為了應付不同網站的密碼安全性需求,我設定了幾組密碼,來來去去在幾個組合裡反覆使用。有一天Chrome通知,賬戶密碼洩漏,要我改密碼,而且Chrome幫我記住的密碼也有部分因使用相同密碼而洩漏。
密碼麻煩的地方在於要想出不同的高強度密碼,要複雜度高,要大寫字母、小寫字母、數字、特殊符號、數位不少於8位,有些網站不支持特殊符號,有些網站密碼不能包含用戶名,有些不能包含連續數字,有些不能包含3個連續相同字符,有些限制8-16位數,有些強迫你每半年更改一次且不能和以前相同等等,所以在A網站的密碼不能用在B網站。如果一個密碼通用於許多網站,一次洩露等於全部洩漏,全網裸奔,誰也傷不起,但密碼一多又記不住了,也想不出那麼多種複雜密碼。
幫你記住密碼的常用方法有四個:
- 好記性不如爛筆頭,實體筆記本無法隨身攜帶,也不安全,用加密碼的手機記事本或郵件附件記下,然後加上密碼,這樣只須記一個密碼即可查詢其他密碼。但密碼一多,查找有點難,也想不出那麼多種複雜密碼。還有這樣容易多個網站同一密碼,不安全。
- Chrome(或大部分瀏覽器)在每次輸入新密碼時會提示使用瀏覽器推薦的高強度密碼,並儲存在Chrome個人資料檔中。我不大願意別人幫我記,並且有時在他人電腦上登入Chrome賬號,會忘記登出,有心人只要10秒就能匯出Chrome中記住的所有密碼,方法是:設定\自動填入\密碼管理員,在「已儲存的密碼」右邊三個點\匯出密碼。Edge也一樣,設定\密碼\按「新增密碼」右邊的三個點\匯出密碼。
- 有不少瀏覽器插件或軟件專管密碼,例如「Bitwarden – 免費密碼管理工具」、「Lastpass」。只要記住惟一的master key密碼,就能開啟密碼本。我不大願意別人幫我記。(2022年「Lastpass」儲存密碼的數據庫整個被黑客入侵盜走,現在你還敢用嗎?)
- 比較常用的是使用特殊的相同「規則」為不同網站創建不同的高強度密碼,但切記規則不能讓任何人知道或猜到。舉個例子:mygod.com的密碼用「mygod+As@13$57」,hishome.net的密碼「hishome+As@13$57」。其中「As@13$57」是自訂規則,已具8位數,符合高強度字數要求,只要牢牢記住它,前面或後面加上所訪問的網站關鍵字即可,不支持特殊符號的就去掉特殊符號,太長的只取可允許的最長位數或簡寫。「As@13$57」的規則只是舉例,你也可以用自己能記的密碼,比如:把一個中文句子的拼音開頭連在一起加個符號,「我是陳大文」,拼音開頭連在一起就是「wsCDW」,再在後加個符號和數字「#1」。這樣我在mygod.com的完整密碼就變成「wsCDW#1mygod」。其中,網站名很易認出,可以想辦法處理。如英文錯一個位(如mygod.com的密碼用nzhpe)、少一字(如mygo)、網站名拆分放頭尾(如mygod的賬號,可以取頭尾的m和d放在密碼頭尾:mwsCDW#1d,或頭尾2位mywsCDW#1od)等。好處一是網站名本身已提示了密碼的部分,另一部分是你自訂的規則,這樣就不會有不記得的密碼;好處二是萬一有一天某網站洩漏了,其他網站也未必受影響;好處三是所有密碼都不會重複。最麻煩的是強迫更改且不允許以前用過,這時可加上年份或序號,或乾脆設定第二個規則。但此「相同規則」方法仍有一隱患:有心人如果發現你的兩組密碼有相同部分,很容易便猜出你的規則。當然,你要防範你的兩個密碼同時出現在他人眼中。