【1Password测评】管理密码的理想工具应该做到什么

我们对密码应有的两个基本态度是:

  1. 每个服务都要用独立密码
  2. 每个密码都要是复杂密码

同时,除了密码,找回密码的信息也同等重要。这三样就是让一个密码管理工具“基本能用”的三个要素。但即便仅以这三样做标准,要能够做到让人满意,很多我们认为能当作密码管理工具的东西实际上都是不够格的。

为什么不要用脑子来记密码

在记录密码的时候,人们最初自然而然的利用的是他的大脑。这是合情合理但却是不正确的。

首先,上一篇文章1写到,密码的复杂度在提升。我第一次注册Apple ID的时候,只是需要中英文结合,还不曾要求其中必须有一个大写字母。可是过了几个月,就变得需要了。几年前我们习惯的生日密码,纯数字密码,在网络服务上都不再可行。

但是,由于修改密码是个非常降低用户体验的行为,没有任何服务敢于强制用户改密码,即便是Dropbox和Evernote这样的用户的账户安全就是一切的公司,在他们的安全问题出现——比如疑似用户密码泄漏——的时候,也只是建议用户改密码。说实话,在几个月之前,我的Dropbox密码就是8位数字,Dropbox也不敢对我如何。我们自己也很难自觉地去刻意把纯数字密码改成复杂密码。事实上如果不借助工具,在今天这个公开课平台都有几十个的时代,你连你注册了什么服务都记不住。

所以,如果你用的是脑子来记录密码,那么存在你脑子里的密码是迭代的。这是什么意思呢?就是说你脑子里的密码,老的那些是纯数字,比较近的密码也许是英文数字,最近的密码可能是原来的英文数字密码里把一个或几个字母改为大写。

然后我告诉你,你会懵的。是的,你的脑子就是这么的不好使。你肯定会经常停留在一些登录界面,试一遍没有大写字母的,再试一遍有大写字母的。但是这里还有个重要问题——输入错误。比如你原来的密码是”abc123″,但是你第一次试小写的时候,不小心按成了”anc123″(因为”b”和”n”离得近)。这在触摸屏的输入上非常容易出现,更不用提那种你需要前后切换符号键盘才能输入完整的密码了,这更容易出错。那么这会导致什么呢?导致你第一次想对了,这个账户要的密码是不要大写字母的那个,但是你手抖了输错了,结果你来来回回试好几回,到最后说不定都对不了。

效率这事儿,要的时间和做这件事时候的注意力,就这么来来回回几次,时间浪费了不说,你肯定特别恼,平静下去还需要时间,最关键的是,你还以为你这个账户又丢了。要不然去找回密码了,要不然就重新注册了。

而如果严格按照密码应该有的标准——每个账户都有一个独一无二的复杂密码。脑子必须出局。

为什么不要用笔记本来记密码

如果你意识到需要每个账户都有一个复杂密码,那么你就不能用脑子来记了。于是你在手边寻找工具。啊哈!你找到了一个笔记本!看起来这比脑子靠谱多了。

从靠谱方面,它确实比脑子靠谱。但是从太多方面,笔记本是不合格的:

第一,你根本无法保证这个笔记本不会丢失。你钥匙钱包手机这些东西还天天不是忘带就是丢的,何况一个笔记本。而一旦这个笔记本真的丢了,那你的密码就都消失了。

第二,除了容易丢,还容易忘带,用的时候也未必在手边。

第三,纸张容易磨损,易脏,最终造成你可能无法识别当初的笔迹。又如果杯子翻了水洒在上面,甚至掉进火里的可能性也不是没有。

第四,容易泄露给别人。如果把密码都记到本子上,这本子不小心掉火里了之类其实还好,掉别人手里你就会哭了……

第五,即便你用造纸币的纸去记密码,而且也不会把它弄丢,而且一定会每天都带着。有一个问题是,你想不出足够多的,十几位数的无规律复杂密码

第六,就算你想的出来那些无规律复杂密码,你到最后很有可能分不清楚当时写的到底是数字”0″还是字母”o”,是大写的”i”还是小写的”L”还是数字”1″。

以上六条原因,导致笔记本是个远不到合格的密码管理工具。它连许多基本需求也无法提供。

为什么不要用文本文档或者Evernote来记录密码

一些人把密码记录到电脑里,用文本文档,这比笔记本明智多了。它一举解决了笔记本遇到的大部分问题。而且它还可以避免动手输入,我们可以直接复制粘贴密码,这样就不怕键盘记录木马了。但是,它同样不是一个合适的选择。

首先,不安全。你在这些文本文档里记录的密码一定是个列表的形式,这意味着你打开这个文档,屏幕上显示的不只是一个账户和密码。当你在输入其中一个密码的时候,就有可能被后面的人看去甚至拍摄你的密码。同样,你的这个文档或者Evernote的笔记被别人看到,和密码笔记本流落到别人手里是同样的结果。

其次,不够方便。如果你用邮箱来同步文本文档,那么看密码方便,但是新增密码就不方便了。你需要把老的下载下来,加入新的,再上传回去。而如果你用Google Doc记录密码,那么你每次需要输入密码都要进一下Google Doc,它是个网页意味着你要打开浏览器以及输入网址再输入谷歌账户。Evernote也是同样。你做不到直达具体某个账户的密码。你可能会说,“我可以建立一个网页收藏,或者一个Evernote笔记本快捷方式。”那就又会回到安全的问题上,你看的快别人看得也快。

一个密码管理工具应有的素质

写到这里,我们已经看到,通过脑子、笔记本、文档这些办法或者工具,甚至不能完美地做到我们前面提到基本要求:

  1. 独立密码
  2. 每个密码保证高度的复杂性

也就不必提基本要求的第三个——完整地记录当时所有的注册信息这个功能了。

而实际上一个好的密码管理工具,除了这些基本要求,还需要做到更多,才能同时解决你密码的安全和效率的问题。

我们要考虑:

  • 这密码管理工具本身是不是安全?
  • 这密码工具是否有美观且易用的设计?
  • 这个软件是否能够按你的要求生成复杂密码?
  • 这工具能不能提示你每个密码的安全度?
  • 它是否能够做到全平台同步?
  • 它是不是能让你很好地让你区别出像数字”0″和字母”o”这样不易区分的字符?
  • 它是不是能很好的分类你的密码信息,让你更好的管理以及更迅速地定位你需要知道的密码。
  • 它能不能让我清晰地在一堆密码里一眼就区分出我想要的账户和密码?

除此之外,我们还需要考虑:

  • 我使用这个工具记录密码是不是方便快捷,比如我在网页里创建完账户,工具就可以自动帮我把密码记录好。
  • 通过这个工具能不能在任何网页、服务、客户端都最迅速地输入密码。
  • 能不能方便地跟他人安全地分享一些双方都可以知道的密码?

考虑到大多数人都是半路出家,也就是大家都是已经在几十个账户上都用了重复的密码了,我们就要考虑:

  • 这工具能不能检测你目前重复了多少密码?
  • 如果你改了一个密码,是不是还需要回到这个工具重新改一次这个密码?还是应该这个工具自动帮你修改?
  • 这条比较长:有一种使用情况是这样。我们已经给某个服务设定了工具生成的复杂密码,但是这个服务出现了密码泄漏事件,我们需要修改新的密码。而当你修改成为新密码的时候,手动或者由工具自动给你把老密码替换成了新的密码,但是你改密码的时候实际上出了网络或是什么其它一些岔子,导致你想改的密码实际上没改掉,你账户使用的仍然是老密码。在这时候你是否可以通过工具查询密码的历史记录?因为如果你不能查询这个记录,你的账户就又要申请修改密码了。

如果你是一个比较关注效率的用户,你或许还会关心:

  • 它本身有没有快捷键?
  • 这个工具是否能和其它你常用的优秀的效率类软件协作,来做到一些高效的workflow?

以上是一个密码管理工具所需要满足的,而我在这里推荐的工具——符合这个需求列表所有功能并且还有其它优秀功能的工具——就是1Password2