密碼管理意識薄弱
生活數碼化及服務自助化是今天的大趨勢,每個人擁有數十甚至過百帳戶,不少人在管理帳戶及密碼覺得困擾。
上周,Google香港委託YouGov進行網絡安全調查,顯示港人密碼使用習慣欠佳。統計數字令人頗擔憂,有87%人於多個網站重複使用相同密碼,52%人有超過10個或以上網上帳戶使用相同密碼,亦有52%人會向親友分享個人密碼。更令人驚訝的是同樣調查與去年比較均錄得升幅,意未經過傳媒大量報道各種網絡安全事件及政府大力宣傳,未能令市民意識到管理密碼的重要性。使用密碼管理器的比例低見4 %。調查提到遇到事故後75%用家更改密碼,這是被動式處理,相信定期更改密碼用家只佔少數。唯一好消息是64 %用家對雙重認證並不抗拒。不同帳戶使用相同密碼風險不言而喻,只要其中一個帳戶密碼失竊或被黑,騙徒必會利用這個帳戶的資料嘗試登入你的其他帳戶,損失不單是你,而且極可能波及與你聯絡的人。除了在極特殊情況,與任何人分享密碼都不應該,因為你不知道對方如何管理密碼。
抗拒使用源於不理解
筆者早已使用密碼管理器管理,除了三個特定原因的帳戶,所有帳戶登入皆在管理器內。為何管理器使用率如此低下,筆者好奇地詢問身邊的朋友,發覺有多過原因。有小部份人尤其是年紀較大的對密碼管理器未有所聞。大部份人知道有管理器的存在但不敢用,因為不知道如何確定他們是安全的。有部份人覺得密碼管理器看似複雜難用,資料又集中,擔心在操作上出錯,將資料拱手奉上。而使用密碼管理器的大多是較資深的電腦使用者,但都是將小部分帳戶放在密碼管理器內。不用密碼管理器,取而代之的是單靠記憶、使用計算表、用實物記事簿抄下,亦有使用特定規則,例如使用一個不變的密碼,因應帳戶性質在密碼後加兩三個識別字符等等。這些方法都難以符合密碼需要長且複雜及經常更新的要求。對於那些需要雙重認證的帳戶要另謀處理。事實上,密碼管理器非常普遍,幾大瀏覽器都附設免費管理器,防毒軟件及VPN大品牌亦有開發付費管理器。筆者建議使用免費開源的KeePassXC,讀者可參考本欄今年三月份的文章。KeePassXC簡單易用,支援雙重認證密碼,密碼庫符合業界標準加密要求,支援不用安裝直接執行,有高度可攜性。
周詳計畫提高安全性
有可信易用的密碼管理器在手,下一步就是實務操作而確保安全及運作效率。以下是筆者使用心得。首先,密碼管理器有資訊集中的風險,當然以安全至上,筆者將整個密碼管理執行檔及密碼庫放在一個加密可移除裝置內,即「密上加密」,除了確保安全萬無一失,連使用密碼管理器的這片資訊亦隱藏。當需要使用時才解密並執行軟件,使用完畢馬上關閉。筆者定期清理硬碟,免得留下任何解密的蛛絲馬跡。其二,筆者放在加密庫的密碼庫連執行軟件有三個備份,一個是極易收藏的裝置,一個放在加密雲端儲存,一個放在後備加密電郵,後兩者的作用是萬一失去取用個人物品的機會時進行危機管理。緊記定時更新備份。其三,雖然密碼器軟件幾乎支援所有作業平台,但基於安全理由筆者只會在個人電腦開啟密碼器。其四,筆者習慣從密碼庫剪貼密碼及雙重認證,避開使用協助自動填入資料的瀏覽器外掛程式。其五,所有支援雙重認證的帳戶筆者全數開啟。密碼安全以長度取勝。建議使用密碼器隨機生產並使用20位或以上大小階文字及數字組合。大部分情況帳戶容許剪貼密碼,長度不成問題,但亦有少量情況未必容許,太長且包含複雜符號的密碼組合反而有機會因多次輸入錯誤而帳戶被鎖。如帳戶要求,按需符合更改隨機生產密碼便可。最後,除了上述三個備份外,筆者將所有帳戶皆放於密碼管理器內,並歸類劃分,例如電郵一組,社交媒體一組。這樣更新密碼可系統化進行,只要開啟密碼管理器,按序逐一登入帳戶,生產新的密碼並更新帳戶便可。
筆者認為密碼管理器是必需品,只要小心選擇,有計劃地使用,管理器就是協助你管控風險的極佳工具。建議讀者儘快學習及使用,以免落後於形勢。◇
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
