2013年8月7日 星期三

還在讓瀏覽器儲存網站帳號密碼嗎?或許你該多想一下

password-04

我記得幾年前朋友曾經遇到類似問題:在重灌電腦後,因為等於重新安裝 IE 瀏覽器,導致之前自動儲存在瀏覽器中的密碼都不見了,有些不常用的網站密碼後續就發生想不起來的窘境。這幾年, Google Chrome、 Firefox 都可以幫你同步備份瀏覽器記住的密碼到雲端與每台電腦,倒是不會再有上述問題發生。

但是,這樣的舉動真的夠安全嗎?這幾天,國外科技圈熱烈討論的話題之一就是 Google Chrome 瀏覽器在儲存你的網站密碼時,使用可以輕易顯示為明碼的方式儲存,也就是任何跟你使用同一台電腦的人,都能知道你每個網站存下來的密碼是什麼(參考:Chrome’s insane password security strategy)。

這不是 BUG,因為有些用戶真的需要這樣的功能來「找回」自己的密碼,然而這也值得我們去思考,儲存每個網站帳號密碼的需求,真的只能用相對不安全的瀏覽器來儲存嗎?還是有更好的儲存方式

 

 

在 Google Chrome 中,進入「設定」的「瀏覽器進階設定」,可以看到「管理系統儲存的密碼」連結,點開後就能看到瀏覽器幫你儲存的所有網站帳號密碼,這時候只要點擊〔顯示〕。

那麼,你的密碼就會清楚的顯示出來囉!

password-03

 

如果你的電腦只有你自己使用,那麼倒是無傷大雅,但在現今的雲端、行動工作環境裡這一點真的很難保證,你還可能在同步過程把密碼同步到所有的電腦上。而且,如果筆電被偷又沒有設定開機密碼怎麼辦?

所以或許最保險的方式,就是一開始不要讓瀏覽器記住你的密碼,可以在設定處取消勾選「詢問是否儲存我在網站上輸入的密碼」。

password-04

 

 

在 Firefox 中也有類似問題,不過 Firefox 本身有一個保障機制。

進入 Firefox 設定的「安全」頁面,如果你之前也是讓瀏覽器幫你記住網站密碼的話,打開「已存密碼」,在小視窗中點擊〔顯示密碼〕,那麼密碼一樣會清清楚楚的顯示出完整內容。

password-01

 

在 Firefox 中,同樣可以取消勾選「記住每個網站的密碼」,讓瀏覽器不要記住密碼,但如果你還是覺得這樣比較方便,那麼起碼 Firefox 提供了一個保險機制。

那就是勾選「使用主控密碼」,這樣一來,想要查看已儲存密碼時,需要先輸入主控密碼,就不是所有人都能輕易看到你的瀏覽器內存密碼了。

但是,把密碼存在瀏覽器資料中,會不會安裝其他第三方軟體後,就能讀出你瀏覽器內的帳號密碼資料呢?這一點我沒有仔細研究過,但以前 IE 時代是有的,所以大家還是要小心。

password-05

 

 

那麼,有什麼樣的方式可以安全、有效,又不會太麻煩的儲存你的帳號密碼呢?

有的朋友可能會用「頭腦」記住,例如以密碼學的方式設計中只有自己知道但可以簡單記住的密碼,不過,即使如此,我還是覺得應該有另外一個使用工具(或紙本)來儲存密碼,以免哪天頭腦不清。

而且,網路帳號安全保護方案已經不僅僅是擁有一個複雜、獨特的密碼就好,我們還必須記住安全問題、救援帳號或電話、兩步驟驗證的備用碼等等這不是可以用腦袋記住的資料量

所以還是需要一個儲存網站帳號密碼的地方,而目前大概有幾種選擇:

  • 1.KeePass:免費 Windows 電腦單機軟體(但也有 Mac、 Linux、 Android、 iOS 上的第三方軟體可用),用有效的加密方式儲存你的帳密,也可以用 Dropbox 等機制雲端備份同步。
  • 2. 1Password:付費的跨平台軟體,功能類似 KeePass,不過有瀏覽器的套件,可以和瀏覽器更緊密結合。
  • 3. LastPass:雲端同步管理密碼,有免費和付費區別,電腦瀏覽器使用免費,對一般用戶來說相對操作簡單,類似用瀏覽器記錄密碼,但有加密儲存,不像前述可以簡單看到密碼內容。

password-06

 

我自己目前使用的網站帳號密碼管理方案是「 KeePass 」(參考:個人帳號密碼的安全保險箱:KeePass Password Safe (附自動化填表技巧補完)),他可以幫我把所有帳號密碼、安全驗證問題、備用救援資料,全部統一儲存,然後加密成一個資料庫檔案,只有我能開啟。

另外當瀏覽器沒有記住密碼時,每次登入網站都要重新輸入帳號密碼,這時候也可以利用 KeePass 提供的快速輸入功能,自動完成填寫,所以工作流程上還是很方便。

推薦大家參考看看,也想想看是否還要繼續用瀏覽器來儲存帳號密碼。

13 則留言 :

  1. KeePass+LastPass,KeePass需要手动填写帐号密码,有时刚申请的号没写进去过两天就忘了TΔT 还是LastPass保管网页密码+KeePass管理安全级别高的和其他密码比较方便。

    回覆刪除
  2. 目前使用Lastpass 有Fx套件比較方便

    但有時候不禁會想 如果鍵盤被木馬側錄
    等於是全部密碼一次打包給駭客
    Lastpass還有Grid驗証表格可以防此類問題
    https://www.youtube.com/watch?v=jcgzf1KvZlg
    不過我一直懶得用...

    回覆刪除
  3. 圖 Firefox:[使用主控密碼]這項怎麼有打勾?(不是記住網站密碼才需要用到?)

    還是搞不清楚 "不要告訴網站追蹤偏好" 與 "告訴網站不要追蹤" 的設定選項有什麼區別?
    好像前者比較適當?

    回覆刪除
    回覆
    1. "不要告訴網站追蹤偏好" 這是指維持以前的現狀
      "告訴網站不要追蹤" 則是讓網站知道不要追蹤你的資料

      如果希望不要追蹤,就是選擇後者

      刪除
    2. 覺得 "不要告訴網站追蹤偏好" 這個選項很多餘

      刪除
    3. 上述兩個都是沒用的
      "告訴網站不要追蹤"只是"勸告"對方說我不想被追蹤 網站想追蹤你一樣還是能追蹤

      真正不想被追蹤 就安裝套件DoNotTrackMe
      https://addons.mozilla.org/zh-TW/firefox/addon/donottrackplus/

      刪除
  4. MaskMe: Online Privacy Protection
    https://addons.mozilla.org/en-US/firefox/addon/maskme/

    回覆刪除
  5. 現代人幾乎人手一機
    Lastpass配合Google Authenticator手機驗證
    問題就解決了

    回覆刪除
  6. LastPass應該會比較安全,不知道還有沒有同類型的軟體?

    回覆刪除
  7. 「會不會安裝其他第三方軟體後,就能讀出你瀏覽器內的帳號密碼資料呢?」

    From Nirsoft WebBrowerPassView:

    "Currently, WebBrowserPassView cannot retrieve the passwords if they are encrypted with a master password. Support for master password will probably be added in future versions."

    嗯,現在好像真的沒有,但遲些就不知道了。

    回覆刪除
  8. Roboform這一套也滿好用的,只是需要付費
    http://www.roboform.com/

    回覆刪除

相關文章: