上面這支影片是Tactical Tech Collective 新製作的網站 ononymous.org/上面的一支小短片。我之前寫過好幾篇部落格文章,介紹了Tactical Tech Collective 相關的科技資訊專案,皆和網路隱私,數位行動主義有關,個人很是喜歡。若對這類議題有興趣的網者,其實建議直接追踪訂閱他們的推特(@info_activism),其上面迅速更新的相關資訊收集與介紹,大大幫助讀者掌握必要的新知。

而這篇部落格文,其實是想針對上頭這支小影片主題:「單一密碼的高度安全風險」作一點分享。其實不久前(大約一個月),我就是如同影片內容所描述,僅用兩三組組合密碼走遍網路、現實中各種服務的懶人使用者。雖然知道這樣作的確把自己曝露在:萬一一個帳戶被駭,其它帳戶也將骨牌地連鎖倒地的風險之下。自從看了哈佛大學據說是最熱門的一堂計算機概論課程CS50系列的課堂影片之後,終於下定決心啟用密碼管理軟體來幫我革除一碼走天下的惡習,透過軟體來作隨機密碼生成、儲存與管理的工具。

目前在幾台常用的電腦上,我安裝的是Revelation 0.4這個在linux系統的GNOME桌面環境下的密碼管理軟體,分別安裝在ubuntu 14.04/xubuntu 14.10之下,最高可以生成32碼的安全密碼。在另一台舊筆電所安裝的xubutu 10.04,其上套裝軟體資料庫裏雖然也有0.1版本的revelation可供下載安裝,但不曉得為何我在revleation0.4 存成的0.1版檔案卻無法開啟,故只好另裝了Keepass,然後再把Revelation 滙出的資料一筆筆地存入keepass。(現在想來真是有點蠢,既然如此那一開始revelation 0.1之下也直接一筆一筆鍵入就好了啊>.<) revelation screenshot

以前覺得自己哪有能力變出多組密碼,又哪能記住那麼多不同組合之間的搭配。光是兩三組密碼就讓我在面臨一陣時間沒造訪的網站要求登入時碰壁。自己未曾用過帳密管理軟體,不知道它的方便與好處,因此就靠著長年的密碼行走江湖,尤其若是常常使用他人或公用電腦上,當然是得靠自己熟記常用密碼才能登入啟用相關服務。但如今因為智慧手機的發達,臨時使用他人或電腦的機會大大降低,也提高了自己使用帳密管理軟體的意願,而在用過之後,才知道原來它的種種好處,例如支援密碼複製的功能,意即當登入網站時,根本不必記住也不必一個字元一個字元笨拙地鍵入密碼,只消用複製貼上的方式,就可以順利登入各種網站服務。除此之外,它支援多種密碼管理程式的儲存格式滙出(如Gpass, MyPasswordSafe, Password Gorilla等)。我一開始也只把一一更新的各家密碼存成單一的Revelation檔案格式,以便在另一台電腦上開啟存檔察看自己的帳戶密碼。直到後來才知道的Revelation 滙出功能支援許多不同的檔案格式,甚致包括不用密碼保護的txt,xml格式,這些工具不但促進了密碼管理的安全、方便,更是讓懶人也可以做到網路安全保護的基本工作。

Electronic Frontier Foundation :Creating Strong Passwords is one of the easiest ways to protect your privacy and security

revelation