前几日在@kingwriting 的微信群里看到讨论密码管理的话题,我简单的说了下可以使用密码管理器,觉得使用密码管理器挺好,讨论完后群友总结了密码管理的方法,@kingwriting 也写文章表示对密码的使用感到恐慌。虽然密码管理不是第一次讨论的话题,在[steem 手册](http://steemh.org/ “steem 手册”)上也有介绍密码保存的方法,但是我觉得密码管理这个话题还可以再聊聊,还可以写写我的密码管理器使用心法。

为什么使用密码管理器?

因为恐慌,真的。

以前偶然地看到关于“社工库”的博文,社工库是那些“有心人”通过窃取或者购买网站的数据库搭建的查询工具,可以根据用户名或者邮箱查询到用户密码,甚至是身份证、手机号和住址等敏感信息。不要觉得惊讶,如果你是 telegram 用户,可能也能看到在讨论群里偶尔蹦出个买卖数据的人来。

我曾经通过所谓的社工库查到了自己的两个账户信息,Gmail 邮箱、QQ 邮箱、用户名和明文密码,丝毫不差。

当时就惊了!我注册的所有网站的用户名和密码都是一样的,账户信息泄露之后,岂不是任由他人在我的世界里走来走去?其中一个网站的账户遭殃,其他的账户也受牵连。

因此,我在网上寻找密码管理方案,我选择的密码管理方式是使用免费开源的[KeePass](https://keepass.info/ “KeePass”)密码管理器软件,15 年开始至今仍在使用,我觉得挺好,所以也推荐给你。需要注意的是:有人认为开源软件很安全,但开源并 ≠ 安全,影响安全的因素是多方面的,比如:你的安全意识、上网习惯、使用方式等。

如何优雅地设置密码?

密码管理器最脆弱的地方是它的入口,所以入口的防守是至关重要的,而密码管理器的主密钥是打开加密数据库文件的钥匙,所以先来讨论主密钥的设置。对于如何设置密码管理器的主密码,我先给出两点建议:

  • 避免使用“懒人密码”
  • 制作自己的密码生成器

什么是“懒人密码“?那我得先问你几个问题:

平时你使用的密码是“1234”吗?

是“abc123”吗?

“qwert”?

“88888888”?

还是某人生日?

电话号码加名字拼音首字母?

身份证后六位?

这类密码在网上称做“弱密码”,因为这样的密码很常见,也很容易让人猜到,尤其是了解你的人,即使是陌生人也可以通过网上的社交资料,或者家人朋友获取关于你的个人信息,从而按照类似的逻辑组合生成密码去破译你的账户。

我把这样的密码定义为懒人密码,因为它简单,方便,易记,也很容易被人猜到,而且使用这样密码的人思维很懒。我并不是笑话谁,因为我以前就是一个到处用懒人密码的人!

在我们的生活中应尽量避免使用懒人密码,那么该如何设置主密码呢?我的建议是建立自己的编码方法,制作一个密码生成器。不要觉得制作一个密码生成器很难,也不需要你编程写软件,只要把脑洞打开,活动一下思维,就可以制造一个密码生成器。不信?我举个栗子:我的编码方法是选取一句话作为密语,在密语里插入特殊字符和账户关键词,然后输出密码。比如:

我选的密语是:

“不爱吃饭”

我为 keepass 生成的密码是:

“#1#Bu#ai#chi#fan=>keepass”

为 Gmail 生成的密码是:

“#1#Bu#ai#chi#fan=>gmail”

相信聪明的你能够制作出更好的密码生成器。

使用密码管理器只需要记住一个主密码,这是它的优点,也是它的缺点。如果你想把密码管理器设置得更安全点,可以使用主密码+密钥文件这类方式加密你的数据库文件。接下来再讨论一下如何设置密码管理器里面的密码,我给的建议也是两条:

  • 解除相关性
  • 尽可能地使用复杂密码

我们可以把解除相关性理解为如果某个账户信息泄露了,不会殃及其他账户。也就是每个账户的用户名、密码、注册邮箱、手机号都是唯一的。用户名和密码做到不重复比较容易,但邮箱和手机号没那么多啊,怎么办?

先说邮箱,我会按照注册目的把我网站归为重要和不重要两类,如果注册一个网站是为了下载某份资料,或者只是为了查看登录可见的内容,那么这就是不重要的网站,我会使用临时邮箱去注册,通常也不会添加记录到密码管理器里。如果要注册的网站是比较重要的,会长期使用,我会使用域名邮箱去注册,比如:注册华为的账号用 [email protected],注册百度用 [email protected]

对于只能用手机号注册的网站,我没有找到提供类似临时邮箱这样的服务,也没有使用阿里小号,我的方法是使用两个手机号,一个用来注册乱七八糟的网站,另一个保存干净。

在设置密码的时候,尽可能地使用复杂密码,怎样的密码是合格的呢?steemit 的密码是一个范例,例如:

1

P5Hvz842WNSmgSHVy5HA2u9aqFCeFTd1LzcSYxr8vF4xWCBGGi1h

又如:

1
2

EuJa0#nZuw.+:vV%r+.J
hRcHc`f6EwYq<L5NV~]?

这些都是合格的密码。使用密码管理器的密码生成器功能,很容易生成随机的、复杂的密码,还可以根据需求设置密码长度,包含哪些字符,更重要的是你不需要记住你的密码,密码管理器帮你记着。

备份备份,打组合拳!

使用 keepass 密码管理器很重要的一点是同步备份保存账户数据的数据库文件。我时常提醒自己:**一定要把自己认为重要的东西做备份,而且要备份到多个地方。**当重要数据丢失的时候,心里那股酸爽,可能会让你一天都说不出话,吃不下饭。

我的同步备份方法是使用 Google Drive、MEGA 网盘和 OneDrive 与手机、笔记本进行同步备份,开启版本控制功能,在 Google 日历里设置周期性提醒,每周检查备份文件。

总结

好了,我来总结一下我的密码管理心法,一共是五点:

  • 避免使用”懒人密码”
  • 制作自己的密码生成器
  • 解除相关性
  • 尽可能地使用随机的、复杂的密码
  • 周期地、多点备份

你GET√到了吗?感谢您的阅读。