1Password密码管理器使用指南

原创
安全 数据安全
这里要强调的一点是:这个管理密码系统的口令一定要具备很高的强度!如果你要使用一个统一的口令来管理自己日常使用的每个网站的登录密码,赶紧把那些生日啊、孩子的名字啊还有三明治之类的抛在脑后吧,这个时候你需要的是真正可以保障安全的严肃的口令内容。

【51CTO.com 独家译稿】在上一篇《自己都不记得的密码 才是惟一安全的密码》的内容中,我们分析了有关密码安全的一些问题。那么我们如何管理我们的密码呢?这里主要介绍一下1Passwrd密码管理器的使用。这里要强调的一点是:这个管理密码系统的口令一定要具备很高的强度!如果你要使用一个统一的口令来管理自己日常使用的每个网站的登录密码,赶紧把那些生日啊、孩子的名字啊还有三明治之类的抛在脑后吧,这个时候你需要的是真正可以保障安全的严肃的口令内容。

1Password使用指南

运行1Password,让我为你展示当我以传统方式登录到网站中时,它会起到哪些作用。我会登录到Slashdot这个网站上,这是个有点专业的技术型站点,但其登录过程跟其它常用的网站基本是一致的。

因为是付费的,免费的只有30天试用,进入下载页面:http://down.51cto.com/data/181646 (包括windows系统和Mac系统的,在一些平板或者手机系统中也有应用,这里就不提供下载了,在应用商店中都可以找到。)

网络安全工具集合:网络安全工具百宝箱

开始的部分很平常,还是用户名和密码环节:

开始的部分很平常,还是用户名和密码环节

但我在点击"登录"按钮时,1Password提供了保存口令信息的功能:

但我在点击\"登录\"按钮时,1Password提供了保存口令信息的功能

这套方案的名称默认为所访问的网页地址,但我可以将其修改为更合乎逻辑的描述方式(可以立即修改,也可以稍后再进行重命名)。而一旦我点击"保存"按钮,1Password会要求我们输入"主密码",这就是我们提到的,惟一一个我们需要牢记,并用来管理所有网站账户信息的密码:

这是我需要记住的惟一的,高强度的密码。

这是我需要记住的惟一的,高强度的密码。事实上它也是目前仅有的我能够记住的复杂密码,而且,千万别用"Iloves@nDwich3s"之类!#p#

保存之后,让我们现在登出Slashdot然后再次返回,尝试二次登录。但这一次,我们不再需要输入Slashdot的原始口令(其实这个口令我也已经非常轻松地故意忘记了),代之的是点击地址栏右侧的小钥匙图标:

代之的是点击地址栏右侧的小钥匙图标

现在系统提示我再次输入自己的"主密码"--也就是我惟一需要记住的那个。进入后,我能看到先前创建的条目:

代之的是点击地址栏右侧的小钥匙图标

这里可以添加更多条目(因为你在同一个网站上可能有不止一个账户),但我就姑且双击现有的这一个。看看效果吧--我们已经成功登录了。

这种密码解决方案的优点在于,相对每个网站来说,它都提供一套独特的口令管理机制。我不再需要记住几十个不知所云的长串密码,通过1Password,我们只需用手动方式登录一次网站,再使用它帮我们保存密码内容。

你也可以在其它浏览器上用到1Password的功能,我在上面的例子中使用了谷歌浏览器,但它也支持其它浏览器选择。

安全保障

当然你的登录密码可能并不安全,而1Password所做的是利用一套安全的保存体系将你设定的那些简陋密码保护起来。利用1Password为自己的隐私及资料做点保障工作,现在正是合适的时机。

当通过以上步骤添加了自己所有的账户信息时,每当我通过一串简陋密码登录一个网站时,我就打开1Password应用程序,将自己的账户信息导入,并让它帮助创建一套新的口令。它提供了一个非常简明的小工具,使上述操作过程变得轻而易举:

这就是一套安全的密码所应该具备的内容(上图中以蓝色高亮加以突出)。

这就是一套安全的密码所应该具备的内容(上图中以蓝色高亮加以突出)。如果对于一个非专业人士来说,你的密码并不难被记住,那它也就不够安全。当然,通过前面的介绍,大家应该明白,网站的实际登录密码到底能不能被我们记住其实并不重要,我们需要记住的只是作用于1Password的主密码。

现在,上述加密过程实际上只发生在你的1Password上,相应网站的登录密码还没有随之变化。我们需要做的是将这段新密码复制到剪贴板,再登录上对应的网站,将新密码粘贴上去并进行保存。没错,这可能有点繁琐,但只要花费几分钟,你就能建立一个极为安全、非常可靠的登录密码,而且它是独一无二的,不会在你任何其它网站账户上被重复用到。

说到现在,我们还面临最后一个麻烦问题:有些网站不允许我们创建安全密码。今年的早些时候,我写过一篇名为《简陋密码谁之过--银行、航空公司及其它》,因为我发现有那么一些网站--特别是银行类网站,非常弱智地不允许我们建立那些长效的、内容随机的密码。他们要么将密码内容的长度限制到非常短,要么就不允许我们在密码中加入太多大小写或是标点符号类的内容--他们要求密码就像PIN码那么短,而且只能包含数字。遗憾的是用户的密码在这些网站上必须得遵守上述规则,所以当遇上类似这样的限制,我们要做的只能是在其荒诞的规则要求之内,最大限度地将密码复杂化。#p#

将你的密码随身携带

对于我而言,很重要的一件事是,我必须能够在任何地点,通过任何设备随时方便地访问我的密码管理系统。在办公电脑上、家用电脑上或是iPad及iPhone上,我需要这些设备都能随时与我的密码管理工具同步。

1Password允许我们通过Dropbox的文件同步服务,方便地实现上述要求。这是一款伟大的产品,其功能之强大及配置过程之简便已经被无数1Password用户所证实。归根结底,这使我所有的个人计算机中具备同样的安全密码备案,而我的iPad及iPhone上也具备非常友好的小工具,帮助我们随时同步密码信息:

将密码文档放在网上存在风险吗?

将密码文档放在网上存在风险吗?这个嘛,有一定程度的风险,无需讳言,但Dropbox的服务已经运行多年,事实证明这一系统还是非常安全的。当然还有一点就是1Password的密码文档是经过加密的,所以即使有人获取了该文件,他们要解析内容也还是要用到我们设定的(高强度的)主密码。事实上,在整个安全保障体系之中,最薄弱的环节很可能是我们用来保护自己Dropbox账户的密码,不过根据当前的情况来看,这一环也还是很难攻破的:)

这种管理体系不就是所谓"把所有的鸡蛋放在一个篮子里"?

没错,正是这样,但这是一个精心设置、异常坚固的篮子。如果有人想盗取你的信息,首先他必须获取记录有所有密码的文档,其次他还需要得到你管理整个安全系统的主密码。他可能通过猜测,也可能采取暴力破解的办法,但只要上述两项条件没有同时满足,你的信息就仍然非常安全。

虽然将你所有的账户资料放到网上无疑是件非常糟糕的事情,但同手动登录网站及依赖那些站点自带的安全机制相比,我们要面对的风险已经非常小了。

当然,其它潜在的风险也是存在的,例如1Password也许存在着未知的软件漏洞。其实关于这一点,我已经打电话向zero-day咨询过了(结论是目前尚未发现这类漏洞),但这种情况仍然有可能发生。事实上LastPass上个月刚刚发现了一处漏洞,而其开发商在几小时之内就将漏洞彻底修复了。这一事实恰恰证明了专业加密工具软件的特性,这类软件的存在即是为用户提供集中的安全解决方案,一旦有软件漏洞被发现,你完全可以相信这种漏洞很快,甚至是立即就会被修复。

综述

综上所述,现在我们获得了万全的安全保障,你的数据已经牢不可破了吗?这个嘛…

综上所述,现在我们获得了万全的安全保障,你的数据已经牢不可破了吗?这个嘛…

左图:

一位加密发烧友的想象场景:

甲:他的笔记本被加密了,咱们砸上一百万美元来创建个团队,一起攻克它。

乙:不好!它用的是4096位加密算法!

甲:晕!我们的邪恶计划破产啦!

右图:

实际可能发生的情况:

甲:他的笔记本被加密了。咱们把他迷倒,再花五块钱买把扳手,打到他说出密码。

乙:收到。

漫画摘自 XKCD.

这使我想起一套简明的哲学理论:所谓安全,意思是降低相关的风险,你永远不可能真正"安全",你能做只是将风险降低再降低。总体来说,将你的全部账户信息保存在1Password文档中,比将它们分别存储于各个网站的安全体系下要可靠得多。

但是,除了安全以外,密码管理系统同时是一套便捷的信息存储方案。通过一个高强度的密码来登录所有设备上的全部账户,绝对是个实在又方便的资料管理途径。

最后,不要再等待所谓合适的时机,你可能已经发现自己的某个账户被盗用(相信我,这种情况很可能已经发生),而这种情况正是因为你没有采用合适并且安全的密码所造成,那就为时已晚了。因此,找个下午,花上几小时和几美元,把自己的个人安全系统尽早部署好。如果你还在犹豫不决,那么很快那些黑客们就会把目光集中在你那些触手可及的"小鸡蛋"上了。

原文链接:http://lifehacker.com/#!5785420/the-only-secure-password-is-the-one-you-cant-remember

【51CTO.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】

【编辑推荐】

  1. 自己都不记得的密码 才是惟一安全的密码
  2. MySQL.com被SQL注入攻击 用户密码数据被公布
  3. Windows安全兵法:密码攻防战(附视频)
  4. 用iptables限制黑客破解密码

 

责任编辑:佟健 来源: 51CTO.com
相关推荐

2021-05-21 08:00:00

Linux密码管理系统

2023-09-21 08:10:50

2019-09-04 08:45:33

2022-07-05 09:00:00

安全密码管理工具

2023-02-16 08:40:02

2023-05-17 07:32:35

2015-10-27 09:25:11

Vi编辑器使用指南

2023-02-01 10:00:27

2015-08-03 17:06:49

IEEdge浏览器

2012-03-26 11:19:19

Visual Stud微软开发

2012-07-12 15:18:49

Windows 7设备管理器

2018-03-05 10:18:44

Linux密码密码管理器

2012-03-12 09:26:47

2021-02-07 09:03:58

Linux Zypper 管理器

2022-09-29 09:07:08

DataGrip数据仓库数据库

2019-08-05 15:38:07

BitwardenPodman密码管理器

2011-07-21 14:57:34

jQuery Mobi

2009-12-28 17:40:10

WPF TextBox

2021-07-27 10:09:27

鸿蒙HarmonyOS应用

2010-09-06 14:24:28

ppp authent
点赞
收藏

51CTO技术栈公众号