奔跑中的奶酪

再有人说密码记不住,把这篇文章发给他!

导读

再有人说密码记不住,把这篇文章发给他!

世界上难办的事情分为两种:一种是困难的,一种是麻烦的。

密码管理是第二种。

密码管理,是属于那种如果简单了,就容易被盗,而如果复杂了,又容易记不住的事情。

本期内容就来彻底帮大家解决这个问题。

一、密码是怎么被盗的

互联网有云:上网不安全,安全不上网。

只要上网,你的密码就有被盗的可能,因为风险会发生在上网的每一个环节。

比如在输入密码时,如果电脑有盗号木马,那么密码就会被窃取。

比如在网络传输时,如果密码传输时未加密,又或者你访问的网站本身就是钓鱼网站,那么密码一样也会被窃取。

i28_密码被盗

1、拖库

但真正让用户担心的,还得是“网站数据库泄漏”。

也就是我们把密码交给了网站,但网站保管不善,把密码泄漏了出去,比如 2011 年的“CSDN 密码外泄事件”。

业界把黑客窃取网站数据库的行为,叫做“拖库”,也戏称叫做“脱裤”。

i28_拖库

在众多数据库泄漏事件中,最知名的当属 2013 年 Adobe 公司的数据库泄漏

事件影响超过 1.52 亿个帐户,于是一个叫做 https://haveibeenpwned.com(我被搞了吗)的网站成立。

只需要输入邮箱,就可以查询自己的帐号是否泄漏。

i28_HIBP

如果网站的数据库未加密,那么你的密码就相当于“裸体”,比如此前的“CSDN密码外泄事件”就是明文储存。

2、洗库

可即使网站做了加密,同样也有被破解的风险。

大多数网站会采用“MD5 加密”,也就是将用户密码散列为 32 位字符,这个过程单向不可逆,理论上无懈可击。

但黑客会对密码进行枚举破解,然后把密文做成一个索引表,由此来反推原始密码,这个表也被叫做为“彩虹表”。

业界把黑客对数据库进行破解,然后按一定格式进行整理的行为,叫做“洗库”。

i28_洗库

一些网站还会在 MD5 加密的基础上,进行加盐(Salt)。

也就是在原来的基础上添加一个随机数,再重新获得新的 MD5 加密值,这样密码的安全性就大大提高。

i28_加密方式

可要是你的密码很简单!

即便是“加密加盐”了,通过“彩虹表”还是可以破解,所以一些涉及财产的网站,都会要求用户进行“二次验证”。

比如短信验证码、邮件验证码、动态令牌、USB Key 等方式。

3、撞库

洗库成功后,黑客还会把有效的帐号密码,去别的网站上登陆,这个过程叫做“撞库”。

原因是很多人喜欢在不同的网站上使用同一套帐号密码,也就像是一把钥匙可以打开多扇门

此前的“京东密码泄漏事件”,就是黑客用“撞库”的方法获得了一些用户数据,而京东本身的的数据库并没有泄漏。

i28_撞库

黑客还会将窃取的数据库,在黑市上交换或出售,由此形成的“社工库”异常庞大,撞库成功的几率也就非常的高。

你的密码被盗也就不奇怪了。

二、常见密码管理方法

所以,要保障密码安全,我们要做的:

一是使用复杂密码二是在不同网站使用不同密码

但做到这两点,同时还要让密码容易记住,那就需要些技巧了,目前有两种方法。

1、基础密码法

一种方法,是通过「基础密码+网站名称+变化规则」来构建一套“看似乱码实则安全容易记”的密码清单。

首先,选定一个基础密码

选择一句话做为基础密码,可以是这句话的拼音或者英文。

然后,混合加入网站名称。

取各个网站域名的第 1~2 和第 3~4 位字母,分别加入到密码的开头和结尾

最后,添加一套变化规则

比如把数字 21,变成按 Shift 键之后的特殊字符 @! ,比如把密码的第 2倒数第 2 位字母,变成大写字母。

i28_基础密码变形法

但这套密码清单算不上绝对的安全。

因为黑客也不傻,只需要对比两三个样本后,变化规则就会被看穿了。

而且,如果某个网站需要改密码,那么就会在原来的规则基础上增加例外规则,例外规则多了,也就没有规则了。

2、管理工具法

于是,另一种完全不用记密码,甚至不需要任何技术的方法出现,那就是用“密码管理工具”。

它的思路,是给每个网站都有一个独立的随机密码,然后这些密码会用工具保存起来,需要时可以自动填充。

我们需要做的,只是记住一个主密码

i28_密码管理1

现在各大浏览器都有密码管理功能,但就功能以及多平台通用来看,还是“第三方密码管理工具”更加好用。

比如有 BitWarden、EnPass、Lastpass、KeePass 和 1PassWord 等等。

i28_密码管理工具

你要问安全不安?

这些密码管理工具,都采用了 AES-256 这类极高的加密算法,除非用量子计算机,否则完全没有破解的可能。

你要问要钱不要钱?

密码管理工具的选择很多,免费付费的都有,但奶酪推荐的是 BitWarden,不但开源免费,而且上手还非常简单。

三、如何使用 BitWarden

下面我们来讲讲 BitWarden 的具体使用,实现网站的自动化登录

1、快速登录

如果是个人电脑,我们可以在 BitWarden 设置里选择 “从不退出”。

如果是公司电脑,那么可以用 PIN 码登录,手机端还支持 TouchID、FaceID 这样的生物识别技术,很方便。

i28_登陆方式_自动登录

2、填写密码

使用右键菜单,或者快捷键 Alt+L(可自定义)可以一键填写密码。

勾选“设置—> 选项—> 启用页面加载时的自动填充”的话,那么扩展还会自动填写密码,连手动操作都省去了。

i28_登陆方式_自动填表

3、填写表单

BitWarden 的自动填表功能包括 4 类:登陆、支付卡、身份、安全笔记

登陆:

用于保存帐号和密码,最主要用的就是这个。

支付卡:

用于保存信用卡信息,国内可能很少用到,可以忽略。

身份:

用于保存注册帐号时的身份信息。

安全笔记:

用于保存私密信息,比如卡号、序列号、密钥等之类的,都可以保存在这里。

i28_登陆方式_填表类型

这里要特别讲一下“身份”。

就是在注册帐号时,需要输入邮箱、用户名、姓名等信息,如果事先把这一套“身份”信息保存起来。

那么在注册时,就可以自动填写注册信息。

i28_身份

要区分大号小号时,还可以设置多套“身份”信息。

但要注意的是,注册时,如果填写的帐号密码没有自动保存,那么需要点击扩展右上角的“+”图标来手动添加。

四、BitWarden 常见问题

1、主密码忘记了怎么办?

BitWarden 有“密码提示”功能,通过邮件可以获得。

但如果全都忘记了,那就只能将 BitWarden 帐号删除,然后你注册过的网站,可以通过网站的“忘记密码”找回。

所以,千万别忘记主密码

2、公共场所登录怎么办?

比如需要在网吧、图片馆、别人电脑等非私密场合登录,可以使用手机端的 “Send” 功能。

也就是将密码以“链接”的形式分享出去,然后设置有效期为访问 1 次后失效,这样就不用担心密码会泄漏的问题。

i28_Send

3、无法自动填写怎么办?

一般情况下,登陆 QQ 等客户端软件时。

只需要打开密码库,将密码复制,然后粘贴到登陆窗口就可以了。

如果真有一些网站或软件,它们既无法自动填充,也无法粘贴密码,那么就用“基础密码法”来设置一套密码吧。

结尾

可以说,能做到这些,你这一辈子就不会再有密码安全,以及密码记不住的问题了。

如果还是有,那我建议再读一遍这篇文章。

最后,如果再有人说他密码经常被盗,又或者说记不住密码,那就把这篇文章发给他吧…

i28_参考资源

最后

  1. 欢迎关注奶酪 公众号 获取奶酪所有的原创资源,比如回复关键字 i28 可获取本文提到的资源。
  2. 欢迎订阅我的 “奶酪书签专业版”,15年沉淀,超过 5000 个分类井条有序的好用实用 html 网站书签。
  3. 本文由「奔跑中的奶酪」原创创作,欢迎订阅、留言和 打赏,也欢迎引用和转载,但要注明出处。
注:本文由 奔跑中的奶酪 作者:奔跑中的奶酪 发表,其版权均为作者所有,如需转载,请注明作者名字以及文章来源。
162
avataravatar

评论:

12 条评论,访客:0 条,站长:0 条
  1. 小明
    小明发布于: 

    谢谢

  2. 奶大的读者--屌大
    奶大的读者--屌大发布于: 

    真后悔没早点看到这篇文章

  3. 奔跑的?
    奔跑的?发布于: 

    last pass不7是免费同步了吗?

  4. 一个平凡人
    一个平凡人发布于: 

    从入门到熟练:KeePass全网最详使用指南:https://post.m.smzdm.com/p/713042/

    这是在网上看到的很详细的KeePass介绍!

  5. 麦坤
    麦坤发布于: 

    文章最后一句话,让我对密码管理变得瞬间简单了。 基础密码告诉他,我是帅哥,让他琢磨去吧,哈哈

  6. Jesse
    Jesse发布于: 

    最近换了Bitwarden,感觉还不错啊

    • avatar
       发布于: 

      用了奶大的浏览器后我开始用bitwarden,把lastpass的密码全部导过来了,但是我发现bitwarden好像不会自动弹记录密码?我也没找到相关的自动填充

      • Jesse
        Jesse发布于: 

        好像是只能用鼠标点……

  7. FL
    FL发布于: 

    那么enpass是不是等同于1password?

      • FL
        FL发布于: 

        我说的是密码数据处理的方式,两家应该是差不多吧,还是enpass安全性差很多?

发表回复