帳號密碼這件事,大部分人的做法是「記住幾組常用密碼,到處重複用」。這樣做的問題是,只要其中一個服務被洩漏,攻擊者就能拿同一組密碼去試你其他的帳號。這篇整理了我怎麼用密碼管理器、兩步驟驗證跟金鑰這三層防護來管理所有帳號,以及怎麼搭配 Raycast 讓日常使用更順手。
為什麼需要密碼管理器
先聊一下沒有密碼管理器的時候會遇到什麼問題:
密碼重複使用:人能記住的密碼有限,所以大部分人會把同一組密碼用在不同的網站上。問題是資料外洩事件每天都在發生,只要有一個服務的資料庫被攻破,攻擊者就能用你的 email 跟密碼去嘗試登入其他服務——這叫做撞庫攻擊(Credential Stuffing)。
密碼強度不夠:為了好記,大部分人會用生日、名字、常見單字組合這類容易被猜到的密碼。這些密碼在暴力破解面前幾乎沒有抵抗力。
密碼管理器的核心價值就是讓你只需要記住一組主密碼,其他所有帳號的密碼都由它來生成、儲存跟自動填入。每個網站都用一組隨機生成的高強度密碼,你不需要記住它們,也不會重複使用。
Bitwarden
我選 Bitwarden 的原因很簡單:開源、跨平台、免費方案就夠用。
市面上密碼管理器很多,1Password 跟 Bitwarden 是最常被拿出來比較的兩個。1Password 的介面確實比較精緻,但它是純訂閱制,而且不開源。Bitwarden 的免費方案已經涵蓋了我需要的所有功能——無限密碼儲存、跨裝置同步、自動填入、密碼生成器。開源這點對我來說也很重要,代表它的安全性是可以被社群審計的,不是只靠公司自己說「我們很安全」。
資料夾分類
Bitwarden 支援用資料夾來整理帳號,我用兩位數編號搭配分類名稱,按用途分群:
01 - 社群媒體/
02 - 工作/
03 - 金融/
04 - 開發工具/
05 - 購物/
06 - 娛樂/分類的目的不是為了瀏覽(大部分時候都是直接搜尋),而是讓你在定期檢視帳號的時候能快速掃過某一類別的所有帳號,確認有沒有不再使用的帳號需要清理。
使用流程
日常使用上,Bitwarden 會常駐在瀏覽器的擴充功能裡。打開登入頁面的時候,它會自動偵測到對應的帳號,點一下就自動填入帳號密碼。如果是新帳號,註冊的時候讓 Bitwarden 生成一組隨機密碼,它會自動詢問你要不要儲存,整個過程不需要手動複製貼上。
免費使用,進階功能需訂閱 官方網站兩步驟驗證(2FA)
密碼管理器解決了「密碼太弱」跟「密碼重複」的問題,但光靠密碼還是不夠。如果有人透過釣魚或其他方式拿到了你的密碼,他還是能直接登入你的帳號。兩步驟驗證(2FA)就是多加一層保護——登入時除了密碼之外,還需要輸入一組由驗證器 App 即時產生的六位數驗證碼。
為什麼不用密碼管理器內建的 2FA
Bitwarden 的付費方案有內建 TOTP 驗證碼功能,但我選擇用獨立的 App 來管理 2FA。原因是:如果密碼跟 2FA 都放在同一個地方,等於把兩層防護合併成了一層。萬一 Bitwarden 帳號被入侵,攻擊者就同時拿到了密碼跟驗證碼。把它們分開放,就算其中一個被破解,另一個還能擋住。
Ente Auth
Ente Auth 是我目前在用的 2FA 驗證器,選它的理由:
- 開源:跟 Bitwarden 一樣,程式碼公開透明,安全性可被審計。
- 端對端加密備份:所有的 2FA 金鑰都會加密後備份到 Ente 的雲端,換手機的時候不用一個一個重新掃描 QR Code。這是 Google Authenticator 之前最讓人頭痛的問題——換手機等於要重新設定所有 2FA。
- 跨平台:支援 iOS、Android、macOS、Windows、Linux 跟網頁版,在任何裝置上都能查到驗證碼。
- Tag 分類:可以用標籤來整理 2FA 帳號,我的命名原則跟 Bitwarden 的資料夾分類一樣,兩邊保持同一套分類邏輯。
使用上很直覺:在網站開啟 2FA 的時候掃描 QR Code 加入 Ente Auth,之後登入時打開 Ente Auth 複製六位數驗證碼就好。
免費 官方網站金鑰(Passkey)
金鑰是比密碼更新的登入方式。簡單來說,登入時不用輸入密碼,而是透過生物辨識(指紋、Face ID)或裝置 PIN 碼來驗證身份。因為整個過程沒有密碼經過網路傳輸,所以不會有密碼被釣魚或洩漏的風險。
為什麼放在 Bitwarden 管理
金鑰可以存在裝置本機(像是 iPhone 的 iCloud 鑰匙圈),但這樣做的問題是金鑰會被綁定在特定的生態系裡。我選擇把金鑰存在 Bitwarden,這樣不管用哪台裝置、哪個平台,都能透過 Bitwarden 來使用金鑰登入。管理上也更方便——所有的帳號密碼跟金鑰都集中在同一個地方,不用分散在不同的鑰匙圈裡。
Android 的限制
目前 Passkey 在 Android 上有一個比較大的限制:正式版的 Bitwarden Android App 還不支援作為 Passkey 提供者。在 Android 上使用 Passkey 會被綁定到 Google Password Manager,沒辦法選擇用 Bitwarden 來管理。這代表如果你有 Android 裝置,Passkey 會被分散在 Google 跟 Bitwarden 兩個地方,管理上不太理想。
Raycast 整合
我在 Mac 上用 Raycast 作為啟動器,Bitwarden 跟 Ente Auth 都有對應的 Raycast 插件,可以直接在 Raycast 裡搜尋帳號密碼跟 2FA 驗證碼,不用另外打開 App。
Bitwarden 插件
Bitwarden 的 Raycast 插件需要搭配 Bitwarden CLI 跟 API 金鑰才能使用。
安裝 Bitwarden CLI
插件是透過 CLI 來跟 Bitwarden 的 Vault 溝通的。第一次啟動插件時會自動下載 CLI,也可以透過 Homebrew 或 npm 自己裝好,再到插件設定裡指定 CLI 路徑。
申請 API 金鑰
到 Bitwarden 網頁版的「設定 → 安全性 → 金鑰」頁面,點「查看 API 金鑰」取得 client_id 跟 client_secret。
設定插件
第一次使用時把 API 金鑰填入插件設定,之後就能在 Raycast 裡直接存取 Vault。設定完成後,按下 Raycast 快捷鍵、打幾個字搜尋、Enter 複製密碼,整個流程不到三秒。
Ente Auth 插件
Ente Auth 的 Raycast 整合比較特別,沒辦法像 Bitwarden 那樣直接用 API 連線,需要先透過 Ente CLI 把 2FA 資料匯出,再讓 Raycast 插件匯入。
安裝 Ente CLI
用 Homebrew 安裝最快,跑一行 brew install ente-cli 就搞定。
登入 Ente 帳號
在終端機執行 ente account add,選擇 auth 作為 App 類型,然後輸入你的 Ente 帳號密碼,並設定一個匯出目錄(例如 ~/Documents/ente)。
設定 Raycast 插件
在插件設定裡把「Ente CLI Export Location」指向你剛才設定的匯出目錄。
匯入金鑰
在 Raycast 裡執行「Import Secrets」指令,插件會透過 Ente CLI 匯出 2FA 金鑰並存入 Raycast 的加密資料庫。設定完成後,在 Raycast 裡搜尋服務名稱就能直接看到即時的六位數驗證碼,跟在 Ente Auth App 裡看到的一樣。
安全性建議
工具選好了,但怎麼用也很重要。幾個我自己有在注意的安全原則:
主密碼的設定
主密碼是整套系統的最後一道防線,如果主密碼被破解,所有儲存的密碼都會曝光。所以主密碼一定要夠強:
- 長度至少 16 個字元:長度比複雜度重要,一組 16 字元的隨機密碼比一組 8 字元的「複雜」密碼安全得多。
- 不要用任何個人資訊:生日、名字、電話號碼都不行。
日常注意事項
- 定期檢視帳號清單:每隔幾個月掃一次 Bitwarden 裡的帳號,把不再使用的服務刪掉或停用。帳號越少,攻擊面越小。
- 注意釣魚網站:密碼管理器的自動填入功能其實也是一層防護——如果你進了一個釣魚網站,Bitwarden 不會自動跳出填入建議,因為網域不匹配。如果發現該出現的自動填入沒有出現,先檢查網址。
- 公用電腦不要登入 Bitwarden:在別人的電腦上登入密碼管理器等於把所有密碼暴露在不可控的環境裡,這是絕對要避免的。
帳號管理流程
最後整理一下,當我需要註冊一個新帳號的時候,完整的流程是這樣的:
1. 註冊帳號
用 Bitwarden 的密碼生成器建立一組隨機密碼,Bitwarden 會自動詢問是否儲存。
2. 歸入資料夾
在 Bitwarden 裡把這個帳號移到對應的資料夾分類。
3. 設定 2FA
如果該服務支援兩步驟驗證,進到安全設定裡開啟,用 Ente Auth 掃描 QR Code。
4. 設定 Passkey
如果該服務支援金鑰,一併設定,存在 Bitwarden 裡。
5. 更新 Raycast
如果有新增 2FA,在 Raycast 裡重新執行「Import Secrets」讓插件同步。
這套流程看起來步驟不少,但實際操作下來一個新帳號大概兩分鐘就能設定完。重點是每次都按照同樣的流程走,讓它變成習慣,而不是每次都在想「這個帳號我要不要設定 2FA」——答案是只要服務支援就一律設定。