从工作到现在已经丢了两个笔记本电脑了,我的电脑基本上都是工作、学习、生活一体,虽然平时有备份的习惯,大部分比较核心的资料都能找的回来,但有一个重要的问题却无可避免——Windows的登录密码就是摆设,这个大家都懂的……我的电脑文件肯定已经泄露,生活学习上的内容倒没什么,我也乐于分享,尽管拿去,但是工作上的文件性质就不同了,很多项目相关的资料都是涉密文件,被行业相关而又有心的人获取到,这种风险就不得而知了;再者,保留的一些浏览器密码,基本也是悲剧了,能改的就赶紧改掉吧!鉴于这种不愉快的经历,痛定思痛,觉得还是有必要寻求一种安全性相对较高的数据加密方案,下面这种方式虽然也有漏洞,但毕竟安全级别已经很高,不妨一试。
基本思路是先用VeraCrypt做硬盘数据加密,然后再用AES Encrypt做文件加密,当然所有加密文件均放在VeraEncrypt生成的加密盘区,文件加密用的密钥用KeePass来生成,密钥随机生成,而且这种算法如果没有密钥串,想用爆破的方式基本上不可能破解。KeePass密码数据文件虽然放在本地,但本身也是采用AES加密,如果没有主密码,也不可能通过数据文件来获取到你的密码。
总结一下,这种方案也就是用VeraCrypt+AES Encrypt+KeePass环环相扣的方式来加密,已经可以达到很优的加密级别了,唯一薄弱环节就是VeraCrypt和KeePass的主密码,虽然这两个工具也提供通过密钥文件进行解密的方式,但这种方式一是便利性不够,二是密钥文件又要想办法加密和隐藏,且又不能放在VeraCrypt加密区。当然如果希望足够安全,可以以牺牲便利性为代价,考虑将密钥文件放在其它存储介质中,比如U盘中,将U盘作为USB Key来使用。对于我们这种需要对加密文件进行频繁操作的用户,用密钥文件的方式就不太合适,只能通过提高密码强度来提高安全系数,建议主密码采用大小写字母+特殊字符+数字+密码长度大于20字符的密码组合,这种密码组合即使进行爆破,难度也非常大。
第一步,先来看一下VeraCrypt,提供一下传送门,下载地址:https://veracrypt.codeplex.com/,下载之后的使用过程也非常简单,这个软件实际上是在你的磁盘上开辟一块加密区,只有通过VeraCrypt软件(需要主密码)加载后,才能够对放在加密区的文件进行访问:
1.选择路径后(选择路径后,键入一个加密区名称,创建成功后将以文件的方式显示在该路径下),然后点击创建加密卷。
2.选择创建文件型加密卷(默认选项,建议入门用户使用)。
3.选择标准加密卷(默认选项)。
4.选择路径后,键入一个加密区名称,点击保存,创建成功后将以文件的方式显示在该路径下。
5.选择默认的AES算法即可。
6.下一步后,输入加密区的空间大小,可根据自己的加密文件需求和磁盘空间自由选择。
7.在这里要键入上文中提到的主密码,非常之关键,如果你忘记了主密码,而你设置的主密码又特别复杂,有可能这块加密区你再也打不开了,文件……想想非常可怕!
8.这里会生成磁盘加密的密钥,这个密钥是采集你当前的鼠标移动轨迹,来随机生成的,这种方式的基本上不可还原,也很难再现出现第二个相同的磁盘加密密钥。
9.然后点击初始化(Format),等待初始化完成就好。
10.创建完成后,就可以通过加载磁盘的方式来将这块加密区打开,选择盘符(注意不能选择已经占用的盘符,加载完成后,会看到这块加密区单独占一个盘符),然后点击加载(Mount)按钮。
11.点击加载后,会让你输入刚才设置的主密码,输入完毕后,在我的电脑中,就可以看到相应的盘符,此时这块磁盘就可以像正常盘符一样读写文件了。
12.当加密区使用完毕后,记得将这块加密磁盘卸载(Dismount)
第二步,再来看一下AES Encrypt,同样提供传送门,下载地址:https://www.aescrypt.com/download/,这个工具是通过AES算法来加密你的文件,在加密时会要求输入AES加密的密钥,在输入密钥后,会自动生成原文件名+扩展名+.aes的加密文件,这时需要我们手动将原文件删除,即加密完成。想打开原文件时,只需要通过AESEncrypt打开.aes的加密文件,然后输入文件的加密密钥,即可再次将文件还原,用起来非常方便。
但存在一个问题,我们的加密文件很多,如果都用同样的密钥,安全系数就低,如果设置很多密钥,到最后未免连自己都记不得了,到时候相当于丢文件,违背了加密的基本原则——数据安全性首先要保证数据不丢失!这里有两种方案,第一种是使用自己的规则性密钥,如文件名+后缀+自己定义的标识码(或自己的某个常用密码),这种方式既保证了密钥的多样性,又不至于把密钥弄丢;第二种的安全级别实际上更高,用起来也很方便,就是用KeePass来管理所有文件的AES加密密钥,所有密钥都是KeePass随机生成的字符串,如果不用KeePass连我们自己野不清楚密钥。
第三步,使用KeePass管理文件的AES加密密钥,再次提供传送门,下载地址:https://keepass.info/,这是一个完全开源的密码管理工具,理论上KeePass的主密码不丢,你的密码基本上没有被破解的可能性。
1.看一下KeePass的管理界面,需要输入第二步中的加密密钥时,可以复制文件名+后缀,然后在KeePass中点击新增密钥(addEncry)按钮:
2.Title和Username均填文件名+后缀,便于我们解密文件时的密钥查找,这里之所以没有考虑到文件重名的问题(在不同的路径下可能存在重名的文件),一是加密文件重名的概率比较小,二是即使重名也没关系,多个密钥可以依次验证。
截止到此处,采用VeraCrypt+AES Encrypt+KeePass的高级别文件加密,实际上已经完成,但KeePass的核心用法其实完全没得到使用,所以下面再额外说一下KeePass配合firefox实现各大网站密码随机生成和自动填充的方式,这种方式的好处一是可以保证各个网站密码的多样性,即使哪天某个网站又被撞库了,我们也不至于全军覆没;二是可以保证密码强度,休想爆破我们的密码;三是可以实现各网站用户名密码的自动填充,用户名忘了、密码忘了,统统没关系,有KeePass帮我们记得那,而且省掉了还需要我们手动输入的烦恼,下面来看一下具体实现步骤:
1.安全完KeePass后,需要在Firefox中安全KeeFox扩展,传送门地址:https://addons.mozilla.org/zh-CN/firefox/addon/keefox/,直接点击添加到Firefox即可。
2.在KeePass中安装KeePassRPC.plgx插件,传送门地址:https://github.com/kee-org/keepassrpc/releases/tag/v1.7.3.1,下载完后,将文件KeePassRPC.plgx放在安装路径下Plugins文件夹下,如C:\Program Files (x86)\KeePass Password Safe 2\Plugins,然后重启KeePass,这两步做好后,就具备完成Firefox和KeePass数据同步的条件了。
3.重启KeePass后,此时会有弹窗,而Firefox会打开一个新的标签页,请将KeePass弹窗里面的红色文字通信密码粘贴到Firefox新标签页的文本框中,这个是互相通时的校验密码,密码填错的话Firefox就无法从KeePass中读取账号和密码。
完成上述步骤后,就可以实现上面所说的自动在浏览器中填充用户名和密码。另外再推荐一下KeePass的备份插件,我现在在用的是DataBaseBackup,可以将密钥数据文件自动备份到其他的磁盘区,当然你也可以选择具有云备份功能的其他备份插件,保证密钥文件的安全性和使用便利性。
网友评论