保管和使用密码的正确方式

gifox

看着隐秘版 ，发现最近很多人收到了一个email。看样子是某个网站的用户数据库被盗了。这件事来看，这个网站的用户数据还可能是没有加密的。不然其实就是拿到了整个数据库，要还原密码也不是太容易。

这就是涉及到一个简单的问题，如果正确的保管和使用你的账户密码？

我接下来要说的，其实不是一个IT的新概念，有兴趣的可以自行放狗何谓privilege account security（PAS)。 这概念从千禧年前就有了，也催生了好些上市公司。详细的技术细节我就不讲了。不是本文关键。我要说的是从PAS里面剥离出来的，最核心的部分：如何保管和使用密码。这些解决

第一部分我想想想说说问题，不知道问题所在很难解决问题。

首先，现在一般人会有多少个上网账户呢？ 你帮衬的每个金融机构会有一个。各种购物网站，保险，各种论坛社交....

保守估计每人有30个账户左右是正常的。如果是精买高手有4-50个不稀奇。 常用的至少10多个。那多账户怎么管理？密码怎么设置？一般人有几个方法

1 一个密码走天下。自不然说风险多大。无论密码多复杂。因为每个网站都用，那么安保最弱的那个网站出事你就好像内裤都没穿一样了。

2 分等级，大概3-5个密码。因应网站所保留的个人信息敏感程度而决定使用那个。这个要风险要低一点，只是呢，有你敏感信息的其中一个网站可以是被攻破的那个。

3 组合式。比如一个序列加网站名字。这个也不错，但是如果有心不难看出来。而且也会遇到不同网站密码长度限制不一，要求复杂程度不一的问题。比如有的特殊字符有的是不允许的。

4 每个网站都不同，超复杂，抄在纸张上。您还别说，这个只要那张纸不丢，这个方法相当保险。但是易用性就很差了。


那要兼顾易用性和安保要怎么做？

1 代理登录，比较洋气的说法叫saml. 一个密码多个网站分享就等于你要信任这几个网站都不会泄漏你的密码。与其相信那么多网站，还不如相信少一点。比如，现在有的网站支持SAML 登陆，背后技术我这里不解释。总之就等于你可以用你的google账户登入abc购物网站，abc购物网站并不直接保管你的账户和密码，它是把验证你身份的责任交给了google，google告诉它，对，这人通过我们验证了。abc购物网站就允许你你登入了。这样子你可以少几个账户的密码。我们的原则是，账户越少越好。

2 其实很多同学都提到了lastpass和1password。 这种账户保管软件。其实就是它会记录你在不同网站的账户，并且帮你随机生成一个比较复杂的密码。你可以不同的网站使用不同的密码。你自己并不需要记得每个网站的密码，你记得你的lastpass或者1password的管理者密码，master key就够了。当遇到你需要填入账户时，可以从这些软件上提取密码，甚至让它们直接帮你注入密码。

这样子等于你从信任很多不同的网站，到信任lastpass或者1password中的一家就够了。

网路上的网页安保漏洞最大的缺点就是每个网站的安保程度良莠不齐。有的很好，有的很差。你的密码通常都是从加密做的比较差的网站上丢掉了。而好像lastpass之类的网站，因为安保是它们的核心业务，所以通常都会投入很大的投资，定期会进行入侵测试，所以它们的安保程度比较高。

那作为面向个人用户的账户保护软件2者有什么区别呢？

其实从严格的安保角度来说1password只把密码加密后保存在本地，只有多设备同步时才上传。而lastpass的账户一只保存在它们的网路服务器上，通过加密通道在不同设备间交换。前者要更保险一些。不过我要推荐的倒是lastpass。因为对于个人用户来说，易用性太重要了。

lastpass的chrome 插件可以很方便的检测到你在输入密码，并且把密码自动记录在它的密码库里面。并不需要特别花时间去把账户一一登记在lastpass上，用过你就知道这个onboarding的过程有多方便了。不知不觉之间就把几十个密码都存到lastpass里面了。具体教程网路上很多，我就不具体写了。真的不难学。你到时其实不需要知道你的密码，你能登入到last pass就好了，它会帮你填写密码。也就是说，与其相信几十个网站，你不如相信lastpass会好好保管你的密码。


不过给了你利器，你还得注意使用方法。

1 你的master password非常重要，请保证它足够复杂并且只在lastpass或者1password上面使用。

2 记得为你的lastpass或者1password 开启2 factor authentication，就是双重认证。就是所谓的密码+通知。比如说你用密码在一台主机上登入了你的lastpass账户，lastpass会向你已经登记的手机发送一个认证信息。只有该信息得到确认才会允许登陆。lastpass支持非常多的双重认证方案，绝大部分免费，比如业界龙头duo， 免费的微软认证app，google 认证app。这样子，人家不但要知道你的master key还需要拿到你的手机方可登入你的lastpass账户。

3 lastpass和1password在手机上都支持touch id。 touch id的安全性是商业级标准的，比密码好多了，能开启就开启把。

4 首次使用lastpass的时候记得用它来把你的各个网站账户密码改一遍. 一定要保证没有一个密码是相同的。

5还是必须要遵循账户越少越好的原则，如果有些网站，你只是使用一次。我会建议你去那些可以申请“一次性邮箱”的网站来申请一个临时邮箱开通账户。用完即弃。如果一个网站可以允许你通过google 账户通过saml机制登录。你还是不要开设一个新的登录账户了。

说完民用，在25楼略带提提商用。不涉及技术细节。就给大家一个概念。

berlindut

berlindut

貌似我的所有网络账号密码都是一样的，密码从来也没改过。。。

johnnyy

berlindut 发表于 2018-7-24 21:46
貌似我的所有网络账号密码都是一样的，密码从来也没改过。。。

我也是。

小青蛙

感谢科普

Siva

现在习惯把一些不太重要的账户尽量设置成一样的，或者用同一个email小号来注册。
有时候因为要注册新的用户名开sim卡才纠结。差点忘记是哪个邮箱注册的。

澳里人

用1password来记录，否则会忘记不常用的密码

looflirpa

我是用E wallet

Poweregg

澳里人 发表于 2018-7-24 22:02
用1password来记录，否则会忘记不常用的密码

1password +1
手机也有app 和电脑数据库同步

MissPearl

关注

淡淡的定

这帖子的质量只能用一个暴露年龄的词来形容，砖!

gooderic1977

推荐LastPass或者Dashlane

wjsmelb

一直用 LastPass

yanqishui32

其实都没用，我们的输入法都自带后门。
你输入的东西都可以偷窥到。

ingeer

N年前用.net 自己写了一个很简陋的，用到现在了。。