管理好你的密码

2011年的年末,中国互联网出现了大规模的密码泄露事件,一大批的国内网站用户数据库被泄露,包括CSDN的600万用户数据,天涯4000万用户数据,人人网500万,新浪微博476万,开心网,多玩游戏,猫扑,7k7k,178,美空网,百合网,嘟嘟牛,珍爱网,世纪佳缘,支付宝,当当,京东,广东省公安厅出入境政务服务网等等,都被泄露的用户邮箱或者密码等信息。

在这种情况下,大家都人心惶惶,到底我的密码安全吗?我该如何设置我的密码?——这篇文章,将告诉你以下三件事情:我该如何设置我的密码?我如何管理我的密码?为什么要采用我推荐的密码管理方式?

(一)我该如何设置我的密码?

最原始的方式,就是记在你的脑子里,永远都不要和别人说。这是最安全的方式,也是最简单的方式。很可惜,这种方式的存在两个风险:(1)你一般是设置所有网站都用一个密码,一旦你的密码被人破解,你所有的网站都面临风险;(2)如果你设置的不是所有的网站都是一个密码,那么你能记得住所有网站的密码吗?你面临着忘记密码的风险。

有人可能会推荐分级密码管理的方式了,对于包含个人信息的网站,涉及到金融账户的网站,采用高强度的密码,对于平时一般登录的社交网站,聊天工具,采用一般的简单密码。这种方式是不错,不过对于少量的网站,是可以用该方式,但是如果网站数量多的话,且要为同一等级的不同网站设置不同密码,这样的密码记忆起来也相当痛苦。

所以,我们需要密码管理工具。为不同的网站设置不同的密码,且用超过10位的,包含不同字母,数字,特殊字符的组合来作为密码。在这里,我推荐使用lastpass。

(二)如何管理我的密码?

使用lastpass,唯一需要做的只需记住lastpass的主密码(master password),其他的交给lastpass去做。lastpass,顾名思义,你的主密码将是你要记住的最后一个密码,last pasword。我们现在来看看lastpass的使用方法。

首先先去lastpass网站注册一个帐号,点击右方的free download lastpass。可以看到,lastpass支持几乎所有的操作系统平台:windows,MAC,Linux,支持几乎所有的浏览器作为插件:firefox,chrome,IE,safari,opera,支持几乎所有的移动平台:HP webos,iOS,安卓,塞班,windows phone和黑莓。

下载完成后,安装,你可以选择让它包含在你所有的浏览器上,firefox,IE和Chrome。我以firefox为例,安装好后,lastpass成为了你浏览器的插件了。

点击创建账户。

下面这一步就比较关键了,需要你输入你的主密码,你要是忘记了这个密码,连lastpass都无法帮你要回来,无法重置,因此你必须牢牢记住你这个主密码,它也是你今后需要记住的唯一一个密码。对于密码提示,你可以适当的填写,以便于你真的忘记主密码的时候,能根据密码提示回忆起你的主密码。下图是个例子。

后续:

可以让lastpass查找下你电脑中是否有不安全的数据,如浏览器的表单或者密码信息,如果有,可以导入到lastpass中,让lastpass来做管理。

让lastpass自动填写表单。

后面2步骤可以直接不填,直接next过即可。

ok,我们已经建立了lastpass账户,你只需记住你的主密码,其他的密码交由lastpass来管理即可。如你要建立或者修改你的密码,我可以让lastpass帮我生成一个。我们以修改人人网的密码为例:
你可以选择点击lastpass的插件,选择“工具”-“生成安全密码”:

或者lastpass自动感应到到有需要生成新密码的地方,它会提示一个“生成”按钮,点击:

你可以选择密码的复杂程度,如果不满意当前密码,只需再次点击“生成”,就会生成另外一个,直到你满意为止。

新密码会自动填入到对应的表单中:

注意!!lastpass感应到你是修改密码,会提醒你它之前记录的密码已经被修改成你现在的另外一个,要你确认,此处务必记得按“确认”按钮。

OK,密码修改完毕。人人网的密码只是一个例子,你所有的网站密码都可以交由lastpass来管理,它会帮你生成,帮你保存,帮你填写,你只需记住你的主密码即可。需要的时候,你可以点击lastpass插件,“我的lastpass密码库”来查看你所有的密码:

所以,你所有的密码只需交给lastpass,你所有网站的密码都是复杂密码,你每一个网站都可以设置成不一样的密码,而你却不必去记忆。

到了这里,你是不是在担心,我的主密码的安全性?万一别人知道我的主密码怎么办?在这里lastpass还提供了好几种方法来加强主密码的安全性,如YubiKey、闪存盘、指纹识别设备、Google Authenticator。yubikey在@yegle 同学那里有得买(点这里,淘宝店)。

而我则采用了google的二步验证(Google Authenticator)方式。

利用google二步验证,每次新的设备,不管是新的电脑,还是新的浏览器,在登录lastpass之前,就需要你输入一个google二步验证生成的数字,这个数字随着时间会变,类似RSA的动态令牌,只有当通过google验证之后,且正确的输入了你的主密码,你才可以登录lastpass。

下面我们开看看如何来为lastpass启用google的二步验证(需要智能手机设备,以下以iOS为例)。
先去appstore下载Google Authenticator的软件。

点击lastpass的账户,里面有个Google Authenticator菜单:

开打iOS设备上的Google Authenticator的软件,点击“+”,选择扫描条形码:

用摄像头对准lastpass中的Google Authenticator菜单的二维码:

然后就自动的帮你生成lastpass的google验证码了。这个验证码会根据时间自己改变(左上角有个倒计时的图形),在每次登录新设备的时候,需要输入改验证码,不然,仅是知道主密码也是无法登录的。

当你在新设备上登录时,如在IE上登录时,在输入主密码之后,需要输入你的google验证码,才能完成登录。

如果你觉得这台设备是可以信任的,那么可以勾上“This computer is trusted”,这样在下次在该设备上登录的时候,就不必输入google验证码了。

请务必保持2台以上的机器设置为可以信任,在2台以上的智能设备安装Google Authenticator,务必记得lastpass主密码的的邮箱密码(这可能是你需要记住的第二个密码了,如果启用google验证的话。),不然,你丢失或者损坏了智能设备,如iOS白苹果,你需要取消二步验证,那么lastpass会把取消的链接发送到你邮箱,如果你又进不去邮箱,那你就没法进lastpass了。所以设置2台机器信任,在2台智能设备上安装Google Authenticator,是为了防止Google Authenticator单点故障。

如果你担心你的iOS设备被偷,同时偷你iOS设备的那个人又知道你的lastpass主密码,(当然这种可能微乎其微),我再建议你为你的iOS设置锁屏密码。这样即使偷了,也无法进入主菜单,无法打开Google Authenticator。

OK,写到这里,lastpass介绍的差不多了。你或许会觉得lastpass确实是管理密码的好帮手,但是你会有个疑问,我可以在我的移动设备上管理我的密码吗?

答案是可以的,有两种方式,一种是通过访问m.lastpass.com;另一种,更方便,不过需要升级到高级账户,价格是每月1美金,这个价格不算贵,支持google checkout(现在应该叫google wallet了吧),paypal和moneybookers付款。前两者是我们比较常用的付款方式。升级为高级账户后,你就可以在你的移动设备上,如iPhone上下载lastpass的app(app免费,但是登录时会检测帐号是否为高级账户),然后在你的移动设备上管理lastpass了。如你安装了人人网的app,那12位的复杂密码你懒得在电脑上打开lastpass插件,然后记录下来,在写入到iPhone上的人人网app中,你就只需点击copy password即可。

(三)为什么要采用我推荐的密码管理方式?

好了,我们再回到这个问题上来。其实问题的答案已经显而易见了,用lastpass你可以很轻松的管理你的密码,只需记住一个(最多2个,如果你启用google验证的话)密码。另外,它还支持在移动设备上的操作,也就是说,它不仅保留在本地,也在云端有份数据,即使你的本地数据损坏,云端还仍然有一份数据。

或许你又会问,在云端,它安全吗?

是这样的,lastpass的密码采用256位AES加密算法对本地和网站上的密码数据库进行加密,并在数据传输时使用SSL加密连接等措施确保数据安全。也就是说,,在本地利用单向的hash加密后才传输到云端,即使在云端获取了数据,也是经过加密的。云端的数据,传输到本地后,经过解密才得到密码明文数据。

最后,总结一下,lastpass,这是我相信的密码管理方式,简单,安全,方便。

相关文章

2条评论

回复 刘小白 取消回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据