最近有很多网站的密码被泄露,这件事情造成的后果就是大家对国内网站都没了信任感。作为用户,我们需要做好应对措施,不要在多个网站使用相同的密码。对于我来说,这件事情是一个引爆点,因为我终于不得不用起了之前花重金采购的密码管理软件 1Password。
1Password 是 AgileBits 公司的产品,它是一款跨平台的密码管理软件。如果认真用起来,它会帮你建立一个密码库。未来只需要记住这个密码库的主密码就可以了,其他的密码都会随时在你手中等待调用。你也许根本就不记得其他的密码是什么样子,也无需记住。这也是软件名称的字面意思,你本来只需一个密码。
当然,优秀的软件不止一个。1Password 是我的选择,你当然还有别的选择:比如 Windows 平台久负盛名的免费软件 KeePass(keepass.info),再比如同样支持跨平台的密码管理软件 Lasspass(lastpass.com)。
接下来,我来说说 1Password 这款软件。
对于 Mac 用户来说,这款软件首先需要购买。对于 Windows 用户来说,可以下载到免费的 30 天试用版。如果你跟我一样是 Mac+PC 的配置,建议购买的时候选择 Mac+PC 捆绑版,只需 69.99 美元。此外,它还有 iPhone、iPad 和 iOS Universal 版,可以根据自己的情况酌情购买。
安装之后,第一件事情就是设置主密码(Master Password)。但一定要小心记住它,如果你不幸忘记了主密码那就完蛋了。这是因为 1Password 的加密措施所导致,你设置的主密码会被用来加密密码库。主密码不会保存在任何地方,也不会被记录下来。AgileBits 公司声称没有“后门”措施(作为一家加拿大公司,他们的承诺我相信),所以他们也没办法解密你的密码库。(参考文献)
设置完毕之后,建议安装浏览器插件。插件有两个作用,一个是记录你在网站里输入的密码,另一个是帮助你快速登录网站。有客官会提出疑问,为什么不直接使用浏览器的密码记忆功能。我说,首先这个功能不安全,曾经出现过被破解的情况(参考文献)。然后这个功能不保险,一旦数据被清空或者系统崩溃,密码就丢了。这件事情比忘记主密码还可能发生,所以不太靠谱。
所以呢,用一阵子插件之后你就会发现,使用 1Password 之后所有常用网站都会在库里保存一份密码。我的建议是先收集,然后再整理,最后才是改成强密码。
不仅仅是网站登录的密码可以管理,1Password 还可以管理更多信息。比如,用于填表的个人信息(电话、地址、邮件等等等等),用于网上支付的信用卡储蓄卡信息,用于在实体店面积分的那些会员卡号,用于软件安装的序列号或者授权码。
再说说如何实现多设备同步。
与 LastPass 不同,1Password 自身并没有提供跨设备同步功能。所以我买完 Mac+PC 捆绑版和 iOS Universal 版之后才发现,我在一个设备上做的修改不能在其他设备上出现……当然,这是临时现象,其实是可以通过启动 DropBox 来实现的。我觉得这点很好啊,初创公司做自己熟悉的事情,像云业务这种就直接包给专业人士。
密码门系列事件之后,我在所有的设备上都部署了 DropBox。好吧,我承认我一直没用 DropBox,我很土。这与我对云存储的态度有关系。我一直认为云存储不靠谱,只有多个移动硬盘同时备份才可靠。用上 1Password 之后,现在也是个机会开始用一下 DropBox,这一被很多人证明过的好东西。
在 1Password 各版本应用的“设置”菜单里都有 DropBox 的选项,只用点一下就搞定。但如果你有超过两台电脑设备的话,从第二台开始就不能直接点“移至 DropBox”了。需要点击“使用其他”,然后手工选择 DropBox 文件夹的 keychain 文件。
考虑到 keychain 文件被加密(因为忘记主密码谁也不能解开),又考虑到 DropBox 是一家美国公司,还考虑到 DropBox 在同步时使用了 SSL 加密,我认为这个同步是比较靠谱的。
然后说一下我的强密码计划。
密码门系列事件所影响到的网站我也有注册,如果这些网站都不给密码做 Hash 加密的话,我不相信剩下的那些网站也做 Hash。此外,谁也不敢保证剩下的那些网站不被拖库。对于重要的网站,我觉得有必要使用强密码。
强密码的意思是包含字母、数字和符号,而且位数要够长。除此之外,每个网站的密码还都不能一样。1Password 内置了密码生成器,你可以按照你的想法来生成强密码。密码管理器都会提供复制粘贴的工具,所以你不用担心这些密码不好输入。
所以我用了一晚上的时间,把最常用的十个网站全部改掉。这个中的辛酸泪我就不说了,反正改完 Facebook 密码之后我所有设备都被登出,在各种靠谱不靠谱的键盘上输入十几位字母、数字和符号组合的经历真是痛苦不堪。但一想到这样做可能会更安全,我就忍了。
最后,谈一下我的几点想法。
考虑到国内的现状,我不建议使用任何国产软件来管理密码。
如果某个网站需要注册,那就用一个临时邮箱和密码组合来注册进去。如果感觉不错,可以考虑换邮箱或者干脆重新注册一个帐号。临时邮箱有很多选择,我最喜欢用的是 10 Minute Mail,生成的邮件地址十分钟之后就会干净利落地自动销毁。
如果某个网站支持使用第三方帐号登录,也可以考虑通过 OAuth 授权的方式来进入。也请留意登录窗口的 URL 是否正确,流程是否使用 OAuth 2.0 规范(最基本的判定标准看是否用了 SSL,即网页地址以 https 开头)。海外网站我推荐用 Facebook,国内网站我推荐用微博。
我认为安全这件事情真的很重要,密码保护本应该是日常工作。像我这样懒惰的人,最终也被“逼迫”到使用密码管理器,也算是好事一件。
很及时的文章。
不过1password 70刀的价格实在是太贵了,lasspass是月费机制,每月1美元,也不便宜。现在还没有决定到底选哪个。
@ctos
目前正在打折,你可以去看看,我写这篇文章的时候打折价不到50美元。此外,你可以考虑参加或发起团购。1Password提供5用户的授权方式,平均下来还不到20美元。以上说的都是Mac+PC捆绑版。
我现在在电脑上用免费的Keepass
1Password全套了,iOS OSX PC
我先前一直用lasspass,密码量上来了,实在懒得换了。想让大鱼君对比下lasspass和1Password的优劣。
lasspass的掌上设备版需要购买1刀/月的高级版才能使用,前两天他家做活动,EDU邮箱可以获得6个月的使用权,虽然拿到高级版了,但是感觉在掌上设备上用起来不是很好用。
另,69.99刀是终身使用?还是年费?
@SandLiu
我不喜欢年费模式,我更喜欢“一手交钱一手交货以后除非我愿意否则不要再烦我”模式,所以我没选LastPass而选择1Password。移动设备上用1Password也就那样,输入长密码串的时候一样难受。
此外,1Password有iOS和Windows Phone 7,正好够我用。
有iOS&OSX&PC三平台的捆绑销售优惠么?需要多少刀?
还有问个很重要的问题,软件是一次性支付,终身免费升级?还是小版本升级免费,大版本升级既然需要重新购买?Thx
OSX 和 PC 版本有捆绑销售优惠,iPhone 和 iPad 版本也算是有吧(Universal 版的价格低于两个版本之和)。
升级必须按照作者的意愿,目前还没有大的升级。