Hi 游客

更多精彩,请登录!

比特池塘 区块链前沿 正文

一生只记一个密码: 1Password 简明教程

宋长宁
165 0 0
什么是 1Password" y2 i6 C$ e7 n' H1 z
% h( g4 p; @/ a4 J) y/ k
1Password 是由加拿大开发商 AgileBits 开发的一款密码管理软件。除了用来存放账号密码,你还可以存放包括信用卡、身份证件之类的敏感信息。根据官方的发行公告(Release Notes),第一个正式版的 1Password 1.0.0 客户端发行于2006年,距今14年。( i# u* d$ Z' _' c" v( [

0 ?6 B: I' p. V# o8 q6 n4 u我们储存在 1Password 中的信息都是被加密的,任何数据在被传输前,1Password 都会使用 AES 256-bit 算法加密3次,即便是开发商 AgileBits 也无法获取。客户端和 1Password 服务器的认证和通信通过零知识证明协议加密。- A1 Q$ ^7 H7 I
9 y' T! H& ^. v# T
2014年 OpenSSL 暴露的心脏滴血漏洞(Heartbleed)漏洞对整个互联网造成了难以估量的影响,所有依赖 SSL/TLS 协议的网站或客户端,都可能因此受到攻击。当时很多使用 OpenSSL 服务的科技巨头(e.g. Google, Facebook, Amazon 以及国内各梯队的互联网公司等…)的用户敏感数据被大量 Dump,其中有不少公司甚至明文保存用户密码。如果你愿意了解更多细节,可以搜下 “Akamai secure heap “,Alex Clemmer 专门写了文章来分析这件事,过程很是曲折。. N; H) `! `. ?2 a0 C5 |) y3 v) t

- b4 U* ]3 v, b5 c所幸 1Password 并不建立在 SSL/TLS 之上,因此并未受到波及,官方不久后还推出暸望塔(Watchtower)功能,用来检查你使用过的哪些网站遭到数据泄露,这个功能不久后就集成到客户端中。- `1 h! S) ^8 Q" m

( j2 |/ J0 x0 o& o$ n8 d8 A1Password 的盈利模式完全来自用户付费,因此他们没有任何第三方广告业务,也不使用、分享或出售用户数据。1Password 严格遵守欧盟数据保护通用条例 GDPR,他们在官网隐私介绍页面详细说明了隐私策略。/ U+ y8 W% D% j4 b( W9 r5 S- M, j

# {  q8 _6 D8 {' J8 x8 Z; J! H苹果在2018年为全球超过123,000员工部署企业版1Password。9 I2 [& y0 i, |" R

  ~9 b% [6 [+ v- w1 O" Q& G; G为什么要用 1Password
# O4 x* E% Z  N& }  k  S6 i
3 |, k2 Y, Y1 |- z这个问题可以拆成两部分:9 S/ C8 ]/ ?5 P( B+ a3 u
8 {  I1 c1 v( N# Y
1)为什么要使用「密码管理器」;5 {- h% L& ]2 b8 \

# C% D: T/ o% ]2)为什么要在众多密码管理器中选择  1Password?6 n. E& B- C2 C/ ?$ s7 r
: U" |. z- u2 ]' a
对问题1,很多人习惯在所有网站都使用相同密码,而且通常包含生日年月这样非常容易被外人获得的信息。一旦其中某个网站发生数据泄露,你所有的账户都会受到牵连。即便能做到不同账号不同密码,我们为了方便记忆,设定的密码也往往强度不足。) R2 [2 i5 u! l9 S$ k* P

# n) }- t  ]2 i+ q/ J: j1 l$ n通常,高强度的好密码要满足:; _# C0 |2 `; h7 q5 F

7 i$ g# T) m5 k+ P# j3 D0 `) X6 \- 长度8位及以上;
0 q$ X7 X; X0 ?( U6 _" m/ f! Y. f/ z" }: j
- 同时包含大写字母和小写字母;
; `  u" D7 z7 ~. V9 v; b4 z, D, i* O2 ]) k8 P( C
- 包含1及以上的特殊符号(e.g. *^%$=…);* H( Z! _% y& d

& `& ^1 J; k3 V" d" h  I- 自己能记住。( u% k8 G2 N0 s% M

5 T& ]: H" ?7 L4 q在使用密码管理器之前,我曾一直用「基本密码」+「特征码」来设置密码,并为此感到洋洋得意。以 Gmail 账户举例,我以基本密码 “Yishi123+-/” + 特征码 “GL”(网站域名的首尾大写字母)作为密码  “Yishi123+-/GL”;如果账户涉及财产,就换个更长的基本密码。( B, @, M( i9 E

& h/ L3 y$ W) s+ v乍一看符合好密码的要求,自己也能记住,看起来比所有网站同用一个密码要强多了不是么。但这样做最多在黑客批量撞库时躲过一劫,实则没什么作用。
" d2 W( b+ R$ `' @' l: l: g" z
' z( b+ J/ b3 G' H  X/ Q' A' I8 }( h因为只要黑客通过社工手段定位到你个人,不管你以什么方式组合特征码、特征码有多复杂,只要规则一致的,那么其中一个账号被盗,其他的就都能顺藤摸瓜推理出来。
# f# z- h. q2 P- R# Y
5 N7 h$ j3 e0 q/ z  P/ H& U1 r; U因此,所谓基本密码+特征码,在安全性上形同虚设。
* k. |, o' v3 F- T4 B4 n
+ v9 t. f$ M* t. d3 M1 K4 T有人说,那我每个网站都使用毫无规律的随机长密码。拿小本子把账号密码都记下来,按字母 a-z 给网站排序,每次登录时查下不就行了。除非本子遗失或黑客到家里盗走,我的密码都是万无一失的,也不怕撞库。
  E1 e3 r4 ?0 y" K+ y1 d% l- }1 b4 X& e/ X8 ~7 r3 m2 g4 C/ z7 o; y! c
这个办法安全系数确实最高。某种程度上,小本子就是你自制的密码管理器,但是用起来麻烦。  `  M  A. o! ~- `+ H
& P. M; r& W9 R& L7 v, a
小本子丢了或损坏怎么办,人在公开场所怎么办,每天登N个网站就要手动敲N遍毫无规律的密码,诸如此类的缺点很多,余不一一…$ h5 X+ B! W& d7 I' X
2 c  \* b. j  u5 p% q" V+ m  J
而一个专业的密码管理器,就是用来解决这个问题的。
3 U9 [+ z; L0 L7 j- y, m9 V, ?( b6 m% G+ V
它本质上做了两件事:
/ u) H3 y1 j5 s/ i+ w" H
* S& @6 k! B1 k. ~1 y2 K4 a1. 帮你生成足够强的随机密码;
# G0 J( W: P, J# N
. w5 P. A5 C* }# I. U2. 帮你管理好这些账户,要用时出现,不用时消失。
& A, m5 j8 Y! _: M) V# w" [+ ?+ e, l" n( b8 `& d9 I! [
对问题2,我亲身使用过的密码管理器有 1Password、LastPass,、KeePass,除此之外还有一大票优秀产品如 DashLane, RoboForm … 等,虽然没用过,但它们都有各自粉丝拥簇。- j8 O- J# b  `9 H( m# h# q, W

) V4 g/ r9 v0 w' u$ A1 t  n& K如果你喜欢彻底开源、轻量、免费,那么我强烈推荐 KeePass,它的开发社区很活跃,光是在 macOS 上,开发者们就贡献了 KyPass,MacPass,KeePassX 等多个客户端的实现,并且功能十分强大。& N" L  _: ?" C: @9 ?# ?  J* S
+ |3 Y: P" d4 N  K
但如果你和我一样,除了安全性,同样在意使用体验、灵活性和便利性,本着「能力范围内选择综合素质最好的」原则,那么我推荐 1Password。' M! m" @) R0 X: }/ O! D
; e' s5 i; Z$ m" x$ _6 E5 e
1Password 并非开源,但它遵循公开规范(安全模型的白皮书),任何开发者都可以对其进行黑箱测试。3 C% d/ W/ s( V% q! w  d
7 Q/ L( r8 |7 v
David Schuetz 在他的博客对 1Password 的工作机制进行了极为详尽的探索,下图便是他总结的核心:
! `2 A4 G$ l+ y, n4 _# O6 J2 Z& |! s7 S0 k9 x2 p: Q! v
我们只需明白,1Password 最关键的安全要素,便是我在图中红框标出的 2SKD(two-secret key derivation)。而这两个所谓的 “Secret key”,分别是主密码(Master password)和 私钥(Secret key)。
) w$ e9 X- R. ]6 {3 L
& X( T  y. ^; q0 l: i4 I; n7 O, Q你不用看懂这套复杂的流程,只要抓住核心点,即,如何确保「我的密码只有我知道,即便1Password 也无法查看我的敏感信息」即可。关于这点,我会在下文设置主密码的步骤中,详细跟你解释。3 V0 s: G' E/ v" R* A; u- f" C% H
- j6 p* w/ a+ u8 C7 p
开源是个很大的话题,它也并非一切事物的银弹。
9 e- x2 R- j6 }; g9 Z- K5 d) h% R) V+ B& o
受制于篇幅,本文我们主要讲解 1Password 的使用,如果你对开源感兴趣,以后可以单独写一篇文章。$ J3 }6 o$ J' w

2 m9 h* v7 R/ G6 }  r$ f0 E' [准备就绪,接下来就开始我们的 1Password 之旅。
BitMere.com 比特池塘系信息发布平台,比特池塘仅提供信息存储空间服务。
声明:该文观点仅代表作者本人,本文不代表比特池塘立场,且不构成建议,请谨慎对待。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

成为第一个吐槽的人

宋长宁 初中生
  • 粉丝

    0

  • 关注

    0

  • 主题

    28