密码管理最佳实践

本文由康宇译自The Wall Street Journal,转载请注明出处。

为每个在线网站和服务设置不同的密码,对于保证你使用网络时的安全来说是至关重要的。下面由Personal Technology的专栏作家Geoffrey Fowler,向你展示密码管理程序是如何帮助你记录所有这些登录信息的。

视频传送门

黑客与各公司之间有一场激烈的战斗,而你就被迫卷入了这场没有尽头的缠斗。每当一家公司被黑之后,你都不得不更改密码,而且之后就再也不敢在其他的地方用它了。

为每个网站和服务都想出一个不同的密码,是保证你的网上财产安全的唯一方式,但这同样是一件极其的恼人的工作。幸运的是有一种方法可以改变这种情况:寻找一款密码管理程序。

image2

我有超过150个不同的登录项和账户。要记住这么多的密码,我必须成为“雨人”才行。于是我开始搜寻能够储存我所有的密码的最好的服务,最终将名单削减为了四个,它们兼顾了可用性和安全性:1Password、Dachlane、LastPass和PasswordBox。

LastPass对于使用像指纹识别器这样的的时髦科技的人来说,是一个不错的选择。对于真正的偏执狂,1Password能让你以最大的限度控制你加密保存的密码。

至于大多数的人,我推荐Dashlane。它很简单,因此你会真正去用它,而不是束之高阁。它甚至还可以帮你少点几下鼠标!

等一下!难道把所有的密码都存在一处不是糟糕的主意吗?这样比到处都使用容易记忆的密码更好。密码管理器将所有的信息都隐匿在一个只有你知道的主密码之下。

没有什么事情是100%得到保证的,但是所有这四款密码管理器都采取了额外的措施来保证你的主密码不会被泄露到互联网上。它们就像是由忠于职守的管家保护的保险箱,这个管家并指导你存了写什么,甚至也没有私配钥匙。

在一个个人信息越来越多的存储在云端(由密码保护)的时代, 我们需要比反病毒软件更进一步的防护。而使用密码管理软件就是着关键的一步。

image4

Dashlane就像是你一直以来所期望的好记性。它不仅可以记录密码,还可以记录信用卡号和用户ID等,当在不同的设备上有需要的时候,它可以帮进行自动填充。它还维护了一个特别有用的积分卡,帮你评定现有密码的质量,以及提示你进行改进。

Dashlane在单台设备上使用是免费的。在各个设备间同步的话,就需要每年30美元的订阅费了。这一高级服务有30天的试用时间。

设置Dashlane真是一种享受。Dashlane会将浏览器明文存储的密码吞到肚里,并且能够自动抓取到你设置的新密码。所有的信息都由主密码进行保护,并以密文的形式存储在你的计算机或者移动设备中。每当你开机或者打开Dashlane的时候,你都必须输入主密码。你可以将密码的问询频率设置得高些,比如每当设备空闲超过指定时间之后就需要输入主密码。

Dashlane会在浏览器上安装插件,支持的浏览器包括Chrome、Firefox、IE和Safari。当你登录到一个Dashlane已知的网站的时候,它会在登录框上放一个小图标,来提示你它可以帮你输入用户名和密码,甚至是你的信用卡号。如果你允许Dashlane这么做的话,它甚至会自动帮你按下“登录”按钮。虽然并不是在所有的网站上都奏效,不过大多数情况下还是非常棒的。

随着你的使用,Dashlane还会试图提升密码的安全性。如果你更改了某个密码或者申请了一个新用户的话,它就会提示你使用强口令。另外Dashlane的炫彩安全得分卡还会促使你兴高采烈地将弱口令或者重复的密码替换掉。

密码管理器真正发挥作用的地方是,当你需要在不同的设备——PC、手机和平板——之间保持密码同步更新的时候。我排除了Chrome内建的密码管理器以及Apple的iCloud,因为它们都不能同时支持我所有的设备。

Dashlane在Android手机以及平板上的工作方式同前述没有太大差别,都能够自动填充密码,不过默认的浏览器Chrome除外。Dashlane可以帮你保存所有的用户名和密码,但是由于苹果的软件策略的原因而不能进行自动填充。相同的问题影响了除PasswordBox之外的大多数的密码管理软件。PasswordBox设计了一种方法可以在移动版的Safari上自动登录很多大网站。

Dashlane还有一款专用浏览器,这款浏览器支持Dashlane进行自动填充,不过大多数人还是会将密码复制粘贴到他们喜欢的浏览器上。

如果你和家人公用一台电脑的话,Dashlane会在没有提醒你设置不同的配置的情况下就记录多条登录信心。开发Dashlane的公司称,他们会很快发布一款家庭团队版的Dashlane,来让方便人们共享比如亚马逊或者Netflix等的密码。

幕后Dashlane采取了一些关键的步骤来保证你你数据的安全。它绝对不会将你的主密码发送到互联网上去,并且在与其他设备同步数据的时候使用AES-256这样的高等级加密措施。不论是Dashlane公司或者侵入其计算机系统的黑客(抑或是政府)都不能在没有主密码的情况下访问你的数据。这种设置甚至可以让Dashlane在最近的Heartbleed漏洞灾难中免受其害。

另外Dashlane允许你选择不将你的数据保存在互联网上,尽管这样的话你就必须手动在各个设备之间同步密码了。拥有最好的离线同步体验到密码管理器是1Password。请查看前面的图标获取更多信息。

好了,如果有人得到了你的主密码会怎么样呢?如果有人在你的电脑上安装具有键盘记录功能的软件的话,这样的事情就会发生,所以最好装上杀毒软件将这样的攻击拒之门外。但是,即是这样的事情已经发生了,也还有最后一层安全措施:如果没有直接发送到你的手机或者邮件中的密码的话,其他人就没有办法在新设备上解锁你的密码。

只有Dashlane和LastPass实现了这种重要得两步验证,尽管PasswordBox声称它也具有此功能。1Password的发言人这种两步验证的手段在他们的设计中毫无益处,因为在他们的设计中不会集中存储你的数据。不过,我认为如果能知道有人在试图获取你的信息的话,还是很有用处的。

还是那个老生常谈的问题,为什么要信任Dashlane,一个刚刚创办两年,有两百万客户的公司啊?因为安全的保证是Dashlane盈利的唯一途径。而且如果你认为它的服务不值每年30美元的话,Dashlane允许你将密码数据库都导出为其他密码管理器可以读取的格式。

你甚至可以使用过时的技术,将数据库的内容打印在纸上。听上去很疯狂,但这也比一直都使用相同的密码要强。

转载请注明:运维派 » 密码管理最佳实践

0
3.9k
0