为什么要使用密码助理软件

为什么要用密码管理软件?

1Password

我曾经在Wired杂志上看过一篇文章叫做 《Kill the Password》,文章中提到了密码已经不再安全。人类从开始使用计算机起就使用用户名和密码作为身份验证的手段,也许在当时的年代,计算机的技术还不成熟,通过强攻的手段或运算方法去破解一个密码也许是很难的,但是随着科技的发展,我们现在手中的笔记本电脑已经拥有媲美当年大型工作站的运算能力的时候,任何长度,复杂度的密码在黑客眼中看来都是不存在的。

我们使用密码进行保密主要面对着两个抉择,一是易用性,二则是隐私。

身为一个网络公司,如果你希望你的用户能够拥有最安全的密码机制,比如说使用256位的十六进制密码,那么这样的密码非常难被破译,但是用户则需要去记住几乎不可能被记住的密码,那么,为了安全性,你则需要牺牲易用性。

第二个则是隐私,想象一下你有一间不需要密码和用户名就可以进入的房间,但是取而代之的则是一个24小时监视的人员,只有当他看到你到来的时候才会开启这个房间的门,那么从一个可行性的角度来说,这是不可能的。只有当没有隐私的时候,我们才能真正的达到完美的安全性,但是似乎没有人会去接受这样一个系统。

各种公司都在易用性和隐私之间进行取舍,他们希望获得一个简单易用的安全系统,同时能保证绝对的隐私安全,这似乎是两个相悖的论题,无法完成。


我们的密码到底是如何被偷走的?

纯粹的猜测,蛮力破解,键盘纪录,或欺骗一个公司的客户服务部门。事实上,我们的密码完全是不安全的。那么我们怎么杨才能在密码已经不安全的时代去保护我们的账户安全性呢?

有过研究表明,还有很多用户使用着令人咋舌的简单密码,我据几个例子,比如“123456”,“000000”,或者生日的年年月月日日格式。这样的密码几乎不需要任何技术,通过猜测就能够访问其关联的帐户。但问题并不只在于用户身上,对,也许设置这些密码的用户并不了解这样的密码是否有多么不安全,但是允许这些密码被设定的公司也有相当一部分的责任,我们都知道现在已经有注册页面要求用户输入大小写兼备,数字和符号的密码,但仍然这样的要求并不是所有公司都在做的,那些没有考虑到用户设定的密码是否安全的公司,没有将用户帐户安全性考虑到最优。

另外一种常见的密码策略是重复性密码使用,我们都希望记住的密码越少越好,这很好理解。但是这样的操作存在这一个很可怕的安全隐患。我们打个比方,假如说我的facebook,twitter和linkedin都是使用了abc123的密码,那么当一个黑客访问了我的facebook密码之后,他很有可能会使用这个密码去尝试登陆我的其他帐号,这种密码重复非常常见,我可以肯定地说,有绝大多数用户的多个帐户密码都是相同的。那么黑客就可以通过黑进我的一个帐号而获得了我众多帐号的访问权限。另一种安全隐患在于facebook,twitter这样的服务支持互相的鉴定以及连接,OAuth也好是授权也罢,总之这些帐户在某种程度上获得了用户允许的相互授权,那么黑客就可以利用这一优势,去从一个服务内访问另一个服务,尽管有时候我们不同服务的密码是不一样的。


那么我们怎么才能保护我们自己的账户安全

可能到这里大家会觉得,那么既然密码怎么设置都不安全,那我应该怎么办?我们虽然知道了密码不是完全安全的,但是我们可以创建尽可能安全的密码,将大多数尝试访问我们帐户的人拒之门外。我们需要设置较为繁琐的密码。

密码应该包含:

  • 大小写字母
  • 阿拉伯数字
  • 英文符号

因为我们希望每一个账户都有不同的密码,那么这样的密码多起来就非常难以记忆,那么我们就需要像1Password这样的密码管理软件去帮助我们管理我们的账户密码。1Password是在笔者看来最安全的密码管理软件,通过复杂的加密机制,以及使用开源的OpenSSL确保其数据的保密性,在任何传输密码前都先将密码文件进行加密。同时与浏览器进行整合,达到了不需要用户敲击键盘就可以登陆的方式,这样有效避免了键盘精灵等破坏性软件纪录密码。对信用卡进行信息存储,网上购物时只需要选择卡片便可以完成填写。

我们之前提到了密码应该包含的内容,那么下面就要说为什么1Password是优秀的密码保护软件。

我们希望我们的密码有以下这些规律:

  • 任意两个帐号的密码都是不同的
  • 永远不要把密码写下来
  • 不要使用与登录名称相同或相似的密码
  • 家里亲戚朋友的名字,生日,宠物的名字等
  • 比较容易被发现的个人信息如生日,出生地等
  • 可以发现规律的序列
  • 词典单词

那么如果我们每次设置密码都要考虑到这么多因素,那么设置密码很困难,记忆起来就更佳困难,那么这就是1Password接手的地方,1Password可以自动为每一个登陆生成一个没有规律复杂的密码,并帮助你进行纪录,与浏览器进行整合,只要下次需要登录的时候点击即可,与手机上的客户端进行加密的同步。1Password的理念是,用户不应该需要去记住自己的密码,应该使用密码助理帮助我们生成复杂的密码,然后在登陆时进行查询登录密码进行登陆。

1Password只需要用户记住一个主密码,就可以解锁剩下所有的密码,那么这个主密码则需要用户的特殊照顾,对其进行最优的设置。因为记住一个密码总比要记住很多个密码来得容易。


说在最后,你的隐私,你的网上信息,你的账户安全,是非常重要的,希望各位在看到这篇文章之后可以对自己的在线安全重视起来,事实上,在网络上没有隐私,这句话不为过,因为道高一尺魔高一丈,只要密码存在一天,就有黑客破解一天。也希望网络公司重视自己的客户数据安全,强制客户们使用复杂的密码机制。这样能避免一旦数具被破解的时候的大量经济损失。

Wired原文链接在此

@米斯特苹果