查看原文
其他

再有人问密码管理,把这篇文章发给他!

奔跑中的奶酪 奔跑中的奶酪 2022-05-20
1、阅读本文预计需要 7 分钟,并提供了资源下载。
2、本文是网上冲浪指南专题i28篇的首次发布
3、第一时间获取更新,欢迎关注「奔跑中的奶酪」。



导读


世界上难办的事情分两种:一种是困难的,一种是麻烦的。

密码管理属于第二种。

密码是属于那种如果简单了,就容易被盗,而如果复杂了,又容易记不住的事情。

本期内容就帮大家彻底解决这个问题。

文章的一开始可能会点难理解,但别担心,到了后面的实际操作,也就“抖音cmd黑客”的水平。





01


密码是怎么被盗的


互联网有云:上网不安全,安全不上网。

只要你上网,你的密码就有被盗的可能,因为风险可能发生在上网的每一个环节。

比如在输入密码时,如果电脑中了盗号木马,那么密码就会被窃取。

又比如在网络传输时,如果密码是明文传输,又或者你访问的网站本身就是钓鱼网站,那么密码一样也会被窃取。


但真正让用户担心的,还得是网站数据库泄漏

也就是我们把密码交给了网站,但网站保管不善将密码泄漏了出去,比如 2011 年的“CSDN 密码外泄事件”,就有超过 600 万帐号密码被泄露。


1、拖库


业界把黑客窃取网站数据库的行为,叫做“拖库”,也戏称叫做“脱裤”。


在众多数据库泄漏事件中,最有名的当属 2013 年 Adobe 公司的数据库泄漏

事件影响超过 1.52 亿个帐户,于是一个叫做
https://haveibeenpwned.com(我被搞了吗?)的网站成立,只需要输入邮箱就可以查询自己的帐号是否泄漏。



2、洗库


网站一旦被入侵,如果数据库未经加密,那你的密码就相当于裸露在黑客面前,此前的“CSDN密码外泄事件”就是明文储存密码。

可即使网站做了加密处理,也同样有被破解的风险。

现在大多数网站都会采用“MD5 加密”,也就是将用户密码散列成 32 位字符,这个过程单向不可逆,所以理论上无懈可击。

但黑客们会对密码进行枚举破解,然后把密文做成一个索引表,由此来反推原始密码,这个索引表也叫做“彩虹表”。

业界把黑客对数据库进行破解,然后按一定格式进行整理的行为,叫做“洗库”。


在这种情况下,一些网站还会在 MD5 加密的基础上进行加盐(Salt)。

也就是在原来的基础上添加一个随机数,然后再重新获得一个 MD5 加密值,这样密码的安全性就大大提高。


可要是你的密码很简单!

即便是加密加盐,通过“彩虹表”还是可以破解。

所以一些涉及财产的网站,会要求用户进行“二次验证”,比如有 短信验证码、邮件验证码、数字验证码、动态令牌、Usb Key 等方式。


3、撞库


洗库成功后,黑客还会把有效的帐号密码,去到别的网站上登陆,这个过程叫做“撞库”。

原因是很多人喜欢在不同的网站上都使用同一套帐号密码,虽然方便,但这就像是一把可以打开多扇门的钥

此前的“京东密码泄漏事件”,就是黑客通过“撞库”的方法,凑巧地获得了一些京东用户的数据,而京东本身的的数据库并没有泄漏。


黑客还会将有效的数据库在黑市出售或者交换,久而久之形成的“社工库”就非常的庞大,撞库成功的几率也就非常的高。

你的密码被盗也就不奇怪了。



02


常见密码管理方法


所以,要保障密码安全,我们要做的是:使用复杂密码还有在不同网站使用不同密码

可想要让密码也同时容易记住,那就需要些技巧了,目前有两种方法:


1、基础密码变形法


一种方法是通过「基础密码+网站名称+变化规则」来构建一套密码清单:

首先,选定一个基础密码

选择一句话做为基础密码,然后取这句话的拼音或者英文。比如 “网上冲浪指南2021” 的拼音是:wsclzn2021

然后,混合加入网站名称。

取各个网站域名的第 1~2 和第 3~4 位字母,分别加入到密码的开头和结尾

比如 baidu.com 取前面 4 位字母就是 ba 和 id,混合加入后就是:bawsclzn2021id

最后,添加一套变化规则

比如把 2021 里的 21 变成按 Shift 键之后的特殊字符 @! ,也就是:bawsclzn20@!id

又比如把密码的第 2 位和倒数第 2 位字母变成大写字母,也就是:bAwsclzn20@!Id


如此一来,我们就得到了一套适用于多个网站,且看似乱码实则安全容易记的密码清单了。

可是,这套密码清单算不上绝对的安全。

首先,黑客也不傻,只需要对比两三个样本后,变化规则就被看穿了。

其次,如果某个网站需要改密码,那么就会在原来的规则之上增加例外规则,例外规则多了,密码管理也就混乱了。


2、密码管理工具法


于是,另一种完全不用记密码,甚至不需要任何技术的方法出现,也就是使用密码管理工具。

它的思路是,每个网站都有一个独立的随机密码,然后将这些密码保存起来,需要时就会自动填充,我们只需要记住一个主密码就行。

这样的密码管理工具很多,比如有:

BitWarden、EnPass、Lastpass、KeePass 和 1PassWord 等等。


你要问安全不安全?

这些密码管理工具采用了 AES-256 这类极高的加密算法,除非量子计算机出来,否则完全没有暴力破解的可能。

你要问要钱不要钱?

密码管理工具的选择有很多,免费付费的都有,BitWarden 是目前最适合一般用户的选择,开源免费不说,上手还极其的简单。




03


如何做好密码管理


下面我们来讲讲如何使用 BitWarden。


1、快速登录


如果是个人电脑,可以设置 BitWarden “从不退出”。

而如果是公司电脑,那么可以用 PIN 码的登录方式,手机端还支持 TouchID、FaceID 这样的生物识别技术,很方便。


2、自动填写密码


使用右键菜单,又或者使用快捷键 Alt+L(可自定义)就可以手动填写密码。

勾选“设置—> 选项—> 启用页面加载时的自动填充”,拓展就会自动填写密码,省去了选择的烦恼。

如果出现不能保存的情况,那么需要点击右上角的“+”图标手动来添加。


至于想登陆 QQ 等客户端软件时,使用快捷键 Alt+K 打开密码库,复制密码,然后粘贴到登陆窗口就可以了。

3、自动填写表单


BitWarden 的自动填表功能包括 4 类:登陆、支付卡、身份、安全笔记。

登陆:
用于保存网站的帐号和密码,最主要用的就是这个。

支付卡:
用于保存信用卡信息,一般很少用到,可以忽略。

身份:
用于保存注册帐号时的身份信息。

安全笔记:
用于保存私密信息,比如银行卡卡号、软件序列号等之类的都可以保存在这里。


这里特别讲一下“身份”这一栏。

在注册帐号时,我们需要输入用户名、电子邮箱、姓名、地址等信息。

如果事先将这一套“身份”信息保存起来,注册时就会自动填写,需要区分大号大号时,还可以设置多套“身份”信息。

4、主密码忘记了怎么办?


BitWarden 有密码提示功能,可以通过邮件获得。

但如果你连密码提示都不记得了,那就只能通过邮件将 BitWarden 帐号删除,然后你注册过的网站密码,可以通过“忘记密码”找回。

所以千万别忘记主密码。

5、公共场所登录怎么办?


比如需要在网吧、图片馆、别人电脑等非私密场合使用,那么可以使用手机端的 “Send” 功能。

也就是将密码以“链接”的形式分享出去,设置链接的有效期为访问 1 次后失效,这样就不用担心密码会泄漏的问题。


6、无法自动填写怎么办?


有一些网站无法自动填充密码,也无法粘贴密码,但好在这样的网站极少,如果真遇到了,那就用“基础密码变形法”手动设置一个密码吧。

做到这些,几乎这一辈子你都不会有密码安全的问题。



结尾


能做到这些,这一辈子就几乎不会有密码安全,以及密码记不住的问题了。


如果有其他的问题,欢迎在评论区里留言,我会尽可能的回复。

最后,如果再有人经常密码被盗,再有人记不住密码,那就把这篇文章发给他…



回复关键字
i
查看本系列的所有文章,
回复关键字
 i28
获取本文提到的所有资源

相关文章:




看完文章:

1、点在看,帮助更多的人看到这篇文章。
2、写留言,对文章进行评论,我会尽可能回复。
3、点关注,关注我并星标,第一时间获取更新。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存