更科学地使用密码—密码管理器

type

Post

status

Published

date

Jun 19, 2024

slug

summary

为什么我们需要密码管理器?

你是如何记密码的

要想记住几十个密码那就得要求密码简单方便记忆, 或者是用重复的一个密码, 那密码就不安全. 你今天注册的某个小网站, 可能每天就把你的数据卖给别人. 并且互联网时时刻刻都存在攻击与泄漏, 随意谷歌, 类似的事件数不胜数.

但是要想密码安全那就得设置随机的,复杂的,位数多没有规律的字符,且密码不能共用,那么密码就记不住.

这时, 密码管理器就有了用武之地

常见的密码管理器都有生成随机密码的功能, 以笔者使用的KeePassXC为例, 其拥有生成 大小写字母&数字&特殊符号 混合复杂密码的能力, 例如2v&2V3mL2PiRtQYrSPW并且通过密码管理器和复制粘贴/自动填充的输入方式, 我们可以实现一个服务一个密码.

即使网络服务提供方发生了数据泄漏, 我们也可以最小化损失

那么为什么我们不用txt或别的文本文件来记录密码呢?

没有加密, 意味着任何人只要获取了这份文件就获取了你的全部身家

不加密的密码存储意味着一旦有意外发生就是一锅端

想象一下, 一天早上你的电脑中了病毒, 过了一会你的社交媒体全都在转发加密货币相关信息, 而你的论坛之类账号已经因为广告而被封禁. 想想都觉得吓人(笑

密码管理器能干什么?

一个合格的密码管理器绝不会用明文存储密码目前常见的密码存储一般通过.kdbx之类的加密格式存储

首先是密码存储架构应该实现的基本功能

第一是每个密码管理器都能做到的也是最基础的功能———存储用户名密码

而有不少人不只拥有一个设备, 所以多设备同步也不可或缺

以笔者手里的设备为例

其次便是属于密码管理器的常见选项

URL: 网页链接

TOTP: 基于时间的一次性密码算法

通行密钥/passkey:

通行密钥 - 维基百科，自由的百科全书

通行密钥（英语：Passkey）是一种数字认证凭证，用于网站或应用程序的身份验证[1][2][3]。它受到万维网联盟和FIDO联盟的支持[4]，是一种无需密码的验证方法。它通常由操作系统或浏览器保存，并可通过云计算在同一生态系统中的不同设备间同步[1][5]。它们也可以只存在于单一的、如物理安全钥匙等物理设备中[2]。

浏览器集成: 通过浏览器插件连接数据库文件实现浏览器中更便捷的自动填充

备份: 保存数据库前创建在其他位置的文件备份 [部分]

这就是本篇关于密码管理器的基本介绍, 关于具体的软件选择见仁见智, 我个人则是选择的KeePassXC. 当然例如Bitwarden之类也值得一看. 看大家的喜好如何

虽然需要一定的时间成本来学习和部署，但考虑到安全性和便利性的提升，我认为这值得一试.