我的密码升级之路
我最早接触密码这个概念是在高中的时候,那个时候我第一次申请 QQ 号,需要想一个超过 6 位数的密码。于是,我填上了我爸爸的手机号。老实说,手机号作为密码还不算最糟糕的。比起生日来说,手机号更长一些,可能的组合也更多一些。
我很快就了解了撞库这种攻击方式,你的密码如果在任何平台都用一样的话,如果有一个平台不靠谱,明文存储了密码(在那个年代其实并不少见,CSDN 都曾经存的是明文),那么黑客就可以用这个账号密码尝试登录其它平台。
于是,我把自己的密码分成了几套,简单的一套用于注册一些不太重要的服务,复杂的一套用于一些比较重要的服务,支付相关的还有一套。
对于每一套密码,我在密码后面加上了平台的名字。比如 QQ 的密码就是基础密码后面加 qq,网易邮箱的密码就是基础密码后面加 mail。
用了一段时间之后,我又增加了一些变化,我希望我尾部增加的与平台相关的名字不那么明显,于是,我把平台的首字母简单的取其字典序的下一个字母,然后插入到一个中间的位置。比如 qq 的密码,就是去 q 的下一个字母 r,然后把 r 插入到密码中间位置。因为我的基础密码本来就是一段随机的数字字母(真是随机的,只不过我背下来了),所以要看出规律可能需要爆出两个库才行。
但是,这么管理密码还是很累。而且,现在不断出现的安全事故让我觉得爆出两个网站被拖库也不算什么让人意外的事情。
1password
终于,我尝试购买了 1password,开始用 1password 来管理密码。1password 常常有 5 折的优惠活动,今年春节趁他家 APP 优惠,我开始了我的密码迁移之旅。
1password 完全采用随机的方式来生成每一个网站的密码,通常推荐的是 12 位的字母数字组合。我花了好几天,才把所有自己在用的账号密码做了更新。
1password 支持各种方式(iCloud 或 Dropbox)在云端同步你的密码。这样你也不用担心换了电脑找不到密码了。对于云端数据安全,1password 使用的是加密的方式来保存。即使黑客获得了你们密码文件,也需要一个解密的密码来解开它。而这个密码,就是你需要牢牢记住的那最后一个密码。
使用 1password 之后,每次在 chrome 中需要输入密码时,直接使用 1password 的插件进行自动的填充即可。习惯 Safari 的朋友,1password 也有 safari 的插件。值得一提的是,1password 还支持在 iOS 系统的 Safari 中填充密码,如下所示:
除去浏览器后,主要需要输入密码的地方就是 Mac 的原生应用和手机 APP 了。对于原生应用和手机 APP,1password 都支持把密码用复制的方式,粘贴到应用的密码输入界面。对了,买了 Mac 版的 1password,手机版的 1password 高级功能也自动解锁了。
1password 唯一搞不定的是那些不允许粘贴密码的应用,比如支付宝。对于这些应用,我另外有一套密码独立管理,没有放在 1password 管理中。
有了 1password 之后,一些软件的 License 也可以集中管理了,这还是一件挺爽的事情。1password 可以自动识别出软件的图标,如下所示。
反思过来,密码确实是一个非常反人类的事情,因为人们天然怕麻烦,所以大多数人都只有一套密码,并且密码规则非常弱。
现在我们也慢慢看到越来越多的应用开始抛弃密码,用手机随机短信验证码来登录。还有一次公司,尝试用指纹(比如 iPhone)、声音 (比如微信的声音锁)、头像视频(比如借贷宝的认证)等来作为安全认证的替代品,都是不错的兼顾用户体验和安全的尝试。
密码被盗
悲剧的是,就在我刚刚改完各种密码之后,我的百度云账号被盗,而且我通过正常渠道申诉失败。后来发现原因是我百度云账号绑定的网易邮箱被盗了,而那个邮箱我很久没有使用,都忘记了,所以也没有用 1password 改过密码。盗号者盗完我的网易邮箱后,从里面看到了我的注册百度云的确认邮件,于是申请了百度云找回密码,从而重置了我的百度云密码。重置之后,我的绑定邮箱被解绑,于是我就没有方法找回百度云密码了。
最终多亏在百度的朋友帮忙和担保,我才得以用非正常的渠道申诉成功。看到家里的所有照片失而复得,我第一次感觉到安全问题离自己这么近。
最后推荐 Mac 的各位朋友都使用 1password 来管理密码,并且对于一些非常重要的账号,用独立的非 1password 密码来管理。
安全问题,真的就在我们身边,大家还是小心一点。