安全的密码以及密码管理器

安全的密码以及密码管理器 #

什么是安全的密码? #

一个安全强大的密码应该包括:至少25位字符,包含大小写字母、阿拉伯数字和特殊符号,而且不能使用常见单词、常见词组,也不要包含你的名字、生日信息,甚至连你喜欢的诗歌、音乐名字都不要有。

像这样的就不是一个好密码和强密码:iloveyou123

像这样的才是好密码和强密码:$!5:d(CTU#L.!m=x/hzH.L4ru

点击查看《盒中安全手册》关于什么是安全密码的详细解释。

那些不用密码管理器的人 #

不用密码管理器的人,会怎样创建和管理密码呢?

  • 大多数人会设置比较简单的密码,方便记忆。

  • 还会在不同网站使用相同的密码,或者相似的密码。

  • 还会把密码保存在浏览器里,方便下次直接登录。

  • 还有些人会把密码用明文形式存储在电脑或者手机的记事本里,而且这个记事本也不加密。

如果你也这样操作,那可真的太危险啦!

密码管理器的两个主要作用 #

  • 生成唯一的、随机的、复杂的密码。

唯一,意味着不同网站使用不同密码。即使 A 网站的密码库泄漏,黑客也无法得知你在 B 网站、C 网站的密码。随机和复杂,意味着它不是常见单词、常见数字,而是随机字符。像上面举例的那个 $!5:d(CTU#L.!m=x/hzH.L4ru 就是唯一、随机的密码。

  • 加密保存所有的密码。

既然你给每个网站生成唯一的、随机的、复杂的密码,那么你的大脑肯定记不住它们,因此就需要密码管理器帮你保存这些密码。

这时,你唯一需要记住的,就是密码管理器本身的密码。密码管理器相当于一个“保险箱”,你只需要记住保险箱的密码,而不用去记里面几十、上百个随机密码。

注意:使用密码管理器的时候,一定要做到:保存好你的密码数据库文件,最好有至少两处备份,并且记住你的密码管理器主密码。

常见密码管理器推荐 #

总体上,我们优先推荐比较流行的开源软件,而避免闭源软件;优先推荐没有云端存储、多设备同步的软件。但在有些情况下,云端存储也有它的好处,因此以下也会推荐具有云端存储、多设备同步功能的密码管理器。

一、KeePass 及其衍生软件 #

  1. 下载

    https://keepass.info/download.html

    你可以在这里找到 KeePass 以及适用于每种操作系统的 KeePass 衍生版本。比如用于 macOS 的 MacPass,用于 Linux 的 KeePassXC

  2. 推荐理由

    我们优先推荐 KeePass 及其衍生软件,主要有两个原因:它们是开源软件,不会将密码数据库同步到云端。

    关于是否要将密码数据库同步到云端,一直存在争议。有些人认为同步功能很方便,有些人则努力避免将敏感信息(比如密码)同步到云端。大多数情况下,我们认同后者,不建议将密码数据库同步到云端。但在一些情况下,同步到安全的云端存储,或许也是个好主意。详见后文 Bitwarden 部分的说明。

  3. 安全特性

    与其它常见的密码管理器不同的是,KeePass 的安全设置分为好几个层次:

    • 最简单的,是为密码文件设置一个“主密码”。只要正确输入主密码就能解锁密码数据库,看到所有密码。

    KeePass

    • 略微复杂一点的,也是更安全的,可以在“主密码”之外,再设置一个“密钥文件”。

    KeePass

    每次解锁密码数据库时,需要正确输入主密码,并且导入正确的密钥文件。这种方法的风险显而易见,它需要两个要素齐备才能解密。一旦你丢失两者之一,就再也无法解锁密码数据库,这里没有“忘记密码”或者“重置密码”功能。然而同时,在一些极端情况下,这种方法也有它的好处。密钥文件是一个大小不到 1KB 的文件,你可以在瞬间销毁它。如果遇到一些极端情况(比如警察破门而入),你可以马上销毁密钥文件,这样就再也没有人可以访问你的密码。

    • 支持硬件安全密钥,比如 Yubikey 和 Onlykey。

    KeePass 是非常流行的开源密码管理器,你如果想了解它的详细功能,很容易搜索到相关文章或视频。

    比如这篇文章详细介绍 KeePass 的用法: https://sspai.com/post/44126

二、Bitwarden #

  1. 下载

    https://bitwarden.com/

    它支持几乎所有常见的电脑和手机操作系统,你可以在其网站找到对应的版本。它还提供针对九种浏览器的扩展插件。

  2. 推荐理由

    Bitwarden 由美国公司 Bitwarden Inc. 开发和维护,部分开源,但并非完全开源。它是目前非常流行的密码管理器,网络安全社区的很多人都在使用和推荐它。支持多种不同的条目类型,支持云端存储、多设备同步、端对端加密。(详下)

  3. 安全特性

    • 除了基本的密码生成、密码管理之外,Bitwarden 还提供多种条目类型(如下图),包括银行卡信息管理、多重身份管理(有些人可能需要在不同地方使用不同的身份,因此就涉及到身份管理)、SSH密码生成和管理等。至于要不要把银行卡信息同步到云端,请你自行决定。

    Bitwarden

    Bitwarden

    • 云端存储和多设备同步。有些情况下,你可能希望既能在本地访问密码数据库,又能将它存储到云端。

    比如,如果警察搜查你的电脑,发现你的电脑里有 Bitwarden 客户端,就有可能要求你交出 Bitwarden 的主密码。而如果你在交出电脑之前,就从电脑里删除 Bitwarden 客户端,同时将密码数据库备份到云端,那么警察就不容易发现你在使用某种密码管理器。——这需要一系列配合的操作才能奏效。如果你只是删除 Bitwarden 客户端,却在电脑浏览器收藏夹里保留着它的网站链接,而且也没有从浏览器里删除访问它的记录,那警察还是会发现你在使用它。

    • 支持多种二步验证功能,包括 Email 验证,验证器 APP 验证,硬件安全密钥验证等。

    • 允许用户自行架设 Bitwarden 服务。这里要提醒的是,自行架设该服务之前,请先评估你(或者团队)的技术安全能力。如果你们并不擅长管理自行架设的服务,那还是请乖乖使用 Bitwarden 已有的服务。

三、Proton Pass #

  1. 下载

    https://proton.me/pass

    它支持几乎所有常见的电脑和手机操作系统,你可以在其网站找到对应的版本。它还提供针对五种浏览器的扩展插件。

  2. 推荐理由

    Proton Pass 由瑞士公司 Proton AG. 开发和维护,是 Proton 邮箱的姐妹产品,需要使用 Proton 邮箱账号登录。它是开源软件,支持多种不同的条目类型,甚至可以自定义更多的条目类型,还支持云端存储、多设备同步、端对端加密。(详下)

  3. 安全特性

    • 除了基本的密码生成、密码管理之外,Proton Pass 还提供多种条目类型(就像 Bitwarden 一样),包括管理信用卡、管理多重身份。

    Proton Pass

    • 直接在 Proton Pass 里面创建邮箱别名(email alias),也就是隐藏你的真实邮箱地址,使用一个临时的别名。这个功能是由 Simple Login 服务实现的,Proton 2022 年收购了这家公司。

    Proton Pass

    • 如果以上这些条目类型还不够用,Proton Pass 还允许你创建更多的条目类型,包括数据库、服务器、SSH密钥,甚至可以将驾照、护照信息也放进去。这些与个人真实身份相关的敏感信息是不是也要用 Proton Pass 存储,请你自己决定。

    Proton Pass