重视密码安全—密码管理方案

2016年12月11日

互联网在生活中的重要性不言而喻，而且还在更加深刻的渗入生活，互联网的账号体系也变得越来越庞大，所以账号安全问题一直是个重要命题。数据泄露、用户数据泄露之类的新闻，每个月都能见到那么几个，动辄几十G的信息泄露，被骇客拿到黑市上卖。

昨日有媒体报道，称疑似京东12个G数据遭泄露，涉及用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度信息，对此，京东表示经初步判断，该数据源于2013年Struts 2的安全漏洞问题。
——2016.12.11

被泄露的密码一般会先经过骇客的洗库，把账号中有价值的虚拟货币和装备全部转移，留下的信息再放到黑市中卖掉。也就是说，当得知数据库泄露在互联网上，一般都是被入侵三个月以后了。

我一直都认为密码被盗这种事情不会发生在我身上，因为我还算是比较注意密码安全的，但是最终发现百度账号还是被入侵了。因为百度账号我并不常用，所以并没有带给我多少损失。账号被盗三个月后才被发现，发现后又嫌改密码太麻烦，所以还是没有管，又过了一个月需要在百度文库下载文档时想到了应该改密码了。

在账号被盗的这段时间中，只注意到账号在百度贴吧发了大量的广告被永久封禁，百度贴吧我也不用所以又是没管。百度账号被盗是有些大意，但我之前也是对密码安全做过了一些措施：

密码分级：常用的社交账号和网银账号为第一级，时不时用的账号为第二级，临时账号和不重要的分为第三级。三种不同等级的密码分别使用不同的密码体系。第一级的密码要分别使用带有特殊字符、小写字母和数字的不同密码。而第二级密码则是数字加字母，且可能重复会有规律。第三级密码则都是方便输入的简单字母加数字。

密码前缀：制定规则给密码加上前缀，可以一旦程度上防止被拖库。比如自己想了一个密码“123456”，如果所有账号都使用这个密码，那么当一个账号被黑了后，所有相同密码的帐号都被连带攻破了。如果加上前缀，比如百度账号密码为“baidu-12345”，腾讯QQ密码为“qq-12345”或者“tengxun:12345”。这样的密码既方便记忆，又能够增强密码安全。但这种有规律的密码仍然不安全，如果综合多个被黑的泄露密码去猜测，很容易发现这个规律。尤其对于网银等支付密码，犯罪分子会投入更多的精力去破译密码。

百度账号被黑是主要因为它被我划入第三级密码，根据密码管理工具lastpass的统计，我有多达170个账号使用了和百度账号一样的相同密码，被拖库的原因。单凭借人的记忆不可能给每个账号分配一个高强度的复杂密码，所以第三级的密码被黑也应该在预料之中，因为没有足够的精力去照料那些不重要的账号，所以默许了被盗取的风险。不过在账号被黑之后让我对待重要的账号更加谨慎了，也开始寻求更加简单、安全的密码管理方式，所以把目光瞄向了密码管理工具，目前看上的主要有两个：

一、Keepass

Keepass全称为Keep password safe，意味保持密码安全，是一个开源、免费、多平台和支持同步功能的密码管理工具，可以下载到简体中文的语言包以汉化主程序，不过有着开源软件的通病，界面不够美观。

由于密码管理工具的一大优势就是生成复杂密码和自动输入，这两个功能相互补充共同兼顾着密码管理工具的安全和效率，所以所有平台都应该很好地适配这两个功能，这是一个重要的基础功能。

Keepass是开源工具，虽然官方只有Windows版本，但是其他开发者开发了多个平台的客户端。安卓有Keepass2android，界面和同步方面比电脑端更加易用，但自动输入功能相对很弱。

Win10环境下电脑端Keepass无法安装插件，所以放弃了Keepass，但Keepass仍然是个优秀的密码管理工具（出于对开源的热爱）。

二、Lastpass

Lastpass（点此注册）是一款开源工具，支持多平台、同步、多语言和拥有多平台同步的免费版本（2015年8月12日宣布开放移动端免费），这一点非常厚道，因为免费版完全够用。商业服务的一大好处界面美观和易用程度较为完善，Lastpass比Keepass更加容易使用，由于密码都保存在Lastpass服务器上，所以密码是否安全，也很大程度上取决于Lastpass的服务器安全。Lastpass有导入Chrome中已保存密码的插件，所以可以无痛切换。

这里需要提一下Chrome浏览器（也包括其他浏览器）的保存密码功能，自动填充密码而不需要验证主密码的功能实际上降低了密码的安全性，并且浏览器端的密码保存无法在客户端上进行自动填充，所以若生成复杂密码让浏览器管理，就会特别不方便了。

Lastpass的安全性也经常遭到一些人的质疑，认为用一个密码去管理所有密码是愚蠢的，并且数据放在lastpass服务器中没有放到自己手中放心。这实际上是一个仁者见仁智者见智的问题，生活中易用性和功能性都是成反比的，因为多样化的功能往往需要多样化的操作来完成。若是追求高度的安全性，可以使用买个纸质笔记本来管理自己的所有密码，所有密码都设置为高强度的复杂密码，这种密码还必须经过“加密后”写在笔记本中，在需要时自己手动计算解密。

lastpass的易用性毋庸置疑，官方的引导和说明可以使用户非常轻易的入手。对于lastpass安全性的质疑，我认为较为聪明方法仍然是密码分级管理，把密码管理工具作为其中一级的管理手段。对于金融、支付、社交等最为重要的少数几个账号，使用大脑记忆，而剩下的密码交给密码管理工具。

总之，无需过度的追求安全而降低了自己的使用体验，把自己的大量时间精力浪费在“安全”上，而那些对密码安全不曾注意的人，也不妨花点心思，不要等到造成了实际损失后才后悔莫及。