易读版本 https://is.gd/dAs0t3
【前言】
密码管理器的重要性不言可喻,我这边不特别解释为什么要使用它,相关的分享在网络上可
以找到很多,这篇主要是想借由 1Password 的使用经验和大家分享我为什么挑选这款密码管
理器,以及如何保护和管理自己数百个帐号安全。
关于密码管理器的介绍,可以参考以下文章:
容易被遗忘的资安措施:密码管理器 Password Manager
https://is.gd/K9mOmy
习惯用Chrome记住密码其实风险超大!揭少有人知的“超危险设定”,不改小心密码被看光
https://is.gd/InRzRJ
为什么你需要密码管理工具
https://is.gd/eVyR4X
为何你应该使用密码管理员?
https://is.gd/N9HlxF
【密码管理器使用技巧】
1.将帐号区分成“核心帐号”和“一般帐号”:
我会把金融相关(例如第三方支付、银行、虚拟钱包、电子钱包)以及重点服务(例如1Pas
sword、Apple、Google、Line、facebook、Microsoft 等重要帐号,还有可以当作快速登入
帐号的服务)加上“核心帐号”标签,而这类型帐号会加强保护,例如一定开启两步骤验证
、“密码部分”不直接打在1Password,而是借由“密码提示”帮助我想起来,每次帐号登入
都是手动去打密码。
虽然多数知名密码管理器的安全性和隐私性极高,但还是可以利用这方式将风险降到最低,
总之大家可以思考如何在方便和安全之间取得最佳平衡。
https://i.imgur.com/ZlmTfH1.jpg
2.善用标签可以更快速帮助你去了解各个帐号的特点:
像我只要有绑信用卡的服务,我都会加上“绑卡”的标签,这样当我之后要换信用卡,就可
以很清楚知道有哪些服务是需要改的。每个帐号可以加上多个不同标签。
>> 我有在用的标签名称:实名制(有要求我上传过证件照片或认证手机)、绑卡(有我的
信用卡资料,要多留意帐号安全)、持续付费中(目前手中有哪些服务会定期扣款)、第三方
登入、两步骤验证、非活跃帐号会被删(让我知道这服务要定期登入)、核心帐号、金融相
关
帐号、限一台装置登入(尤其是app类型会有这机制,对于换手机要转移时有帮助)、购物(
电商、门市会员相关的帐号)
https://i.imgur.com/xAAcVlX.jpg
3.善用筛选功能和时间纪录,检查有哪些帐号太久没登入:
你有没有注意过各个服务的使用条款?包括Yahoo、Google帐号太久没登入,会有部分资料甚
至整个帐号会被删除喔。密码管理器大多会纪录最后登入时间(透过密码管理器填入的时间)
和最后修改时间,并且搭配排序功能可以很清楚有哪些帐号久久没登入,可以安排个每季或每
半年去检查帐号是否还安好。
参考文章
超过2年未使用、官方将强制删除Gamil 信箱!相簿照片、信件、云端资料 https://kikino
te.net/159713
https://i.imgur.com/iuqy86F.jpg
4.使用内建验证码产生器,帮助你建立两步骤验证的好习惯
有些第三方两步骤验证码产生器,像Google Authenticator不支援同步功能,如果app删掉或
手机不在身边,会比较麻烦,而多数密码管理软件已经整合验证器,还可以快速填入会方便
很多。虽然站在资安角度来说,密码储存处和验证器放在一起的风险会相对较高,但如果密
码管理软件够安全、也不把“核心帐号”的完整密码打进去的话,其实两个放在一起也还好
,这同样是安全和方便去做取舍的问题。
我觉得这就跟新手踏入健身房一样,不用想说一开始要练得很费力,先建立习惯、愿意长久
踏进去健身房才重要;现在使用两步骤验证有更轻松方便的方式,只要承担极低风险,却能
促使你每个帐号都开启两步骤验证的话,其实对整体帐号安全还是非常有帮助的。
【1Password 特色】
1.密钥只有自己知道 & 从来不会传输出去:
由于“端到端加密”重要到不能算是特色,所以我先不谈(没E2EE机制的密码管理器拜托直
接放弃)。1Password最大特点在于密钥是从本机装置产生,而且即使资料在多个平台同步,
他们的服务器也从来不会接收任何密钥(使用SRP技术),1Password 自豪从来没发生过密码
外泄,就因为他们“根本没东西好泄漏”(反观LastPass倒是有不少资安新闻),借由双重
保障把保密做到最彻底,是我选择1Password的主因。
参考资讯:
密钥介绍 https://is.gd/LhNACZ
密码管理服务LastPass遭骇 https://is.gd/pbUazM
SRP技术中文介绍 https://is.gd/znycCr
2.会定期接受资安专家检验:
上面讲得这么厉害,但有没有说到做到才是重点,1Password有找独立安全公司做程式码审核
,确保安全性没有问题。而且他们不只找一家去审,甚至定期去审,我总觉得1Password为了
取的客户信任,做得比竞争者还更多。
参考资讯:
https://support.1password.com/security-assessments/
3.可以选择主机储存地区:
1Password在安全技术上我觉得难以挑剃,如果真要鸡蛋挑骨头的话是他们出身在加拿大,因
为加拿大属于五眼联盟,他们政府会从事比较积极的情报监控(但是和中国政府的做法完全
不同),但这件事对于1Password产品可以说是零影响,就如上面所说,1Password从不保留
任何密钥和机敏资料。但也许为了弥补这个先天小小小缺陷,他们仍提供美国、欧盟和加拿
大三个地区的储存主机供消费者选择,各区功能完全相同,就只是付款币种、资料储存位置
、营运人员所处的位置有不同。
参考资讯:
五眼联盟介绍 https://is.gd/6QHZgR
1Password有列出他们知道以及不知道的东西 https://is.gd/7y40W3
1Password可以选择服务地区 https://is.gd/KwJfhr
4.1Password是一间相当透明的公司(大加分):
1Password可能基于智慧产权或商业模式,没有将自家产品开源(open source),但他们在资
讯揭露做得很彻底,除了上方说的有找独立安全公司做程式码审核,他们还以“近乎没有保
留”的公开许多产品细节,包括:制作白皮书公开说明安全技术、解释浏览器扩充元件的权
限运用、解释诊断报告会收到/不会收哪些资讯以及储存位置、解释软件会连线到哪些网域及
其目的 等,主动揭露实在让人很放心。他们的支援页面做得超完善,可以清楚知道产品的细
节和操作说明,如果还有疑问写信联络他们也可以很快得到回复,软实力方面颇优秀。
参考资讯:
安全技术白皮书 https://is.gd/3d1Ssh
解释浏览说扩充元件的权限 https://is.gd/XspViJ
诊断报告 https://is.gd/hlCj8m
关于1Password中的Watchtower隐私 https://is.gd/Xzx2Qn
5.家庭成员没上限:
越来越多密码管理器有提供家庭版本,但1Password很不一样的是成员上限数量可以扩充,预
设5个帐号是每月4.99美元,若超过5位的话,每增加1位成员是每月多1美元。目前我这边已
达到5人,但因为想要长期订阅下去,希望至少有稳定6-7人可以大家共享优惠价格,每次收
一年费用370元。征人没有截止期限、没有人数限制,只要有兴趣随时可以站内信与我联络。
1Password家庭版就如同Spotify家庭版一样,每个帐号都是独立的,我(家庭组织者)无法看
到成员储存的内容,也得不到成员的金钥。如果成员忘记密码无法登入,家庭组织者可以协助
恢复,但资料也是直接发到成员的信箱,我这边不会收到成员的任何个人资讯,大家可以放
心加入。
参考资讯:
关于 1Password 家庭 https://is.gd/0eqNtk
恢复家庭成员的帐户 https://is.gd/G1oiBM
从其他密码管理器迁移到1Password的教学 https://is.gd/yQ2xah
【总结】
1Password 不接触任何使用者的私密资料,又公开自家产品的安全架构,该透明就透明、不
该知道的就不去知道,在产品安全上我认为非常能信任。如果想要快速全面了解1Password?
产品安全,可以看这个页面的说明 https://is.gd/mHWx5f
不知道看完这篇大家会选择哪一款密码管理软件呢?可以参考以下挑选准则
1.“安全”放第一,没有“端到端加密 E2EE”绝不使用,这是铁则!
2.知名、开源的软件可以先考虑,如Bitwarden
3.商业产品选择知名、信誉良好的,例如1Password、Dashlane、LastPass
4.我很不建议透过浏览器和作业系统(包括Apple的钥匙圈)去管理个人帐号。这些不是专门
的密码管理工具,无论安全技术、资料转移、便利性,各方面表现都极差
5.千万不要下载Google Play和App Store上来路不明的密码管理软件,那些大多数都是中国
开发,没有端到端加密,而且中国政府能够干预民营企业,资料安全堪忧
6.也欢迎大家加入我这边的1Password家庭版喔XD,每年370TWD 不用再辛苦找人凑,我会长
期订阅,有兴趣者随时可以站内信跟我联络,邀约没有期限~
[最后提醒] 密码管理软件和防毒软件一样是也是业配很重的领域,大家在收集资料时要放亮
眼睛、仔细判断喔;我建议优先从新闻媒体去找评价、事件,再去看部落格的分享。
利益声明:我是个人使用者、与1Passowrd完全无任何利益关系,且非从事密码管理或资安相
关产业,单纯做产品推荐,并根据已知资讯做分享,不为以上介绍内容做背书,建议各位多
比较、研究后再做决定。