現在web上的服務可說日新月異,每一項服務免不了要申請帳號,這時候就出現了惱人的id/password問題。
id問題還好,反正取個怪名字,重複的機率不大,但password就麻煩了。
面對千千萬萬的網站,有人以不變應萬變,一組密碼走遍天下;有人則是一組基本密碼,配合特定規則來調整。譬如我用過的方式之一:基本密碼為「!@#$%」,再將網站domain(例如moztworg)依序插入基本密碼內直到湊足密碼長度為止,變成「m!o@z#t$w%org」。
用一組密碼是最笨的方式,第二種方式也不見得高明,其共同問題在於一旦你在某站台的密碼被盜取,那麼你在其它站台的密碼恐怕也難保平安。
目前我已捨棄上述二種方式,改用密碼產生器動態產生密碼。使用的工具是PasswordMaker這個套件,它的原理是使用者只要記住一組key(主密碼),程式會將這組key配合網站的domain,使用加密方式產生一組密碼,這組密碼就是你在該站的登錄密碼了。
理論上PasswordMaker產生的密碼可以是不可逆的,也就是萬一他人取得你在某站台的登錄密碼,也無法反推出你的key值,所以即使你在A網站密碼被盜了,你的B網站密碼仍是安全的。
上述密碼是否為不可逆,必須視你所選的加密法而定,PasswordMaker內有很多參數可調整,也會分析你的密碼強度,這是它的優點,但換個角度來說也是缺點。
當你使用公用電腦時,若上面沒裝PasswordMaker,那就糗了,這也不打緊,可以立刻下載安裝,但你必須記得先前設過的參數,不然還是無法產生正確的密碼。這是我曾有的慘痛經驗。
PasswordMaker的另一個缺點是UI不太理想,當遇到登入畫面時,我必須使用四個步驟才能生出密碼:1. 叫出PasswordMaker; 2. 輸入key; 3. 複製密碼至剪貼簿; 4. 貼到密碼欄位。
這兩天看到另一個密碼產生器套件-Password Multiplier,它的原理大致和PasswordMaker一樣,但簡化了參數設定,使用者只要記住自己的email和key即可。另外在UI方面也算理想,只需要:1. 在密碼欄上點兩下,Password Multiplier就會彈出視窗問你的key值; 2. 輸入key後它會自動將產生的登錄密碼回填到密碼欄上。
同樣的,Password Multiplier沒什麼參數可調整是優點也是缺點,因為無法預期它生出的密碼長度為何,若遇到有些網站要求密碼長度的話就不能用了(雖然我還沒遇到這種情況),這個部份PasswordMaker就很有彈性,不但可設定長度,還可設定產生密碼的字元範圍,例如:「0123456789abcdef...xyz@#$%^」。
上面簡單談了密碼產生器的概念以及二款相關套件,只是個人的一點使用經驗,提供大家參考。若有謬誤,敬請指正。若是您有好的密碼策略,也請不吝與大家分享。
