2008年12月24日 星期三

Firefox 的密碼管理方案:(1) Secure Login

2

  • Firefox 的密碼管理方案:(1) Secure Login
  • Firefox 的密碼管理方案:(2) Magic Password Generator
  • Firefox 的密碼管理方案:(3) Autofill Forms

Firefox 的密碼管理方案:(1) Secure Login

套件版本:0.9.7
相容版本:Firefox 1.5 ~ 4.0b10
套件作者:Sebastian Tschan
套件官網:Homepage
套件下載:Mozilla Add-ons

雖然說 Firefox 內建的密碼管理方式相當安全也很方便,但老實說並不是很好用。Secure Login 這個套件可以彌補 Firefox 密碼管理員的一些缺點,讓密碼的管理與網站的登入更加方便,個人認為可以媲美我之前所使用的 AI RoboForm
附註:套件是使用 Firefox 內建的密碼管理員來幫您登入網站,套件本身不會幫您儲存任何密碼。



在介紹 Secure Login 的用法之前,我們先來認識 Firefox 是如何管理您的密碼的。

當我們使用一個新的帳號登入某個需要密碼的網站 (例如 Gmail) 時,Firefox 會在上方彈出一個資訊列,詢問您是否要將密碼儲存起來,當我們按下 [記住] 按鈕後,Firefox 就會將目前的網域位址與您登入時所輸入的帳號密碼先行編碼之後儲存在 Firefox 設定檔資料夾裡的 signons3.txt 檔案中。


並使用「主控密碼」來保護這些資料。


當您下次再登入同樣的網站時,就可以在「帳號」輸入欄位看到 Firefox 之前所幫您儲存的帳號清單,選擇您想要登入的帳號之後 Firefox 就會自動幫您填上相匹配的密碼方便您做登入的動作。如此可以省略每次登入都需手動輸入帳號密碼的麻煩。


附註:Firefox 對於少部份網站 (例如: Yahoo! 奇摩) 無法彈出資訊列來幫您記憶密碼,有個「remember password」Bookmarklet 可以解決這個問題,您只要將那個 Bookmarklet 鏈結拖曳到 Firefox 的「書籤工具列」上,以後當遇到 Firefox 無法儲存密碼的網站時,在登入前先按一下「書籤工具列」上的 [remember password],登入時 Firefox 就會彈出資訊列來讓您儲存密碼了。


在對 Firefox 內建的密碼管理方式有了初步的認識之後,以下我就開始介紹 Secure Login 的使用方法。

Secure Login 用法


在使用前,請先在 Firefox 的選項視窗中設定一組「主控密碼」,以後您不須再費神的記一大堆網站的密碼,只要記住這組密碼就可以登入所有的網站。
附註:其實不管有無使用 Secure Login,設定並啟用「主控密碼」都是必需的,不然任何人都可以輕易地瀏覽您已儲存的密碼資料,除非您不使用 Firefox 的記憶密碼功能。

當您安裝好 Secure Login 之後,在瀏覽工具列上可以看到一個 Secure Login 按鈕。在按鈕上按左鍵可以執行填表登入的動作,按右鍵則可彈出設定選單。


登入網站

當您登入某個網站時,Firefox 如果發現密碼管理員有儲存該網站的登入資料,就會彈出要您輸入「主控密碼」的對話框。


輸入您所設定的「主控密碼」之後,可以將滑鼠移到 Secure Login 按鈕上看看,它會用工具提示顯示目前網站在 Firefox 的密碼管理員中儲存了幾筆密碼資料。


您只要用滑鼠左鍵按一下 Secure Login 按鈕,然後在下拉清單中選擇您想要登入的帳號,它就會自動幫您在網頁中填上帳號密碼並做登入的動作。完全自動化,您不需要再去按網頁中的 [登入] 按鈕,相當方便。(可使用快捷鍵 Alt+N)


若在 Secure Login 按鈕上按滑鼠右鍵選「已儲存的密碼」則可看到此網站在 Firefox 的密碼管理員中已儲存的密碼,方便您檢視或是刪除不要的密碼資料。



Secure Login 書籤

從上面的解說您應該可以感受到 Secure Login 的方便之處,但對於時常需要登入一堆 Web Mail 或論壇去收信與參與討論的人來說還是有點不太方便,因為您還是必須自己去先去開啟網頁才能讓 Secure Login 幫您做登入的動作。

這時「Secure Login 書籤」就派上用場了,它有點類似 AI RoboForm 的登入選單,您只要像平常點擊 Firefox 的書籤一樣的方式去點擊「Secure Login 書籤」,它就會幫您開啟網站同時自動登入,所有動作一次完成。

首先我們必須先啟用「Secure Login 書籤」功能。


然後我的做法是在 Firefox 的「書籤工具列」上建立一個 "Secure Login" 資料夾,並在其下建立一些子資料夾對網站做分類。


當我們開啟了某個 Firefox 密碼管理員已幫您儲存過密碼的登入頁面時,在 Secure Login 按鈕上按右鍵並選擇「新增 Secure Login 書籤」,然後將它加到「書籤工具列」的 "Secure Login" 資料夾中即可。


以後您只要直接從「書籤工具列」的 "Secure Login" 資料夾中點擊這些書籤,Secure Login 就會幫您開啟網站並自動登入。



登出「主控密碼」

Firefox 密碼的安全靠的是「主控密碼」來把關,Firefox 預設是當您開啟 Firefox 後並在第一次登入網站時會詢問您「主控密碼」,一直到您關閉 Firefox 的這中間都不會再詢問 (有效期是 Firefox 執行階段的 session)。如果說您的電腦會與別人共用,而您又暫時不想關閉 Firefox,為了保護您密碼的安全,可以使用以下幾種方法來手動或自動登出「主控密碼」:

手動登出「主控密碼」

方法 1. 用滑鼠中鍵按一下 Secure Login 按鈕便會自動幫您登出「主控密碼」。


方法 2. 使用 Firefox 主選單「工具 -> 清除隱私資料」,清除 "已認證連線"。


自動登出「主控密碼」

這是 Firefox 的一個進階的隱藏設定,在網址列輸入下面的 url,可設定閒置多久沒使用時就自動登出「主控密碼」:

chrome://pippki/content/pref-masterpass.xul



備份密碼資料

Firefox 的書籤同步套件 Foxmarks 目前已支援備份 Firefox 的密碼,所以基本上來說安裝這個套件它就可以幫您將密碼與「Secure Login 書籤」備份在它們的伺服器上,您不管在哪台電腦都能連上網路將資料同步下來。

如果說您不放心密碼儲存在它們的伺服器上,則可以安裝 FEBE 來幫您備份或是自行手動備份 Firefox 設定檔資料夾中的 key3.dbsignons3.txt (Firefox 3.5 以上是 signons.sqlite),將這兩個檔案複製到新電腦或是其他的電腦上即可。
附註:這兩個檔案的安全性基本上是相當夠的,因為若是被有心人士拿去複製到他的 Firefox 設定檔資料夾中,他沒有您所設定的主控密碼還是無法使用的。
(您可以安裝 MR Tech Toolkit 套件,它能讓您從 Firefox 主選單「工具 -> 編輯我的配置」來快速開啟設定檔資料夾。)


另外,「Secure Login 書籤」其實基本上跟一般的書籤沒什麼兩樣,只不過它在 URL 結尾附加了一個以 # 字開頭的 Hash 值,供 Secure Login 本身來辨識用。


如果您將密碼同步到了新電腦上來使用,可能需在網址列輸入 about:config,修改一下 Hash 值,讓它跟「Secure Login 書籤」中的 Hash 值一樣,否則您的「Secure Login 書籤」會無法發生作用喔!

2 意見:

請問在設定主控密碼要幾分鐘過期的頁面...

設定好了該按哪裡來儲存設定呢?

嗯,那個設定頁面的確有點問題,因我這部份是參考 Secure Login 說明文件,這部份暫時先放著,因為我也找不到方法~

Mozilla 網站 有一份關於 about:config 設定值的說明,裡面有提到關於 Master Password (主控密碼) 的相關參數設定:

security.ask_for_password
security.password_lifetime
signon.expireMasterPassword

這三個參數應該就是跟我上面提到的那個進階隱藏設定頁面相關,但我測試了之後沒有發生作用~

張貼留言