互联网在生活中的重要性不言而喻,而且还在更加深刻的渗入生活,互联网的账号体系也变得越来越庞大,所以账号安全问题一直是个重要命题。数据泄露、用户数据泄露之类的新闻,每个月都能见到那么几个,动辄几十G的信息泄露,被骇客拿到黑市上卖。
有媒体报道,称疑似京东12个G数据遭泄露,涉及用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度信息,对此,京东表示经初步判断,该数据源于2013年Struts 2的安全漏洞问题。——2016.12.11
被泄露的密码一般会先经过骇客的洗库,把账号中有价值的虚拟货币和装备全部转移,留下的信息再放到黑市中卖掉。也就是说,当得知数据库泄露在互联网上,一般都是被入侵三个月以后了。
我一直都认为密码被盗这种事情不会发生在我身上,因为我还算是比较注意密码安全的,但是最终发现百度账号还是被入侵了。因为百度账号我并不常用,所以并没有带给我多少损失。账号被盗三个月后才被发现,发现后又嫌改密码太麻烦,所以还是没有管,又过了一个月需要在百度文库下载文档时想到了应该改密码了。
在账号被盗的这段时间中,只注意到账号在百度贴吧发了大量的广告被永久封禁,百度贴吧我也不用所以又是没管。百度账号被盗是有些大意,但我之前也是对密码安全做过了一些措施:
密码分级:常用的社交账号和网银账号为第一级,时不时用的账号为第二级,临时账号和不重要的分为第三级。三种不同等级的密码分别使用不同的密码体系。第一级的密码要分别使用带有特殊字符、小写字母和数字的不同密码。而第二级密码则是数字加字母,且可能重复会有规律。第三级密码则都是方便输入的简单字母加数字。
密码前缀:制定规则给密码加上前缀,可以一旦程度上防止被拖库。比如自己想了一个密码“123456”,如果所有账号都使用这个密码,那么当一个账号被黑了后,所有相同密码的帐号都被连带攻破了。如果加上前缀,比如百度账号密码为“baidu-12345”,腾讯QQ密码为“qq-12345”或者“tengxun:12345”。这样的密码既方便记忆,又能够增强密码安全。但这种有规律的密码仍然不安全,如果综合多个被黑的泄露密码去猜测,很容易发现这个规律。尤其对于网银等支付密码,犯罪分子会投入更多的精力去破译密码。
百度账号被黑是主要因为它被我划入第三级密码,根据密码管理工具lastpass的统计,我有多达170个账号使用了和百度账号一样的相同密码,被拖库的原因。单凭借人的记忆不可能给每个账号分配一个高强度的复杂密码,所以第三级的密码被黑也应该在预料之中,因为没有足够的精力去照料那些不重要的账号,所以默许了被盗取的风险。不过在账号被黑之后让我对待重要的账号更加谨慎了,也开始寻求更加简单、安全的密码管理方式,所以把目光瞄向了密码管理工具,目前看上的主要有两个:
一、Keepass
Keepass全称为Keep password safe,意味保持密码安全,是一个开源、免费、多平台和支持同步功能的密码管理工具,可以下载到简体中文的语言包以汉化主程序,不过有着开源软件的通病,界面不够美观。
由于密码管理工具的一大优势就是生成复杂密码和自动输入,这两个功能相互补充共同兼顾着密码管理工具的安全和效率,所以所有平台都应该很好地适配这两个功能,这是一个重要的基础功能。
Keepass是开源工具,虽然官方只有Windows版本,但是其他开发者开发了多个平台的客户端。安卓有Keepass2android,界面和同步方面比电脑端更加易用,但自动输入功能相对很弱。
Win10环境下电脑端Keepass无法安装插件,所以放弃了Keepass,但Keepass仍然是个优秀的密码管理工具(出于对开源的热爱)。
(相关帖子:https://briteming.blogspot.com/2023/06/keepass.html)
二、Lastpass
Lastpass(点此注册)是一款开源工具,支持多平台、同步、多语言和拥有多平台同步的免费版本(2015年8月12日宣布开放移动端免费),这一点非常厚道,因为免费版完全够用。商业服务的一大好处界面美观和易用程度较为完善,Lastpass比Keepass更加容易使用,由于密码都保存在Lastpass服务器上,所以密码是否安全,也很大程度上取决于Lastpass的服务器安全。Lastpass有导入Chrome中已保存密码的插件,所以可以无痛切换。
这里需要提一下Chrome浏览器(也包括其他浏览器)的保存密码功能,自动填充密码而不需要验证主密码的功能实际上降低了密码的安全性,并且浏览器端的密码保存无法在客户端上进行自动填充,所以若生成复杂密码让浏览器管理,就会特别不方便了。
Lastpass的安全性也经常遭到一些人的质疑,认为用一个密码去管理所有密码是愚蠢的,并且数据放在lastpass服务器中没有放到自己手中放心。这实际上是一个仁者见仁智者见智的问题,生活中易用性和功能性都是成反比的,因为多样化的功能往往需要多样化的操作来完成。若是追求高度的安全性,可以使用买个纸质笔记本来管理自己的所有密码,所有密码都设置为高强度的复杂密码,这种密码还必须经过“加密后”写在笔记本中,在需要时自己手动计算解密。
lastpass的易用性毋庸置疑,官方的引导和说明可以使用户非常轻易的入手。对于lastpass安全性的质疑,我认为较为聪明方法仍然是密码分级管理,把密码管理工具作为其中一级的管理手段。对于金融、支付、社交等最为重要的少数几个账号,使用大脑记忆,而剩下的密码交给密码管理工具。
总之,无需过度的追求安全而降低了自己的使用体验,把自己的大量时间精力浪费在“安全”上,而那些对密码安全不曾注意的人,也不妨花点心思,不要等到造成了实际损失后才后悔莫及.
---------------------------------------
6款密码管理软件,你在用哪款?
现在大家上网注册的各种账号密码非常多,有些小伙伴为了方便好记,可能会采用弱口令(123456/aaaabbbb/生日……),或者统一密码,这样很容易导致账户密码泄露。密码被泄露情况严重可能还会涉及到你的财产和隐私安全。
所以目前越来越多人会选择密码管理软件,帮助管理各种网站、软件的账号密码,自动生成的高强度复杂密码,以及算法加密可以很好的提高安全性。
但是选择密码管理软件也是很头疼的事,既然你选择把所有的密码交给软件管理,那么首要考虑的问题就是这个软件的安全性。目前密码管理软件基本分为在线云同步版、本地版。
而在线版估计不少人会担心一个问题,万一服务商出现安全隐患,或者倒闭跑路了,那么你的密码不就全没了?所以问题来了,密码管理软件到底如何选择?本文给大家整理了目前 5 款主流的密码管理软件。
1. KeePass
这款 KeePass 本地密码管理软件可以说是很多人的首选了,因为它免费开源,轻量级、支持高强度的 AES 加密算法,支持插件。目前锋哥也使用了这款密码管理软件。不过也有不少人嫌弃,因为它的界面比较丑,功能用起来也许有点复杂。
虽说 KeePass 是本地密码管理软件,但是它采用数据库的存储方式,加上支持 FTP、HTTP、webDAV 等链接同步功能,所以可以用自己的服务器,或者使用支持 webDAV 的网盘,如坚果云来同步。
另外客户端方面,官方没有提供多平台,但因为 KeePass 是开源的,目前有其它开源的版本,如下:
Windows版:KeeWeb、KeePassXC
安卓版:KeePassDroid、Keepass2Android
iOS版:MiniKeePass、iKeePass、Passwordix
macOS版:keepass touch、Mini KeePass
移动端同样也是支持用 FTP、HTTP、webDAV 方式来同步数据库文件,也支持自动网页自动填充功能。
-优点:免费开源、安全性极高
-缺点:使用起来略麻烦、数据库文件要多备份
官方网站:
https://keepass.info
官方下载:
https://keepass.info/download.html
现在大家上网注册的各种账号密码非常多,有些小伙伴为了方便好记,可能会采用弱口令(123456/aaaabbbb/生日……),或者统一密码,这样很容易导致账户密码泄露。密码被泄露情况严重可能还会涉及到你的财产和隐私安全。
所以目前越来越多人会选择密码管理软件,帮助管理各种网站、软件的账号密码,自动生成的高强度复杂密码,以及算法加密可以很好的提高安全性。
但是选择密码管理软件也是很头疼的事,既然你选择把所有的密码交给软件管理,那么首要考虑的问题就是这个软件的安全性。目前密码管理软件基本分为在线云同步版、本地版。
而在线版估计不少人会担心一个问题,万一服务商出现安全隐患,或者倒闭跑路了,那么你的密码不就全没了?所以问题来了,密码管理软件到底如何选择?本文给大家整理了目前 5 款主流的密码管理软件。
1. KeePass
这款 KeePass 本地密码管理软件可以说是很多人的首选了,因为它免费开源,轻量级、支持高强度的 AES 加密算法,支持插件。目前锋哥也使用了这款密码管理软件。不过也有不少人嫌弃,因为它的界面比较丑,功能用起来也许有点复杂。
虽说 KeePass 是本地密码管理软件,但是它采用数据库的存储方式,加上支持 FTP、HTTP、webDAV 等链接同步功能,所以可以用自己的服务器,或者使用支持 webDAV 的网盘,如坚果云来同步。
另外客户端方面,官方没有提供多平台,但因为 KeePass 是开源的,目前有其它开源的版本,如下:
Windows版:KeeWeb、KeePassXC
安卓版:KeePassDroid、Keepass2Android
iOS版:MiniKeePass、iKeePass、Passwordix
macOS版:keepass touch、Mini KeePass
移动端同样也是支持用 FTP、HTTP、webDAV 方式来同步数据库文件,也支持自动网页自动填充功能。
-优点:免费开源、安全性极高
-缺点:使用起来略麻烦、数据库文件要多备份
官方网站:
https://keepass.info
官方下载:
https://keepass.info/download.html
https://keepass.info/plugins.html
2. Bitwarden
BitWarden 是一款免费开源的密码管理软件,支持的平台 Windows、macOS、 Linux、Android、iOS,以及各大浏览器的扩展。
采用高强度的 AES256 算法对你的个人数据进行本地加密,然后再传输到云端服务器来实现网络同步,支持二步验证登录。另外它还支持用自己部署的服务器来同步数据库。
其它功能方面,支持自动填写表单、一键登录、支持从其它密码管理软件导入数据,包括:1Password、LastPass、KeyPass、浏览器等。
-优点:开源,支持自建服务端同步
-缺点:默认的同步速度慢,体验不太好
项目地址:
https://github.com/bitwarden
官方网站:
https://bitwarden.com
2. Bitwarden
BitWarden 是一款免费开源的密码管理软件,支持的平台 Windows、macOS、 Linux、Android、iOS,以及各大浏览器的扩展。
采用高强度的 AES256 算法对你的个人数据进行本地加密,然后再传输到云端服务器来实现网络同步,支持二步验证登录。另外它还支持用自己部署的服务器来同步数据库。
其它功能方面,支持自动填写表单、一键登录、支持从其它密码管理软件导入数据,包括:1Password、LastPass、KeyPass、浏览器等。
-优点:开源,支持自建服务端同步
-缺点:默认的同步速度慢,体验不太好
项目地址:
https://github.com/bitwarden
官方网站:
https://bitwarden.com
3. LastPass
LastPass 也是一款老牌的在线同步密码管理软件了,锋哥最开始用的就是这款软件,因为支持自定义表单填充内容,可以通过快捷键来快速填写非常方便。支持浏览器扩展插件、iOS、Android 手机端。
安全性方面,据 LastPass 介绍,密码存储都是在本地进行使用 AES256 加密后上传,不是明文存储在服务器上,虽然之前发生过被入侵的情况,不过由于加密技术的多重防护,一般密码也难被破译。
另外 LastPass 拥有免费版和高级版,不过免费用户有功能限制,只能使用一种类型设备,也就是电脑、手机端应用你只能选择一样。
-优点:表单功能丰富、各平台同步
-缺点:如上面说的,免费用户有设备限制
官方网站:
https://www.lastpass.com
4. 1Password
1Password 是密码管理软件里面口碑蛮不错的一款,支持 Windows、macOS、iOS、Android 多平台,支持账号密码同步。还有各种浏览器的扩展插件支持,实现网站自动填充密码,采用 AES-256 位加密,安全性极高,并且使用简单,内置很多常用类别。
不过 1Password 不是免费软件来的,注册用户只有 14 天的免费试用,付费后才能所有平台上无限制使用。
-优点:各方面功能都很完美
-缺点:有点小贵噢!
官方网站:
https://1password.com/zh-cn
5. Enpass
Enpass 可以说是 1Password 和 LastPass 的综合代替品,支持的平台更多,包括 Windows、UWP、macOS、Linux、iOS、Android、 浏览器扩展程序,同样支持网站一键登录帐号、AES-256 加密。
还支持把密码数据库作为本地使用,可以不用担心 Enpass 服务器哪天就挂了,另外也可以支持各大网盘进行同步密码数据库。
付费方面,Enpass 的电脑客户端免费,注册账号登陆可以解锁所有功能,你可以作为本地用或者自己搭配网盘同步也行,但是需要移动端也同步的话,就需要付费模式了,可以购买高级版,相比 1Password 的订阅模式,Enpass 采用买断模式,购买后就可以永久用了。
-优点:支持多种同步方式,可离线使用
-缺点:手机端有20条密码限制
官方网站:
https://www.enpass.io
6. Swifty
Swifty 这款并不是目前主流的密码管理软件,但是它是免费开源项目,由于刚发布,目前功能还有些不足,但感觉会有潜力,可以保持关注下。
目前拥有 Windows、macOS、Linux 平台,暂无手机端支持。功能支持存储登录/密码凭证、信用卡信息、安全笔记、二次验证等。
同步方面,支持使用 Google Drive 同步数据,没有自建服务器功能。另外这个软件还在开发阶段,接下来应该会有更多功能支持,感兴趣的关注下。
-优点:免费开源、使用简单
-缺点:没有中文、没有浏览器扩展
项目地址:
https://github.com/swiftyapp
官方网站:
https://getswifty.pro
总结
除了以上推荐介绍的,还有非常多同类软件,五花八门,作为密码管理软件,安全性是放在首位,所以锋哥推荐用免费开源 + 可以本地离线存储的密码管理软件,例如 KeePass 就是很好的选择了。如果要贪图方便选择在线云存储的,也建议尽量选择老牌知名度比较高的产品,如 LastPass 和 1Password 。
No comments:
Post a Comment