/ 1password

【1Password测评】背景篇:我们需要密码管理软件吗?

注册账户是我们在使用互联网的过程中开启一段新旅途的第一步,也是至关重要的一步。账户是目前为止互联网上最广泛身份验证机制,我们靠它来证明我们是谁。因为互联网上没有人知道你真正是谁。

漫画•互联网上没有人知道你是不是一条狗

但这一步没有得到人们应有的重视,人们对注册新账户的态度是消极的,如果一个新服务人们可以不用注册,那人们就会选择不注册。所以很多服务商为了提高用户体验,竭尽全力地缩简注册步骤,但无论如何注册账户仍然最少需要账户密码这两个最基本最重要的元素。账户如果不出意外很多人是会使用一个或少量几个邮箱的,如果在这种情况下你的所有账户的密码都是一样的那就很糟糕。因为很明显,当你使用的大量服务关联的都是同一个邮箱,而它们的密码也都是同一个,就意味着你的帐号一个被盗等于全军覆没。而最近的大型网络安全事件层出不穷,被盗密码数量数以亿1

这是因为由我们自己填写的密码在身分认证技术中叫做“静态密码”,它本身是最容易被泄漏的,在验证过程中、计算机内存中和传输过程中都可能会被木马程序或网络中截获。

所以,给不同的账户设置独立密码是我们所提倡的。这么一来,首先当你的一个密码泄漏,你不必担心其它的账户也受影响。然后,你只需要修改你这一个被泄漏的密码就够了,而不需要因为担心其它账户而修改你所有账户的密码。毕竟,你自己很可能都并不清楚你实际有多少个账户。

但是,实际上人们对于密码的态度消极得令人担忧,市场研究公司SplashData分析了2013年数百万个被盗的密码,发现不安全密码中最常见的是“123456”。另外用自己生日(没错,就是那个8位数的数字组合)做密码的人也绝不在少数。

所以,为了增强你在互联网上的信息安全和减少账户被盗带来的问题,你需要知道你的密码是为什么被盗的以及需要什么对策。

你密码为什么被盗

键盘被记录

互联网,尤其是移动互联网的成长是爆炸式的,太多人根本就没有任何基本常识就一下子进了这个大潮。而这些人的判断力低的令人发指,他们相信微信里的“千万注意!”“99%的人都不知道!”“看了这个不成功都难!”之类的信息,分享给自己认为最重要的人看;他们在浏览网页时愿意相信任何一个弹窗,再加上越来越多的网页会针对这些无常识的人很多精心设计的诱惑性信息,导致他们在网页上开心地点击的时候就不知不觉地安装了各种木马软件。

这些木马中,有一种是记录你键盘记录的。而这种木马是最容易盗号的。因为你在输入账户和密码的时候永远是个连续的过程。如果你只有少数几个密码甚至只有几个密码的话,那么对于盗号者来说,你重复输入账户密码那些字符就等于将你的账户密码同时告诉了他。

针对这种情况,我们的对策有两种:

1.不输入账户密码

2.每个账户都使用不同的密码(他只能记录你的键盘,不能记录你登录了什么网站)

这两点看似都难做到,但只要有了好的工具,实际上都可以做到,包括不输入密码

过于简单

你的密码之所以被盗的另一大原因,是因为它过于简单!

盗取用户密码的最常用手法是暴力破解,通俗地说,就是一个一个试。比如说一般的旅行箱密码,它一般是由3个从0到9的数字组成,所以这三位数每一位的数字是独立的,它肯定是“0•0•0”这个组合到“9•9•9”这个组合之间的一个数,所以它的密码的可能性就只有999个加上“0•0•0”这1个,也就是1000个。一个普通人破解这个3位数密码,假设他1秒可以试2个,500秒也就是不到9分钟就能够试出来你的密码,交给计算机的话就是一瞬间。

纯数字密码暴力破解时间表

从上表可以看出即使是100万位的纯数字密码,用暴力破解最慢也就是一分半钟。而如果你使用了足够复杂的密码,破解需要的时间就会提升到几十万年甚至几亿年:

暴力破解一个复杂密码需要48万年

所以要保证密码的安全性,首先是强制提高密码的位数,省得有人才直接注册4位数密码……同时,越来越多的网站不允许用户直接使用纯数字密码,要求加上字母,以及字母必须有一个是大写。最理想的情况是在满足以上要求的密码中再加入若干个符号,并且最好不要有规律,这么做一是让暴力破解增加难度,另一个原因是让人们难以推测。卷福在第一季破解了华生的密码,第二季第一集破了艾琳的密码,第二集破解了军官的密码,都是因为这些人用的密码过于规律,卷福根据对方的身份、个性、习惯去推测密码的选择范围,然后再在一定的范围内去推演密码本身。

找回密码的手段靠谱吗

密码一旦被盗,你就需要拿出另外能证明是“你”的证据。这种判定办法里比较常用的是设定密码保护问题。如果你能够回答出当时你设定的密码保护问题的正确答案,就能够说明这人是你。

但是,对于这些看似我们无法忘记的密码保护问题,我们实际上的记忆也没有我们想象的牢靠。比如,你初中的时候注册的时候,在“你梦想的职业”这一栏的答案填上了“科学家”,但是到你大学毕业,你很可能务实许多改换了想法。另外还有一个问题,是你记不清楚一些问题答案的细节,比如有个问题是“你父母第一次约会的地方”,你可能只填了市名,也可能省名市名都写,还有可能写到具体哪个公园了。这些小毛病都会影响你最后的判断,以及效率,甚至导致“分明是你,却无法证明是你”的情况。

所以,我们是要放弃安全,就像文首写的那样,破罐破摔地用“123456”?还是用什么方法把密码和这些破事儿都记住?又或者,我们需要一个密码管家来帮我们同时满足两者。

在这里,密码保护问题是最典型的软肋,它和人类的记忆方式不合。除此之外还有手机验证、动态口令等多重验证机制。但是它们也都有各种各样不便之处,因为它们最少都添加了至少一步的输入过程,这是很降低用户体验的,互联网时代有足够多的公司为了用户体验而牺牲一定的安全性。

The Verge 就在”The internet doesn’t care about security”2这篇文章写到:

You could put a three-inch steel door on your house, but it would be ugly and heavy and you don’t want to. Instead, you trust that no one will want to kick in your door.

另外具体来说,比如短信验证,你手机没电就遭殃了;而多少曾经玩网易游戏的学生急匆匆跑到网吧发现自己没带“将军令”而哭笑不得。基本上,基于”What you know(就是靠你自己记忆的东西进行身份验证,比如静态密码)”的就容易信息泄露;而基于”What you have(就是靠你拥有的东西进行身份验证,比如短信验证)”的就容易造成额外的负担以及提高意外出现的概率。

所以在目前这个时代,在”Who you are(基于生物识别进行身份验证,比如视网膜红魔等)”的时代没有正式到来之前。我们依然主要依靠的是静态密码,而如果我们想要最安全地使用这最不安全的身份认证方式,并且节省时间,减少“找回密码”的次数,最起码要做到:

  1. 每个账户使用独立密码
  2. 密码保证高度的复杂性
  3. 能够完整地记录当时注册时的一切信息

而想要这样,我们很容易就会被账户和密码绕晕。那么我们就必须得拥有一个非常易用以及安全的工具来帮助我们。

下一篇就来说工具的选择。


  1. Russian Hackers Amass Over a Billion Internet Passwords
  2. The internet doesn’t care about security
jailbreakhum

jailbreakhum

本博发起人之一,主要作者。越狱视频制作者,主要制作关于越狱后插件的视频,以及与越狱相关的视频教程。

Read More