|
#愛(ài)否精選# 免費(fèi)�,易用又安全。美中不足的可能在于生成密碼這一步?jīng)]有辦法完美集成在別人開(kāi)發(fā)的軟件中�,但是 FantasyPass 有計(jì)劃實(shí)現(xiàn) JS Extension,目前對(duì)我自己的使用來(lái)說(shuō)也很知足了�����。 ———————— 今天想要談?wù)劦氖且惶孜以谟玫拿艽a管理方案,我認(rèn)為還是比較安全又易用的����。 回想一下,大多數(shù)人的密碼管理策略可能有如下幾個(gè): 純大腦記憶所有的密碼:無(wú)疑這樣的解決方案十分痛苦��,這種情況很常見(jiàn)于不常使用互聯(lián)網(wǎng)服務(wù)的父輩或祖父輩�; 幾乎使用一套密碼來(lái)注冊(cè)所有網(wǎng)站:基本上遇到密碼泄露事件,撞庫(kù)攻擊�����,危險(xiǎn)性是最高的����; 分重要等級(jí)用幾套密碼來(lái)注冊(cè)所有網(wǎng)站:也是我上一種使用策略,雖然減輕的第二種情況的危險(xiǎn)性��,但還是有一定的危險(xiǎn)����; 使用記憶因子�����,實(shí)時(shí)大腦計(jì)算出正確密碼:我陪朋友去 ATM 取款的時(shí)候,在他旁邊陪了 10 多分鐘���,才算好密碼取出現(xiàn)金??����; 使用流行的密碼管理工具����,如 1Password、LastPass��、Keychain 等:要么太貴�����,要么平臺(tái)限制���,還不擁有密碼的存儲(chǔ)權(quán)�����。
本文要解決的就是現(xiàn)有的這些痛點(diǎn)�。在 2019 年的今天,我還是很推薦你嘗試一下這套密碼管理策略的�����。 密碼安全 & 便攜首先要解決的第一個(gè)痛點(diǎn)是密碼安全的問(wèn)題��。我找的解決方案是 花密��,引用一下官方的宣傳語(yǔ): 不一樣的密碼管理工具:可記憶����、非存儲(chǔ)、更安全跨平臺(tái)應(yīng)用支持:桌面版�、移動(dòng)版,隨處方便使用無(wú)需存儲(chǔ)密碼:計(jì)算獲得最終密碼���,沒(méi)有存儲(chǔ)過(guò)程��,更安全��。
它的工作原理大概是這樣子的:輸入一個(gè)「記憶密碼 + 區(qū)分代號(hào)」����,然后經(jīng)過(guò)一個(gè)特定的 Hash 算法,獲得一個(gè)「最終密碼」����。這個(gè) Hash 算法主體是由多個(gè) MD5 算法混淆而來(lái)�,重復(fù)概率極其低�����,而且具有不可逆推導(dǎo)的特性����。由于不同的網(wǎng)站使用不同的密碼,因此安全性大大提高�����。 但是�,花密本身還有一定的缺陷。首先����,它的網(wǎng)頁(yè)版工具沒(méi)有做移動(dòng)端適配,而我并不想在每個(gè)平臺(tái)多裝一個(gè)軟件來(lái)實(shí)現(xiàn)這個(gè)小的功能�����。其次,它的密碼輸出位數(shù)強(qiáng)制為 16 位��,僅包含英文字母和數(shù)字�,很多時(shí)候會(huì)超出網(wǎng)站的密碼位數(shù)限制,而且評(píng)估的密碼強(qiáng)度只能達(dá)到中等���。 因此��,我決定自己寫(xiě)一個(gè)小工具來(lái)改進(jìn)這些問(wèn)題�����。受到花密的啟發(fā)����,我實(shí)現(xiàn)的工具名為 覓密��,并且開(kāi)源在 Github 中��,在此再次感謝花密的 idea���。 該工具的整體思路如下: 第一部分�,基本上是復(fù)刻花密的思路,在此就不再?gòu)?fù)述了��; 第二部分����,我加入了特殊字符進(jìn)行混淆,基本上評(píng)估的密碼強(qiáng)度能夠達(dá)到強(qiáng)級(jí)別�; 第三部分���,我將密碼長(zhǎng)度默認(rèn) 10��,暫時(shí)沒(méi)遇到密碼長(zhǎng)度限制不包含 10 的網(wǎng)站�����; 第四部分��,考慮到部分網(wǎng)站的密碼內(nèi)容限制���,我增加了選項(xiàng)去除特殊字符的加入。一鍵復(fù)制密碼也有實(shí)現(xiàn)����,但是由于精簡(jiǎn)體積和不同的瀏覽器特性不一樣,并沒(méi)有加入彈窗功能提示復(fù)制成功,知道有復(fù)制功能就行了�����。
因此該工具擁有如下的特性: 完全開(kāi)源 移動(dòng)端適配 高強(qiáng)度密碼 更友好的密碼長(zhǎng)度
這個(gè)只是一個(gè)小網(wǎng)頁(yè)�����,依托 Github Page 運(yùn)行�,采用純本地端計(jì)算,不涉及與服務(wù)器的交互�,因此密碼安全有保證,且開(kāi)源�。網(wǎng)頁(yè)鏈接:https://wsine./seekpassword/。 P.S. 如果你也會(huì)編程的話��,完全可以 fork 一份后修改來(lái)定制自己的安全策略��。普通用戶直接使用這個(gè)網(wǎng)頁(yè)也完全沒(méi)有問(wèn)題�����。 這里順便提醒一下��,「記憶密碼」和「區(qū)分代碼」并不一定要恒定����。記憶密碼還是很推薦使用等級(jí)策略來(lái)記憶�,簡(jiǎn)單分 2-3 級(jí)我覺(jué)得就足夠了�,畢竟安全性已經(jīng)大大提高了,也就是說(shuō)你僅需要記憶 2-3 個(gè)短密碼即可����。區(qū)分代碼其實(shí)可以根據(jù)自己對(duì)網(wǎng)站的第一反應(yīng)來(lái)記憶,比如昵稱���、別稱、域名�、拼音縮寫(xiě)等等,按照自己的喜歡即可����。 這個(gè)網(wǎng)頁(yè)其實(shí)也解決了一個(gè)便攜性的痛點(diǎn)。不知道各位有沒(méi)有這樣的痛苦�,當(dāng)你臨時(shí)來(lái)到一個(gè)新的機(jī)器想要登錄一個(gè)賬號(hào),但是由于是復(fù)雜的強(qiáng)密碼完全無(wú)法記憶��,所以你得要么得重新安裝密碼管理軟件同步過(guò)來(lái)�����,或者用手機(jī)查看密碼后手動(dòng)輸入,這種體驗(yàn)本身都不友好��。由于覓密它本身只是一個(gè)網(wǎng)頁(yè)��,保存為瀏覽器書(shū)簽即可快速使用查看����,或直接在新電腦打開(kāi)網(wǎng)頁(yè)輸入一下就得到最終密碼了。 密碼的安全性是提高了�,下一個(gè)點(diǎn)要解決的是所有權(quán)的問(wèn)題。 無(wú)論是筆記還是其他東西���,我都希望我的數(shù)據(jù)能夠掌握在我的手里����。我來(lái)討論一下極端的幾種情況: 哪天我發(fā)瘋了�����,將整個(gè)軟件倉(cāng)庫(kù)刪了�����,你不記得算法的流程了怎么辦 哪天 Github 服務(wù)被 block 了或者倒下了����,你不知道我將新的網(wǎng)站部署在哪了怎么辦 哪天 1Password / LastPass 等服務(wù)倒下了��,你的高強(qiáng)度密碼都丟失了怎么辦 哪天你更換了常用平臺(tái)不用 Apple 的硬件了���,你存儲(chǔ)在 Keychain 的密碼怎么導(dǎo)出呢
雖然這些情況都比較難達(dá)到,但我依然將這些情況考慮進(jìn)去了�。 KeePass我采用的密碼管理軟件是 KeePass,首先引用一下的它的官方介紹: 「KeePass 是一個(gè)開(kāi)源的密碼管理器����。你可以存儲(chǔ)你的密碼到一個(gè)數(shù)據(jù)庫(kù)中,并通過(guò)一個(gè)主密碼或密鑰文件加密(或一起用)����,同理解鎖也需要他們���。該數(shù)據(jù)庫(kù)是使用當(dāng)今已知最安全的加密算法 AES 和 Twofish 來(lái)加密的����。」 首先安全性����,采用的是最好的算法加密�����,只需要記憶一個(gè)主密碼就好了���,各大密碼管理器均需要用戶記憶主密碼。 其次所有權(quán)����,所有密碼都存儲(chǔ)在一個(gè)數(shù)據(jù)庫(kù)文件中,而這個(gè)文件完全掌握在你自己手中�����。 然后可持續(xù)性����,開(kāi)源的算法及軟件,完全不用擔(dān)心服務(wù)提供商倒下�,你總能找到方法從數(shù)據(jù)庫(kù)文件中提取出你自己的密碼。 還有多樣性����,KeePass 不僅能存儲(chǔ)密碼,還能存儲(chǔ) notes 和文件等等���,像我將數(shù)字密碼鎖和路由器管理密碼丟到這里真的好實(shí)用����,我經(jīng)常不用就忘記了。 最后但也是最重要的一點(diǎn)是��,它是免費(fèi)的��。無(wú)論 1Password 還是 LastPass�,價(jià)格基本都是 3 刀每個(gè)月,兩百多一年吧�,作為密碼數(shù)據(jù)存儲(chǔ)服務(wù)提供商,承擔(dān)的風(fēng)險(xiǎn)不小����,這個(gè)價(jià)格其實(shí)也合理。 KeePass 的官網(wǎng)下載為:https:///download.html����,通過(guò)一步一步創(chuàng)建一個(gè)本地?cái)?shù)據(jù)庫(kù)���,我個(gè)人推薦同時(shí)使用主密碼(Master Password)和密鑰文件(Key File)來(lái)加密���,十分不推薦啟用微軟賬戶(Windows User Account)來(lái)加密�����。然后你就能得到如下兩個(gè)文件: ├── PasswordDatabase.kdbx
└── PasswordDatabase.key 主密碼建議記憶在你的大腦中�,或通過(guò)紙質(zhì)方式存儲(chǔ)����;密鑰文件建議存儲(chǔ)多份,至少有一份在云盤(pán)有一份在移動(dòng)硬盤(pán)中���。 WebDAV但是��,KeePass 僅是一個(gè)算法 / 軟件��,并不包含云服務(wù)�,不像 1Password / LastPass 等提供多平臺(tái)密碼同步功能����。但這明顯是剛需啊,因此我找到的方案是 WebDAV���,慣例引用一下它的官方描述: Web Distributed Authoring and Versioning (WebDAV) is an extension of the Hypertext Transfer Protocol (HTTP) that allows clients to perform remote Web content authoring operations. WebDAV is defined in RFC 4918 by a working group of the Internet Engineering Task Force.
簡(jiǎn)單點(diǎn)來(lái)說(shuō) WebDAV 僅是一個(gè)擴(kuò)展的 HTTP 協(xié)議���,允許客戶端授權(quán)并遠(yuǎn)程訪問(wèn)和修改服務(wù)端的內(nèi)容���。這正是我們所需要的功能。 2019 年的各大網(wǎng)盤(pán)服務(wù)提供商中�,支持 WebDAV 協(xié)議僅有 堅(jiān)果云 和 Dropbox 兩家,后者由于眾所周知的原因�,本文僅討論前者。 堅(jiān)果云的官網(wǎng)為:https://www./�,注冊(cè)并登錄后,通過(guò)下面如下的步驟�����,添加一個(gè)授權(quán)的應(yīng)用密碼 然后創(chuàng)建你喜歡的路徑�,并將剛剛得到的兩份文件上傳到堅(jiān)果云中,文件路徑和文件名都可以自定義�����。 順帶一提��,堅(jiān)果云的免費(fèi)版本每個(gè)月限制上傳和下載流量��,如圖片左下角顯示�,但如果你看我實(shí)際的數(shù)據(jù)庫(kù)大小其實(shí)也只有幾 kb(當(dāng)然如果你要用 KeePass 存儲(chǔ)大文件當(dāng)我沒(méi)說(shuō))�����,所以我認(rèn)為流量是完全不用擔(dān)心的,而且由于服務(wù)器在國(guó)內(nèi)且沒(méi)有限制可以跑滿帶寬�����,作為常用云存儲(chǔ)也不錯(cuò)���。 密碼易用如果僅僅保證安全不考慮方便使用�����,我覺(jué)得也是很痛苦的一件事情�����。所以該章節(jié)要介紹的就是如何提高易用性�����。 之所以引入 WebDAV��,就是希望我們的數(shù)據(jù)庫(kù)存儲(chǔ)在云端����,可以通過(guò)客戶端隨時(shí)訪問(wèn)并新增新密碼,但又可以多平臺(tái)同步�。 Windows 官方客戶端 KeePass在 Windows 下面的話使用官方的客戶端是比較好的選擇。有下面的參數(shù)你是需要注意的: URL:這個(gè) URL 是根據(jù)堅(jiān)果云提供的服務(wù)器地址 + 你存儲(chǔ)數(shù)據(jù)庫(kù)的相對(duì)路徑而來(lái)的�����,對(duì)比這圖和上面的兩幅圖你就能發(fā)現(xiàn)規(guī)律了 User name:就是上圖中的賬號(hào) Password:注意這個(gè)并不是你登錄堅(jiān)果云的密碼�����,而是上上圖中的顯示密碼里面的密碼 Remember:這個(gè)看你的喜好���,我在我常用電腦上都是選擇記住的�����,這樣每次打開(kāi)就只需要輸入 Master Password 即可 Master Password:根據(jù)自己設(shè)定的密碼填寫(xiě)即可 Key File:保存在本地的密鑰文件路徑
填好這 5 個(gè)參數(shù)后你就可以直接打開(kāi)遠(yuǎn)端的數(shù)據(jù)庫(kù)了��,每次編輯完之后記得點(diǎn)保存就好�,它就會(huì)同步到遠(yuǎn)端的數(shù)據(jù)庫(kù)了~ Web 客戶端 Tusk介紹鏈接:https:///Tusk/����,支持 Chrome 和 Firefox�����,也是支持 WebDAV 的,非常棒 (?-??-?)??����,不過(guò)我自己沒(méi)有需求沒(méi)用過(guò)就不截圖了。 iOS 客戶端 FantasyPass好了��,接下來(lái)就到這篇的其中一個(gè)重點(diǎn)了��!我嘗試過(guò)官方推薦下載列表中的多個(gè) iOS 平臺(tái)的客戶端��,并沒(méi)有一個(gè)是支持 WebDAV 協(xié)議的����,這意味著我將不能跟遠(yuǎn)端的數(shù)據(jù)庫(kù)雙向同步。但是���,在 2019 年我很幸運(yùn)地在 V2EX 上面發(fā)現(xiàn)了一款新應(yīng)用 FantasyPass���,首先也是引用一下它的官方簡(jiǎn)介: 一個(gè)功能強(qiáng)大、便捷的 KeePass 的 iOS 客戶端��。簡(jiǎn)介的 UI 和流暢的動(dòng)畫(huà),支持多密碼文件�����、自動(dòng)填充��、附件添加和查看�����、JS 自定義功能�、常用通知欄插件和自定義鍵盤(pán)。讓一切盡可能的奇幻�����!
這款應(yīng)用應(yīng)該也是在 2019 年才上線的���,而我也算是它的早期用戶了��,加入了官方的 QQ 群討論��。開(kāi)發(fā)者是利用自己的業(yè)余時(shí)間獨(dú)立開(kāi)發(fā)的這款應(yīng)用��,也很積極聽(tīng)取用戶的各種反饋���。由于是業(yè)余時(shí)間獨(dú)立開(kāi)發(fā)�����,因此各種東西包括官網(wǎng)也還在建設(shè)中��,所以介紹會(huì)略顯不足。 但是沒(méi)關(guān)系����,我來(lái)總結(jié)一下現(xiàn)有的一些優(yōu)秀的功能: 上述的每一個(gè)功能,我認(rèn)為都是優(yōu)勝于官方下載頁(yè)面推薦的 iOS 客戶端 miniKeePass 的�����。作為日常穩(wěn)定使用的 app,是完全沒(méi)有問(wèn)題的���。使用上只要明白了上面的 5 個(gè)參數(shù)����,那么這個(gè) app 的使用也不會(huì)遇到什么問(wèn)題就不再贅述了��。 目前在 App Store 中的售價(jià)為一次性買(mǎi)斷制 12 元�,我認(rèn)為這個(gè) app 還是非常值得的。 密碼容災(zāi)但是����,僅僅只是做了上面的這些步驟還是不夠的,還得考慮上面的這些服務(wù)同時(shí)掛掉的情況��。 容災(zāi)的方案其實(shí)很簡(jiǎn)單����,就是將你的重要的網(wǎng)站和你的常用郵箱和手機(jī)號(hào)碼綁定就好了,該用雙因子驗(yàn)證的就用�����,必要的時(shí)候他們就是你的最后一道防線。 后記以上���,就是我目前使用的密碼管理方案了����,免費(fèi)��,易用又安全��。美中不足的可能在于生成密碼這一步?jīng)]有辦法完美集成在別人開(kāi)發(fā)的軟件中�,但是 FantasyPass 有計(jì)劃實(shí)現(xiàn) JS Extension�����,目前對(duì)我自己的使用來(lái)說(shuō)也很知足了��。 都 2019 年了����,何不找個(gè)時(shí)間試試更新一下自己的密碼管理策略呢?
|
