1Password密碼管理器使用指南
原創【51CTO.com 獨家譯稿】在上一篇《自己都不記得的密碼 才是惟一安全的密碼》的內容中,我們分析了有關密碼安全的一些問題。那么我們如何管理我們的密碼呢?這里主要介紹一下1Passwrd密碼管理器的使用。這里要強調的一點是:這個管理密碼系統的口令一定要具備很高的強度!如果你要使用一個統一的口令來管理自己日常使用的每個網站的登錄密碼,趕緊把那些生日啊、孩子的名字啊還有三明治之類的拋在腦后吧,這個時候你需要的是真正可以保障安全的嚴肅的口令內容。
1Password使用指南
運行1Password,讓我為你展示當我以傳統方式登錄到網站中時,它會起到哪些作用。我會登錄到Slashdot這個網站上,這是個有點專業的技術型站點,但其登錄過程跟其它常用的網站基本是一致的。
因為是付費的,免費的只有30天試用,進入下載頁面:http://down.51cto.com/data/181646 (包括windows系統和Mac系統的,在一些平板或者手機系統中也有應用,這里就不提供下載了,在應用商店中都可以找到。)
網絡安全工具集合:網絡安全工具百寶箱
開始的部分很平常,還是用戶名和密碼環節:
但我在點擊"登錄"按鈕時,1Password提供了保存口令信息的功能:
這套方案的名稱默認為所訪問的網頁地址,但我可以將其修改為更合乎邏輯的描述方式(可以立即修改,也可以稍后再進行重命名)。而一旦我點擊"保存"按鈕,1Password會要求我們輸入"主密碼",這就是我們提到的,惟一一個我們需要牢記,并用來管理所有網站賬戶信息的密碼:
這是我需要記住的惟一的,高強度的密碼。事實上它也是目前僅有的我能夠記住的復雜密碼,而且,千萬別用"Iloves@nDwich3s"之類!#p#
保存之后,讓我們現在登出Slashdot然后再次返回,嘗試二次登錄。但這一次,我們不再需要輸入Slashdot的原始口令(其實這個口令我也已經非常輕松地故意忘記了),代之的是點擊地址欄右側的小鑰匙圖標:
現在系統提示我再次輸入自己的"主密碼"--也就是我惟一需要記住的那個。進入后,我能看到先前創建的條目:
這里可以添加更多條目(因為你在同一個網站上可能有不止一個賬戶),但我就姑且雙擊現有的這一個。看看效果吧--我們已經成功登錄了。
這種密碼解決方案的優點在于,相對每個網站來說,它都提供一套獨特的口令管理機制。我不再需要記住幾十個不知所云的長串密碼,通過1Password,我們只需用手動方式登錄一次網站,再使用它幫我們保存密碼內容。
你也可以在其它瀏覽器上用到1Password的功能,我在上面的例子中使用了谷歌瀏覽器,但它也支持其它瀏覽器選擇。
安全保障
當然你的登錄密碼可能并不安全,而1Password所做的是利用一套安全的保存體系將你設定的那些簡陋密碼保護起來。利用1Password為自己的隱私及資料做點保障工作,現在正是合適的時機。
當通過以上步驟添加了自己所有的賬戶信息時,每當我通過一串簡陋密碼登錄一個網站時,我就打開1Password應用程序,將自己的賬戶信息導入,并讓它幫助創建一套新的口令。它提供了一個非常簡明的小工具,使上述操作過程變得輕而易舉:
這就是一套安全的密碼所應該具備的內容(上圖中以藍色高亮加以突出)。如果對于一個非專業人士來說,你的密碼并不難被記住,那它也就不夠安全。當然,通過前面的介紹,大家應該明白,網站的實際登錄密碼到底能不能被我們記住其實并不重要,我們需要記住的只是作用于1Password的主密碼。
現在,上述加密過程實際上只發生在你的1Password上,相應網站的登錄密碼還沒有隨之變化。我們需要做的是將這段新密碼復制到剪貼板,再登錄上對應的網站,將新密碼粘貼上去并進行保存。沒錯,這可能有點繁瑣,但只要花費幾分鐘,你就能建立一個極為安全、非常可靠的登錄密碼,而且它是獨一無二的,不會在你任何其它網站賬戶上被重復用到。
說到現在,我們還面臨最后一個麻煩問題:有些網站不允許我們創建安全密碼。今年的早些時候,我寫過一篇名為《簡陋密碼誰之過--銀行、航空公司及其它》,因為我發現有那么一些網站--特別是銀行類網站,非常弱智地不允許我們建立那些長效的、內容隨機的密碼。他們要么將密碼內容的長度限制到非常短,要么就不允許我們在密碼中加入太多大小寫或是標點符號類的內容--他們要求密碼就像PIN碼那么短,而且只能包含數字。遺憾的是用戶的密碼在這些網站上必須得遵守上述規則,所以當遇上類似這樣的限制,我們要做的只能是在其荒誕的規則要求之內,最大限度地將密碼復雜化。#p#
將你的密碼隨身攜帶
對于我而言,很重要的一件事是,我必須能夠在任何地點,通過任何設備隨時方便地訪問我的密碼管理系統。在辦公電腦上、家用電腦上或是iPad及iPhone上,我需要這些設備都能隨時與我的密碼管理工具同步。
1Password允許我們通過Dropbox的文件同步服務,方便地實現上述要求。這是一款偉大的產品,其功能之強大及配置過程之簡便已經被無數1Password用戶所證實。歸根結底,這使我所有的個人計算機中具備同樣的安全密碼備案,而我的iPad及iPhone上也具備非常友好的小工具,幫助我們隨時同步密碼信息:
將密碼文檔放在網上存在風險嗎?這個嘛,有一定程度的風險,無需諱言,但Dropbox的服務已經運行多年,事實證明這一系統還是非常安全的。當然還有一點就是1Password的密碼文檔是經過加密的,所以即使有人獲取了該文件,他們要解析內容也還是要用到我們設定的(高強度的)主密碼。事實上,在整個安全保障體系之中,最薄弱的環節很可能是我們用來保護自己Dropbox賬戶的密碼,不過根據當前的情況來看,這一環也還是很難攻破的:)
這種管理體系不就是所謂"把所有的雞蛋放在一個籃子里"?
沒錯,正是這樣,但這是一個精心設置、異常堅固的籃子。如果有人想盜取你的信息,首先他必須獲取記錄有所有密碼的文檔,其次他還需要得到你管理整個安全系統的主密碼。他可能通過猜測,也可能采取暴力破解的辦法,但只要上述兩項條件沒有同時滿足,你的信息就仍然非常安全。
雖然將你所有的賬戶資料放到網上無疑是件非常糟糕的事情,但同手動登錄網站及依賴那些站點自帶的安全機制相比,我們要面對的風險已經非常小了。
當然,其它潛在的風險也是存在的,例如1Password也許存在著未知的軟件漏洞。其實關于這一點,我已經打電話向zero-day咨詢過了(結論是目前尚未發現這類漏洞),但這種情況仍然有可能發生。事實上LastPass上個月剛剛發現了一處漏洞,而其開發商在幾小時之內就將漏洞徹底修復了。這一事實恰恰證明了專業加密工具軟件的特性,這類軟件的存在即是為用戶提供集中的安全解決方案,一旦有軟件漏洞被發現,你完全可以相信這種漏洞很快,甚至是立即就會被修復。
綜述
綜上所述,現在我們獲得了萬全的安全保障,你的數據已經牢不可破了嗎?這個嘛…
左圖:
一位加密發燒友的想象場景:
甲:他的筆記本被加密了,咱們砸上一百萬美元來創建個團隊,一起攻克它。
乙:不好!它用的是4096位加密算法!
甲:暈!我們的邪惡計劃破產啦!
右圖:
實際可能發生的情況:
甲:他的筆記本被加密了。咱們把他迷倒,再花五塊錢買把扳手,打到他說出密碼。
乙:收到。
漫畫摘自 XKCD.
這使我想起一套簡明的哲學理論:所謂安全,意思是降低相關的風險,你永遠不可能真正"安全",你能做只是將風險降低再降低。總體來說,將你的全部賬戶信息保存在1Password文檔中,比將它們分別存儲于各個網站的安全體系下要可靠得多。
但是,除了安全以外,密碼管理系統同時是一套便捷的信息存儲方案。通過一個高強度的密碼來登錄所有設備上的全部賬戶,絕對是個實在又方便的資料管理途徑。
最后,不要再等待所謂合適的時機,你可能已經發現自己的某個賬戶被盜用(相信我,這種情況很可能已經發生),而這種情況正是因為你沒有采用合適并且安全的密碼所造成,那就為時已晚了。因此,找個下午,花上幾小時和幾美元,把自己的個人安全系統盡早部署好。如果你還在猶豫不決,那么很快那些黑客們就會把目光集中在你那些觸手可及的"小雞蛋"上了。
原文鏈接:http://lifehacker.com/#!5785420/the-only-secure-password-is-the-one-you-cant-remember
【51CTO.com獨家譯稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
【編輯推薦】
