现在是 2019 年,我们拥有这么多酷炫的小工具:像飞行出租车这样的机器甚至都在研发中。但我们仍然需要应对密码——这是我们在线生活中痛苦的根源。谷歌最近发布了一份关于安全性的调查结果,报告称,他们调查的成年人中有 52% 的人对多个账户使用同一个密码。考虑到记住所有这些字母和数字是多么麻烦,这是一个可以理解的失误。但有些人——整整 13% 的人——甚至对所有账户都使用同一个密码。这非常糟糕。
同一项调查的约四分之一的受访者表示,他们已经使用密码管理器来帮助解决这个问题。这些结果很好地提醒我们,一个帮助你管理密码的平台——流行的选择包括1Password和 LastPass——是解决个人在线安全问题的强大(尽管不完美)的解决方案。
密码管理器主要做两件事:它们会自动填充你现有的密码,而且更棒的是,它们可以为你生成一个长、复杂、随机的代码并将其存储起来。像Chrome和Safari这样的浏览器已经可以做到这一点(例如,苹果公司会将这些密码保存在你的iCloud Keychain中)。如果你主要使用一个系统,比如 iPhone,再加上 Mac 和 Safari,那么这些服务是一个不错的选择。
但第三方密码管理器可以在多个平台之间工作——从应用程序到不同的浏览器,无论是谷歌的产品还是苹果的产品。
真正的安全优势来自于密码管理器为你生成和保存的那些冗长复杂的密码,这些密码肯定比你脑子里想出来的任何系统都要好。网络安全公司 Shape Security 的首席技术官 Shuman Ghosemajumder 说:“绝大多数人很难在密码方面保持良好的卫生习惯,因为他们需要管理的账户太多了。”
考虑使用此类服务的一个令人信服的原因是,数百万电子邮件和密码已提供给可能试图使用它们的犯罪分子。例如,一个名为“Collection #1”的列表据称包含超过 7 亿个电子邮件地址和约 2100 万个密码。这类数据并非源于一次安全漏洞,而是源于多次漏洞,犯罪分子可以试图利用这些信息登录他们不应访问的账户,如银行网站。这是一种被称为“撞库攻击”的策略,根据 Shape Security 的一份估计 [PDF],2017 年零售商网站流量的平均 80% 到 90% 来自此类攻击。
但如果你使用的每一个密码都不同且复杂,那么在一个泄露事件中泄露的密码在其他网站上将完全无用。想更进一步吗?像 YubiKey 或Google Titan Security Key这样的物理设备可以帮助使双重身份验证过程更加安全。
密码管理器并非完美无缺,它们确实存在用户体验上的问题——例如,使用1Password这样的系统,你需要先教会它你现有的密码。然后,你必须更改该密码,以便它为你创建一个新密码。
即便如此,你也明白了。即使一个不完美的解决方案也比你脑子里记的密码方案要好。Ghosemajumder 说:“对于任何不是安全专家的人来说,使用密码管理器都比使用他们自己想出来的任何手动系统要好。”
