什麼是密碼保險箱及密碼保險箱的用途?
隨著居家辦公成為新常態,思考如何確保您個人與專業資料的安全就顯得很重要。全球網路犯罪變得日益猖獗,而密碼便是駭客經常竊取的主要資產之一。雖然大家都知道同一組密碼不應該用於多個不同的應用程式和帳戶,但仍有許多使用者執意如此,因為這樣用起來更方便、更好記。
不過,另一種同樣簡便的方式,便是在您的個人系統上設置密碼保險箱或管理器。這麼做可以避免資料外洩風險,而且最終僅需記住一組密碼,也就是「主密碼」。繼續閱讀以瞭解有關密碼保險箱與管理器的完整指引。
什麼是密碼保險箱?
密碼保險箱(有時也稱為密碼管理器、管家或鎖櫃)是一個加密的空間,它提供了一個安全的數位位置來儲存密碼及登入憑證(您線上存取應用程式和帳戶時所用的資訊)、文件、圖片和其他敏感資訊。密碼保險箱通常使用一組主密碼,而使用者只要正確輸入該組密碼,就能存取保險箱中的其餘密碼。密碼保險箱之所以被設計出來,是為了保護使用者的個人與專業資料不被網路犯罪者竊取。密碼保險箱的用途,是防止使用者對多個不同的數位平台使用同一組密碼。
密碼管理器和密碼保險箱這兩個詞通常可以互換使用,因為大多數的密碼保險箱都在軟體功能中整合了管理軟體。技術上來說,它是一種會將您的密碼與敏感資料分類、同時提供「一鍵」高效登入能力的密碼管理器。密碼保險箱是指密碼管理器軟體中經過加密的部分,用來數位儲存您的密碼與資料。
密碼保險箱通常會提供許多功能供使用者使用,而這些功能可分為三大類,即保險箱、密碼安全中心以及管理工具。保險箱本身通常能夠儲存各種文件和圖片(而不僅是密碼),供使用者輕鬆透過電腦、手機或平板電腦存取。密碼安全中心則會使用先進的加密技術保護您的資料。其他提供的還有「密碼產生器」、「密碼檢查器」以及「外洩偵測」功能,分別用於建立新密碼或替換舊/低強度的密碼、在您使用低強度或重複的密碼時發出警示,以及在您的密碼於網路上外洩時提出警告。另外還有「自動填寫」功能,可記住您的密碼、帳戶資料及地址,供在您使用不同的網頁和應用程式時使用。
要想確保專業與個人資料的線上安全,密碼保險箱與管理器是不可或缺的配備。它們是數位生活的重要一分子,讓您無論從世上哪個角落使用什麼硬體,都能確保自己資訊的安全。
密碼保險箱安全嗎?
全球網路安全專家一致公認,密碼保險箱是保護您的密碼與敏感資料最簡單也最容易的方式,而且算是很安全的。只要您的主密碼為「高強度」密碼,您的敏感資訊遭駭的可能性就很低。所謂的高強度密碼,是指長度夠長(10 至 12 個字元)、且混合了特殊字元、數字、大寫字母和小寫字母的密碼。
儘管如此,您仍需明白,密碼保險箱與管理器同樣可能會遭駭。但您的密碼將會很安全,因為它們是在使用者端加密後,透過安全的 https 通訊協定傳送到雲端。要破解諸如 256 位元 AES(全名為進階加密標準)這類業界標準加密技術,幾乎是不可能的事。因此,即便駭客「進入」保險箱,也不代表他們就能夠在裡面為所欲為。此外,大多數的線上密碼保險箱並不儲存或有權存取您的主密碼,因此駭客能夠「進入」保險箱的可能性就更小了。
密碼保險箱如何運作?
密碼保險箱與管理器的運作方式是將您的憑證加密,然後以主密碼將保險箱上鎖。由於有這個主密碼存在,當發生外洩時,駭客僅能竊取加密後的程式碼行。現今大多數優良的密碼管理器在加密您的資料時,都是使用現代強大的加密演算法──256 位元 AES。256 位元 AES 於 2005 年成為全球標準,是廣受現代數位技術使用的加密金鑰。
AES(全名為進階加密標準)是一種加密規格,256 位元意味著隨機字串有 256 種可用組合。組合越多,以暴力破解方式找出正確組合的難度就越大。這種類型的加密金鑰稱為「私密金鑰加密演算法」,被公認比「公用金鑰加密演算法」更加安全。使用公用金鑰加密時,資料是以公用金鑰加密,並以私密金鑰解密。使用私密金鑰加密時,則是以同一組私密金鑰來加密及解密資料。簡言之,私密金鑰由於不會離開您的裝置,因此安全許多。
前面瞭解了密碼保險箱運作方式的其中一種面向。不過,若要界定密碼保險箱的內部運作方式,則還需視您所使用或有權存取的保險箱屬於什麼類型而定。傳統上,密碼保險箱分為三種類型:本機型、線上型以及權杖/USB 型。
本機型密碼保險箱
顧名思義,本機型密碼保險箱與管理器的運作方式是將您的登入憑證與其他資料進行加密後,儲存在本機上。這有時稱為「線下」型密碼保險箱,因為加密的資料可儲存在您的電腦、筆記型電腦、平板電腦或手機上。包住密碼的加密檔案則通常儲存在密碼管理器程式本身以外。線下儲存密碼的優點在於,駭客只有在您上線時才能攻擊您的保險箱。因此,只要您的裝置未遭竊,您的密碼就是很安全的。不過,這也是它的主要缺點。如果您的裝置遭竊或遺失,您的保險箱也會跟著消失。此外,本機型密碼保險箱也會令裝置同步變得困難,因為所有裝置都要同時在線上,才能進行同步或更新。
線上型密碼保險箱
線上型或網頁型密碼保險箱是最廣受企業與個人使用者使用的密碼管理器類型。這種類型的保險箱是將您的資料進行加密後,儲存在由供應商伺服器提供的雲端上。這種形式方便許多,因為您可以隨時從世上任何角落存取自己的密碼。這種保險箱還受一種防止供應商看見所存內容(稱為「零知曉」原則)的程序所保護。這代表密碼保險箱會將您裝置上的資料先進行加密,然後才傳送到供應商的伺服器。因此,供應商同樣無法存取您的密碼資料。許多供應商都會提供密碼管理器用戶端、簡易的瀏覽器擴充功能或是在官網上提供網頁應用程式,供您存取自己的保險箱。這代表您可以從世上任何角落,緊急存取自己的密碼。其主要缺點是,您一律需要有網際網路連線來進行驗證(您需要通過驗證,才能存取自己的密碼與其他文件)。
權杖/USB 型密碼保險箱
權杖/USB 型保險箱有時也稱為「不記狀態式保險箱或管理器」,它的形式是用一件硬體(例如 USB 隨身碟)儲存用於將您特定線上帳戶解鎖的金鑰。採用這種形式時,密碼保險箱其實並不存在,因為每當您存取特定帳戶時,該外接裝置上都會建立一個新權杖。這代表您所有的敏感憑證都是儲存在一台獨立的裝置上,不需要執行從其他裝置同步過來的動作。如果您再對它新增主密碼,就變成使用了雙重因素驗證。其主要缺點是,許多用於建立不記狀態式保險箱的軟體都是採用開放原始碼,而且對非專業使用者來說,設定或排除故障都過於複雜。
我需要使用密碼保險箱嗎?
自新冠疫情以來,人們的生活型態有了大幅改變,全球許多公司及其員工都已改為長期遠距辦公。不幸的是,由於個人網路以及大型企業使用的雲端型軟體即服務 (SaaS) 應用程式所提供的保護太薄弱,成功的網路攻擊大幅增加。2021 年,平均網路攻擊數量增加了 15% 左右。有鑑於此,我們建議您無論在家還是在公司辦公,都要使用密碼保險箱,尤其是當使用個人電腦工作時。
密碼保險箱不僅能讓您記錄自己的所有密碼,還能用於生成新密碼、變更舊密碼或將舊密碼匯入到目前的保險箱中,以及在對新應用程式使用的新密碼不夠「強」時通知您。研究顯示,被歸類為「低強度」的密碼幾乎瞬間就會被駭客破解,不需要什麼知識,也不費什麼力氣。例如,當駭客發動暴力破解攻擊時(即自動以竊得的使用者名稱與密碼對網站登入入口進行試探),一旦配對到正確的使用者名稱與密碼,駭客就能盜用您的帳戶與個人資訊。這在任何使用者的系統上都是很大的漏洞,但只要使用密碼管理器,所有這一切線上操作的麻煩與風險便都能迎刃而解。
卡巴斯基的密碼管理器有一個保險箱,採用 AES-256 位加密保護(具有 256 個組合可用,這意味著駭客需要比宇宙存在的時間更長才能解鎖)。其還配備自訂主密碼(可以設定自己建立的密碼,也可以使用生成器所生成的密碼,或者是透過手機裝置進行指紋或臉部辨識)。卡巴斯基密碼管理器的免費版本和高階版本具有相同功能,但免費版本只能儲存最多 15 個密碼和機密文件。
相關產品:
什麼是密碼保險箱及密碼保險箱的用途?
Kaspersky
