最近调整了密码管理器,多年来换了多种密码管理方式,今天就梳理下。
最初当然是一个密码打天下,银行卡、QQ号、网站、路由器等等用一个脆弱的6位数,假设要求必须有字母就在数字前或后加上好记的几个字母。现在这么做的也不在少数。大学那会玩无线安全,最大的乐趣就是抓包跑包,破解了同学无线密码后做个恶作剧。跑包用的字典就是电话、生日、地区、手机、常用名等组合起来的,几百G的字典性能好的电脑很快就能试玩。现在黑产里的撞库与此类似,撞出了密码说不定就能发财。
后来我的密码就变了,变得长又复杂。可是账户太多,密码复杂起来总是忘。记在本子上不方便,也有被盗、丢失的风险,于是制定了生成密码规则。这样做好处是记住规则大部分密码就不会弄错,只要规则设置好密码复杂度不低。比如一套规则:密码=“阳历生日+网站名字拼音+问号+农历生日+井号”,这应该很难撞库成功。
上面的方法用了挺长时间,后来听闻许多公司数据库被盗,觉得应该定期更换密码规则。而且我制定的规则有时候也不好用,只能管管重置密码。这样我开始找更好的密码管理方案。
这个时候开始使用火狐、chrome,发现它们的“记住密码”很好用,甚至你可以随意设置一个密码,交给浏览器记住就好。但是这么做有很大弊端:一是在别人电脑上使用不方便。二是只能在网站上用,软件只能干瞪眼。最重要的是浏览器本地数据和上传到服务器数据的安全性让人担心。
无意间在Ubuntu的软件商店里看到keepassx,试用后知道发现了宝贝。keepassx是密码管理软件,类似的软件很多,但在开源的世界里让人更相信安全性。知道了keepasx,我简单了解了下类似软件,由于keepassx足够好用又安全,就一直用了。keepassx是开源软件,密码数据库储存在本地,不存在被软件商盗取可能。数据库重重加密,需要密码和秘钥文件才能打开。有段时间,我把秘钥放在U盘,只有U盘插入电脑,keepassx才能打开数据库。逼格和安全满满。
文头说最近调整了密码管理软件,因为开始用的windows系统没有keepassx,但是有keepass。居然少了一个X!原来之前功课没做好,keepass只有windows版,大牛们做了macos、linux版,起名keepassx。Google的过程,我发现keepassXC这个软件,是keepassx的社区版,开发更新速度更及时。看看keepassx好久没更新,果断弃X投XC。同时读了一遍官方文档,立刻觉得以前捧着金碗要饭:以前只是手动复制粘贴,原来还有自动输入功能,还有浏览器插件、手机版等等。
软件管理密码应该是我密码管理的终极形态了。lastpass、1password等其他软件试用较少,甚至都没用过。因为keepass系免费、安全、足够好用。
