密碼管理最佳實(shí)踐
本文由康宇譯自The Wall Street Journal,轉(zhuǎn)載請(qǐng)注明出處。
為每個(gè)在線網(wǎng)站和服務(wù)設(shè)置不同的密碼,對(duì)于保證你使用網(wǎng)絡(luò)時(shí)的安全來說是至關(guān)重要的。下面由Personal Technology的專欄作家Geoffrey Fowler,向你展示密碼管理程序是如何幫助你記錄所有這些登錄信息的。
黑客與各公司之間有一場(chǎng)激烈的戰(zhàn)斗,而你就被迫卷入了這場(chǎng)沒有盡頭的纏斗。每當(dāng)一家公司被黑之后,你都不得不更改密碼,而且之后就再也不敢在其他的地方用它了。
為每個(gè)網(wǎng)站和服務(wù)都想出一個(gè)不同的密碼,是保證你的網(wǎng)上財(cái)產(chǎn)安全的唯一方式,但這同樣是一件極其的惱人的工作。幸運(yùn)的是有一種方法可以改變這種情況:尋找一款密碼管理程序。
我有超過150個(gè)不同的登錄項(xiàng)和賬戶。要記住這么多的密碼,我必須成為“雨人”才行。于是我開始搜尋能夠儲(chǔ)存我所有的密碼的最好的服務(wù),最終將名單削減為了四個(gè),它們兼顧了可用性和安全性:1Password、Dachlane、LastPass和PasswordBox。
LastPass對(duì)于使用像指紋識(shí)別器這樣的的時(shí)髦科技的人來說,是一個(gè)不錯(cuò)的選擇。對(duì)于真正的偏執(zhí)狂,1Password能讓你以最大的限度控制你加密保存的密碼。
至于大多數(shù)的人,我推薦Dashlane。它很簡(jiǎn)單,因此你會(huì)真正去用它,而不是束之高閣。它甚至還可以幫你少點(diǎn)幾下鼠標(biāo)!
等一下!難道把所有的密碼都存在一處不是糟糕的主意嗎?這樣比到處都使用容易記憶的密碼更好。密碼管理器將所有的信息都隱匿在一個(gè)只有你知道的主密碼之下。
沒有什么事情是100%得到保證的,但是所有這四款密碼管理器都采取了額外的措施來保證你的主密碼不會(huì)被泄露到互聯(lián)網(wǎng)上。它們就像是由忠于職守的管家保護(hù)的保險(xiǎn)箱,這個(gè)管家并指導(dǎo)你存了寫什么,甚至也沒有私配鑰匙。
在一個(gè)個(gè)人信息越來越多的存儲(chǔ)在云端(由密碼保護(hù))的時(shí)代, 我們需要比反病毒軟件更進(jìn)一步的防護(hù)。而使用密碼管理軟件就是著關(guān)鍵的一步。
Dashlane就像是你一直以來所期望的好記性。它不僅可以記錄密碼,還可以記錄信用卡號(hào)和用戶ID等,當(dāng)在不同的設(shè)備上有需要的時(shí)候,它可以幫進(jìn)行自動(dòng)填充。它還維護(hù)了一個(gè)特別有用的積分卡,幫你評(píng)定現(xiàn)有密碼的質(zhì)量,以及提示你進(jìn)行改進(jìn)。
Dashlane在單臺(tái)設(shè)備上使用是免費(fèi)的。在各個(gè)設(shè)備間同步的話,就需要每年30美元的訂閱費(fèi)了。這一高級(jí)服務(wù)有30天的試用時(shí)間。
設(shè)置Dashlane真是一種享受。Dashlane會(huì)將瀏覽器明文存儲(chǔ)的密碼吞到肚里,并且能夠自動(dòng)抓取到你設(shè)置的新密碼。所有的信息都由主密碼進(jìn)行保護(hù),并以密文的形式存儲(chǔ)在你的計(jì)算機(jī)或者移動(dòng)設(shè)備中。每當(dāng)你開機(jī)或者打開Dashlane的時(shí)候,你都必須輸入主密碼。你可以將密碼的問詢頻率設(shè)置得高些,比如每當(dāng)設(shè)備空閑超過指定時(shí)間之后就需要輸入主密碼。
Dashlane會(huì)在瀏覽器上安裝插件,支持的瀏覽器包括Chrome、Firefox、IE和Safari。當(dāng)你登錄到一個(gè)Dashlane已知的網(wǎng)站的時(shí)候,它會(huì)在登錄框上放一個(gè)小圖標(biāo),來提示你它可以幫你輸入用戶名和密碼,甚至是你的信用卡號(hào)。如果你允許Dashlane這么做的話,它甚至?xí)詣?dòng)幫你按下“登錄”按鈕。雖然并不是在所有的網(wǎng)站上都奏效,不過大多數(shù)情況下還是非常棒的。
隨著你的使用,Dashlane還會(huì)試圖提升密碼的安全性。如果你更改了某個(gè)密碼或者申請(qǐng)了一個(gè)新用戶的話,它就會(huì)提示你使用強(qiáng)口令。另外Dashlane的炫彩安全得分卡還會(huì)促使你興高采烈地將弱口令或者重復(fù)的密碼替換掉。
密碼管理器真正發(fā)揮作用的地方是,當(dāng)你需要在不同的設(shè)備——PC、手機(jī)和平板——之間保持密碼同步更新的時(shí)候。我排除了Chrome內(nèi)建的密碼管理器以及Apple的iCloud,因?yàn)樗鼈兌疾荒芡瑫r(shí)支持我所有的設(shè)備。
Dashlane在Android手機(jī)以及平板上的工作方式同前述沒有太大差別,都能夠自動(dòng)填充密碼,不過默認(rèn)的瀏覽器Chrome除外。Dashlane可以幫你保存所有的用戶名和密碼,但是由于蘋果的軟件策略的原因而不能進(jìn)行自動(dòng)填充。相同的問題影響了除PasswordBox之外的大多數(shù)的密碼管理軟件。PasswordBox設(shè)計(jì)了一種方法可以在移動(dòng)版的Safari上自動(dòng)登錄很多大網(wǎng)站。
Dashlane還有一款專用瀏覽器,這款瀏覽器支持Dashlane進(jìn)行自動(dòng)填充,不過大多數(shù)人還是會(huì)將密碼復(fù)制粘貼到他們喜歡的瀏覽器上。
如果你和家人公用一臺(tái)電腦的話,Dashlane會(huì)在沒有提醒你設(shè)置不同的配置的情況下就記錄多條登錄信心。開發(fā)Dashlane的公司稱,他們會(huì)很快發(fā)布一款家庭團(tuán)隊(duì)版的Dashlane,來讓方便人們共享比如亞馬遜或者Netflix等的密碼。
幕后Dashlane采取了一些關(guān)鍵的步驟來保證你你數(shù)據(jù)的安全。它絕對(duì)不會(huì)將你的主密碼發(fā)送到互聯(lián)網(wǎng)上去,并且在與其他設(shè)備同步數(shù)據(jù)的時(shí)候使用AES-256這樣的高等級(jí)加密措施。不論是Dashlane公司或者侵入其計(jì)算機(jī)系統(tǒng)的黑客(抑或是政府)都不能在沒有主密碼的情況下訪問你的數(shù)據(jù)。這種設(shè)置甚至可以讓Dashlane在最近的Heartbleed漏洞災(zāi)難中免受其害。
另外Dashlane允許你選擇不將你的數(shù)據(jù)保存在互聯(lián)網(wǎng)上,盡管這樣的話你就必須手動(dòng)在各個(gè)設(shè)備之間同步密碼了。擁有最好的離線同步體驗(yàn)到密碼管理器是1Password。請(qǐng)查看前面的圖標(biāo)獲取更多信息。
好了,如果有人得到了你的主密碼會(huì)怎么樣呢?如果有人在你的電腦上安裝具有鍵盤記錄功能的軟件的話,這樣的事情就會(huì)發(fā)生,所以最好裝上殺毒軟件將這樣的攻擊拒之門外。但是,即是這樣的事情已經(jīng)發(fā)生了,也還有最后一層安全措施:如果沒有直接發(fā)送到你的手機(jī)或者郵件中的密碼的話,其他人就沒有辦法在新設(shè)備上解鎖你的密碼。
只有Dashlane和LastPass實(shí)現(xiàn)了這種重要得兩步驗(yàn)證,盡管PasswordBox聲稱它也具有此功能。1Password的發(fā)言人這種兩步驗(yàn)證的手段在他們的設(shè)計(jì)中毫無益處,因?yàn)樵谒麄兊脑O(shè)計(jì)中不會(huì)集中存儲(chǔ)你的數(shù)據(jù)。不過,我認(rèn)為如果能知道有人在試圖獲取你的信息的話,還是很有用處的。
還是那個(gè)老生常談的問題,為什么要信任Dashlane,一個(gè)剛剛創(chuàng)辦兩年,有兩百萬客戶的公司啊?因?yàn)榘踩谋WC是Dashlane盈利的唯一途徑。而且如果你認(rèn)為它的服務(wù)不值每年30美元的話,Dashlane允許你將密碼數(shù)據(jù)庫(kù)都導(dǎo)出為其他密碼管理器可以讀取的格式。
你甚至可以使用過時(shí)的技術(shù),將數(shù)據(jù)庫(kù)的內(nèi)容打印在紙上。聽上去很瘋狂,但這也比一直都使用相同的密碼要強(qiáng)
