來源:小荷
2011年的年末,中國網際網路出現了大規模的密碼洩露事件,一大批的國內網站使用者資料庫被洩露,包括CSDN的600萬使用者資料,天涯4000萬使用者資料,人人網500萬,新浪微博476萬,開心網,多玩遊戲,貓撲,7k7k,178,美空網,百合網,嘟嘟牛,珍愛網,世紀佳緣,支付寶,噹噹,京東,廣東省公安廳出入境政務服務網等等,都被洩露的使用者郵箱或者密碼等資訊。
在這種情況下,大家都人心惶惶,到底我的密碼安全嗎?我該如何設定我的密碼?——這篇文章,將告訴你以下三件事情:我該如何設定我的密碼?我如何管理我的密碼?為什麼要採用我推薦的密碼管理方式?
(一)我該如何設定我的密碼?
最原始的方式,就是記在你的腦子裡,永遠都不要和別人說。這是最安全的方式,也是最簡單的方式。很可惜,這種方式的存在兩個風險:(1)你一般是設定所有網站都用一個密碼,一旦你的密碼被人破解,你所有的網站都面臨風險;(2)如果你設定的不是所有的網站都是一個密碼,那麼你能記得住所有網站的密碼嗎?你面臨著忘記密碼的風險。
有人可能會推薦分級密碼管理的方式了,對於包含個人資訊的網站,涉及到金融賬戶的網站,採用高強度的密碼,對於平時一般登入的社交網站,聊天工具,採用一般的簡單密碼。這種方式是不錯,不過對於少量的網站,是可以用該方式,但是如果網站數量多的話,且要為同一等級的不同網站設定不同密碼,這樣的密碼記憶起來也相當痛苦。
所以,我們需要密碼管理工具。為不同的網站設定不同的密碼,且用超過10位的,包含不同字母,數字,特殊字元的組合來作為密碼。在這裡,我推薦使用lastpass。
(二)如何管理我的密碼?
使用lastpass,唯一需要做的只需記住lastpass的主密碼(master password),其他的交給lastpass去做。lastpass,顧名思義,你的主密碼將是你要記住的最後一個密碼,last pasword。我們現在來看看lastpass的使用方法。
首先先去lastpass網站註冊一個帳號,點選右方的free download lastpass。可以看到,lastpass支援幾乎所有的作業系統平臺:windows,MAC,Linux,支援幾乎所有的瀏覽器作為外掛:firefox,chrome,IE,safari,opera,支援幾乎所有的移動平臺:HP webos,iOS,安卓,塞班,windows phone和黑莓。
下載完成後,安裝,你可以選擇讓它包含在你所有的瀏覽器上,firefox,IE和Chrome。我以firefox為例,安裝好後,lastpass成為了你瀏覽器的外掛了。
點選建立賬戶。
下面這一步就比較關鍵了,需要你輸入你的主密碼,你要是忘記了這個密碼,連lastpass都無法幫你要回來,無法重置,因此你必須牢牢記住你這個主密碼,它也是你今後需要記住的唯一一個密碼。對於密碼提示,你可以適當的填寫,以便於你真的忘記主密碼的時候,能根據密碼提示回憶起你的主密碼。下圖是個例子。
後續:
可以讓lastpass查詢下你電腦中是否有不安全的資料,如瀏覽器的表單或者密碼資訊,如果有,可以匯入到lastpass中,讓lastpass來做管理。
讓lastpass自動填寫表單。
後面2步驟可以直接不填,直接next過即可。
ok,我們已經建立了lastpass賬戶,你只需記住你的主密碼,其他的密碼交由lastpass來管理即可。如你要建立或者修改你的密碼,我可以讓lastpass幫我生成一個。我們以修改人人網的密碼為例:
你可以選擇點選lastpass的外掛,選擇“工具”-“生成安全密碼”:
或者lastpass自動感應到到有需要生成新密碼的地方,它會提示一個“生成”按鈕,點選:
你可以選擇密碼的複雜程度,如果不滿意當前密碼,只需再次點選“生成”,就會生成另外一個,直到你滿意為止。
新密碼會自動填入到對應的表單中:
注意!!lastpass感應到你是修改密碼,會提醒你它之前記錄的密碼已經被修改成你現在的另外一個,要你確認,此處務必記得按“確認”按鈕。
OK,密碼修改完畢。人人網的密碼只是一個例子,你所有的網站密碼都可以交由lastpass來管理,它會幫你生成,幫你儲存,幫你填寫,你只需記住你的主密碼即可。需要的時候,你可以點選lastpass外掛,“我的lastpass密碼庫”來檢視你所有的密碼:
所以,你所有的密碼只需交給lastpass,你所有網站的密碼都是複雜密碼,你每一個網站都可以設定成不一樣的密碼,而你卻不必去記憶。
到了這裡,你是不是在擔心,我的主密碼的安全性?萬一別人知道我的主密碼怎麼辦?在這裡lastpass還提供了好幾種方法來加強主密碼的安全性,如YubiKey、快閃記憶體盤、指紋識別裝置、Google Authenticator。yubikey在@yegle 同學那裡有得買(點這裡,淘寶店)。
而我則採用了google的二步驗證(Google Authenticator)方式。
利用google二步驗證,每次新的裝置,不管是新的電腦,還是新的瀏覽器,在登入lastpass之前,就需要你輸入一個google二步驗證生成的數字,這個數字隨著時間會變,類似RSA的動態令牌,只有當通過google驗證之後,且正確的輸入了你的主密碼,你才可以登入lastpass。
下面我們開看看如何來為lastpass啟用google的二步驗證(需要智慧手機裝置,以下以iOS為例)。
先去appstore下載Google Authenticator的軟體。
點選lastpass的賬戶,裡面有個Google Authenticator選單:
開打iOS裝置上的Google Authenticator的軟體,點選“+”,選擇掃描條形碼:
用攝像頭對準lastpass中的Google Authenticator選單的二維碼:
然後就自動的幫你生成lastpass的google驗證碼了。這個驗證碼會根據時間自己改變(左上角有個倒數計時的圖形),在每次登入新裝置的時候,需要輸入改驗證碼,不然,僅是知道主密碼也是無法登入的。
當你在新裝置上登入時,如在IE上登入時,在輸入主密碼之後,需要輸入你的google驗證碼,才能完成登入。
如果你覺得這臺裝置是可以信任的,那麼可以勾上“This computer is trusted”,這樣在下次在該裝置上登入的時候,就不必輸入google驗證碼了。
請務必保持2臺以上的機器設定為可以信任,在2臺以上的智慧裝置安裝Google Authenticator,務必記得lastpass主密碼的的郵箱密碼(這可能是你需要記住的第二個密碼了,如果啟用google驗證的話。),不然,你丟失或者損壞了智慧裝置,如iOS白蘋果,你需要取消二步驗證,那麼lastpass會把取消的連結傳送到你郵箱,如果你又進不去郵箱,那你就沒法進lastpass了。所以設定2臺機器信任,在2臺智慧裝置上安裝Google Authenticator,是為了防止Google Authenticator單點故障。
如果你擔心你的iOS裝置被偷,同時偷你iOS裝置的那個人又知道你的lastpass主密碼,(當然這種可能微乎其微),我再建議你為你的iOS設定鎖屏密碼。這樣即使偷了,也無法進入主選單,無法開啟Google Authenticator。
OK,寫到這裡,lastpass介紹的差不多了。你或許會覺得lastpass確實是管理密碼的好幫手,但是你會有個疑問,我可以在我的移動裝置上管理我的密碼嗎?
答案是可以的,有兩種方式,一種是通過訪問m.lastpass.com;另一種,更方便,不過需要升級到高階賬戶,價格是每月1美金,這個價格不算貴,支援google checkout(現在應該叫google wallet了吧),paypal和moneybookers付款。前兩者是我們比較常用的付款方式。升級為高階賬戶後,你就可以在你的移動裝置上,如iPhone上下載lastpass的app(app免費,但是登入時會檢測帳號是否為高階賬戶),然後在你的移動裝置上管理lastpass了。如你安裝了人人網的app,那12位的複雜密碼你懶得在電腦上開啟lastpass外掛,然後記錄下來,在寫入到iPhone上的人人網app中,你就只需點選copy password即可。
(三)為什麼要採用我推薦的密碼管理方式?
好了,我們再回到這個問題上來。其實問題的答案已經顯而易見了,用lastpass你可以很輕鬆的管理你的密碼,只需記住一個(最多2個,如果你啟用google驗證的話)密碼。另外,它還支援在移動裝置上的操作,也就是說,它不僅保留在本地,也在雲端有份資料,即使你的本地資料損壞,雲端還仍然有一份資料。
或許你又會問,在雲端,它安全嗎?
是這樣的,lastpass的密碼採用256位AES加密演算法對本地和網站上的密碼資料庫進行加密,並在資料傳輸時使用SSL加密連線等措施確保資料安全。也就是說,,在本地利用單向的hash加密後才傳輸到雲端,即使在雲端獲取了資料,也是經過加密的。雲端的資料,傳輸到本地後,經過解密才得到密碼明文資料。
最後,總結一下,lastpass,這是我相信的密碼管理方式,簡單,安全,方便。