怎樣管理密碼?

最近有一位朋友需要登入一個已經一整年沒有登入的系統,他完全忘記了密碼,試了幾個自己常用的密碼都無效後,系統便把他的帳號鎖死,最後要管理員替他重設密碼。

銀行、公司、討論區、Facebook、電郵、政府部門等等,我們要記著的密碼何其多?怎樣管理密碼才最方便、最安全?

初級使用者

很多人會用同一個密碼,應用在大部分的系統,這個密碼一般比較易記,而且長時間不會改動,通常應用在不太重要的系統,例如網上討論區等。這種做法的好處是一個密碼走天涯,絕對不會忘記。缺點是這個密碼一般很容易破解,因為它很可能是你的生日日期、車牌號碼、流動電話號碼、親人的個人資料、或者以上各項資料的合體,又或者把以上的資料作輕微的改動,熟悉你的人很容易猜到。一旦破解,他們便可以冒充你登入所有系統。

至於重要的系統,例如網上銀行、保險公司、稅局、公司系統等,都有獨立的密碼,但為了容易記憶,這些密碼都是從一個主密碼演變出來的,例如在主密碼後加上 1 – 9 數字。主密碼可能會定期修改,這時所有系統的密碼便要逐一修改。這種密碼比較難破解,但只要破解了一個,其他系統便中門大開了。何況,破解隨機的密碼不一定是困難的。

中級使用者

不太重要的系統上,他們跟初級使用者一樣使用通用密碼。

至於重要的系統,他們會使用隨機的獨立的密碼,例如根據當時的時間組成一個六位數字,加上前一天股票市場的指數,組成一個密碼。這種密碼實在很難記憶,所以他們會把密碼寫在一張紙上(或記錄在一個檔案裏),身為中級使用者,在紀錄時會加上一些改動,例如會把第一和最後一個數字互換,這張紙片或者檔案即使給別人見到也不是那麼容易解讀。

問題是他們必須確保當需要時這張紙片或檔案一定在手邊,所以需要複製多個備份,備份遺失了怎麼辦呢?遺漏了其中一個備份沒有更新又怎麼辦呢?若果其中一個密碼被別人解讀出來,紙片上的其他密碼便等同公告天下,那又怎麼辦呢?

高級使用者

這種使用者眼中所有系統都是重要的系統,密碼的處理方法一視同仁,都要採取最安全保密的方式來紀錄和保存,而且沒有兩個系統使用相同的密碼。

一個密碼越複雜便越難破解,所以越安全,例如它同時包含了大小寫的英文字母、數字和標點符號,完全隨機產生,長度則達到系統容許的上限。這種密碼無疑是安全的,但卻幾乎不可能記得,何況每一個系統的密碼都不相同,數以百計的這樣的密碼如何處理?他們會把密碼放入一種稱為「密碼夾萬」的軟件裏,這類軟件專門用來儲存密碼,夾萬需要一個主密碼才能開啟,這個主密碼只有使用者本人才知曉,而且非常複雜,除了使用者的記憶中,永遠不會記錄在任何地方,例如它是莎士比亞著作裏的其中兩句,總長度達到數十個字符,其中混合了大小寫英文字母和數字。夾萬開啟後,其他密碼便可以隨時讀取或修改。這個夾萬可以放在一些檔案分享的網站以便在任何地方都可以讀取。

每一個人都應該做高級使用者

高級使用者並不一定是科技專家,他們所有的方法其實非常簡單,效果卻驚人的安全。所以每一個人都應該採取相同的方法來保護他們的密碼。以下是一些具體的做法。

  1. 下載一個「密碼夾萬」軟件,例如 KeePass,這個軟件完全免費,而且有很多安全保護措施。
  2. 全面更新所有系統的密碼,新密碼應該是隨機的,長度約長越好,可以試一試 random.org 的免費隨機字串產生服務。
  3. 把新密碼記錄在「密碼夾萬」內,並為夾萬設立一個非常複雜,非常長,無須寫下也記得的密碼,例如某名著裏的句子,或者某名人的警句,或者某一段你喜歡的諺語,最好包含超過一句句子,有大小寫英文字母、標點符號和數字。
  4. 把夾萬檔案上傳到一個檔案分享網站,例如 DropBox 或者 SugarSync

你可能對於要學習使用 KeePass、random.org 的服務、DropBox、SugarSync 等東西感到恐懼,但想一想萬一你的密碼被陌生人破解,你的私隱、財富完全暴露在別人眼前,甚至被放在網絡上給人隨意瀏覽,哪一種更令你恐懼?

Google+

Google Plus最近互聯網最熱門的話題是 Google+ 硬撼 Facebook,我抱著好奇的心態(也可以說是八卦)在網上要求別人邀請我加入 Google+(現時 Google+ 處於公開測試階段,只有透過原有用戶的邀請才能開帳號)。

這種社交網站基本上需要有大量「朋友」才一起玩才會有趣,我初來報到,名單上一個「朋友」也沒有,唯有開設一個假帳號,左手跟右手交談,試一下 Google+ 的功能。如果你也有興趣加入 Google+,請在下面留言,我會邀請你加入,一起研究 Google+ 與 Facebook 的異同。

2011-09-23 更新:Google+ 終於開放給公眾人士註冊,以後大家可以直接到主頁註冊帳號。

新 PC

家裏的舊 PC 已經用了四年,老化的情況越來越嚴重,其中包括啟動時間十分長、運作的速度越來越慢、硬碟的空間不敷應用、間中無法啟動等等,尤其是無法啟動最令我不滿,最近這部老骨董每十次才能成功啟動一次,所以我決定另購一部新 PC。

新 PC 上星期送到,有 1TB 硬碟,4 GB 記憶體,內置 802.11n 無線網絡,隨機包括無線鍵盤和滑鼠、喇叭,有四個 USB 和兩個 eSATA 接頭,擴充能力很充裕。顯示器接頭只有  VGA,沒有數碼輸出有點美中不足,但我不是美術專業人士,所以沒有甚麼影響。除了沒有顯示器,新 PC 基本上一應俱全,加上主機的體積只是比一本牛津英漢字典大一點點,運作時的聲量和熱量也很低,令我十分滿意。

新 PC 有很多軟件需要安裝、設定,也有很多檔案需要從備份上取回來,這的確花了不少時間,但現在已經逐漸上軌道。

留著好人才

我的部門最近辭掉了一批合約同事,差不多佔了人數的一半,主要原因是合約期滿,或者跟招聘公司的合約期滿,加上多個大型項目接近尾聲,所以很多人都要離開。

做得比較久,對系統和運作十分熟悉的同事都會獲得挽留,其他人不論工作能力如何都要離開,我對此感到很可惜。近兩年來幾乎所有新同事我都有參與面試,深深感受到人才難求,庸才卻俯拾即是,現在我的部門不考慮同事的工作能力和人品,一律同等看待,與把金錢倒落大海沒有分別。

有人做過研究,最好和最差的開發人員,工作能力相差可以達到三倍,我十分同意,花三倍薪酬留著一個頂尖人才,比留著三個庸才好得多。

測試 Spybot 的客戶服務

Spybot 是一家小型的軟件公司,主要的產品是 Spybot Search & Destroy,免費提供給公眾下載使用,透過募集使用者的捐款來維持公司的運作,只有一名全職的開發者(相信就是該軟件的原作者),另外有一群自願工作人員,我很有興趣知道他們提供的支援服務可以達到甚麼水平,主要原因是他們可以動用的資源很有限,使用者的人數卻十分多(Spybot 是一個非常有名氣的軟件)。

我首先使用他們的網上表格遞交了一個簡單的問題,看看他們要多久回覆(我估計這是一個一看便知道答案的問題,所以回覆的時間相當於他們查閱 email 的速度),這是實驗可能要多做一兩次,每次在不同的時間發出。第一個問題是在今天早上 09:34 發出的,暫時未收到回覆。

第二步是一些需要時間處理的問題,我還未想到問甚麼。

第三步是使用他們的討論區問問題,看看要多久才有答案,或者會得到甚麼樣的答案,也可以測試這個社群的合作性。