conf form 擁有 今天 不能 到你 html 轉載 審計

本文由 ImportNew - 範琦琦 翻譯自 frankel。歡迎加入翻譯小組。轉載請見文末要求。

如何擁有更安全的密碼管理器已經困擾了我多年。起初,我唯一的擔心是不同電腦之間共享書簽和歷史記錄(那時手機還不在我的使用範圍內)。自從我將火狐作為我的瀏覽器之選後,我決定使用Formarks(現在被稱作XMarks並且可用於多種瀏覽器)。

然而,由於我天性懶惰,很快我的惰性就明顯重返,然後我又在雲端中同步了自己的密碼。在火狐通過Sync推出即裝即用的同步功能之後,我繼續使用這一功能,縱然我腦海裏有個小聲音在告訴我這存在嚴重的安全隱患,我也置之不顧。我的意思是說,Mozila可以確保它想要的存儲方式,可我覺得還是不太安全,但是最終還是懶惰占了上風。因為火狐的新同步功能,我不得不改變我同步東西的方式,直到此時我才發現我的決定是多余的:尋找一個更好的方式使我的密碼可用於所有設備。

選擇一個好的密碼的要旨如下:我希望我的密碼既容易記住也容易輸入,同時它們也不可能被猜到或者被破解,即可用性與安全性。大致總結如下圖的連環漫畫:

技術分享圖片

用戶的天性是選擇很容易猜到的密碼,一在線服務供應商(如Google和Dropbox)提供了一個有趣的功能從而打敗這一天性,即兩步驗證法。這意味著你不僅要輸入密碼,還要提供另一種驗證。之前的供應商都使用一些參數生成代碼,這些參數是雙方共知的(供應商和用戶),同樣還需要時間,這樣猜測密碼只可能會用很短的時間(一般為一分鐘)。第二個步驟的形式是由銀行提供的,當你用信用卡進行一筆網上交易時,他們會將密碼發送至你手機,然後你必須在這個網站上輸入密碼以證明你是此卡持有者。

其他一些供應商甚至委托第三方供應商驗證,如Google(它一直扮演此類角色)或者Github。一個眾所周知的過程就是OAuth2,OAuth2可以解決許多密碼問題如果所有的服務供應商可以提供授權。不幸的是,大多數供應商選擇自己驗證(以及保持自己的身份,但這並不是今天的話題)。更不幸的是,他們只提供傳統的登錄或是密碼驗證挑戰。再回到原點……

當然,我可以努力創造出一個難以破解的密碼,但是面對這麽多的應用,生產出適用於每一個應用的密碼已經完全超出了這個問題所涉及的(甚至是完全不可能的)。沒有人會建議所有的應用使用相同的密碼,當一個黑客發現一個網站上的密碼時,他就可以獲得所有的密碼,但是有些人主張在密碼前面或後面加上域名。可惜的是,從另一方面來說,任何簡單的自動規則都能很容易地被多種類的自動破解打敗,所以,如果你認為自己的帳號安全很重要的話,這種行為是萬萬不可取的。

答案很簡單:為每一個應用創建一個專用的密碼,既不容易破解也很難記住,將它存放在安全的地方。這個安全的地方需要確保有一個相對而言容易破解也可能記住的主口令,這就是聖杯的關鍵。從本質上來說,這就是對密碼管理器解決方案的描述,關於這個軟件我有幾個要求:

  • 開源:我更喜歡有一個開源的解決方案,如果可能的話有權限的人就可以(至少在理論上)進行安全審計。封閉源代碼的解決方案意味著安全性通過模糊處理,當遇到真正的威脅時就不起任何作用。
  • 多設備:對,我就是那種有很多設備的人,我不僅擁有多臺計算機(辦公的電腦,臺式機,筆記本),這些計算機有著不同的操作系統(Windows和OSX),而且有兩部手機和一個平板。所以我想要一種可以使這些設備兼容的解決方案。
  • 配置身份驗證:這個要求是非常重要的,因為它不僅讓我選擇如何驗證進入存儲(例如密碼或密鑰),也增強了解決方案的安全性。
  • 最佳實踐:最後但並非不重要的,我需要實現安全性最好的實踐,例如散列法,salting(對密碼進行混淆的方法),一種緩慢的哈希算法,等等。

既然選擇好了我的密碼管理器,現在到了最難的一部分:我是應該將密碼存儲在我隨身攜帶的USB上(同時備份在一個安全的位置,只是為了確保安全),還是放在我隨身攜帶的筆記本上或是放在雲端呢?這相當於前面一個問題,安全性還是可用性?我已經決定將它存儲在雲端,由兩步驗證保護的供應商設施。我也可以保證這個存儲在我其他設備上也是可用的,雖然我不知道一條鎖鏈的強度取決於它最脆弱的那一環。以我目前的設置,我不確定我是否完全擺脫3個委托書機構窺探的影響,或者更準確地肯定我不能。不過,我確信我已經增強了網上入侵穩健性的數度級,這應該可以阻止腳本小子對我玩一些骯臟的的把戲。現在,輪到你了……

原文鏈接: frankel 翻譯: ImportNew.com - 範琦琦
譯文鏈接: http://www.importnew.com/12969.html

如何選擇一款合適的密碼管理器(轉載自ImportNew)