易讀版本 https://is.gd/dAs0t3
【前言】
密碼管理器的重要性不言可喻,我這邊不特別解釋為什麼要使用它,相關的分享在網路上可
以找到很多,這篇主要是想藉由 1Password 的使用經驗和大家分享我為什麼挑選這款密碼管
理器,以及如何保護和管理自己數百個帳號安全。
關於密碼管理器的介紹,可以參考以下文章:
容易被遺忘的資安措施:密碼管理器 Password Manager
https://is.gd/K9mOmy
習慣用Chrome記住密碼其實風險超大!揭少有人知的「超危險設定」,不改小心密碼被看光
https://is.gd/InRzRJ
為什麼你需要密碼管理工具
https://is.gd/eVyR4X
為何你應該使用密碼管理員?
https://is.gd/N9HlxF
【密碼管理器使用技巧】
1.將帳號區分成「核心帳號」和「一般帳號」:
我會把金融相關(例如第三方支付、銀行、虛擬錢包、電子錢包)以及重點服務(例如1Pas
sword、Apple、Google、Line、facebook、Microsoft 等重要帳號,還有可以當作快速登入
帳號的服務)加上「核心帳號」標籤,而這類型帳號會加強保護,例如一定開啟兩步驟驗證
、「密碼部分」不直接打在1Password,而是藉由「密碼提示」幫助我想起來,每次帳號登入
都是手動去打密碼。
雖然多數知名密碼管理器的安全性和隱私性極高,但還是可以利用這方式將風險降到最低,
總之大家可以思考如何在方便和安全之間取得最佳平衡。
https://i.imgur.com/ZlmTfH1.jpg
2.善用標籤可以更快速幫助你去了解各個帳號的特點:
像我只要有綁信用卡的服務,我都會加上「綁卡」的標籤,這樣當我之後要換信用卡,就可
以很清楚知道有哪些服務是需要改的。每個帳號可以加上多個不同標籤。
>> 我有在用的標籤名稱:實名制(有要求我上傳過證件照片或認證手機)、綁卡(有我的
信用卡資料,要多留意帳號安全)、持續付費中(目前手中有哪些服務會定期扣款)、第三方
登入、兩步驟驗證、非活躍帳號會被刪(讓我知道這服務要定期登入)、核心帳號、金融相
關
帳號、限一台裝置登入(尤其是app類型會有這機制,對於換手機要轉移時有幫助)、購物(
電商、門市會員相關的帳號)
https://i.imgur.com/xAAcVlX.jpg
3.善用篩選功能和時間紀錄,檢查有哪些帳號太久沒登入:
你有沒有注意過各個服務的使用條款?包括Yahoo、Google帳號太久沒登入,會有部分資料甚
至整個帳號會被刪除喔。密碼管理器大多會紀錄最後登入時間(透過密碼管理器填入的時間)
和最後修改時間,並且搭配排序功能可以很清楚有哪些帳號久久沒登入,可以安排個每季或每
半年去檢查帳號是否還安好。
參考文章
超過2年未使用、官方將強制刪除Gamil 信箱!相簿照片、信件、雲端資料 https://kikino
te.net/159713
https://i.imgur.com/iuqy86F.jpg
4.使用內建驗證碼產生器,幫助你建立兩步驟驗證的好習慣
有些第三方兩步驟驗證碼產生器,像Google Authenticator不支援同步功能,如果app刪掉或
手機不在身邊,會比較麻煩,而多數密碼管理軟體已經整合驗證器,還可以快速填入會方便
很多。雖然站在資安角度來說,密碼儲存處和驗證器放在一起的風險會相對較高,但如果密
碼管理軟體夠安全、也不把「核心帳號」的完整密碼打進去的話,其實兩個放在一起也還好
,這同樣是安全和方便去做取捨的問題。
我覺得這就跟新手踏入健身房一樣,不用想説一開始要練得很費力,先建立習慣、願意長久
踏進去健身房才重要;現在使用兩步驟驗證有更輕鬆方便的方式,只要承擔極低風險,卻能
促使你每個帳號都開啟兩步驟驗證的話,其實對整體帳號安全還是非常有幫助的。
【1Password 特色】
1.密鑰只有自己知道 & 從來不會傳輸出去:
由於「端到端加密」重要到不能算是特色,所以我先不談(沒E2EE機制的密碼管理器拜託直
接放棄)。1Password最大特點在於密鑰是從本機裝置產生,而且即使資料在多個平台同步,
他們的伺服器也從來不會接收任何密鑰(使用SRP技術),1Password 自豪從來沒發生過密碼
外洩,就因為他們「根本沒東西好洩漏」(反觀LastPass倒是有不少資安新聞),藉由雙重
保障把保密做到最徹底,是我選擇1Password的主因。
參考資訊:
密鑰介紹 https://is.gd/LhNACZ
密碼管理服務LastPass遭駭 https://is.gd/pbUazM
SRP技術中文介紹 https://is.gd/znycCr
2.會定期接受資安專家檢驗:
上面講得這麼厲害,但有沒有說到做到才是重點,1Password有找獨立安全公司做程式碼審核
,確保安全性沒有問題。而且他們不只找一家去審,甚至定期去審,我總覺得1Password為了
取的客戶信任,做得比競爭者還更多。
參考資訊:
https://support.1password.com/security-assessments/
3.可以選擇主機儲存地區:
1Password在安全技術上我覺得難以挑剃,如果真要雞蛋挑骨頭的話是他們出身在加拿大,因
為加拿大屬於五眼聯盟,他們政府會從事比較積極的情報監控(但是和中國政府的做法完全
不同),但這件事對於1Password產品可以說是零影響,就如上面所說,1Password從不保留
任何密鑰和機敏資料。但也許為了彌補這個先天小小小缺陷,他們仍提供美國、歐盟和加拿
大三個地區的儲存主機供消費者選擇,各區功能完全相同,就只是付款幣種、資料儲存位置
、營運人員所處的位置有不同。
參考資訊:
五眼聯盟介紹 https://is.gd/6QHZgR
1Password有列出他們知道以及不知道的東西 https://is.gd/7y40W3
1Password可以選擇服務地區 https://is.gd/KwJfhr
4.1Password是一間相當透明的公司(大加分):
1Password可能基於智慧產權或商業模式,沒有將自家產品開源(open source),但他們在資
訊揭露做得很徹底,除了上方說的有找獨立安全公司做程式碼審核,他們還以「近乎沒有保
留」的公開許多產品細節,包括:製作白皮書公開說明安全技術、解釋瀏覽器擴充元件的權
限運用、解釋診斷報告會收到/不會收哪些資訊以及儲存位置、解釋軟體會連線到哪些網域及
其目的 等,主動揭露實在讓人很放心。他們的支援頁面做得超完善,可以清楚知道產品的細
節和操作說明,如果還有疑問寫信聯絡他們也可以很快得到回覆,軟實力方面頗優秀。
參考資訊:
安全技術白皮書 https://is.gd/3d1Ssh
解釋瀏覽說擴充元件的權限 https://is.gd/XspViJ
診斷報告 https://is.gd/hlCj8m
關於1Password中的Watchtower隱私 https://is.gd/Xzx2Qn
5.家庭成員沒上限:
越來越多密碼管理器有提供家庭版本,但1Password很不一樣的是成員上限數量可以擴充,預
設5個帳號是每月4.99美元,若超過5位的話,每增加1位成員是每月多1美元。目前我這邊已
達到5人,但因為想要長期訂閱下去,希望至少有穩定6-7人可以大家共享優惠價格,每次收
一年費用370元。徵人沒有截止期限、沒有人數限制,只要有興趣隨時可以站內信與我聯絡。
1Password家庭版就如同Spotify家庭版一樣,每個帳號都是獨立的,我(家庭組織者)無法看
到成員儲存的內容,也得不到成員的金鑰。如果成員忘記密碼無法登入,家庭組織者可以協助
恢復,但資料也是直接發到成員的信箱,我這邊不會收到成員的任何個人資訊,大家可以放
心加入。
參考資訊:
關於 1Password 家庭 https://is.gd/0eqNtk
恢復家庭成員的帳戶 https://is.gd/G1oiBM
從其他密碼管理器遷移到1Password的教學 https://is.gd/yQ2xah
【總結】
1Password 不接觸任何使用者的私密資料,又公開自家產品的安全架構,該透明就透明、不
該知道的就不去知道,在產品安全上我認為非常能信任。如果想要快速全面了解1Password?
產品安全,可以看這個頁面的說明 https://is.gd/mHWx5f
不知道看完這篇大家會選擇哪一款密碼管理軟體呢?可以參考以下挑選準則
1.「安全」放第一,沒有「端到端加密 E2EE」絕不使用,這是鐵則!
2.知名、開源的軟體可以先考慮,如Bitwarden
3.商業產品選擇知名、信譽良好的,例如1Password、Dashlane、LastPass
4.我很不建議透過瀏覽器和作業系統(包括Apple的鑰匙圈)去管理個人帳號。這些不是專門
的密碼管理工具,無論安全技術、資料轉移、便利性,各方面表現都極差
5.千萬不要下載Google Play和App Store上來路不明的密碼管理軟體,那些大多數都是中國
開發,沒有端到端加密,而且中國政府能夠干預民營企業,資料安全堪憂
6.也歡迎大家加入我這邊的1Password家庭版喔XD,每年370TWD 不用再辛苦找人湊,我會長
期訂閱,有興趣者隨時可以站內信跟我聯絡,邀約沒有期限~
[最後提醒] 密碼管理軟體和防毒軟體一樣是也是業配很重的領域,大家在收集資料時要放亮
眼睛、仔細判斷喔;我建議優先從新聞媒體去找評價、事件,再去看部落格的分享。
利益聲明:我是個人使用者、與1Passowrd完全無任何利益關係,且非從事密碼管理或資安相
關產業,單純做產品推薦,並根據已知資訊做分享,不為以上介紹內容做背書,建議各位多
比較、研究後再做決定。