Pages

Wednesday, 25 October 2017

重视密码安全-密码管理方案

互联网在生活中的重要性不言而喻,而且还在更加深刻的渗入生活,互联网的账号体系也变得越来越庞大,所以账号安全问题一直是个重要命题。数据泄露、用户数据泄露之类的新闻,每个月都能见到那么几个,动辄几十G的信息泄露,被骇客拿到黑市上卖。
有媒体报道,称疑似京东12个G数据遭泄露,涉及用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度信息,对此,京东表示经初步判断,该数据源于2013年Struts 2的安全漏洞问题。
——2016.12.11
被泄露的密码一般会先经过骇客的洗库,把账号中有价值的虚拟货币和装备全部转移,留下的信息再放到黑市中卖掉。也就是说,当得知数据库泄露在互联网上,一般都是被入侵三个月以后了。
我一直都认为密码被盗这种事情不会发生在我身上,因为我还算是比较注意密码安全的,但是最终发现百度账号还是被入侵了。因为百度账号我并不常用,所以并没有带给我多少损失。账号被盗三个月后才被发现,发现后又嫌改密码太麻烦,所以还是没有管,又过了一个月需要在百度文库下载文档时想到了应该改密码了。
在账号被盗的这段时间中,只注意到账号在百度贴吧发了大量的广告被永久封禁,百度贴吧我也不用所以又是没管。百度账号被盗是有些大意,但我之前也是对密码安全做过了一些措施:
密码分级:常用的社交账号和网银账号为第一级,时不时用的账号为第二级,临时账号和不重要的分为第三级。三种不同等级的密码分别使用不同的密码体系。第一级的密码要分别使用带有特殊字符、小写字母和数字的不同密码。而第二级密码则是数字加字母,且可能重复会有规律。第三级密码则都是方便输入的简单字母加数字。
密码前缀:制定规则给密码加上前缀,可以一旦程度上防止被拖库。比如自己想了一个密码“123456”,如果所有账号都使用这个密码,那么当一个账号被黑了后,所有相同密码的帐号都被连带攻破了。如果加上前缀,比如百度账号密码为“baidu-12345”,腾讯QQ密码为“qq-12345”或者“tengxun:12345”。这样的密码既方便记忆,又能够增强密码安全。但这种有规律的密码仍然不安全,如果综合多个被黑的泄露密码去猜测,很容易发现这个规律。尤其对于网银等支付密码,犯罪分子会投入更多的精力去破译密码。
百度账号被黑是主要因为它被我划入第三级密码,根据密码管理工具lastpass的统计,我有多达170个账号使用了和百度账号一样的相同密码,被拖库的原因。单凭借人的记忆不可能给每个账号分配一个高强度的复杂密码,所以第三级的密码被黑也应该在预料之中,因为没有足够的精力去照料那些不重要的账号,所以默许了被盗取的风险。不过在账号被黑之后让我对待重要的账号更加谨慎了,也开始寻求更加简单、安全的密码管理方式,所以把目光瞄向了密码管理工具,目前看上的主要有两个:

一、Keepass

Keepass全称为Keep password safe,意味保持密码安全,是一个开源、免费、多平台和支持同步功能的密码管理工具,可以下载到简体中文的语言包以汉化主程序,不过有着开源软件的通病,界面不够美观。
由于密码管理工具的一大优势就是生成复杂密码和自动输入,这两个功能相互补充共同兼顾着密码管理工具的安全和效率,所以所有平台都应该很好地适配这两个功能,这是一个重要的基础功能。
Keepass是开源工具,虽然官方只有Windows版本,但是其他开发者开发了多个平台的客户端。安卓有Keepass2android,界面和同步方面比电脑端更加易用,但自动输入功能相对很弱。
Win10环境下电脑端Keepass无法安装插件,所以放弃了Keepass,但Keepass仍然是个优秀的密码管理工具(出于对开源的热爱)。
(相关帖子:https://briteming.blogspot.com/2023/06/keepass.html)

二、Lastpass

Lastpass(点此注册)是一款开源工具,支持多平台、同步、多语言和拥有多平台同步的免费版本(2015年8月12日宣布开放移动端免费),这一点非常厚道,因为免费版完全够用。商业服务的一大好处界面美观和易用程度较为完善,Lastpass比Keepass更加容易使用,由于密码都保存在Lastpass服务器上,所以密码是否安全,也很大程度上取决于Lastpass的服务器安全。Lastpass有导入Chrome中已保存密码的插件,所以可以无痛切换。
这里需要提一下Chrome浏览器(也包括其他浏览器)的保存密码功能,自动填充密码而不需要验证主密码的功能实际上降低了密码的安全性,并且浏览器端的密码保存无法在客户端上进行自动填充,所以若生成复杂密码让浏览器管理,就会特别不方便了。
Lastpass的安全性也经常遭到一些人的质疑,认为用一个密码去管理所有密码是愚蠢的,并且数据放在lastpass服务器中没有放到自己手中放心。这实际上是一个仁者见仁智者见智的问题,生活中易用性和功能性都是成反比的,因为多样化的功能往往需要多样化的操作来完成。若是追求高度的安全性,可以使用买个纸质笔记本来管理自己的所有密码,所有密码都设置为高强度的复杂密码,这种密码还必须经过“加密后”写在笔记本中,在需要时自己手动计算解密。
lastpass的易用性毋庸置疑,官方的引导和说明可以使用户非常轻易的入手。对于lastpass安全性的质疑,我认为较为聪明方法仍然是密码分级管理,把密码管理工具作为其中一级的管理手段。对于金融、支付、社交等最为重要的少数几个账号,使用大脑记忆,而剩下的密码交给密码管理工具。
总之,无需过度的追求安全而降低了自己的使用体验,把自己的大量时间精力浪费在“安全”上,而那些对密码安全不曾注意的人,也不妨花点心思,不要等到造成了实际损失后才后悔莫及.
---------------------------------------
 6款密码管理软件,你在用哪款?

现在大家上网注册的各种账号密码非常多,有些小伙伴为了方便好记,可能会采用弱口令(123456/aaaabbbb/生日……),或者统一密码,这样很容易导致账户密码泄露。密码被泄露情况严重可能还会涉及到你的财产和隐私安全。

所以目前越来越多人会选择密码管理软件,帮助管理各种网站、软件的账号密码,自动生成的高强度复杂密码,以及算法加密可以很好的提高安全性。

但是选择密码管理软件也是很头疼的事,既然你选择把所有的密码交给软件管理,那么首要考虑的问题就是这个软件的安全性。目前密码管理软件基本分为在线云同步版、本地版。

而在线版估计不少人会担心一个问题,万一服务商出现安全隐患,或者倒闭跑路了,那么你的密码不就全没了?所以问题来了,密码管理软件到底如何选择?本文给大家整理了目前 5 款主流的密码管理软件。

1. KeePass
这款 KeePass 本地密码管理软件可以说是很多人的首选了,因为它免费开源,轻量级、支持高强度的 AES 加密算法,支持插件。目前锋哥也使用了这款密码管理软件。不过也有不少人嫌弃,因为它的界面比较丑,功能用起来也许有点复杂。
虽说 KeePass 是本地密码管理软件,但是它采用数据库的存储方式,加上支持 FTP、HTTP、webDAV 等链接同步功能,所以可以用自己的服务器,或者使用支持 webDAV 的网盘,如坚果云来同步。
另外客户端方面,官方没有提供多平台,但因为 KeePass 是开源的,目前有其它开源的版本,如下:
    Windows版:KeeWeb、KeePassXC
    安卓版:KeePassDroid、Keepass2Android
    iOS版:MiniKeePass、iKeePass、Passwordix
    macOS版:keepass touch、Mini KeePass
移动端同样也是支持用 FTP、HTTP、webDAV 方式来同步数据库文件,也支持自动网页自动填充功能。
-优点:免费开源、安全性极高
-缺点:使用起来略麻烦、数据库文件要多备份
    官方网站:
    https://keepass.info
    官方下载:
    https://keepass.info/download.html
https://keepass.info/plugins.html

2. Bitwarden
BitWarden 是一款免费开源的密码管理软件,支持的平台 Windows、macOS、 Linux、Android、iOS,以及各大浏览器的扩展。
采用高强度的 AES256 算法对你的个人数据进行本地加密,然后再传输到云端服务器来实现网络同步,支持二步验证登录。另外它还支持用自己部署的服务器来同步数据库。
其它功能方面,支持自动填写表单、一键登录、支持从其它密码管理软件导入数据,包括:1Password、LastPass、KeyPass、浏览器等。
-优点:开源,支持自建服务端同步
-缺点:默认的同步速度慢,体验不太好
    项目地址:
    https://github.com/bitwarden
    官方网站:
    https://bitwarden.com

3. LastPass
LastPass 也是一款老牌的在线同步密码管理软件了,锋哥最开始用的就是这款软件,因为支持自定义表单填充内容,可以通过快捷键来快速填写非常方便。支持浏览器扩展插件、iOS、Android 手机端。
安全性方面,据 LastPass 介绍,密码存储都是在本地进行使用 AES256 加密后上传,不是明文存储在服务器上,虽然之前发生过被入侵的情况,不过由于加密技术的多重防护,一般密码也难被破译。
另外 LastPass 拥有免费版和高级版,不过免费用户有功能限制,只能使用一种类型设备,也就是电脑、手机端应用你只能选择一样。
-优点:表单功能丰富、各平台同步
-缺点:如上面说的,免费用户有设备限制
    官方网站:
    https://www.lastpass.com

4. 1Password
1Password 是密码管理软件里面口碑蛮不错的一款,支持 Windows、macOS、iOS、Android 多平台,支持账号密码同步。还有各种浏览器的扩展插件支持,实现网站自动填充密码,采用 AES-256 位加密,安全性极高,并且使用简单,内置很多常用类别。
不过 1Password 不是免费软件来的,注册用户只有 14 天的免费试用,付费后才能所有平台上无限制使用。
-优点:各方面功能都很完美
-缺点:有点小贵噢!
    官方网站:
    https://1password.com/zh-cn

5. Enpass
Enpass 可以说是 1Password 和 LastPass 的综合代替品,支持的平台更多,包括 Windows、UWP、macOS、Linux、iOS、Android、 浏览器扩展程序,同样支持网站一键登录帐号、AES-256 加密。
还支持把密码数据库作为本地使用,可以不用担心 Enpass 服务器哪天就挂了,另外也可以支持各大网盘进行同步密码数据库。
付费方面,Enpass 的电脑客户端免费,注册账号登陆可以解锁所有功能,你可以作为本地用或者自己搭配网盘同步也行,但是需要移动端也同步的话,就需要付费模式了,可以购买高级版,相比 1Password 的订阅模式,Enpass 采用买断模式,购买后就可以永久用了。
-优点:支持多种同步方式,可离线使用
-缺点:手机端有20条密码限制
    官方网站:
    https://www.enpass.io

6. Swifty
Swifty 这款并不是目前主流的密码管理软件,但是它是免费开源项目,由于刚发布,目前功能还有些不足,但感觉会有潜力,可以保持关注下。
目前拥有 Windows、macOS、Linux 平台,暂无手机端支持。功能支持存储登录/密码凭证、信用卡信息、安全笔记、二次验证等。
同步方面,支持使用 Google Drive 同步数据,没有自建服务器功能。另外这个软件还在开发阶段,接下来应该会有更多功能支持,感兴趣的关注下。
-优点:免费开源、使用简单
-缺点:没有中文、没有浏览器扩展
    项目地址:
    https://github.com/swiftyapp
    官方网站:
    https://getswifty.pro

总结
除了以上推荐介绍的,还有非常多同类软件,五花八门,作为密码管理软件,安全性是放在首位,所以推荐用免费开源 + 可以本地离线存储的密码管理软件,例如 KeePass 就是很好的选择了。如果要贪图方便选择在线云存储的,也建议尽量选择老牌知名度比较高的产品,如 LastPass 和 1Password 。
-------------------------

密码管理方案Keepass、Lastpass、1password对比 

并不是现在才用密码管理器。之前使用的是Keepass,当时也是考虑对比了很久,选择了Keepass,也用了几年了,一开始只是保存一些网站账号密码,用Dropbox来进行同步,除了Keepass界面略丑之外没有什么不足。不过随着密码越来越多,各种类型的密码都存储在里面之后,有时候手头没带电脑,就没有办法看密码了,那随机生成的密码肯定是记不住的,有一些困扰,而且近期愈发频繁。于是开始寻找多端同步使用的方案,移动端app倒是有不少,不过都是个人开发的,而且使用起来比较麻烦,一是要授权Dropbox访问权限,跨端修改带来的冲突也是一个问题(这个可以只读权限分享给新Dropbox账号解决),另一个就是个人数据的安全性。虽然是开源的,但是个人开发者,总有有一些程序漏洞没有办法及时发现和修复等等的担心。

Keepass、Lastpass、1password对比

常用的密码管理器基本就是这三种,当然还有其他类似enpass等等好多可选项。

先放一张对比图,从其他文章里找到的:

在平台支持上,可以看到这三个密码管理器基本上都可以做到跨终端使用,其中lastpass甚至还有命令行版本,可以在服务器上使用。

在价格上,keepass完全开源免费,只要自己会折腾就行;lastpass分为免费版和高级版本,不过自动移动端也免费之后个人使用基本就用不上收费版本的那些需求了,可以近似看作是免费的;1password只有收费版本,分为订阅和买断两种付费方式,价格对于一般人来说还是不菲的。

颜值、易用性上,Keepass拥有着开源软件特有的丑陋,不过用起来没有任何问题,而且用了这么久没有出现bug,这点还是很不错的;lastpass界面比起Keepass那简直就是天上地下了;至于1password,因为收费,没有试用,而且我也不太愿意花费那么多钱,据说是Mac生态上最好看的,他的信徒们将此奉为圭臬。对于密码管理器,自动填充功能也是一个很大的需求,不过我不需要这个功能,还是喜欢复制出来手动粘贴,这三个都支持自动填充,不过支持的程度各有好坏,Keepass作为开源软件,应该略差一些。

安全性上,他们基本都是采用了主秘钥加复杂加密算法的方式,所以理论上都是可靠的。Keepass本地存储,依赖于个人设备的安全性,安全程度最高;1password采用了本地+云端同步的两种方式,为了易用性,有时候我们必须牺牲一点安全性,这也是一种趋势;lastpass则是纯云端同步,需要注意的是lastpass曾经发生过数据泄漏,不过都是加密后的数据,被收购后它的母公司黑历史也不少。关于云端与本地的安全性,个人感觉因人而异吧,云端同步带来的是便利,牺牲了一些安全性,这就要看服务提供商的信誉是否值得信赖,以及它们是否真的可以做到服务商本身无法还原用户数据,不过我个人还是选择相信,毕竟作为一个专业的密码管理器服务,如果连这点诚信都没有,那业务基本也就没法做了。这里还有一点就是,在看资料的时候看到lastpass似乎只对密码进行了加密,所以尽量不要敏感信息放在备注等字段里,感觉这设计挺奇怪

关于在这三者里如何选择,网上有大量的争论,Keepass党认为只有本地的才是最安全的,云端不可靠;lastpass党觉得免费易用,云端没有那么危险;1password用户大多都是一用上就不想换了。如果对数据安全性有非常高的要求,而且基本只在PC上使用的话,我极度推荐Keepass,毕竟我逃离的原因只是它的跨平台;有跨终端需求而且不太喜欢折腾的、不想花费太多钱的、想尝试一下密码管理器的,我推荐lastpass;至于1password,我想说,“贵的东西除了贵,其他都是优点;充沛的盈利,能够使得服务商有足够的动力来修复补丁、升级功能”。

bilok 2017-03-08 09:29:41 +08:00 via iPhone

lp 将收费功能免费后果断转了 1p

毕竟没有钱长期来看就是开不起员工工资 修不了软件漏洞 维护不了服务器

麻烦说云上不安全的去看看各家发布的白皮书 不要人云亦云

迁移到Lastpass

Lastpass支持从外部直接导入。

首先要从 Keepass 导出数据,依次选择 database->export->csv,然后打开lastpass网页端,登陆之后,左下角More Options->Advanced->Import,复制进去上面文件的内容选择上传即可完成导入工作。

实际测试,发现title都丢失了,其他字段完好,应该是格式有问题,需要自己调整一下

不足

LastPass 的PC端由于服务器在海外,首次登陆、修改响应略慢,有屏蔽的危险,不能设置代理,不过这点还可以接受,实在不行就全局代理或者使用网页端。

Lastpass的分组没有keepass那么方便,图标太大,不能把分组内的项都列出来,需要依靠搜索功能。

总结

花了一天的时间迁移到了lastpass,总体还算满意,先保留keepass的数据库,然后用一段时间lastpass再说。希望我的文章可以给摇摆不定的你一点帮助。

最后,重要的事情要说三遍:

一定要保存好主秘钥文件Database.keyx 最好隐藏这个Database.keyx文件)

一定要保存好主秘钥

一定要保存好主秘钥。

https://keepass.com/

https://keepass.info/download.html 

(https://sourceforge.net/projects/keepass/files/KeePass%202.x/2.57.1/KeePass-2.57.1.zip/download) 

https://keepass.info/help/base/keys.html#keyfiles

 


 

 

No comments:

Post a Comment