自古以来,我一直在考虑拥有更安全的密码管理。 最初,我唯一关心的是在不同的计算机之间共享书签和历史记录(当时,电话不在我的范围之内)。 由于Firefox是我选择的浏览器,因此我决定选择Foxmarks(现在称为XMarks,可用于更多浏览器)。
但是很快就发现我的自然懒惰又回来了,我也同步了密码...在云中。 在Firefox通过Sync开箱即用的同步之后,我继续使用该功能,而没有听到我的脑海里只有很小的声音告诉我这是一个很大的安全问题。 我的意思是,Mozilla可以按自己想要的方式保护存储,我仍然觉得不太安全...但是懒惰盛行。 直到有了Firefox的新Sync功能后,我才不得不更改同步方式,我认为这已经绰绰有余:我正在寻找一种更好的方式来在所有设备上使用密码。
选择一个好的密码的核心是以下几点:我希望密码易于记忆和易于输入,同时又希望密码既不可猜测也无法**。 可用性与安全性。 这在xkcd comis中有所概述:
一些在线服务提供商(例如Google和Dropbox)提供了一种有趣的功能,可以消除用户选择易于猜测的密码,两步身份验证的自然趋势。 这意味着您不仅必须输入密码,还必须提供另一种身份验证方式。 先前的两个提供者都使用由双方(提供者和客户)已知的一些参数生成的代码,还使用时间,因此只能在很短的时间内(通常为一分钟)猜测代码。 银行提供第二种步骤的另一种形式,当您使用信用卡进行在线交易时,银行会在您的手机上发送代码,然后您必须在网站上输入该代码以证明您是持卡人。
其他一些提供商甚至将身份验证委托给第三方提供商,例如Google(始终如此)或Github。 OAuth2是一个著名的过程。 如果所有服务提供商都提供委托,OAuth2可以解决许多密码问题。 不幸的是,大多数人更喜欢自己进行身份验证(以及自己保留身份,但这又是另一回事了)。 更不幸的是,它们仅提供传统的登录/密码身份验证挑战。 回到第一广场...
当然,我可以努力创建一个难以**的密码...但是,由于存在如此众多的应用程序,因此完全不可能(甚至不可能)为每个密码创建这样的密码。 没有人会建议对所有应用程序使用相同的密码-因为在站点上发现密码的黑客将能够访问所有密码,但是有些人主张在域名之前或之后附加密码。 las,任何简单的自动规则都可以很容易地通过另一端的自动**手段来克服,因此,如果您重视帐户的安全性,则永远都不要这样做。
答案很简单:为每个应用程序创建一个专用的难以**且难以记住的密码,并将其存储在安全的地方。 然后,可以使用一个更容易**的密码和可能记住的主密码(这是圣杯的钥匙)来保护此安全地点。 本质上,这描述了一种称为密码管理器的解决方案。 对于这样的软件,我有一些要求:
选择了密码管理器后,现在面临的难题是:我应该将密码存储区始终保存在USB**上吗(请确保副本放在安全的位置),随身携带的笔记本电脑,随处可见或云端? 这等于和以前一样,安全性还是可用性? 我决定将其存储在由两步身份验证保护的提供程序基础结构上的云。 我还确保可以在我的不同设备上使用此商店,尽管我并不是不知道链条与其最薄弱的链接一样牢固。 使用当前的设置,我不确定我是否完全摆脱了3个信函代理机构的任何撬动工作,或更确切地说,我确定自己没有。 但是,我相信我对在线入侵的鲁棒性提高了几个数量级,这应该可以防止脚本小子对我玩一些讨厌的把戏。 现在该你了...