这两天,CSDN、多玩的密码已经被公开并证实了,其它诸如7K7K,世纪佳缘,人人等一批网站也说已经泄漏,不管是真是假了,总之,这给我们大家都上了严肃的一节信息安全课程。
在说正事之前,先说一下这次密码泄漏的危害,首先,你在某网站的密码公开了,如果你自己不知道,这个帐号可能已经落入他人之手。不过你可能说那帐号我不要啦,但并不是这么简单,很多人会在多网站使用相同的密码,同样的帐号密码在其它网站测试,你所关心的那些网站也会不保。即便在多网站使用不同的密码,但多数人都是在一个密码的基础上做少量变化而成(其实我之前也是这么做),所以,稍微利用一下社会工程学的手段,现有的密码体系即崩溃。因此,只要你被泄漏了,建议做一次彻底的修改密码行动,至于改成什么样,继续往下看。
优秀的密码,首先应该是符合一定的复杂度要求,比如,多少位,包含大小写、数字、特殊符号、无实义,但这样的密码,普通人的记忆力能搞定几个?我连一个都记不住,所以,人脑记忆是可以直接放弃了。常见的密码管理工具目前有1password,lastpass,这两者应该算挺接近的,即都是把用户密码加密后存在云端,可进行同步,一般都和浏览器密切配合,可解决大部分网站密码信息的自动保存、填写、登录。但这始终是依托一个不确定的第三方站点,甚至lastpass今年还传出过被攻陷的消息,当然lastpass说自己的密码保存后如果没有用户的验证密码,无法还原保存的信息。总之,如果你怕折腾(是相对而言),那就选择上述两种方案之一,其中lastpass的普通版不收费,高级版按月收费,1password是按平台收license费用。
今天我介绍的主要是KeePass,这是一款开源的密码管理工具,跨平台做的很好,桌面系统和移动系统都有对应的版本,它的原理是,把用户的密码信息存储到本地数据库中,可按用户的选择进行相应的加密操作,同样没有用户配置的密码,保存的信息无法被还原(至少在现有条件下)。除了配置的密码,还可以创建一个key文件来验证身份。两者可以同时启用。但KeePass的缺点也是明显的,我没研究很深入的插件,至少现在,它初期的录入密码就是个浩大的工程,但习惯慢慢养成,这事也对自己没什么坏处。另外,它目前不会根据浏览器访问到的地址自动填写密码登录,而需要在keepass里选择相应的记录使用其“执行自动输入”功能才可以。所以在使用上比起1password和lastpass都要麻烦一些,再次告诫怕麻烦的直接可以选择这二者了。
对于密码数据库的保护,刚才说了可以设置密码,但这个密码又要设置多么复杂呢,太复杂了依然记不住,这种问题可不能嵌套啊。正好,我前期从 @yegle 哪里买了yubikey,这玩意儿除了有OTP一次性密码之外,还支持静态密码(需要下载配置软件进行配置),那这事就好办了,用yubikey来生成对密码数据库的加密密码,同时还启用了密钥,应该就可以让自己一些了。
本文不是教程,只是我这两天干了一些事,我懒得截图,也懒得写具体步骤,能用yubikey的人,你的英语应该不至于这么烂,官方的文档写的挺明白,自己去看吧。
