知名密碼管理軟體 NordPass 在 2021 年 11 月發布了 2021 年度人們最常用的 200 個密碼清單。毫無意外地,大眾最為廣泛使用的密碼仍然是簡單的數字組合和單詞,如「123456」和「password」這種過於「樸素」的密碼在排行榜中長期霸占著最靠前的位置。
▲ NordPass 統計出的全球密碼使用榜前十. 圖片來自:NordPass
簡易的密碼會為帳號安全帶來巨大風險,因而 APPSO 今天會推薦一款可以免費使用且可全平台同步的密碼管理工具 Bitwarden。通過它我們可以方便安全的管理自己在各個平台的帳號密碼。
為什麼需要密碼管理軟體?
絕大多數人在網絡上的各種服務里往往使用著相同的密碼。這些密碼要麼是上述提到的一些超級簡單,易於識記的數字排列和字母,要麼是自己的個人信息如手機號碼,生日,姓名拼音等的簡單組合。在當前個人信息嚴重泄漏的網絡環境下,使用個人身份信息作為密碼其實是存在著巨大隱患的。
對於不同網站和 app 使用不同的「隨機性」強密碼是保障個人網絡安全的重要舉措。但這又同時帶來另一個問題,我們不可能記住諸多沒有規律的密碼,將其記錄於文件中又難以方便的調取使用。眾多的密碼管理軟體便是為「人力所不能及」的記憶和方便的使用而服務的。
也許你在使用 Edge 和 Chrome 的時候發現這些最新的瀏覽器已經具備「建議強密碼」和「密碼保存」功能,且能跨設備同步,那麼我們為什麼還需要一款專門的密碼管理軟體呢?
▲ Edge 瀏覽器在網站中使用「建議強密碼」功能來生成安全的隨機密碼
其一是 Chrome 或者 Edge 保存在本地的密碼內容可以輕易地被其它軟體獲取。當安裝其它瀏覽器時,它會提示導入 Edge 或者 Chrome 的書簽,密碼等內容,只要你確認後,這些信息會完整的轉移到其它瀏覽器。
事實上,Chrome 的密碼在電腦本地並非明文存儲,但是其使用了 Windows 自帶的加密機制,這僅僅意味著使用其它 Windows 帳戶登錄無法獲得密碼。但在相同的 Windows 帳戶下,其它應用理論上都能獲取瀏覽器保存的密碼。若是電腦上存在木馬應用,則這些密碼信息會被完全泄露。
▲ 瀏覽器間的數據轉移功能,可直接轉移密碼信息
A 君發現其實已經有一款綠色軟體 WebBrowserPassView, 在無需 Windows 密碼確認的情況下,便可直接查看和導出本地瀏覽器的所有帳號密碼。很容易想像這種軟體功能若被用作惡意用途,將會帶來多大的危害。
▲ WebBrowserPassView 可直接查看到瀏覽器保存的密碼
其二是瀏覽器的密碼管理缺少靈活的新增密碼功能。用戶無法在移動端的 app 上使用瀏覽器的密碼管理來創建隨機密碼。簡而言之,瀏覽器的密碼管理是為瀏覽器本身服務,其應用范圍很大程度上被限制在了該瀏覽器內。
Bitwarden 是什麼?
Bitwarden 作為一款密碼管理軟體,它首先要做到的當然是安全。Bitwarden 是一款開源軟體,你也許會有疑問開源是否會導致其保存的密碼遭遇安全性的挑戰,事實上恰好相反。
密碼學中著名的柯克霍夫原則指出,即使知道密碼系統的所有運行步驟,只要缺乏對應的密鑰,就無法獲取加密的信息。因而只要保管好解鎖的密鑰,就能確保存儲於其中的各項信息都是安全的。
同時得益於服務端的開源,我們也可以將 Bitwarden 部署到自己的伺服器上,從而讓數據完全掌握在自己手里。
▲ Bitwarden 在 github 上完整開源了服務端,客戶端,網頁端原始碼
Bitwarden 對用戶的帳號和主密碼使用散列算法進行了處理(散列算法是指對任意的原始數據進行計算操作,得到散列值。該計算過程是單向的,不可逆的,人們無法從最終生成的散列值反向得到原始數據,從而被廣泛應用於數據加密),對存儲於其上的各種數據都實施了端對端的加密,且原始數據加密的過程在本地設備完成,之後再上傳到 Bitwarden 的伺服器。
因而,Bitwarden 的伺服器上保存的是完全加密後的信息,只有通過用戶設置的帳號和主密碼才能完成信息的解密。即使在服務端發生數據泄露,所有信息對第三方仍然是無法理解的密文。
▲ Bitwarden 對帳戶和主密碼使用一系列復雜的散列算法和加密算法來進行處理,確保帳戶安全性
Bitwarden 提供了全平台的原生軟體,且有著功能完備的網頁端,它的插件支持所有的主流瀏覽器,十分方便用戶在各種情境下的使用。
▲ Bitwarden 對桌面端,瀏覽器,移動端提供了全面的支持
Bitwarden 怎麼用?
Bitwarden 的大部分功能對個人用戶免費,在此 A 君僅對免費版的功能做出說明。
注冊帳號,創建一個安全的主密碼
在開始之前,我們首先需要注冊一個帳戶。進入 Create Account | Bitwarden Web Vault ,使用郵箱作為帳號,再設置 Bitwarden 的主密碼。
▲ Bitwarden 注冊界面
主密碼的設置建議選取一個不同於其它應用的強密碼。考慮到密碼復雜度,同時又要易於記憶,你可以根據自己的習慣選擇字母和數字以及特殊符號的組合,且保證足夠的密碼長度。
具體地,字母最好包含大小寫,數字避免直接使用身份信息,可以截取手機號碼等記憶牢固的數字信息的片段並進行簡單易記的二次運算處理,最後,可以插入如感嘆號,問號等特殊符號於某個位置,這將大大增強密碼的強度。
例如,某人名為張三,出生於 1988 年 8 月 26 日,手機號後四位為 2345,那麼設置這樣一個密碼:Sanz!208862?2354。除了插入其中的特殊符號,我們對姓名的拼音進行了簡寫和位移,對出生年進行了加 100 的運算,省去了月份,對出生日期進行了倒序,且對手機號碼後四位的最後兩位也進行了倒序。因為本身我們對個人信息是爛熟於心的,我們所需要記憶的只剩對字母和數字的二次處理動作以及特殊符號的位置。
以上是提供給大家設置密碼的一個思路,你可根據自己喜歡的方式來對原始信息進行二次處理和排列。
設置完密碼後,我們可以進入 Bitwarden 開發的 Password Strength Testing Tool 來檢查密碼的強度,我們無需擔心自己的密碼在該網站泄露,因為判別密碼強度這一過程完全是在瀏覽器本地進行的。
▲ 密碼強度檢驗,結果顯示該密碼強度足夠,預估破解時間達到數百年
除了設置一個安全的主密碼,我們還可以開啟「雙重驗證」登錄。「雙重驗證」是指登錄帳號除了需要密碼,還需要額外的驗證信息,例如臨時性的郵箱驗證碼。Apple, Google 等網際網路巨頭已逐步推行甚至實施強制性的「雙重驗證」登錄來保護用戶帳號安全。因而,對 Bitwarden 開啟「雙重驗證」登錄,相當於又加了一把鎖,這將大大提升帳戶安全性。
▲ Google 基於 Android 設備和堅果雲基於微信公眾號驗證碼的「雙重驗證」
▲ Bitwarden 開啟郵箱驗證碼「雙重驗證」
密碼導入和導出
注冊成功後,下載好自己所用平台的客戶端和瀏覽器插件,就可以開始使用。首先,Bitwarden 提供了導入瀏覽器和其它主流密碼管理軟體密碼庫的功能,從而用戶能夠方便的導入其它平台的密碼數據。
▲ Bitwarden 導入其它平台的數據
除了便捷的導入,Bitwarden 也提供了方便的導出功能。敏感數據不能被強制綁定在一個平台,這也是幾乎所有同類軟體的共識。
▲ 在驗證主密碼後 Bitwarden 可以導出所有數據
在瀏覽器中使用 Bitwarden 插件
工作和學習中人們使用最多的場景大多是瀏覽器,因而 A 君首先介紹瀏覽器插件的使用。以 Coursera 網站為例,我們需要注冊一個新的帳號,我們點擊 Bitwarden 插件圖標進入主界面,再選擇右上角的加號「添加項目」。
▲ Bitwarden 瀏覽器插件在網頁中「添加項目」
接著,填入我們要注冊的帳號名稱,點擊上圖中矩形框所圍繞的圖標選擇創建隨機密碼。進入生成密碼的界面後,可以選擇密碼長度,包含的字符類型,確認後點擊右上角的「選擇」,重新進入「添加項目」頁面保存設置的帳號數據。
▲ Bitwarden 密碼生成器
在添加好 Coursera 的帳戶信息後,再次進入 Coursera 網頁,Bitwarden 插件的右小角就會出現一個數字角標,表示在該網站保存的帳號數目。點擊 Bitwarden 插件選擇帳號欄後即可自動填充帳號信息到對應位置。
▲ Bitwarden 自動填充帳號信息
Bitwarden 支持建立文件夾,從而用戶可以將帳號根據類型歸納到不同的文件夾中,方便後續查找。
▲ Bitwarden 文件夾
除了保存網站和 app 的帳號信息,Bitwarden 也能保存個人身份信息以及銀行卡戶信息,同時也支持保存文本內容。在添加信息時,打開「重新詢問主密碼」選項,意味著在已經登錄帳號的情況下,針對一些敏感信息仍需要輸入主密碼來進一步確保帳戶安全性。
▲ Bitwarden 添加銀行卡戶信息
對 Bitwarden 設置密碼庫超時動作,在超過一定時間或者重啟瀏覽器後,用戶就需要重新輸入主密碼來確認帳號。當然,你也可以關閉密碼庫超時的默認設置。
▲ Bitwarden 密碼庫超時鎖定設置
客戶端生物識別解鎖
在完成登錄後,Bitwarden 還支持後續使用設備自帶的生物識別進行解鎖。如果你的 PC 支持 Windows Hello,你便可以使用人臉或指紋識別方便的解鎖密碼庫。在 Mac 平台上,Bitwarden 支持 Touch ID 解鎖。
▲ 在 Windows 上使用面部識別解鎖 Bitwarden
在移動端上,Bitwarden 也支持 Android 和 iOS 設備的指紋或者 3D 面容的快速解鎖方式。
移動端自動填充
Bitwarden 支持在 Android 和 iOS 上全局性的密碼自動填充。當 Bitwarden 匹配到當前網頁或者 app 的登錄界面,在鍵盤上方就會自動彈出對應的帳號信息,點擊解鎖即可填充到輸入框里。Bitwarden 的 Android 客戶端具有極高的權限,在應用中無法截屏和錄屏,可謂是對敏感信息給予了最嚴格的保護。
▲ Android 端網頁和 app 中自動填充功能展示
▲ Bitwarden 在 iOS 上設置 Face ID 解鎖以及自動填充功能展示
以上就是 Bitwarden 的大部分基礎功能,Bitwarden 還有收費的高級版本,提供了更多高階功能。但對普通用戶而言,免費版本已能滿足密碼管理的需求。
想對數據擁有更多掌控權?
如果你對密碼管理軟體雲服務的可靠性始終保持著懷疑,你可以嘗試開源的 Keepass。Keepass 默認的資料庫存儲在本地,但可以藉助堅果雲的 WebDAV 實現全平台的同步。
如果覺得配置繁瑣,你也可以使用 SafeInCloud,其桌面端免費,移動端為買斷制。使用 SafeInCloud 可以直接藉助 OneDrive, Dropbox 等大廠的產品以及 WebDAV 來進行同步,且界面相較 Keepass 更為美觀。
▲ SafeInCloud 支持網盤同步
總結
在這個高度信息化的時代,信息承載著許多個人和企業的生存之本,而信息安全在當下充滿著各種挑戰。在不久前,黑客組織 Lapsus$對英偉達和三星進行了入侵,並獲取了英偉達大量的員工信息以及一些核心機密資料。如此龐大的企業巨頭也會不斷地遭受信息泄露的威脅,而個人信息泄露的狀況則更為嚴重。
▲ 英偉達數據遭黑客竊取
因而,我們應該關注自己的信息安全,做好個人信息的防護。使用密碼管理軟體來對不同服務生成獨立的強密碼便是保障帳戶安全的重要措施。
在此 A 君主要推薦了 Bitwarden, 因為開源從而具有可檢驗的安全性,且核心功能均可免費使用。如果你對數據可靠性有更高追求,那麼 Keepass 或者 SafeInCloud 是不錯的選擇。
最後,歡迎大家在評論區討論你所使用的密碼管理工具,或者分享你對密碼管理的獨特心得。
來源:愛范兒
