如何管理你所有的帳號密碼

在我們的生活中,我們都會需要記得幾組帳號密碼,從 ATM 密碼到 Google 帳號密碼等等。每一個服務,基本上都需要一組帳號密碼。當我們使用的服務越來越多的時候,也就需要記憶越來越多的帳密。很多時候,人們就乾脆都用同一組帳密去註冊不同的服務,以便記憶。但這樣其實是很不安全的做法。

不要重複使用密碼

道理很簡單:如果你在所有的服務商都用同樣的帳號密碼的話,那只要其中一個服務商的資料流出,裡面包含你的帳密的話,你的所有其他服務也都等同於被破解。所以不要只用一組帳號密碼走天下,也不要只用兩組或三組,而是每一個服務都應該用不同的密碼才算安全!

但說實在的,這根本是做不到的事情。一個人能記得五六組密碼已經很不錯了,但現在每個人在用的服務何止五六個,上百個都有可能。所以,就有廠商針對這個問題,推出各種帳密管理或身分認證服務。對我們一般人來說,最常碰到的大概有瀏覽器密碼記憶功能密碼管理器社交登入三大類產品可用。

瀏覽器密碼記憶功能

這大概是一般人最常接觸到的,因為各大瀏覽器都會自動跳出密碼記憶的提示。本來大多只有記憶帳密的功能,但也慢慢開始加入重複密碼偵測、產生密碼等等的功能,在 iOS 跟 Android 上甚至可以用在瀏覽器之外的 app 裡。儘管如此,相比起獨立的密碼管理器,它們還是有許多限制。

優點

  • 免費
  • 你可能已經在用
  • 安全性不錯

弱點

  • 在桌面版上無法在別的 app 裡自動填入
  • 只能儲存帳密、信用卡資料等純文字資訊,無法儲存文件
  • 密碼產生功能有限
  • 不支援雙因素認證

密碼管理器

密碼管理器是專門管理帳密與其他私人資訊的 app。它們的功能比瀏覽器內建的密碼管理功能強很多,而且雖然是獨立的 app,但透過瀏覽器外掛或 iOS 與 Android 的系統框架,它們用起來的方便程度完全不輸瀏覽器的內建功能。事實上,算進對雙因素認證的支援的話,密碼管理器會更方便。

密碼管理器除了功能上樂勝之外,也讓你不會被綁死在某個瀏覽器或社群平台之上,要換瀏覽器或者移除社群帳號都更簡單。它們的商業模式是使用者付費,也確保廠商真的是為用戶服務,而不是廣告商。

優點

  • 使用者付費
  • 安全性高
  • 通常支援雙因素認證
  • 跨平台
  • 可儲存文件
  • 密碼產生能力強

弱點

  • 要錢
  • 需學習上手

社交登入

社交登入就是那種用 Facebook 登入用 Google 登入之類的東西,讓你可以用既有的 Facebook 或 Google 等身分提供商(IdP)的帳號去登入到第三方 app 裡,所以也常被稱作「第三方登入」。它是用非常不同的手段來處理帳號身分管理這件事:IdP 不儲存第三方 app 的帳號密碼,而是直接提供第三方 app 關於用戶的身分認證與其他資訊。所以用社交登入的時候,你在第三方 app 的帳號連密碼都不需要。

社交登入在使用上是最方便的,因為它直接省去註冊帳號與管理密碼的麻煩,像用 Apple 登入甚至只需要掃個 Touch ID / Face ID 就可以建立帳號。但是在管理帳號的部分,它反而在第三方 app 跟用戶之間多了一層 IdP 中介,所以有時處理起來會有點麻煩。

它的安全性也是常被詬病的地方。雖然有 Apple 這樣的隱私權好學生,但大多的社交登入 IdP 都持有許多用戶的個資與其他資料,而第三方 app 就經常會一起要求讀取這些資訊,用戶很容易在不留意之下就把自己的資料分享出去。另外,也發生過 IdP 被駭而導致第三方 app 一起受害的慘劇。

優點

  • 免費
  • 登入與建立帳號方便
  • 只需管理身分提供商(Facebook、Google 等)的帳號密碼,第三方 app 不用密碼

弱點

  • 安全性隨身分提供商而定
  • 使人更依賴身分提供商的帳號
  • 在身分提供商上的用戶資料可能會被搜集

總結

我自己是用 1Password 這款密碼管理器來管理帳密。之前我會用 Safari 與 iCloud 鑰匙圈來儲存帳密,但它的密碼產生功能有時根本沒辦法用,才開始想轉移到專門的密碼管理器上。試用過後,驚喜的發現比想像中的還方便很多,而且整合了雙因素認證跟文件同步等功能,就也一併把 Google Authenticator 換掉了。

我原本有用一些社交登入,但之前因為想減少對社群網站的依賴,就把這些連結都斷開了。後來有用 Apple 登入,但用了 1Password 之後就覺得想把所有的服務帳號集中管理,就也把這些帳號跟 Apple 都斷開了。

帳號密碼管理就是一種服務,而這個服務並不是免費的。瀏覽器與社交登入的 IdP 都透過「免費」提供這個服務來綁住用戶,讓你難以離開它們。用密碼管理器雖然要付錢,但至少我知道我對這些身分資訊擁有絕對的掌控權,管理上也更方便,是一筆覺得花了值得的錢。