[軟體] 分享1Password特點和密碼管理器使用技巧

看板MAC (蘋果Mac)作者 (James)時間6天前 (), 6天前編輯推噓14(14016)
留言30則, 18人參與, 4天前最新討論串1/1
易讀版本 https://is.gd/dAs0t3 【前言】 密碼管理器的重要性不言可喻,我這邊不特別解釋為什麼要使用它,相關的分享在網路上可以找到很多,這篇主要是想藉由 1Password 的使用經驗和大家分享我為什麼挑選這款密碼管理器,以及如何保護和管理自己數百個帳號安全。 關於密碼管理器的介紹,可以參考以下文章: 容易被遺忘的資安措施:密碼管理器 Password Manager https://is.gd/K9mOmy 習慣用Chrome記住密碼其實風險超大!揭少有人知的「超危險設定」,不改小心密碼被看光 https://is.gd/InRzRJ 為什麼你需要密碼管理工具 https://is.gd/eVyR4X 為何你應該使用密碼管理員? https://is.gd/N9HlxF 【密碼管理器使用技巧】 1.將帳號區分成「核心帳號」和「一般帳號」: 我會把金融相關(例如第三方支付、銀行、虛擬錢包、電子錢包)以及重點服務(例如1Password、Apple、Google、Line、facebook、Microsoft 等重要帳號,還有可以當作快速登入帳號的服務)加上「核心帳號」標籤,而這類型帳號會加強保護,例如一定開啟兩步驟驗證、「密碼部分」不直接打在1Password,而是藉由「密碼提示」幫助我想起來,每次帳號登入都是手動去打密碼。 雖然多數知名密碼管理器的安全性和隱私性極高,但還是可以利用這方式將風險降到最低,總之大家可以思考如何在方便和安全之間取得最佳平衡。 https://i.imgur.com/ZlmTfH1.jpg
2.善用標籤可以更快速幫助你去了解各個帳號的特點: 像我只要有綁信用卡的服務,我都會加上「綁卡」的標籤,這樣當我之後要換信用卡,就可以很清楚知道有哪些服務是需要改的。每個帳號可以加上多個不同標籤。 >> 我有在用的標籤名稱:實名制(有要求我上傳過證件照片或認證手機)、綁卡(有我的信用卡資料,要多留意帳號安全)、持續付費中(目前手中有哪些服務會定期扣款)、第三方登入、兩步驟驗證、非活躍帳號會被刪(讓我知道這服務要定期登入)、核心帳號、金融相關 帳號、限一台裝置登入(尤其是app類型會有這機制,對於換手機要轉移時有幫助)、購物(電商、門市會員相關的帳號) https://i.imgur.com/xAAcVlX.jpg
3.善用篩選功能和時間紀錄,檢查有哪些帳號太久沒登入: 你有沒有注意過各個服務的使用條款?包括Yahoo、Google帳號太久沒登入,會有部分資料甚至整個帳號會被刪除喔。密碼管理器大多會紀錄最後登入時間(透過密碼管理器填入的時間) 和最後修改時間,並且搭配排序功能可以很清楚有哪些帳號久久沒登入,可以安排個每季或每半年去檢查帳號是否還安好。 參考文章 超過2年未使用、官方將強制刪除Gamil 信箱!相簿照片、信件、雲端資料 https://kikino te.net/159713 https://i.imgur.com/iuqy86F.jpg
4.使用內建驗證碼產生器,幫助你建立兩步驟驗證的好習慣 有些第三方兩步驟驗證碼產生器,像Google Authenticator不支援同步功能,如果app刪掉或手機不在身邊,會比較麻煩,而多數密碼管理軟體已經整合驗證器,還可以快速填入會方便 很多。雖然站在資安角度來說,密碼儲存處和驗證器放在一起的風險會相對較高,但如果密碼管理軟體夠安全、也不把「核心帳號」的完整密碼打進去的話,其實兩個放在一起也還好,這同樣是安全和方便去做取捨的問題。 我覺得這就跟新手踏入健身房一樣,不用想説一開始要練得很費力,先建立習慣、願意長久踏進去健身房才重要;現在使用兩步驟驗證有更輕鬆方便的方式,只要承擔極低風險,卻能促使你每個帳號都開啟兩步驟驗證的話,其實對整體帳號安全還是非常有幫助的。 【1Password 特色】 1.密鑰只有自己知道 & 從來不會傳輸出去: 由於「端到端加密」重要到不能算是特色,所以我先不談(沒E2EE機制的密碼管理器拜託直接放棄)。1Password最大特點在於密鑰是從本機裝置產生,而且即使資料在多個平台同步,他們的伺服器也從來不會接收任何密鑰(使用SRP技術),1Password 自豪從來沒發生過密碼外洩,就因為他們「根本沒東西好洩漏」(反觀LastPass倒是有不少資安新聞),藉由雙重 保障把保密做到最徹底,是我選擇1Password的主因。 參考資訊: 密鑰介紹 https://is.gd/LhNACZ 密碼管理服務LastPass遭駭 https://is.gd/pbUazM SRP技術中文介紹 https://is.gd/znycCr 2.會定期接受資安專家檢驗: 上面講得這麼厲害,但有沒有說到做到才是重點,1Password有找獨立安全公司做程式碼審核,確保安全性沒有問題。而且他們不只找一家去審,甚至定期去審,我總覺得1Password為了取的客戶信任,做得比競爭者還更多。 參考資訊: https://support.1password.com/security-assessments/ 3.可以選擇主機儲存地區: 1Password在安全技術上我覺得難以挑剃,如果真要雞蛋挑骨頭的話是他們出身在加拿大,因為加拿大屬於五眼聯盟,他們政府會從事比較積極的情報監控(但是和中國政府的做法完全 不同),但這件事對於1Password產品可以說是零影響,就如上面所說,1Password從不保留任何密鑰和機敏資料。但也許為了彌補這個先天小小小缺陷,他們仍提供美國、歐盟和加拿大三個地區的儲存主機供消費者選擇,各區功能完全相同,就只是付款幣種、資料儲存位置、營運人員所處的位置有不同。 參考資訊: 五眼聯盟介紹 https://is.gd/6QHZgR 1Password有列出他們知道以及不知道的東西 https://is.gd/7y40W3 1Password可以選擇服務地區 https://is.gd/KwJfhr 4.1Password是一間相當透明的公司(大加分): 1Password可能基於智慧產權或商業模式,沒有將自家產品開源(open source),但他們在資訊揭露做得很徹底,除了上方說的有找獨立安全公司做程式碼審核,他們還以「近乎沒有保留」的公開許多產品細節,包括:製作白皮書公開說明安全技術、解釋瀏覽器擴充元件的權限運用、解釋診斷報告會收到/不會收哪些資訊以及儲存位置、解釋軟體會連線到哪些網域及其目的 等,主動揭露實在讓人很放心。他們的支援頁面做得超完善,可以清楚知道產品的細節和操作說明,如果還有疑問寫信聯絡他們也可以很快得到回覆,軟實力方面頗優秀。 參考資訊: 安全技術白皮書 https://is.gd/3d1Ssh 解釋瀏覽說擴充元件的權限 https://is.gd/XspViJ 診斷報告 https://is.gd/hlCj8m 關於1Password中的Watchtower隱私 https://is.gd/Xzx2Qn 5.家庭成員沒上限: 越來越多密碼管理器有提供家庭版本,但1Password很不一樣的是成員上限數量可以擴充,預設5個帳號是每月4.99美元,若超過5位的話,每增加1位成員是每月多1美元。目前我這邊已達到5人,但因為想要長期訂閱下去,希望至少有穩定6-7人可以大家共享優惠價格,每次收一年費用370元。徵人沒有截止期限、沒有人數限制,只要有興趣隨時可以站內信與我聯絡。 1Password家庭版就如同Spotify家庭版一樣,每個帳號都是獨立的,我(家庭組織者)無法看到成員儲存的內容,也得不到成員的金鑰。如果成員忘記密碼無法登入,家庭組織者可以協助恢復,但資料也是直接發到成員的信箱,我這邊不會收到成員的任何個人資訊,大家可以放心加入。 參考資訊: 關於 1Password 家庭 https://is.gd/0eqNtk 恢復家庭成員的帳戶 https://is.gd/G1oiBM 從其他密碼管理器遷移到1Password的教學 https://is.gd/yQ2xah 【總結】 1Password 不接觸任何使用者的私密資料,又公開自家產品的安全架構,該透明就透明、不該知道的就不去知道,在產品安全上我認為非常能信任。如果想要快速全面了解1Password?產品安全,可以看這個頁面的說明 https://is.gd/mHWx5f 不知道看完這篇大家會選擇哪一款密碼管理軟體呢?可以參考以下挑選準則 1.「安全」放第一,沒有「端到端加密 E2EE」絕不使用,這是鐵則! 2.知名、開源的軟體可以先考慮,如Bitwarden 3.商業產品選擇知名、信譽良好的,例如1Password、Dashlane、LastPass 4.我很不建議透過瀏覽器和作業系統(包括Apple的鑰匙圈)去管理個人帳號。這些不是專門的密碼管理工具,無論安全技術、資料轉移、便利性,各方面表現都極差 5.千萬不要下載Google Play和App Store上來路不明的密碼管理軟體,那些大多數都是中國開發,沒有端到端加密,而且中國政府能夠干預民營企業,資料安全堪憂 6.也歡迎大家加入我這邊的1Password家庭版喔XD,每年370TWD 不用再辛苦找人湊,我會長期訂閱,有興趣者隨時可以站內信跟我聯絡,邀約沒有期限~ [最後提醒] 密碼管理軟體和防毒軟體一樣是也是業配很重的領域,大家在收集資料時要放亮眼睛、仔細判斷喔;我建議優先從新聞媒體去找評價、事件,再去看部落格的分享。 利益聲明:我是個人使用者、與1Passowrd完全無任何利益關係,且非從事密碼管理或資安相 關產業,單純做產品推薦,並根據已知資訊做分享,不為以上介紹內容做背書,建議各位多 比較、研究後再做決定。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.136.212.196 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MAC/M.1659426322.A.1F9.html

08/02 15:55, 6天前 , 1F
只相信os內建的
08/02 15:55, 1F
※ 編輯: likeus (223.136.212.196 臺灣), 08/02/2022 16:03:46

08/02 16:09, 6天前 , 2F
我還是相信Chrome
08/02 16:09, 2F

08/02 16:09, 6天前 , 3F
蘋果內建也不錯 但要跟Chrome同步比較麻煩
08/02 16:09, 3F

08/02 16:09, 6天前 , 4F
阿那 safari 的密碼管理員安全嗎?用touchID 解超方便
08/02 16:09, 4F
鑰匙圈是端到端加密,安全性沒問題,但易用性我覺得不理想 ※ 編輯: likeus (223.136.212.196 臺灣), 08/02/2022 16:22:32

08/02 16:23, 6天前 , 5F
內建keychain Access好用, 如果深陷阿婆生態圈的話
08/02 16:23, 5F
※ 編輯: likeus (220.136.81.139 臺灣), 08/02/2022 16:55:21

08/02 17:38, 6天前 , 6F
不用自動填入就閹割掉密碼管理器的方便性了吧
08/02 17:38, 6F

08/02 20:12, 6天前 , 7F
1P 以前是真的很注重安全細節的團隊,自從引入新的金主,
08/02 20:12, 7F

08/02 20:12, 6天前 , 8F
現在的策略變成擴張,對細節的堅持只能說...很微妙,最近
08/02 20:12, 8F

08/02 20:13, 6天前 , 9F
新版最麻煩的問題就是 Cmd+\ 自動填入就自動送出,啊你們
08/02 20:13, 9F

08/02 20:13, 6天前 , 10F
是忘了以前自己說過這麼幹會發生什麼問題嗎.....
08/02 20:13, 10F

08/02 20:14, 6天前 , 11F
雖是1Password 老用戶,但還是說一下,Chrome要查看保存的
08/02 20:14, 11F

08/02 20:14, 6天前 , 12F
密碼,需要本機密碼,那篇應該是舊文了,Google 很快就修正
08/02 20:14, 12F

08/02 20:14, 6天前 , 13F
了這個漏洞
08/02 20:14, 13F

08/02 20:14, 6天前 , 14F
更麻煩的是這問題社群炸鍋超過兩個月了,仍然沒修
08/02 20:14, 14F

08/02 20:16, 6天前 , 15F
後面可以好好觀察他們是一時改太大,還是已經忘了本
08/02 20:16, 15F

08/02 20:37, 6天前 , 16F
1pw 8太肥大 已跳槽買斷制的
08/02 20:37, 16F

08/02 20:39, 6天前 , 17F
您可能已經成為 Electron 的受害者
08/02 20:39, 17F

08/03 00:48, 6天前 , 18F
你用提示的方式 有表示你很多網站共用密碼嗎?
08/03 00:48, 18F

08/03 08:53, 6天前 , 19F
Keepass也不錯啊
08/03 08:53, 19F

08/03 12:10, 5天前 , 20F
KeePass+1 同步交給另外的軟體 分開處理
08/03 12:10, 20F

08/03 12:38, 5天前 , 21F
keepass+1
08/03 12:38, 21F

08/03 20:15, 5天前 , 22F
我是用Bitwarden
08/03 20:15, 22F

08/04 01:45, 5天前 , 23F
16樓買斷制是哪一款?
08/04 01:45, 23F

08/04 10:29, 4天前 , 24F
LastPass 轉 bitwarden
08/04 10:29, 24F

08/04 11:43, 4天前 , 25F
1p 最方便的功能之一:自動產生亂序+特殊字元密碼,
08/04 11:43, 25F

08/04 11:44, 4天前 , 26F
不使用?還在用什麼提示一個個記,那這種軟體白用了
08/04 11:44, 26F

08/04 11:46, 4天前 , 27F
除了安全鍵盤強迫手動輸入的情況,其他我全部自動產生
08/04 11:46, 27F

08/04 14:57, 4天前 , 28F
只相信內建的,也不用safari以外的軟體登入帳號
08/04 14:57, 28F

08/04 20:01, 4天前 , 29F
08/04 20:01, 29F

08/04 20:01, 4天前 , 30F
喜歡用瀏覽器存帳號密碼的可以看一下
08/04 20:01, 30F
文章代碼(AID): #1YwDOI7v (MAC)
文章代碼(AID): #1YwDOI7v (MAC)