如果你的观念还停留在「我只是一个普通人,那些技艺高超的黑客对我的账户资料不感兴趣」的年代,那么恭喜你,这篇文章正是为你而写的。如果你在15年前持有这样的观点,我或许会举双手支持你;如果你在10年前还这么认为,我会好好想想是不是要反驳你;但是在移动互联网时代,所谓的「普通人」也至少有十几个常用的互联网账号,其中还有诸如支付宝、网银、微信等涉及金钱的账号,你真的需要好好想想,你的账号足够安全吗?你到底需不需要密码管理软件?
为什么要用密码管理软件
1. 复杂密码提高安全性
每天都有大量用户的账户被盗,其中绝大多数被盗账户都使用了类似“123456”,“password”,“iloveyou”的简单密码,不是盗取你账户的人有多厉害(当然有些人确实很厉害),而是你的密码实在太好猜了,事实上即使对于那些技艺高超的黑客而言,想要破解特定账户的密码也绝非易事,考虑到使用"123456"这种密码的大有人在,用简单密码进行匹配测试足以让他们收获颇丰,现在你应该知道为什么中招的总是那些谁都能想到的密码了。
谁都知道复杂密码比简单密码要安全得多,但是无规律的复杂密码往往会让用户感到头疼,一个倒还好,要是所有账户都使用不重复且安全系数很高的复杂密码,相信很少有人能够记下来,更别提在手机上用虚拟键盘输入这些密码有多痛苦了。安全与方便之间的权衡,大多数用户都选择�了方便,因为安全这种东西在你的账号被盗之前很难有体会,而方便却是实实在在触手可及的。密码管理软件则让大量不重复的复杂密码变为了可能,你不再需要去识记那些反人类的高强度密码,这也是我使用密码管理软件最重要的原因。
2. 甄别钓鱼网站
复杂密码或许可以幸免于暴力破解,但是对于目的性很强的钓鱼网站却无能为力,如果你不具备足够的警惕性,很可能在类似 aIipay.com(举个例子,不一定有这个网站,有也不要去试)的网页输入你的密码,有些时候真的不是你的警惕性太低,而是那些钓鱼网站做得实在太过逼真。
而密码管理软件配套的浏览器插件可以帮你甄别这些钓鱼网站,事实上它只会在正确的网站帮你自动填充密码,所以当你发现在 aIipay.com 上不自动填充密码时,你就应该关掉这个页面。
3. 多设备密码同步
日常生活中,我们往往需要在不同的终端设备中登陆账号,就像之前说的那样,设置复杂密码其中一个不方便的地方在于用极为紧凑的虚拟键盘在手机屏幕上输入“Hi7&_$8*Mx12+”这样的密码,你可能需要重复好几次才能输入正确的密码,密码管理软件另一个方便之处在于一旦保存了密码,就可以在多个终端之间完成自动同步(这通常是付费功能)。
实际上这可能是一个颇具争议的功能,你的密码将在云端备份,有些人不喜欢自己的密码被保存在服务器上,这意味着其他人也可能得到这些备份的密码。
为什么不用密码管理软件
1. 云端安全问题
这是我能想到的唯一不使用密码管理软件的理由了,很多密码管理软件都会在云端备份用户的密码以实现多设备同步等高级功能,当密码被放在云端时,无论服务提供商多么自信地向你保证自家服务器的安全性,总有人会感到害怕,商家会滥用我的密码吗?数据会被黑客获取吗?这些都是有可能的,出于谨慎考虑,你得选择较为可靠的厂商提供的服务,或者干脆不要使用。
浏览器自带的密码管理
你可能已经注意到了,现代的浏览器往往都有自带的密码管理功能,以 Chrome 为例,登陆 Google 账号后,你在浏览器保存的密码可以在所有平台的 Chrome 上同步,不过即使像 Chrome 这样业界领先的浏览器也无法提供足够安全的保障措施来确保密码的安全,以前你甚至可以在浏览器上输入 Chrome://settings/passwords 后直接看到所有的密码(现在需要系统密码进行身份验证),更别说有些浏览器还存在明文保存密码的情况。
如果你有兴趣可以浏览一下这篇文章了解浏览器保存的密码安全性到底有多高,我想说的是不要过于信赖浏览器自带的密码管理功能,尤其是不能在公用电脑上让浏览器记住密码。
使用密码管理软件是一种怎样的体验
这类软件一般都是由一个主密码来确定使用者的身份,至于其他密码你完全不需要担心,密码管理软件会替你保管,你可以把密码管理软件当做一个保险箱,你把所有贵重物品都放在里面,主密码就相当于保险箱的钥匙,只有你能打开保险箱使用里面的贵重物品,这样你就不用担心贵重物品被别人惦记了。
密码管理软件最主要的使用场景在于浏览器端,注册新账号时可以帮我们生成复杂密码并自动填充邮箱等信息,初次登陆时会记住账号和密码,下次再登陆时可以完成自动登陆(每隔一段时间需要通过主密码来验证身份),如果你启用了同步功能,那么就可以实现一次使用多端自动登陆。
说了那么多到底用不用密码管理软件?
如果你认真看到了这里,我建议你使用密码管理软件!对于所谓的「普通用户」,使用密码管理软件要比不使用更加安全,如果你怀疑云端备份的可靠性,你完全可以禁用同步功能,只在本地保存密码。
安利一波 App
写到这里不安利几款 App 好像说不过去,首先声明一点,这些 App 的功能大同小异,主要区别在于服务的价格以及可靠程度,你可以根据自己的喜好以及所能接受的价格来选择。
- 人人都爱 1Password
不考虑费用的情况下,1Password 是最好的选择,不需要过多的解释,用过的人都说好,没用过的都想用(比如说我),你可以选择每月5刀的套餐,包括免费升级、多端同步(几乎涵盖了所有功能)等,也可以一次性支付65刀购买桌面端的软件(新版本需重新购买);
- 小清新 Dashlane
然后我自己用的是 Dashlane,算是后起之秀,界面清新,功能完备,基本功能是免费的,同步功能付费用户才能使用(40刀一年)。
- 价廉质优 LastPass
还有一个类似的 App 是 LastPass,基本功能免费,高级功能每年12刀,是三者中价格最优惠的,而且功能比前两者有过之而无不及,用的人也更多,因此成为了一些黑客的目标。
