【51CTO.com 獨家譯稿】在上一篇《自己都不記得的密碼 才是惟一安全的密碼》的內(nèi)容中，我們分析了有關(guān)密碼安全的一些問題。那么我們?nèi)绾喂芾砦覀兊拿艽a呢？這里主要介紹一下1Passwrd密碼管理器的使用。這里要強調(diào)的一點是：這個管理密碼系統(tǒng)的口令一定要具備很高的強度！如果你要使用一個統(tǒng)一的口令來管理自己日常使用的每個網(wǎng)站的登錄密碼，趕緊把那些生日啊、孩子的名字啊還有三明治之類的拋在腦后吧，這個時候你需要的是真正可以保障安全的嚴肅的口令內(nèi)容。

1Password使用指南

運行1Password，讓我為你展示當我以傳統(tǒng)方式登錄到網(wǎng)站中時，它會起到哪些作用。我會登錄到Slashdot這個網(wǎng)站上，這是個有點專業(yè)的技術(shù)型站點，但其登錄過程跟其它常用的網(wǎng)站基本是一致的。

因為是付費的，免費的只有30天試用，進入下載頁面：http://down.51cto.com/data/181646 （包括windows系統(tǒng)和Mac系統(tǒng)的，在一些平板或者手機系統(tǒng)中也有應(yīng)用，這里就不提供下載了，在應(yīng)用商店中都可以找到。）

網(wǎng)絡(luò)安全工具集合：網(wǎng)絡(luò)安全工具百寶箱

開始的部分很平常，還是用戶名和密碼環(huán)節(jié)：

但我在點擊"登錄"按鈕時，1Password提供了保存口令信息的功能：

這套方案的名稱默認為所訪問的網(wǎng)頁地址，但我可以將其修改為更合乎邏輯的描述方式（可以立即修改，也可以稍后再進行重命名）。而一旦我點擊"保存"按鈕，1Password會要求我們輸入"主密碼"，這就是我們提到的，惟一一個我們需要牢記，并用來管理所有網(wǎng)站賬戶信息的密碼：

這是我需要記住的惟一的，高強度的密碼。事實上它也是目前僅有的我能夠記住的復雜密碼，而且，千萬別用"Iloves@nDwich3s"之類！#p#

保存之后，讓我們現(xiàn)在登出Slashdot然后再次返回，嘗試二次登錄。但這一次，我們不再需要輸入Slashdot的原始口令（其實這個口令我也已經(jīng)非常輕松地故意忘記了），代之的是點擊地址欄右側(cè)的小鑰匙圖標：

現(xiàn)在系統(tǒng)提示我再次輸入自己的"主密碼"--也就是我惟一需要記住的那個。進入后，我能看到先前創(chuàng)建的條目：

這里可以添加更多條目（因為你在同一個網(wǎng)站上可能有不止一個賬戶），但我就姑且雙擊現(xiàn)有的這一個?？纯葱Ч?-我們已經(jīng)成功登錄了。

這種密碼解決方案的優(yōu)點在于，相對每個網(wǎng)站來說，它都提供一套獨特的口令管理機制。我不再需要記住幾十個不知所云的長串密碼，通過1Password，我們只需用手動方式登錄一次網(wǎng)站，再使用它幫我們保存密碼內(nèi)容。

你也可以在其它瀏覽器上用到1Password的功能，我在上面的例子中使用了谷歌瀏覽器，但它也支持其它瀏覽器選擇。

安全保障

當然你的登錄密碼可能并不安全，而1Password所做的是利用一套安全的保存體系將你設(shè)定的那些簡陋密碼保護起來。利用1Password為自己的隱私及資料做點保障工作，現(xiàn)在正是合適的時機。

當通過以上步驟添加了自己所有的賬戶信息時，每當我通過一串簡陋密碼登錄一個網(wǎng)站時，我就打開1Password應(yīng)用程序，將自己的賬戶信息導入，并讓它幫助創(chuàng)建一套新的口令。它提供了一個非常簡明的小工具，使上述操作過程變得輕而易舉：

這就是一套安全的密碼所應(yīng)該具備的內(nèi)容（上圖中以藍色高亮加以突出）。如果對于一個非專業(yè)人士來說，你的密碼并不難被記住，那它也就不夠安全。當然，通過前面的介紹，大家應(yīng)該明白，網(wǎng)站的實際登錄密碼到底能不能被我們記住其實并不重要，我們需要記住的只是作用于1Password的主密碼。

現(xiàn)在，上述加密過程實際上只發(fā)生在你的1Password上，相應(yīng)網(wǎng)站的登錄密碼還沒有隨之變化。我們需要做的是將這段新密碼復制到剪貼板，再登錄上對應(yīng)的網(wǎng)站，將新密碼粘貼上去并進行保存。沒錯，這可能有點繁瑣，但只要花費幾分鐘，你就能建立一個極為安全、非?？煽康牡卿浢艽a，而且它是獨一無二的，不會在你任何其它網(wǎng)站賬戶上被重復用到。

說到現(xiàn)在，我們還面臨最后一個麻煩問題：有些網(wǎng)站不允許我們創(chuàng)建安全密碼。今年的早些時候，我寫過一篇名為《簡陋密碼誰之過--銀行、航空公司及其它》，因為我發(fā)現(xiàn)有那么一些網(wǎng)站--特別是銀行類網(wǎng)站，非常弱智地不允許我們建立那些長效的、內(nèi)容隨機的密碼。他們要么將密碼內(nèi)容的長度限制到非常短，要么就不允許我們在密碼中加入太多大小寫或是標點符號類的內(nèi)容--他們要求密碼就像PIN碼那么短，而且只能包含數(shù)字。遺憾的是用戶的密碼在這些網(wǎng)站上必須得遵守上述規(guī)則，所以當遇上類似這樣的限制，我們要做的只能是在其荒誕的規(guī)則要求之內(nèi)，最大限度地將密碼復雜化。#p#

將你的密碼隨身攜帶

對于我而言，很重要的一件事是，我必須能夠在任何地點，通過任何設(shè)備隨時方便地訪問我的密碼管理系統(tǒng)。在辦公電腦上、家用電腦上或是iPad及iPhone上，我需要這些設(shè)備都能隨時與我的密碼管理工具同步。

1Password允許我們通過Dropbox的文件同步服務(wù)，方便地實現(xiàn)上述要求。這是一款偉大的產(chǎn)品，其功能之強大及配置過程之簡便已經(jīng)被無數(shù)1Password用戶所證實。歸根結(jié)底，這使我所有的個人計算機中具備同樣的安全密碼備案，而我的iPad及iPhone上也具備非常友好的小工具，幫助我們隨時同步密碼信息：

將密碼文檔放在網(wǎng)上存在風險嗎？這個嘛，有一定程度的風險，無需諱言，但Dropbox的服務(wù)已經(jīng)運行多年，事實證明這一系統(tǒng)還是非常安全的。當然還有一點就是1Password的密碼文檔是經(jīng)過加密的，所以即使有人獲取了該文件，他們要解析內(nèi)容也還是要用到我們設(shè)定的（高強度的）主密碼。事實上，在整個安全保障體系之中，最薄弱的環(huán)節(jié)很可能是我們用來保護自己Dropbox賬戶的密碼，不過根據(jù)當前的情況來看，這一環(huán)也還是很難攻破的：）

這種管理體系不就是所謂"把所有的雞蛋放在一個籃子里"？

沒錯，正是這樣，但這是一個精心設(shè)置、異常堅固的籃子。如果有人想盜取你的信息，首先他必須獲取記錄有所有密碼的文檔，其次他還需要得到你管理整個安全系統(tǒng)的主密碼。他可能通過猜測，也可能采取暴力破解的辦法，但只要上述兩項條件沒有同時滿足，你的信息就仍然非常安全。

雖然將你所有的賬戶資料放到網(wǎng)上無疑是件非常糟糕的事情，但同手動登錄網(wǎng)站及依賴那些站點自帶的安全機制相比，我們要面對的風險已經(jīng)非常小了。

當然，其它潛在的風險也是存在的，例如1Password也許存在著未知的軟件漏洞。其實關(guān)于這一點，我已經(jīng)打電話向zero-day咨詢過了（結(jié)論是目前尚未發(fā)現(xiàn)這類漏洞），但這種情況仍然有可能發(fā)生。事實上LastPass上個月剛剛發(fā)現(xiàn)了一處漏洞，而其開發(fā)商在幾小時之內(nèi)就將漏洞徹底修復了。這一事實恰恰證明了專業(yè)加密工具軟件的特性，這類軟件的存在即是為用戶提供集中的安全解決方案，一旦有軟件漏洞被發(fā)現(xiàn)，你完全可以相信這種漏洞很快，甚至是立即就會被修復。

綜述

綜上所述，現(xiàn)在我們獲得了萬全的安全保障，你的數(shù)據(jù)已經(jīng)牢不可破了嗎？這個嘛…

左圖：

一位加密發(fā)燒友的想象場景：

甲：他的筆記本被加密了，咱們砸上一百萬美元來創(chuàng)建個團隊，一起攻克它。

乙：不好！它用的是4096位加密算法！

甲：暈！我們的邪惡計劃破產(chǎn)啦！

右圖：

實際可能發(fā)生的情況：

甲：他的筆記本被加密了。咱們把他迷倒，再花五塊錢買把扳手，打到他說出密碼。

乙：收到。

漫畫摘自 XKCD.

這使我想起一套簡明的哲學理論：所謂安全，意思是降低相關(guān)的風險，你永遠不可能真正"安全"，你能做只是將風險降低再降低?？傮w來說，將你的全部賬戶信息保存在1Password文檔中，比將它們分別存儲于各個網(wǎng)站的安全體系下要可靠得多。

但是，除了安全以外，密碼管理系統(tǒng)同時是一套便捷的信息存儲方案。通過一個高強度的密碼來登錄所有設(shè)備上的全部賬戶，絕對是個實在又方便的資料管理途徑。

最后，不要再等待所謂合適的時機，你可能已經(jīng)發(fā)現(xiàn)自己的某個賬戶被盜用（相信我，這種情況很可能已經(jīng)發(fā)生），而這種情況正是因為你沒有采用合適并且安全的密碼所造成，那就為時已晚了。因此，找個下午，花上幾小時和幾美元，把自己的個人安全系統(tǒng)盡早部署好。如果你還在猶豫不決，那么很快那些黑客們就會把目光集中在你那些觸手可及的"小雞蛋"上了。

原文鏈接：http://lifehacker.com/#!5785420/the-only-secure-password-is-the-one-you-cant-remember

【51CTO.com獨家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. 自己都不記得的密碼 才是惟一安全的密碼
2. MySQL.com被SQL注入攻擊 用戶密碼數(shù)據(jù)被公布
3. Windows安全兵法:密碼攻防戰(zhàn)(附視頻)
4. 用iptables限制黑客破解密碼