如何管理密码

花火田丁 花火田丁 2018-12-29 12:00:00 +0000

题图来自于NextDay

网传咱们“全球最大的票务网站 —— 12306” 的账号密码又泄漏了,这次信息据说可详细,账号、手机号、身份证号、密码、问题及答案,虽然官方在沉默一天之后终于跳出来辟谣了,安全为上,还是去把密码给改了,比较保险。

密码设置的规则,安全第一,但也得好记,不然隔三差五就在找回密码。安全其实并不难,位数越长,字母数字大写小写特殊字符排列组合,想多复杂都行。但是越复杂,就越记不住,防住了想要窥探秘密的其他人,但也防住了自己。

记住密码才是设置密码最大的障碍

为了记住密码,有人选择直接放弃,123456,123,怎么简单怎么来,这样的密码只是一种摆设,另外就是用自己的生日、手机号码之类,安全程度其实与12345并无差异,枚举即可破解,时间也不用太久。

稍微谨慎一点的会选择有一本实物笔记本记下来,笔记本的保存位置如果足够安全,那么直接把密码写上也没关系,保险一点的方法是,记录方式是遵循某种规则的,只有自己能够看懂,这也算是一种加密方式了。但实物笔记本终究带来带去并不方便,作为保存备份还可以,但常用的还是得记在脑中。

接着,早几年出了个帮助你管理密码的应用叫 1Password1,其实原理跟以上加密的笔记本类似。把所有的密码都交给 1Password 管理,而你只需要记住 1Password 的那个主密码即可,在登录的时候,由 1Password 自动填充一键登录。并且它还有自动生成强密码的功能,出了保存密码,还可以帮你保存其他的机密资料,包括银行卡号之类,曾入选「 iPhone 十佳 APP」。

当时觉得需要管理的密码并不是很多,脑子也够用,再加上设置的密码都遵循某种特定的规则,记起来并不是很难,于是就一直没用 1Password 这个神器。

最近几年,密码安全问题频繁爆出,今天这个被拖库了,明天那个的数据在卖了。这里再啰嗦几句为什么一直要强调尽量避免用同一个密码

有人说,「这些黑客啊什么的,就算拿了我某个网站的密码又怎么样呢,比如开头说的票务网站,难不成他想帮我买票?」,大概很多人会有类似的想法,把密码改了就行了吧,哪有那么可怕。但是通常拖库的目的基本上都是为了撞库,即用在这个网站窃取的密码去试其他网站,比如某宝密码,比如支付密码,比如社交网站密码等等,如果都是同样的密码,那就正中下怀了,买一送N的节奏,顺带着把这些网站里你登记的个人信息、社交信息、好友信息都拉一个遍。

所以说,千万千万不要用同一个密码

再说回 1Password,这个功能挺不错呢,解决了密码安全和记住密码这两大难题。用 iPhone 的朋友对于「网站与应用密码」( iCloud 钥匙串)也一定不陌生,同样可以生成强密码,也可以保存密码并且一键填充登录,你也可以把指纹或者锁屏密码就理解成 1Password 的主密码,看上去功能很相似,那是不是存在二选一的问题呢,或者说 1Password 这类应用以后还有立足之地吗?

由于没实际用过 1Password,我查了点资料,发现两者还是有些区别(仅供参考):

  1. 「网站与应用密码」不支持 Chrome 和 Firefox(这点问题不大,毕竟 iOS 设备上普通用户用自带 Safari 的居多)

  2. 「网站与应用密码」有些网站的密码表单不能填充(有待证实)

  3. 「网站与应用密码」,只支持 iOS 和 OS X,而 1Password 支持全平台,包括 iOS、OS X、Windows、Linux、iOS、Android

  4. 「网站与应用密码」通过指纹或者密码解锁之后可以看到原始的密码,而在 1Password 里不会显示

这样看起来,苹果自带的「网站与应用密码」与 1Password 相比,确实还有些欠缺,但正如比较这两者的文中所说:

Apple 自带的「网站与应用密码」的目标是让用户在保证安全的前提下,忘记密码这回事。

而 1Password 的定位,则是一个称职的私密信息管家。不论何时何地,都能方便的读取和使用这些信息。但受制于第三方应用的地位,在填充方面会有一些限制,达不到如同 Apple 自带的 「网站与应用密码」这般顺畅。

摘自《iOS 11 升级后的 iCloud 钥匙串,能够替代 1Password 吗 》

另外,1Password 是收费的。

看起来,这并不是你死我活的选择题,如果你觉得自带的「网站与应用密码」功能足够,那么确实无需使用 1Password,而如果对私密性有较高的要求,则可以二者结合起来使用,据说 iOS 12 以后可以支持直接从「网站与应用密码」中调用 1Password。

借助工具,确实可以给我们省去不少麻烦,也不用花费精力去记住密码。不过一旦选择了使用工具,我们也将面临从此丧失了记住密码的能力,「当你勾选了“记住密码”,从那一刻开始,其实你已经“忘记了密码”」,有点像悖论是不是?

所以,如果你还是想尝试自己来管理一下密码,毕竟不管你是用 1Password 还是「网站与应用密码」,你始终还是需要管理几个主密码的。这里有几个规则或许可以给你提供一些帮助(这还是我做企业内训时讲过的内容,不知道有多少人真正实践了呢)

  1. 密码不要用到一些自己的公开信息,比如手机号、生日等,因为这些实在是太容易被人拿到了

  2. 想一套自己能够记住的「加密密码」的规则,这个规则通常可以结合你自己的一些信息和这个网站的信息一起来实现。举个简单的例子:网站中文名字的拼音+你的注册日期等等,这样当你看到某个网站,就能知道大概的规则。

  3. 对第二步中的密码进行一些字符转换,想一些常见的字符替换的规则:0 <-> o,8 <-> b,最简单的就是数字和字母之间的互换,利用形似或者读音。

  4. 最后一条,就是密码尽可能长,长度通常意味着破解难度和时间。

基于以上四点,举个密码的例子:

I@mG0ingT0L0nd0n@tF1ve

乍一看很复杂,大小写、字母、数字、特殊字符都又了,长度也差不多。安全性我相信足够了,可是我们自己怎么可能记得住?看下面这句话就能明白了:

I am going to London at 5

我们只需要记住这句话以及变换的规则,就能轻松地记住复杂的密码了,是不是很简单。

1Password 类似的第三方 APP ,Apple 自带的 「网站与应用密码」,或者直接建立自己的一套加密规则,方法有很多,看哪种更适合自己。密码安全很重要,但如果花了太多精力去管理,也就成为了一种负担,毕竟密码设定的目的就是为了用它去开启一些服务。

当然也有人会担心,把这么多密码存在 iCloud 或者 1Password,这本身是不是也是个问题,风险不能说是完全没有,但很多时候,当我们选择使用某种工具的时候,我们势必需要放弃一些权利,或者赋予这个工具一些信任,就好比,找人来换门锁。我们也只能选择相信专业人士都有一定的职业素养,而且有些在我们看来很要紧的东西,在别人那里就是司空见怪了。比如,印钞厂的员工。

互联网服务更是如此,我们希望自己的隐私得到密不透风的保护,说实话,也只是希望而已,我们可以去争取或者自己想办法避免,但要做到密不透风,基本不太现实。「为了使用便捷的服务,牺牲掉一些隐私也不是什么很严重的事情」,这样的话,我们看了不开心,但其实,在我们自己的能力范围内也改变不了什么,那么就留点心多注意,尽量减少自己受控范围内的泄漏吧。至于企业行为,只能通过政策或者职业道德去加以约束了。

最后,提醒一句,切记,不要使用相同的密码 以及经常修改密码。


旧文参考:

也说互联网隐私

我们真的希望「被了解」吗

科技,幸与不幸

杀熟

好事却好景不长

  1. 注:本文中提到的 1Password 相关功能介绍源自网络,详细介绍可前往 1password.com 自行了解。 ↩︎


撒欢吧
谈理想
聊人生
讲故事
相对论
花火田丁
微信号:huahuoding
花火田丁
不折腾不人生