这段时间Twitter发出公告说,无意中在日志里记录了用户的明文密码,请求所有用户修改自己的密码。之前GitHub也发生了相同的事情

这让我觉得必须要推荐密码管理器了,已经在用的人就不用看了。但是没有用的人必须看。

密码管理器就是一个小本本,记录你的所有密码(以及相关的秘密信息),而这些密码往往是随机生成的。密码管理器被一个主密码保护起来,只要你记得主密码,就能获取到里面的所有密码。

随机的密码有什么好处?

或者说,不随机的密码一无是处。现在网络服务五花八门,它们大多数需要一个密码。如果不用密码管理器记录你的密码,你不知道你的密码是如何被储存的。很可能大剌剌直接存起来,随随便便一个员工都能查到你的密码是什么。也有可能被加密存放 1,但是中间环节发生漏洞——就像上面那样。

如果你多个网站共用密码,比没有密码安全不了多少。

没有人会费尽心机入侵我。

谁也保证不了将来会发生什么。而且大多数时候,入侵一个人不需要「人」而是用脚本自动批量地试就行了(这叫撞库)。S1论坛被广告困扰,就是因为大量普通账户被自动窃取了。

我怕麻烦

在注册的时候去想符合网站规范的新密码更麻烦,更不用说记住了。被主密码保护住的密码管理器只需要记一个密码,这其实节省了更多时间。还有密码丢了以后找回密码的时间成本损失。至于金钱,考虑到密码被盗的损失,那就更不用说了。

为什么不用浏览器当密码管理器?

浏览器会将你的密码同步到他们的服务器。也没有像密码管理器那样注重安全,生成密码的功能没有或者很弱,没有定时锁定,也不能储存其他秘密信息,不能支持两步验证,不能结构化的管理和搜索(比如储存手机App的密码)…而且,换浏览器会很痛苦。

只有一个主密码会不会更加不安全?

多个密码你记不住,肯定会重用的,一重用就等于泄漏了。主密码可以很方便的定期更改。

有什么推荐吗?

  1. 1password - 行内领导,各方面还行,但是是订阅制,而且必须云同步。
  2. enpass - 我正在用。买断制。比较便宜(PC端免费)。功能齐全,我可以把密码库同步到云空间或者自己的服务器。但是这软件不开源,公司来自印度,新版本可能会改善用户对这个软件安全性的顾虑。
  3. keepass - 没用过,但是是开源的,对 iOS 支持不好。
  4. LassPass - 不好用,出过几次安全问题。
  5. bitwarden - 没用过,有人推荐,开源。

这类问题推荐可以去 slant 看看

  1. 严格来说,这叫 Hash,而不是加密。