步驟:開始(左下角的視窗圖)> 設定 > 個人化 > 鎖定畫面 > 螢幕保護程式設定 > 勾選「繼續執行後,顯示登入畫面」
一樣設定在5~15分鐘的時間,配合你的使用習慣(是否經常盯著螢幕發呆?),越短越好。
* 這裡的密碼是上一個步驟「Windows使用者登入密碼」所設定的。
2.10. 把常用的登入帳號改成「標準帳戶」,平常不使用「系統管理員」登入
有時候非常精巧的惡意程式騙過了防毒軟體,而得以安裝在你的電腦上。如果你用來登入 Windows 的帳號有權限修改重要的系統檔案,惡意程式將能長驅直入,不只是竊取帳號密碼,還能破壞你的電腦讓你喪失全部資料。很不幸的,Windows在安裝時會給第一個建立的帳號有系統管理員的權限,而這帳號通常就是這台電腦上最常登入的帳號,使得這種損害風險「預設最大化」。為了最小化惡意程式安裝成功後的損害程度,建議您:
把通常用來登入 Windows 的帳號改成「標準帳戶」,並且另建立一個系統管理員帳號,給這兩個帳號不同的密碼(設定方法)。平常不使用系統管理員登入。
當你用標準帳戶登入時,新安裝的程式預設沒有權限讀取和修改系統檔案。如果程式要求讀取或修改系統檔,會跳出視窗要求你輸入系統管理員密碼,此時給你一個機會仔細思考一下要不要安裝。--當然,如果防毒軟體和你都沒能識別、阻止惡意程式安裝,那受害也沒辦法了。
* 網路上有許多文章教人如何「取消輸入系統管理員密碼」、「取消系統管理員警告」。這是非常危險的作法。
* 這個密碼因為不常用,可以不用記在腦中,需要時去查密碼管理員就好。
2.11. 磁碟加密
就算上述的措施都做了,Windows 還是有一個安全瑕疵:Windows 預設對於磁碟上的內容不加密。
有一些需要帳號密碼登入的程式(例如即時通訊軟體、電子書閱讀器、網路遊戲)會將你輸入的帳號密碼存在某個檔案裡,方便你下次不用再輸入。因為 Windows 預設對於磁碟上的內容不加密,就算你關機了,就算你設了密碼讓人無法登入你的 Windows 帳號,但別人只需要把你的硬碟接到別台電腦上,「直接」讀取硬碟檔案就可以取得你在這些程式的帳號密碼。
為了克服這瑕疵,你應該使用「磁碟加密」。我們推薦 VeraCrypt 這套軟體,而不推薦 Windows 內建的 BitLocker。(理由:VeraCrypt 是開源的自由軟體,而且受過許多資安專家檢驗其程式碼。相反的,BitLocker 是微軟專有軟體,程式碼不公開,外人無法得知它有沒有問題。)
- VeraCrypt 的中文使用教學。
- 當然如果可以的話,請去官網看英文的說明文件,內容絕對是更詳盡。
* 磁碟加密的解鎖密碼,是你少數應該記在腦中的三組密碼之一。因為若不解開磁碟密碼,你無法打開密碼管理員。
- Apple 用戶在 Mac上可以安裝 FileVault 程式來做全機加密。
- Unix-like 用戶我想你們都知道該如何做全機加密或磁區加密。
2.12. 使用「密碼管理員」程式
如果你用過瀏覽器上的「記憶密碼」或「密碼管理員」功能(Firefox, Chrome, Safari, IE, Opera),那麼這個步驟對你來說只是把管理密碼的範圍從瀏覽器(網站)擴大到所有程式,甚至可以擴大到跟電腦和網路無關的密碼管理,例如提款卡密碼、保險箱密碼。
「密碼管理員」程式的基本功能:
- 幫你產生隨機的強密碼給不同帳號使用;
- 加密儲存許多組帳號密碼;
- 你只需要記憶一組「主控密碼」(master key),就可以取用其他組帳密;因為只需要記憶一組密碼,它可以非常非常複雜,只要你記得起來。
- 在取用帳密時沒有任何資訊需要傳出本機電腦;
- 在取用帳密之後或者閒置管理員程式時,迅速再次加密、鎖起來;
安全性優良的密碼管理員程式,除了基本功能之外,應該還要做到:
- 避免在取用帳密的過程被惡意程式側錄鍵盤;
- 避免將解鎖後的帳密原文暫存在記憶體;
- 使用過的帳密立刻從記憶體清除;
- 避免「字典破解法」;
- 任意倍數拉長「暴力破解法」的時間;
- 開源軟體,受過資安專家檢驗原始碼。
方便的密碼管理員程式,也許需要做到:
- 在各種瀏覽器和任何程式上都可使用;
- 在各種作業系統都可使用;
- 在桌機和筆電、手機和平板都可使用;
- 跨平台的雲端同步功能,讓你在任何一個裝置上新增、修改、刪除帳密之後,其他裝置上的資料庫也能同步變更。
我們推薦的密碼管理員程式 “KeePass Password Safe” (官網)具有上述所有功能和特徵。
- 網路上已經有許多精美的中文教學。
- 當然如果可以的話,請去官網看英文的說明文件,內容絕對是更詳盡。
匯入既有帳號密碼:安裝好 KeePass 之後,你需要將既有的帳號密碼逐一輸入到 KeePass 裡。
- 如果你原本記在 Calc / Excel 之類的檔案裡,可以將它匯出成 .csv 檔案,然後輕易匯入 KeePass 裡;
- 如果你原本使用其他的密碼管理員程式,KeePass 可以直接匯入它們的資料庫。
不能匯入時,你需要手動逐一輸入。建議步驟是:
(1) 在瀏覽器裡面安裝 KeePass 的插件,它們可以與 KeePass 合作。(建議使用 Firefox 瀏覽器,雖然其他瀏覽器也有適用的插件。)
(2) 使用瀏覽器逐一登入你擁有帳號密碼的網站,此時 KeePass 會詢問你要不要儲存這組帳密,選「是」就可以了。
(3) 登入每個網站之後,去修改密碼,並使用 KeePass 的「產生新密碼」功能,讓程式為你產生隨機的、複雜的、你自己也記不起來的密碼--最不會洩漏的密碼,是連主人都不知道的密碼--。修改完後 KeePass 會詢問你要不要更新這個網站的帳密資料,選「更新」就可以了。
* KeePass 的官網上提供許多不同作業系統的版本 (Unix-like, Android, Mac, iOS) ,不同瀏覽器的整合程式 (Firefox, Chrome, Safari, Opera, IE) ,使用都很簡單,請自行取用。
* KeePass 的主控密碼,是你少數應該記在腦中的三組密碼之一。因為如果你不打開 KeePass,便無法查詢存在它裡面的密碼。
2.13. 只需要記三個密碼
最終整理一下,如果按照我們建議的設定,你只需要記憶三個密碼:(1) 磁碟加密, (2) 常用的 Windows 登入帳號, (3) 密碼管理員 KeePass的主控密碼。
其他帳號密碼都存在 KeePass 裡面,需要時查詢即可,而且因為 KeePass 可以安裝在手機和平板上 (For Android: KeePass2Android; For iOS: MiniKeePass),你可以隨時隨地查詢。
* 不要把這三個密碼設成一樣,這樣做會削弱安全性。
* 如果你真的記不來三個密碼,至少 KeePass 的主控密碼一定要跟其他兩個不一樣,因為 KeePass 守衛著你其他所有帳號的安全。
2.14. 加強英文能力
電腦的世界基本上是英文的世界,絕大多數的程式最先具備英文介面,並且使用說明也往往是英文版最完整。所以如果願意閱讀和使用英文網站,將能夠提早使用加強資訊安全與隱私的新工具。
3. 結尾警語
沒有絕對的安全。
不只是因為本文所介紹的方法可能不夠詳盡或不夠好。就算做到以上所有項目,但是任何的密碼管理員和磁碟加密仍然有兩個弱點:主控密碼和你。就算你記得住無比複雜的主控密碼,可以抵擋任何「電腦的暴力破解法」;但面對「真正的暴力破解法」時,例如當壞人拿刀槍抵著你或你最重視的人時候,建議你還是洩漏出來。
密碼誠可貴,生命價更高。
KeePass 目前還沒有做到「假主控密碼」的設計,也就是你預先設定兩組以上的主控密碼,其中一組是真正的,另一組是假的,當輸入假主控密碼時會開啟一個「真的假資料庫」,裡面有許多真實的、但洩漏也無所謂的帳號密碼,例如從建立之後就從未用過的 email 帳號。--如果有假主控密碼的設計,就可以在被壞人逼迫時交出假主控密碼,讓壞人以為你的確沒有什麼藏著貴重資訊的帳號。
但是我們推薦的磁碟加密程式 “VeraCrypt” 有假主控密碼的功能,你可以把 KeePass 的資料庫以及所有的機密檔案藏在真主控密碼才能開啟的地方。根據 VeraCrypt的設計,就算對磁碟進行分析也辨別不出真假區域的差異。
當然如果壞人也想到假主控密碼存在的可能性而持續逼迫你,為了生命安全還是乖乖透露吧。
I am in fact delighted to glance at this weblog posts which includes lots of helpful information, thanks for providing these kinds of information.