還在讓瀏覽器儲存網站帳號密碼嗎?或許你該多想一下

password-04

我記得幾年前朋友曾經遇到類似問題:在重灌電腦後,因為等於重新安裝 IE 瀏覽器,導致之前自動儲存在瀏覽器中的密碼都不見了,有些不常用的網站密碼後續就發生想不起來的窘境。這幾年, Google Chrome、 Firefox 都可以幫你同步備份瀏覽器記住的密碼到雲端與每台電腦,倒是不會再有上述問題發生。

但是,這樣的舉動真的夠安全嗎?這幾天,國外科技圈熱烈討論的話題之一就是 Google Chrome 瀏覽器在儲存你的網站密碼時,使用可以輕易顯示為明碼的方式儲存,也就是任何跟你使用同一台電腦的人,都能知道你每個網站存下來的密碼是什麼(參考:Chrome’s insane password security strategy)。

這不是 BUG,因為有些用戶真的需要這樣的功能來「找回」自己的密碼,然而這也值得我們去思考,儲存每個網站帳號密碼的需求,真的只能用相對不安全的瀏覽器來儲存嗎?還是有更好的儲存方式

 

 

在 Google Chrome 中,進入「設定」的「瀏覽器進階設定」,可以看到「管理系統儲存的密碼」連結,點開後就能看到瀏覽器幫你儲存的所有網站帳號密碼,這時候只要點擊〔顯示〕。

那麼,你的密碼就會清楚的顯示出來囉!

password-03

 

如果你的電腦只有你自己使用,那麼倒是無傷大雅,但在現今的雲端、行動工作環境裡這一點真的很難保證,你還可能在同步過程把密碼同步到所有的電腦上。而且,如果筆電被偷又沒有設定開機密碼怎麼辦?

所以或許最保險的方式,就是一開始不要讓瀏覽器記住你的密碼,可以在設定處取消勾選「詢問是否儲存我在網站上輸入的密碼」。

password-04

 

 

在 Firefox 中也有類似問題,不過 Firefox 本身有一個保障機制。

進入 Firefox 設定的「安全」頁面,如果你之前也是讓瀏覽器幫你記住網站密碼的話,打開「已存密碼」,在小視窗中點擊〔顯示密碼〕,那麼密碼一樣會清清楚楚的顯示出完整內容。

password-01

 

在 Firefox 中,同樣可以取消勾選「記住每個網站的密碼」,讓瀏覽器不要記住密碼,但如果你還是覺得這樣比較方便,那麼起碼 Firefox 提供了一個保險機制。

那就是勾選「使用主控密碼」,這樣一來,想要查看已儲存密碼時,需要先輸入主控密碼,就不是所有人都能輕易看到你的瀏覽器內存密碼了。

但是,把密碼存在瀏覽器資料中,會不會安裝其他第三方軟體後,就能讀出你瀏覽器內的帳號密碼資料呢?這一點我沒有仔細研究過,但以前 IE 時代是有的,所以大家還是要小心。

password-05

 

 

那麼,有什麼樣的方式可以安全、有效,又不會太麻煩的儲存你的帳號密碼呢?

有的朋友可能會用「頭腦」記住,例如以密碼學的方式設計中只有自己知道但可以簡單記住的密碼,不過,即使如此,我還是覺得應該有另外一個使用工具(或紙本)來儲存密碼,以免哪天頭腦不清。

而且,網路帳號安全保護方案已經不僅僅是擁有一個複雜、獨特的密碼就好,我們還必須記住安全問題、救援帳號或電話、兩步驟驗證的備用碼等等這不是可以用腦袋記住的資料量

所以還是需要一個儲存網站帳號密碼的地方,而目前大概有幾種選擇:

  • 1.KeePass:免費 Windows 電腦單機軟體(但也有 Mac、 Linux、 Android、 iOS 上的第三方軟體可用),用有效的加密方式儲存你的帳密,也可以用 Dropbox 等機制雲端備份同步。
  • 2. 1Password:付費的跨平台軟體,功能類似 KeePass,不過有瀏覽器的套件,可以和瀏覽器更緊密結合。
  • 3. LastPass:雲端同步管理密碼,有免費和付費區別,電腦瀏覽器使用免費,對一般用戶來說相對操作簡單,類似用瀏覽器記錄密碼,但有加密儲存,不像前述可以簡單看到密碼內容。

password-06

 

我自己目前使用的網站帳號密碼管理方案是「 KeePass 」(參考:個人帳號密碼的安全保險箱:KeePass Password Safe (附自動化填表技巧補完)),他可以幫我把所有帳號密碼、安全驗證問題、備用救援資料,全部統一儲存,然後加密成一個資料庫檔案,只有我能開啟。

另外當瀏覽器沒有記住密碼時,每次登入網站都要重新輸入帳號密碼,這時候也可以利用 KeePass 提供的快速輸入功能,自動完成填寫,所以工作流程上還是很方便。

推薦大家參考看看,也想想看是否還要繼續用瀏覽器來儲存帳號密碼。

留言

  1. KeePass+LastPass,KeePass需要手动填写帐号密码,有时刚申请的号没写进去过两天就忘了TΔT 还是LastPass保管网页密码+KeePass管理安全级别高的和其他密码比较方便。

    回覆刪除
  2. 目前使用Lastpass 有Fx套件比較方便

    但有時候不禁會想 如果鍵盤被木馬側錄
    等於是全部密碼一次打包給駭客
    Lastpass還有Grid驗証表格可以防此類問題
    https://www.youtube.com/watch?v=jcgzf1KvZlg
    不過我一直懶得用...

    回覆刪除
  3. 圖 Firefox:[使用主控密碼]這項怎麼有打勾?(不是記住網站密碼才需要用到?)

    還是搞不清楚 "不要告訴網站追蹤偏好" 與 "告訴網站不要追蹤" 的設定選項有什麼區別?
    好像前者比較適當?

    回覆刪除
    回覆
    1. "不要告訴網站追蹤偏好" 這是指維持以前的現狀
      "告訴網站不要追蹤" 則是讓網站知道不要追蹤你的資料

      如果希望不要追蹤,就是選擇後者

      刪除
    2. 覺得 "不要告訴網站追蹤偏好" 這個選項很多餘

      刪除
    3. 上述兩個都是沒用的
      "告訴網站不要追蹤"只是"勸告"對方說我不想被追蹤 網站想追蹤你一樣還是能追蹤

      真正不想被追蹤 就安裝套件DoNotTrackMe
      https://addons.mozilla.org/zh-TW/firefox/addon/donottrackplus/

      刪除
  4. MaskMe: Online Privacy Protection
    https://addons.mozilla.org/en-US/firefox/addon/maskme/

    回覆刪除
  5. 現代人幾乎人手一機
    Lastpass配合Google Authenticator手機驗證
    問題就解決了

    回覆刪除
  6. LastPass應該會比較安全,不知道還有沒有同類型的軟體?

    回覆刪除
  7. 「會不會安裝其他第三方軟體後,就能讀出你瀏覽器內的帳號密碼資料呢?」

    From Nirsoft WebBrowerPassView:

    "Currently, WebBrowserPassView cannot retrieve the passwords if they are encrypted with a master password. Support for master password will probably be added in future versions."

    嗯,現在好像真的沒有,但遲些就不知道了。

    回覆刪除
  8. Roboform這一套也滿好用的,只是需要付費
    http://www.roboform.com/

    回覆刪除

張貼留言

相關文章:

這個網誌中的熱門文章

OpenShot 免費中文版影片剪輯軟體,何必用精簡版的威力導演

Google Maps 我的地圖完全教學!規劃自助旅行攻略

Messenger Lite 臉書即時通輕量版台灣下載開放,比較看看我該用哪一款?

To the Moon 繁中版登陸手機,經典說故事型 RPG 無劇透評析

Smallpdf 線上 PDF 轉檔 Word 與編輯免費全能工具,支援中文

五款免費中文 OCR 文字辨識軟體下載,建立強大無紙化辦公室

我所養成的 10 個最有生產力習慣,以及我如何養成這些習慣

Beholder 當個好人很難,傳承《1984》反烏托邦模擬遊戲心得

Notion 把文件、任務、知識庫「無縫重組」的全新專案整理工具

YouTube 簡約黑色劇院介面正式推出,立即啟動不需改程式碼