我的密码管理心法 | 月旦评

yjcps (52)in #cn • 6 years ago (edited)

图片.png

前几日在@kingwriting 的微信群里看到讨论密码管理的话题，我简单的说了下可以使用密码管理器，觉得使用密码管理器挺好，讨论完后群友总结了密码管理的方法，@kingwriting也写文章表示对密码的使用感到恐慌。虽然密码管理不是第一次讨论的话题，在steem 手册上也有介绍密码保存的方法，但是我觉得密码管理这个话题还可以再聊聊，还可以写写我的密码管理器使用心法。

为什么使用密码管理器？

因为恐慌，真的。

以前偶然地看到关于“社工库”的博文，社工库是那些“有心人”通过窃取或者购买网站的数据库搭建的查询工具，可以根据用户名或者邮箱查询到用户密码，甚至是身份证、手机号和住址等敏感信息。不要觉得惊讶，如果你是telegram用户，可能也能看到在讨论群里偶尔蹦出个买卖数据的人来。

我曾经通过所谓的社工库查到了自己的两个账户信息，Gmail邮箱、QQ邮箱、用户名和明文密码，丝毫不差。

当时就惊了！我注册的所有网站的用户名和密码都是一样的，账户信息泄露之后，岂不是任由他人在我的世界里走来走去？其中一个网站的账户遭殃，其他的账户也受牵连。

因此，我在网上寻找密码管理方案，我选择的密码管理方式是使用免费开源的KeePass密码管理器软件，15年开始至今仍在使用，我觉得挺好，所以也推荐给你。需要注意的是：有人认为开源软件很安全，但开源并≠安全，影响安全的因素是多方面的，比如：你的安全意识、上网习惯、使用方式等。

如何优雅地设置密码？

密码管理器最脆弱的地方是它的入口，所以入口的防守是至关重要的，而密码管理器的主密码是打开加密数据库文件的钥匙，所以先来讨论主密码的设置。对于如何设置密码管理器的主密码，我先给出两点建议：

避免使用“懒人密码”
制作自己的密码生成器

什么是“懒人密码“？那我得先问你几个问题：

平时你使用的密码是“1234”吗？

是“abc123”吗？

“qwert”?

“88888888”？

还是某人生日？

电话号码加名字拼音首字母？

身份证后六位？

...

这类密码在网上称做“弱密码”，因为这样的密码很常见，也很容易让人猜到，尤其是了解你的人，即使是陌生人也可以通过网上的社交资料，或者家人朋友获取关于你的个人信息，从而按照类似的逻辑组合生成密码去破译你的账户。

我把这样的密码定义为懒人密码，因为它简单，方便，易记，也很容易被人猜到，而且使用这样密码的人思维很懒。我并不是笑话谁，因为我以前就是一个到处用懒人密码的人！

在我们的生活中应尽量避免使用懒人密码，那么该如何设置主密码呢？我的建议是建立自己的编码方法，制作一个密码生成器。不要觉得制作一个密码生成器很难，也不需要你编程写软件，只要把脑洞打开，活动一下思维，就可以制造一个密码生成器。不信？我举个栗子：我的编码方法是选取一句话作为密语，在密语里插入特殊字符和账户关键词，然后输出密码。比如：

我选的密语是：

“不爱吃饭”

我为keepass生成的密码是：

“#1#Bu#ai#chi#fan=>keepass”

为Gmail生成的密码是：

“#1#Bu#ai#chi#fan=>gmail”
...

相信聪明的你能够制作出更好的密码生成器。

使用密码管理器只需要记住一个主密码，这是它的优点，也是它的缺点。如果你想把密码管理器设置得更安全点，可以使用主密码+密钥文件这类方式加密你的数据库文件。接下来再讨论一下如何设置密码管理器里面的密码，我给的建议也是两条：

解除相关性
尽可能地使用复杂密码

我们可以把解除相关性理解为如果某个账户信息泄露了，不会殃及其他账户。也就是每个账户的用户名、密码、注册邮箱、手机号都是唯一的。用户名和密码做到不重复比较容易，但邮箱和手机号没那么多啊，怎么办？

先说邮箱，我会按照注册目的把网站归为重要和不重要两类，如果注册一个网站是为了下载某份资料，或者只是为了查看登录可见的内容，那么这就是不重要的网站，我会使用临时邮箱去注册，通常也不会添加记录到密码管理器里。如果要注册的网站是比较重要的，会长期使用，我会使用域名邮箱去注册，比如:注册华为的账号用[email protected],注册百度用[email protected]。

对于只能用手机号注册的网站，我没有找到提供类似临时邮箱这样的服务，也没有使用阿里小号，我的方法是使用两个手机号，一个用来注册乱七八糟的网站，另一个保持干净。

在设置密码的时候，尽可能地使用复杂密码，怎样的密码是合格的呢？steemit的密码是一个范例，例如：