作為一位網(wǎng)站編輯，三易菌在日常工作中總是需要記住很多很多的密碼，有我們自己網(wǎng)站后臺管理頁面的，有工作郵箱的，有各種各樣媒體分發(fā)平臺的，還有許多友站的會員賬號，以及各種資訊和論文網(wǎng)站的付費賬號，再加上為了安全，所有這些密碼都會不定期進行修改，同時還需要在單位、家中，以及出差專用的筆記本電腦和手機等多臺設(shè)備上進行同步?？梢韵胍?，管理所有的這些密碼，本身就不是一件容易的事情。

[[384672]]

正因如此，我們其實很早就關(guān)注過一些專業(yè)的“密碼管理軟件”，例如大名鼎鼎的LastPass、號稱免費的Bitwarden，以及某些手機或者電腦中自帶的密碼管理功能。

事實上這類軟件有三個共同的特征，其一就是可以記住賬號和密碼并進行便利的批量管理。例如修改了某個網(wǎng)站的賬戶密碼后，這些軟件就會自動記住新密碼，不需要再專門到軟件中再次修改一遍。

二是可以將這些密碼與生物識別特征掛鉤。比如用一個指紋關(guān)聯(lián)一批性質(zhì)相同的密碼，需要登錄的時候掃一下指紋，軟件就會自動輸入正確的密碼，從而避免了“死記硬背”的麻煩。

三就是此類軟件普遍支持在多個設(shè)備間自動對密碼進行同步。比如剛換了一臺新手機或新電腦，那么只需要安裝上相應(yīng)的密碼管理軟件，其他設(shè)備上已有的密碼就會被自動同步過來，不需要再次手動輸入一遍。

怎么樣，是不是覺得特別方便?然而出于業(yè)內(nèi)人士的直覺和對自身工作資料重要性的考量，我們并未使用這類軟件。事實上，我們主要擔心的是其跨設(shè)備同步機制會導致密碼被軟件運營方所取得，或者至少是可能暴露在它們的服務(wù)器中，從而導致一定風險。

如今看來，不得不說我們的做法可以說是非常正確，但我們所擔心的理由本身卻并未成立。因為這些“密碼管理軟件”真正的安全漏洞還不在于其同步機制，而是發(fā)生在更簡單、同時也更加令人難以置信的地方。

近日，德國安全公司Exodus對市面上多款“密碼管理軟件”進行了深入調(diào)查。他們發(fā)現(xiàn)，一方面這些密碼管理軟件確實會使用高度加密算法和點對點傳輸?shù)劝踩夹g(shù)，來確保密碼在上傳到服務(wù)器以及在不同設(shè)備之間同步時的安全性;但從另一方面來說，真正不安全的其實并非密碼同步機制，而在于這些軟件本身就可能存在嚴重的安全漏洞。

為什么會這么說呢，主要的原因在于，許多此類密碼管理軟件出于商業(yè)利益的考量，會集成名為“跟蹤器”的插件。以最為知名的密碼管理軟件LastPass為例，其一口氣內(nèi)置了七個“跟蹤器”。其中四個是由Google提供，主要用于偵測和記錄軟件使用中發(fā)生的崩潰和錯誤等現(xiàn)象，并自動將錯誤報告?zhèn)骰亻_發(fā)者以供進行分析改進，而另外三個跟蹤器則分別來自三家信息分析企業(yè)，這些跟蹤器會記錄用戶在使用軟件時的一些行為信息，比如電腦或手機的型號、配置、用戶是否習慣使用指紋來關(guān)聯(lián)密碼，以及用戶所處的位置信息等。

很顯然，這些“跟蹤器”收集數(shù)據(jù)的目的是為了進行市場分析，客戶調(diào)查，以及用于精準地投放廣告。雖然在公開聲明中，我們可以看到軟件公司聲稱“跟蹤器”并不會收集或上傳用戶的密碼數(shù)據(jù)，但Exodus方面指出，關(guān)鍵的問題并不在于跟蹤器的行為是怎樣的，而在于提供這些“跟蹤器”的市場調(diào)查公司可能并不具備很高的編程水平。

也就是說，雖然密碼管理軟件本身可能用上了最新的加密技術(shù)，擁有高度安全可靠的代碼水平。但廣告公司和市場調(diào)查公司的程序員水平或許并沒有這么高，這就導致他們所寫出的這些“跟蹤器”插件里，安全漏洞可就太多了。而一旦本身理應(yīng)是高度安全的軟件集成了這些“跟蹤器”插件，就算跟蹤器本身不作惡，但其也會為黑客的攻擊大開方便之門，使得原本應(yīng)該高度安全的軟件變成了到處都是漏洞和易被攻擊的靶子。

更為重要的是，密碼管理軟件與殺毒軟件和文件加密軟件一樣，都屬于涉及到高度安全技術(shù)的領(lǐng)域，對于這些軟件公司的程序員來說，他們不可能不知道那些市場調(diào)查公司或互聯(lián)網(wǎng)廣告公司的技術(shù)水平是怎樣的，但他們還是選擇在產(chǎn)品中集成了這類可能有問題的插件。這樣的行為本身，實際上就足以看出相關(guān)企業(yè)在道德規(guī)范以及對用戶利益的重視上，到底抱有怎樣的態(tài)度。換而言之，即便它們自身的代碼再安全、加密功能設(shè)計得再好，顯然也不再值得受到我們的信任了。