小熊の小站

Try my best.

使用密码管理软件管理你的密码

Littlebear0729's Avatar 2021-10-03 折腾记

  1. 1. 安全漏洞
  2. 2. 密码管理软件
    1. 2.1. 被攻破了怎么办?
    2. 2.2. 都有什么优点?
    3. 2.3. 都有什么缺点?
  3. 3. 对比与推荐
    1. 3.1. Bitwarden(推荐)
    2. 3.2. KeePass
    3. 3.3. 1Password 和 LastPass
    4. 3.4. Chrome 记忆密码 和 iCloud钥匙串
  4. 4. 不同设备的自动填充体验

现在各式各样的互联网服务越来越多,对于一个互联网服务,你基本上必须要注册成为一名用户才可以使用。那么我们注册了那么多的用户,如何统一管理自己的账户和密码呢。

安全漏洞

  1. 弱密码

    用户喜欢用「123456」、「password」、「1qaz2wsx3edc」这种简单的弱密码作为自己账户的密码。这种典型的弱密码已经在密码词典里了,有心之人可以不费吹灰之力就可破解你的登录凭据。

  2. 相同密码

    如果你在不同的网站使用相同的用户名密码组合作为你的登录凭据,其中一个网站的登录凭据遭到泄露时,你在其他网站的账户也有可能处于危险之中。

  3. 不可靠的密码存储方式

    用户喜欢把重要的密码存储在手机备忘录里,或者记在本本上,都会增加被盗用的风险。

    有的网站极其不负责任,将用户密码明文存储在数据库,甚至数据库的访问权限都不设限,用户的登录凭据一览无余。

  4. 不可靠的两步验证方式

    现如今大多数互联网服务使用手机验证码或邮件验证码作为重设密码、登录的两步验证方式。在手机被盗、邮箱被盗的情况下这种验证方式变得十分不可靠。

    TIPS:为手机SIM卡设定PIN密码,在每次重新插卡、重启手机后需要输入PIN码才可以使用SIM卡,可以减少很多手机被盗时候的麻烦。

    相反,类似Google Authenticator、Yubikey等APP、硬件两步验证方式更加可靠一些。

    APP安利:推荐Authy作为Google Authenticator的OTP替代品,优势是可以云同步。

密码管理软件

密码管理软件使用一个主密码可以帮你记录所有服务的登录凭据,以后你只需要记住你密码管理软件的强密码即可登录你所有的互联网服务。

鸡蛋不能放在一个篮子里。

被攻破了怎么办?

大多数密码管理软件宣称自己使用了AES-128位以上的加密算法。可以保证即使密码管理软件被攻破,只要是没有主密码,存储的密码信息也不会被看到。具体是否使用此类密码管理软件,还是取决于用户对于密码管理服务提供商的信任程度。

都有什么优点?

  1. 密码生成器

    大多数密码管理软件内置了各种强度的密码生成器,这意味着你可以为每一个账号设定一个不同的高强度登录密码,可以防止被「脱库」的风险。

  2. 密码云同步

    云端的密码同步可以让你在不同设备、不同浏览器都可以无缝共享你的密码库。

  3. 自动填入密码

    通过安装客户端、浏览器插件即可实现自动填入你的高强度密码。在移动端设备,只需要一个指纹、一次扫脸即可自动填写密码,不需要繁琐的记录和输入你每一个网站的高强度密码。

  4. 互联网服务的整理

    通过密码管理软件,你可以看到你都在哪些网站注册了用户,可以注销掉一些不需要的账户,精简自己的账户体系。

这一切,你只需要记住一个你的高强度密码。

都有什么缺点?

  1. 主密码泄露

    一般情况下,高强度主密码应当记在脑中且不与任何历史密码重合。但是如果你的主密码泄露,你密码管理软件中所有的账户就对有心之人敞开大门。

  2. 密码管理软件有后门

    如果你信任你的密码管理服务提供商,就不会担心这个问题。LastPass、1Password等是闭源后端,无法保证他们的服务没有后门。但是Bitwarden、KeePass等是开源后端和客户端,每一行代码都暴露在用户眼睛之下,基本上可以排除有后门的情况。

  3. 没有网

    如果你的密码管理软件依赖网络进行同步,而你恰好在离线环境,可能就无法知道你的账户密码了。

  4. 在公共计算机登录可能会麻烦

    公共计算机不会安装密码管理软件,你如果要登入你的账户的话可能需要你在其他设备查询账户的密码,然后手动输入到公共计算机中。

对比与推荐

Bitwarden(推荐)

Bitwarden是我第二个使用的密码管理服务。其免费(内购)、后端开源的优势让我信任他并当作我主要的密码管理方案。鉴于他后端开源的优秀特性,我得以搭建自己的密码管理服务器,体验官方的内购服务。

感兴趣的读者可以体验一下我自己搭建的密码管理服务器:https://bw.bearxiong.xyz

免责声明:

理论上来说,只要是我一直使用Bitwarden作为我的密码管理软件,我就会一直维护我的密码管理服务。

但是我并不保证服务器的在线时长(SLA),也不保证我密码数据库不会被泄露(即使泄露也是有用户主密码加密)。

如果你使用我的密码管理服务你应该知晓这几点,做好自己的密码备份。

KeePass

KeePass也是一个优秀的密码管理软件。优势在于免费、开源、离线。它的密码库存在本地文件当中,并用你的强密码加密。如果你的设备单一,可以考虑使用KeePass。如果要云同步你的密码库文件,可以考虑使用WebDAV等服务。

在不同的设备上,KeePass都有很多不错的开源客户端。感兴趣的读者可以尝试一下。

1Password 和 LastPass

LastPass是我第一个使用的密码管理服务,原先在安卓7、8上的自动填充体验不佳。现在好像是需要付费才可以使用。

1Password是年付费订阅制,学生可以有1年的免费体验,感兴趣的读者可以试试。

Chrome 记忆密码 和 iCloud钥匙串

Chrome记忆密码在多设备同步上还是有一定的局限性,在自动生成强密码方面还是欠缺。

如果你使用的是苹果全家桶,iCloud钥匙串可以提供非常好的使用体验。但是如果有安卓、Windows等设备可能就会麻烦一些。

不同设备的自动填充体验

大多数密码管理软件在苹果设备上的自动填充体验都不错,使用TouchID、FaceID基本上仅需2秒即可填充密码。

在Android 10,使用Bitwarden的自动填充有的时候需要多点几次才可以跳出来。

本文作者 : Littlebear0729
本文使用 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 协议
本文链接 : https://blog.bearxiong.xyz/2021/10/%E4%BD%BF%E7%94%A8%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E8%BD%AF%E4%BB%B6%E7%AE%A1%E7%90%86%E4%BD%A0%E7%9A%84%E5%AF%86%E7%A0%81/

本文最后更新于 天前,文中所描述的信息可能已发生改变

本文发表于  , 最后修改于 

折腾记