如今互联网时代,哪个人没几十个登录账号? 邮箱、QQ、微博、微信不说,各种网银,各种App,还有网站会员什么的,林林总总加起来,我们怎能全都凭脑子都记得住?
今天来看看火箭君的密码记忆「最佳实践」。
本文将介绍:
* 账号密码的一些常见问题和原则
* 1Password 密码管理工具简介
* 火箭君实际的使用习惯
NB的密码破解在这里
如果我们想偷懒,想不费脑子,就直接采用一些简单的密码规则和记录方法,这样我们就有较大可能成为下一个账号被盗的受害者。一般来说对于个人账号密码破解来说,最强的方法不是 超级计算机+NB的算法,而是传说中的「社会工程学」。
按我们生日,电话,车牌号之类常用内容的组合猜密码已经是小儿科,根据日常信息找到我们记录密码的 pattern或习惯,甚至根据已经泄漏的账号揣测我们的另一些帐号这些都是现在流行的破解方法。
对于一般用户来说,这里是最普通但最危险的几个密码记忆习惯:
所有账户用同一密码
一旦我们泄漏了一个密码,我们所有账户都被人瞬间攻破。相信火箭君, 黑客一定会用相同密码尝试的。
采用了同一个简单规则
例如:「123pas_baidu」,「123pas_yahoo」,你猜google账户会是什么密码?
而且,黑客有一套凡人常用的 pattern 数据库,别以为我们的规则只有自己知道。能想到的那些规则早就被人用过无数次了,一旦我们的规则太简单或者有一个以上密码泄露时,就会被人揣测出规律。
在某处明文记录了密码
这个就不说了,说多了都是泪。我们总能看到电脑上贴着开机密码的公司。
除了贴纸还有纸质的笔记本,或者记在某个电子文件里等等。
安全的密码原则
1 .人不能两次跨进同一个密码2. 密码要长且无规律,像这种「$Bx146Du!azz」3. 永远不要明文记录下密码,只有我们的脑子最安全
这说起来容易,可要实现谈何容易,因为我们都不是「最强大脑」选手,我们也不是卷福,哪里有能力光凭脑子记下这些毫不相同有没有什么规律的东西。其实,你大可不必如此,你可以利用如下的工具……
1Password 登场
1Password 是我们的「密码备忘本」,一个老牌的密码管理类应用,火箭君已经用了很多年。我们以前简单介绍过 1Password,现在 1Password 又发生了新的变化,加之,我们一直在用 1Passwords 时也有一些新的感想,因此想在这里分享给大家。
一个密码
使用 1Password,我们只需要记住一个密码,就是打开 1Password 的密码即可。我们的所有其它密码和重要信息都将被这个「主密码」保护,主密码只有我们自己知道,如果忘了,没有人可以打开这个「备忘本」。但,这也是一把「双刃剑」,提供了方便,但是也把风险集中到了一处。
自动生成 / 自动填充
现在的 1Password 已经可以帮助我们自动生成「无规则」的密码了, 远好过自己临时起意的「123456」「abc」之类的密码,而且可以选择生成强度。
密码的强度虽然是增加了,但是我们登录时输入肯定很痛苦,1Password 已经进化到自动帮我们在很多 App内部 和 主流的网页浏览器(通过插件)自动输入密码了。 是不是看起来很方便?
团队/企业/家庭 共享
如果有多个人,无论是工作团队共享一个「公司微博」账号还是家庭共享一个「爱奇艺」,现在的 1Password 都提供了 一群人 共享查看修改「密码备忘本」,非常贴心。
多平台使用
以前的 1Password 只支持 macOS 和 iOS, 现在已经扩展到 Windows /网页/安卓 等。结合上述的团队共享,更是方便!
我们的习惯用法
无论什么时候,工具都是死的,人才是活的。我们 不主张完全按照 1Password 提供的方式管理密码!原因在于,密码管理方便了,但是依旧不安全。为什么这么说?因为: 每个账号看似又长又随机而且绝不重复,但是都被明文记录在一个地方。我们原本「分散的」密码风险,现在相当于被集中转移到 1Password 一处而已。一旦我们 「主密码」被破解或者泄露了;甚至如果自己遗忘了「主密码」,那么后果不堪设想。 不出意外的话,按 1Password 最近几年的风头, 黑客肯定对 1Password 的数据库很感兴趣,破解一处,等于破解了无数人的所有账号。
因此这几年来,火箭君是这样使用 1Password 的:
+1s
绝不要在 1Password 里记录下「全部」的密码。 我们可以把密码的部分记录在1Password里。
例如:我们在可以在 1Password 里生成随机密码,但是任何登录时,都要在后面加上一个固定的内容, 例如:「+1s」或者「+10086s」。这个简单的动作就能规避很大的安全风险。这个方法外媒有人专门讨论过, 甚至哪怕我们在纸面上明文记录了部分密码,只要遵循「+1s」的方法,破解难度将会直线上升!
备份还是需要的
另外即使 1Password 号称 全加密存储,我们最好还是有一个所有密码本的备份。配合上面「+1s」原则,这个备份只要简单加密即可,例如,加密Zip文件。1Password 提供了导出备份机制,我们可以轻松做到这点。另外,为了防止自己遗忘「主密码」,也可以制作「应急登录密钥」。但一般来说,不太可能会遗忘「主密码」,大家视情况而定。
寻找替代品
火箭君使用的1Password 是早期买断的版本。但是,目前 1Password 只提供订阅版,官方甚至在论坛里明确声称不会出「Lifetime」版本。因此,大家如果不喜欢订阅制,也不需要「云存储」,那么可以开始找一些替代品了,mSecure / KeePass / LastPass / Bitwarden / DashLane 之类也是不错的候选项。无论什么替代品,上面的密码原则都是适用的。
最后
总的来说,1Password 是一款久经考验的优秀密码管理应用,如果不想折腾的话, 我推荐就是这款。 尤其是现在的版本支持多平台,支持团队共享模式, 使得应用的场景不再局限于个人,变得更加广泛。
如果大家有实用的密码管理经验,欢迎留言告诉更多人,赠人玫瑰,手有余香。谢谢先!
对 1Password 有兴趣的小伙伴可以去官网查看更多信息。
官网:https://1password.com/zh-cn/
网友评论