用工具管理密码
如果你针对不同网站设置了不同的密码,这些密码可能是之前提到的按一定规则组成的密码,也可能是完全没有任何内在逻辑、随机生成的字符。想要记住这些密码不是一件容易事,还好有许多第三方密码管理工具可以帮助我们记住这些密码,并方便地跨平台使用。
这些密码管理软件的思路都比较一致,你可以往其中添加记录许许多多的密码,在这些密码之上,会有一个主密码,只有掌握了这个主密码,你就能解锁访问其中存储的所有密码。当然这也是这类软件最为被诟病的地方之一,因为任何人只要掌握了这个主密码,都可以访问你的所有密码。这就是安全领域常说的单点突破,这让你的整个密码管理有了最薄弱的那一个环节:主密码。
当然,这些工具本身也提供了诸如生成随机密码、自动填充等实用的特性。如果你有信心,保证主密码只有天知地知你知,这一类的软件还是有用武之地的。我们就介绍一下最常见、最流行的几款热门密码管理软件吧。
1. KeePass:开源、免费、本地
KeePass 是一款开源的本地密码管理软件,采用了 AES 和 Twofish 算法的加密,其官方版本覆盖了主流的台式机平台,有 Windows/OS X/Linux 版本。由于其是开源软件,也有一些人在其基础上制作了 iOS/Android/Windows Phone 版本可以下载使用。
它最大的特点就是完全是一款本地服务,不需要联网,不需要同步,甚至不需要安装,KeePass 可以直接解压使用,非常方便直接插上 U 盘在不同的电脑上使用。
2. iCloud Keychain:苹果生态链中的密码守护者
iCloud 钥匙串是苹果提供的基于 iCloud 的密码管理服务,其主密码自然就是你的 iCloud 或系统账号。使用 iCloud 钥匙串服务,你可以在 iPhone、iPad 及 Mac 间无缝同步你的浏览器保存密码、信用卡信息、WiFi 连接密码、应用程序密码等等。
你可以为 iCloud 钥匙串设置一个独立的安全码,当你在其它移动设备上想要访问所有的密码时,除了登录 iCloud 账号外,还需要额外验证安全码,以确保密码的安全。毕竟生活中有时候借别人的手机登一下自己的 iCloud 账号还是很经常的事情。安全码还会要求手机号短信验证,和两步验证的概念很像,如果你习惯了使用整个苹果生态链的产品,iCloud Keychain 可能是你最方便的选择。
3. 1Password:密码管理中的老牌王者
要是说起最有名的跨平台密码管理软件,大家最应该听说过的就是 1Password 了。它支持所有主流的平台,包括 Windows/Mac/iOS/watchOS/Android。最关键的是,1Password 还是最有设计感的一款密码管理软件,实际上这些密码管理软件在实现的技术方式上差别不大,基本都是 AES 加密,但 1Password 却是其中做得最精致、最细节、最具有美感的一家。
在 iOS 8 之前,1Password 在 iOS 平台上还是一款收费软件,而且由于限制,它不得不自带集成浏览器,以实现填充密码登录。不过这一切现在都变了,1Password 不仅在 iOS 平台上免费了,而且得益于分享插件的引入,现在你可以直接在 Safari 甚至任何支持的第三方 App 中,使用 1Password 填充密码。
1Password 不仅仅是保存密码,除了生成随机密码这些常用的功能外,它还有一系列丰富的管理功能。例如可以针对不同的使用者设立不同的密码仓库,可以通过文件夹、标签的形式管理密码,还能存储银行账号、护照、授权码等一系列重要的数据资料。
不过,如果你想在传统的台式设备上使用 1Password,那么就需要大手笔买买买了。其Mac 版本和 Windows 版本售价高达 328 元,如果双版同时打包购买,也需要约 460 元。
最近 1Password 还推出了团队版,在团队协作时帮助你将一些密码分享给团队成员或同事,目前这个新版本正在 Beta 测试中,可访问官网了解详情。
4. LastPass:足够好用的替代品
如果你想要 KeePass 那样的免费,却又希望有官方提供的原生跨平台体验,你可以试试 LastPass。从功能上来说,其核心功能和 1Password 差别不大,除了颜值略低。LastPass 提供了 Mac/PC/Linux 的客户端,并在所有主流浏览器中都有插件可以安装,自然也支持当前最主流的移动平台。
在之前,LastPass 的浏览器插件及桌面端是完全免费的,但如果需要使用移动端,则要交 12 美元的年费,今年 8 月它更改了收费策略,你可以在任一平台免费使用 LastPass,但如果你需要在桌面端和移动端同步数据,或者在 iPhone 上使用 Touch ID,则需要额外交纳年费。
今年 10 月,一家专注于远程控制的科技公司 LogMeIn 宣布以 1.25 亿美元的价格,收购了 LastPass,虽然官方表示不影响 LastPass 的商业运作,但这毕竟是一次人才收购,其未来命运到底如何还很难知晓。另外需要注意的是,LastPass 曾发生过多次核心数据库泄露事件,不过似乎并没有造成实质性的损害,因为这些泄露的数据仍然是加密的。
5. 花密:本地也可以撒点盐
从密码管理工具的角度上来说,花密可能是一款很另类的软件,它不像之前介绍的 KeePass、1Password 之类的是由一个主密码加密存储了所有的个人密码。相反,它和我们之前说的在服务器端存储密码时的撒点盐很类似。
前面我们也提到了利用浏览器或第三方的密码管理工具,可以随机生成一些无规律的字符串作为密码。不过,这些密码的缺点就在于不便于建议,如果是桌面端生成的密码,在手机上要进行登录操作实在是太痛苦了。花密就解决了这样一个问题:你仍然只需要记住一个密码,花密会自动根据网站帮你最方便记忆的密码撒点盐,二次生成一个随机密码。
这样,方便你记忆的同时,也确保了密码的复杂性,同时还做到了一站一密。花密的实现其实很简单,如果有一定基础,你完全可以自己实现一个类似的算法工具。当然,花密也提供了网页版、Mac、Windows、iOS、Android 及 Chrome 浏览器插件,方便你直接使用。
希望看完本文,你能更好地了解密码到底是如何泄露的,并做好对应的防范措施,合理地使用各类密码管理工具来帮助你。最重要的事情,还是一定要假设你的密码迟早会泄露,永远去假设密码泄露后的这个信息一旦在网络上扩散,会对你有什么影响。