2008年6月3日 星期二

自動登入的隱憂(Worries about Auto Signed-In)

現在的網路服務何其多,無論是EMail、Blog、Twitter...,或是近年興起的各種社交網路服務(SNS),只要是用WEB介面的平台,絕大多數都有設計「記住我」(Remember ID/PW)的功能,也就是下次你到這個網頁就能夠不用重新輸入帳號、密碼等個人資料。

老實說這真的是個極為便利的功能,絕大多數也是透過「Cookie、記住密碼」來達成此目的,即為自動登入的功能,但是它帶來的風險有那些呢?我們直接看這張圖吧!(以Firefox為例)



從圖中我們可以很清楚的看見這個密碼管理員,已經把我的帳號跟密碼給記下,如果你稍離開位置一下,有人藉機來你的電腦,打開這個功能,我想就沒有什麼私人隱私可言。

雖然記住密碼的風險不小,但是絕大部份的網頁平台瀏覽器都有設置這樣子的功能,人總是擋不住便利之門,況且,還是有很多使用者是痛恨記一大堆帳號、密碼,尤其是現在密碼漸漸地要求要有六(八)碼以上,所以不用懶人密碼的話(生日、身份證、特別紀念日...等),要記住各式各樣密碼,老實說,真的是有點強人所難。(有些人會"統一"記在小本子裡,不過那樣的風險相對地增加不少)

其實這一類自動登入的隱憂,在各式即時通訊軟體(IM)內也很常見,甚至已經有許多IM的惡意程式,會在使用者(被感染者)離線的狀態,傳送帶有惡意內容(廣告)的網址,甚至還會跟被感染者的帳號十分雷同,例如:
ID:chris@hotmail.com
傳送的惡意(廣告)連結:http://chris.infomall.net

所以,這些狀況讓我不得不正視「記住密碼」這功能的風險,更何況只要利用一些第三方的軟體(例:MessenPass載點)就能夠輕易的把你電腦中那些「****」的內容給出來。

其實像上圖所示,它是Firefox內建具備的「密碼管理員」,就是你在網路上大量記憶密碼時,"原則"上都會把密碼存一份在此(加密連線、某些入口網站例外),下次再造訪這個相同網站時,就不需再輸入密碼,所以這個密碼管理員就顯得格外重要,有在使用FF(Firefox)的人,自己去檢查一下是否有做一些補強的動作,例:主控密碼的功能。(如下圖)



當你使用了主控密碼的功能之後,要再進入密碼管理員,就得多一道密碼才能夠存取(如圖),除此之外,當然也有網路版(OnLine)的密碼管理員,例:PASSPACK。(網路資料頗豐)



雖然有了補強的加密機制,我還是傾向於不要記憶密碼,沒有人可以保證在電腦裡的資料,能夠有"絕對"的安全性(雖然FF的密碼管理員是採AES加密)。

畢竟人性本「」,只要該工具夠便利,總是會有廣大的使用者"愛"它,更何況很多人時間一久就會忘了原先設計的密碼,而密碼重置的功能,並非每個網站都做的很完備,尤其是你在註冊時,很有可能資料不太正確(假的,一旦換台電腦,或是電腦不慎重灌,你就要有被網站拒於門外的心理準備。

所以,又衍生出密碼備份的問題,如果你是FF的愛好者,就可以考慮使用Password Exporter 1.1(外掛)來將密碼管理員內的資料進行備份,或是在異機匯入,如此一來就能夠帶著你的密碼趴趴走。(或許可以避開鍵盤偵測程式,但保存需要小心...)



註:在使用Password Exporter匯出、入密碼時,有個奇怪的發現,在未匯出前,如果要檢視密碼時,是會被要求輸入主控密碼才能看得見。但是你若直接採用匯出(未勾選加密卻能直接把密碼給匯出*.xml或csv檔)。雖然開啟FF的時候就會要求輸入主控密碼,但是,你如果裝上了Password Exporter,又暫時離開位置,別人就有機可趁囉!所以安全的作法是,匯出密碼後就把密碼備份的機制刪除吧!